Bezpečnostní audit. Semestrální práce z předmětu UAI/623 Návrh a implementace bezpečnosti v podnikových aplikacích

Transkript

1 Bezpečnostní audit Semestrální práce z předmětu UAI/623 Návrh a implementace bezpečnosti v podnikových aplikacích Petr Chval pchval@gmail.com 1.ročník NMGr ZS 2012/2013 1

2 1 Obsah 1. Úvod Bezpečnostní politika Fyzická bezpečnost Bezpečnost pracoviště Personální bezpečnost Vznik pracovního poměru Ukončení pracovního poměru Dlouhodobé přerušení pracovního poměru Přístupový účet Přístupové heslo Zástup pracovníka Ustanovení o mlčenlivosti Systémová bezpečnost Neautorizovaný přístup Auditní záznamy Časová synchronizace Přístupová práva Zálohování systému Ochrana před škodlivým programovým kódem Směrování zpráv, informací Osobní údaje, chráněné informace a utajované skutečnosti Uzamčení počítače Dokumentace systému, aplikace Komunikační bezpečnost a bezpečnost IS Ochrana sítě LAN Ochrana sítě WAN, MAN Ochrana síťových prvků Topologie sítě WAN Dostupnost sítě a služeb IS Ochrana připojení k externí síti a k veřejné síti internet Připojení externí organizace k IS ČSÚ Aplikační bezpečnost Popis aplikace Identifikace uživatele v aplikaci Přístupová práva uživatele na úrovni aplikace Závěr...11 Přílohy...12 Příloha 1. Popis systému DataMan

3 1. Úvod Bezpečnostní audit informačního systému Českého statistického úřadu dokumentuje současný stav na pracovišti Krajské správy v Českých Budějovicích, vypracovává pravidla a zásady z hlediska zajištění bezpečnosti IT. Cílem práce je zjištění aktuálního stavu každého zkoumaného kritéria bezpečnosti informačního systému ČSÚ a stanovení návrhů úprav a opatření pro vyhovění požadavkům Bezpečnostní politika Bezpečnostní politika je souhrn pravidel řídících dosažení cílů vytyčených v bezpečnostní strategii. Běžně bývají tato pravidla vyjádřena neformálně, v přirozeném jazyce. Pro zvýšení účinnosti lze použít také formalizovaných zápisů resp. semiformálního logicko-matematického vyjádření pravidel. Český statistický úřad v souladu se svým Statutem, schváleným usnesením vlády ČR č ze dne , ve znění usnesení vlády ČR č. 682 ze dne , důsledně dbá na zajištění ochrany veškerých získaných informací a zpracovávaných údajů. Těmto údajům (informacím) z vlastních zjišťování, ze zjišťování prováděných jinými pracovišti státní statistické služby a z administrativních zdrojů poskytuje ochranu podle platných právních předpisů. Předseda ČSÚ vydává tuto bezpečnostní politiku, závaznou pro všechny zaměstnance ČSÚ i pro zaměstnance smluvních a ostatních kooperujících organizací, kteří mají k informacím přístup. Vedení ČSÚ vytváří nezbytné podmínky k tomu, aby ochrana údajů a bezpečnost informací při všech činnostech byla zaručena. Pracovníci na všech stupních řízení dodržují dále uvedené bezpečnostní zásady. Ochrana údajů a bezpečnost informací je pro účely bezpečnostní politiky v ČSÚ definována v souladu s pojmy používanými ve znění platných zákonů ČR a právních předpisů EU, závazných pro ČR od Přehled dalších relevantních předpisů je obsahem přílohy č. 1. Pro oblast statistiky jsou základními právními předpisy upravujícími nakládání s údaji (informacemi): 1

4 V právním řádu ČR zejména: a) Zákon č. 89/1995 Sb., o státní statistické službě, ve znění pozdějších předpisů. b) Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. c) Zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů. d) Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů. e) Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů. f) Zákon č. 440/2004 Sb., kterým se mění zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů. V právním řádu EU zejména: a) Nařízení Rady (Euratom, EHS) č. 1588/90 ze dne 11. června 1990 o předávání údajů, na které se vztahuje statistická důvěrnost, Statistickému úřadu Evropských Společenství. b) Nařízení Rady (ES) č. 322/1997 ze dne 17. února 1997 o statistice Společenství. c) Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. d) Nařízení Komise (ES) č. 831/2002 ze dne 17. května 2002, kterým se provádí Nařízení Rady (ES) č. 322/1997, pokud jde o přístup k důvěrným údajům pro vědecké účely. e) Směrnice Evropského parlamentu a Rady 2002/21/ES ze dne 7. března 2002 o společném předpisovém rámci pro sítě a služby elektronických komunikací (rámcová směrnice). f) Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětvích elektronických komunikací (Směrnice o soukromí a elektronických komunikacích). [Zdroj: Bezpečnostní politika ČSÚ, říjen 2007] 2

5 2. Fyzická bezpečnost Byla sledována dále uvedená bezpečnostní kritéria, zdokumentován současný stav a navržen postup úpravy současného stavu: Technologické místnosti Místnost pro síťové prvky, rozvaděče a aplikační servery Zabezpečení technologických místností Je nutné zabránit vstupu neoprávněných osob a umožnit řízení vstupu do místnosti (samostatná zamykatelná místnost, uzamčený rack) Řízení přístupu do technologických místností Seznam oprávněných osob pro přístup do technologických místností Zápisy v Provozním deníku Provozní deník technologické místnosti Musí být veden provozní deník ke každé místnosti Provozní deník musí evidovat přístup oprávněných pracovníků Provozní deník musí evidovat prováděné činnosti (údržba informačního systému, síťových prvků, opravy) Vynášení zařízení z technologických místností Musí být prováděny zápisy v Provozním deníku Ochrana před výpadkem a chybami napájení v technologické místnosti Síťové prvky a servery musí být napájeny záložním zdrojem (minimálně 10 minut po výpadku napájení) Všechny napájecí zásuvky musí mít ochranu před přepětím napájecí sítě Ochrana před výpadkem a chybami napájení mimo technologické místnosti Výpočetní technika musí být napájena ze samostatného rozvodu s ochranou proti přepětí v síti Do samostatného rozvodu nesmí být zapojována jiná než výpočetní technika (vysavače, varné konvice, svítidla, ) Ochrana proti vysokým teplotám V technologických místnostech je nutné monitorovat teplotu a při dlouhodobém překročení 30st C doplnit klimatizační jednotku s výkonem udržující teplotu na 3

6 maximálně 26st C. Hasicí přístroje s čistým hasivem (typ CA 4 FE 36) Fyzická ochrana nosičů informací Nosičem informací dat jsou pevné disky, diskety, pásky i tiskové sestavy Nosiče dat musí být chráněny před neoprávněným použitím umístěním v technologické místnosti, bezpečnostních skříních atp. Při vyřazení nosiče je nutné zabezpečit jeho neobnovitelné smazání (wiping dat, fyzická skartace) Ochrana archivačních médií a zabezpečení manipulace s nimi Archivační média musí být umístěna v bezpečnostních skříních mimo technologické místnosti, nejlépe mimo stejnou budovu (bankovní schránka, jiné pracoviště) Manipulaci s médii může provádět pouze pověřená osoba, provede se zápis do Provozního deníku Zabezpečení přenosných zařízení Mobilní zařízení typu notebooku, mobilního telefonu, PDA nesmí být ponechány volně bez dozoru Pro ochranu informací je podle Klasifikace informací nutno použít šifrování dat 2.1. Bezpečnost pracoviště Sledované kritérium Technologická místnost Zabezpečení technologických místností Řízení přístupu do technologických místností Provozní deník technologické místnosti Vynášení zařízení z technologických místností Ochrana před výpadkem a chybami napájení v technologické místnosti Ochrana proti vysokým teplotám Fyzická ochrana nosičů informací Ochrana archivačních médií a zabezpečení manipulace s nimi Zabezpečení přenosných zařízení Hasicí přístroj Současný stav Ano, splňuje Ano, splňuje Seznam oprávněných osob ano ne Neprovádí se evidence do Provozního deníku Záložní zdroj ano Oddělený okruh pro PC ano Ano, klimatizace Ano, rack Ano. Nejsou mobilní zařízení Ano, je. 4

7 Sledované kritérium Provozní deník technologické místnosti Vynášení zařízení z technologických místností Návrh úpravy Zavést Provozní deník Provádět evidenci do Provozního deníku 3. Personální bezpečnost 3.1. Vznik pracovního poměru Pracovník bude svým přímým nadřízeným seznámen s bezpečnostními směrnicemi pro provoz informační techniky (síť LAN, WAN, informační systém DataMan, Evid, Intranet, Internet) Přímý nadřízený požádá vlastníka dat (odbor 23) o přidělení přístupových práv pracovníkovi pro informační systémy Přidělení konta pro přístup do sítě LAN a systému DataMan provede správce sítě a provede o tom záznam do Provozního deníku Návrh úprav: činnosti jsou prováděny správně, nutno provádět záznamy o úkonech do Provozního deníku, bezpečnostní školení je zajištěno smluvně Ukončení pracovního poměru Přístupová konta zaměstnance zablokuje správce sítě na základě pokynu nadřízeného pracovníka a provede o tom záznam do Provozního deníku Nadřízený pracovník provede o zablokování záznam do Výstupního listu zaměstnance Návrh úprav: činnosti jsou prováděny správně, nutno provádět záznamy o úkonech do Provozního deníku 3.2. Dlouhodobé přerušení pracovního poměru Při dlouhodobém přerušení pracovního poměru na základě pokynu nadřízeného pracovníka zablokuje správce sítě konta zaměstnance podle postupu Ukončení pracovního poměru a po návratu zaměstnance je správce sítě odblokuje. Nadřízený pracovník zaměstnance může správce sítě požádat o převod dat pod konto jiného zaměstnance, který bude vykonávat dlouhodobě nepřítomného zaměstnance zastupovat. Návrh úprav: činnosti jsou prováděny správně, nutno provádět záznamy o úkonech do Provozního deníku 5

8 3.3. Přístupový účet Každý pracovník má přidělen jednoznačný přístupový účet (jméno a heslo) Při 3 chybných pokusech o použití účtu je účet zablokován a odblokování provede na žádost správce sítě Návrh úprav: vyhovuje, bez požadavku 3.4. Přístupové heslo Heslo má minimálně 5 znaků a je rozdílné od jména, administrátorské heslo má minimálně 8 znaků Každých 6 měsíců je vyžadována změna hesla Návrh úprav: vyhovuje, bez požadavku 3.5. Zástup pracovníka Pro zastupujícího pracovníka správce sítě přidělí nový účet, který je po odchodu pracovníka zablokován Návrh úprav: vyhovuje, bez požadavku 3.6. Ustanovení o mlčenlivosti Zachovávání mlčenlivosti o datech trvá u zaměstnanců i po skončení pracovního poměru a u správce sítě je zajištěno smluvně i po ukončení smlouvy. Návrh úprav: vyhovuje, bez požadavku 4. Systémová bezpečnost 4.1. Neautorizovaný přístup Informační systém DataMan umožňuje spuštění pouze po zadání vstupního hesla. Na databázi se nelze napojit bez použití klienta DataMan s autorizací heslem. Tyto hesla jsou pro jednotlivé role z provozních důvodů shodné. Návrh úprav: povinná změna hesel u všech zaměstnanců 4.2. Auditní záznamy Informační systém DataMan audituje (zaznamenává) přihlášení a odhlášení uživatele, a informace o neúspěšných pokusech přístupu. Auditní záznamy nejsou uchovávány trvale, ale nahrazovány novými. Auditní záznamy nejsou pravidelně kontrolovány správcem dat. Návrh úprav: nevyhovuje, je nutné denně archivovat logy a provádět jejich 6

9 kontrolu alespoň 1x týdně 4.3. Časová synchronizace Servery i pracovní stanice musí být časově synchronizovány se službou přesného času NTP ze serveru ČSÚ. Návrh úprav: vyhovuje, bez požadavku 4.4. Přístupová práva Přístupová práva informačního systému DataMan jsou nastavena dle přidělených rolí v aplikaci lišících se k přístupu k datům. Přístupová práva veškerých uživatelů musí být 2x ročně revidována správcem dat Návrh úprav: systém přístupových práv vyhovuje, revize nutno dělat 2x ročně 4.5. Zálohování systému Zálohování kompletního informačního systému (instalace systému i data) se provádí 1x ročně. Kompletní data se zálohují v týdenním cyklu každý pátek (záloha se uchovává na pásky, které jsou skladované v uzamčené skříni). Zálohu dat je nutné dělat vždy při upgrade systému. Plán záloh zaznamenává časy záloh a výsledek. Návrh úprav: nevyhovuje, zálohu dat je třeba dělat automaticky alespoň 3x týdně 4.6. Ochrana před škodlivým programovým kódem Proti zanesení škodlivého programového kódu do sítě LAN (viry, červi, trojské koně, atd.) je nasazen na každý server a stanici antivirový program Symantec antivirus s automatickou aktualizací. Antivir chrání všechny cesty nákazy (ze sítě LAN, z Internetu, z přenosných médií). Instalaci programů může provádět pouze Administrátor. Je spuštěna pravidelná aktualizace bezpečnostních záplat. Návrh úprav: vyhovuje, bez požadavku 4.7. Směrování zpráv, informací Veškeré zpracovávané informace a zprávy jsou distribuovány informačním systémem DataMan pouze uvnitř sítě LAN a WAN v rámci ČSÚ. Návrh úprav: vyhovuje, bez potřeby změn 7

10 4.8. Osobní údaje, chráněné informace a utajované skutečnosti V rámci informačního systému DataMan je možné exportovat veškerá data ke kterým mají zaměstnanci (v závislosti na roli) přístup. Zaměstnanci podepsali vnitřní směrnice o mlčenlivosti a ochraně osobních údajů. Návrh úprav: vyhovuje, bez potřeby změn 4.9. Uzamčení počítače Při opuštění zapnuté pracovní stanice v síti LAN se stav počítače nemění. Návrh úprav: nevyhovuje. Při opuštění zapnuté pracovní stanice v síti LAN na dobu delší než 10min se musí stanice automaticky uzamknout. Počítač musí být nastaven tak, aby v přihlašovacím dialogu nebylo zobrazeno jméno naposledy použitého přístupového účtu Dokumentace systému, aplikace Informační systém DataMan má vypracovanou dokumentaci pro obsluhu i správu systému. Tato dokumentace je však zastaralá (z roku 2004). Při upgrade sytému není dokumentace upravována. Uživatelská část dokumentace není v systému k dispozici. Návrh úprav: nevyhovuje, je nutné kompletně dokumentaci přepracovat. Uživatelskou část je potřeba implementovat do systému. 5. Komunikační bezpečnost a bezpečnost IS 5.1. Ochrana sítě LAN LAN síť každého pracoviště má zdokumentovánu topologii a přístupové body (zásuvky) jsou aktivovány pouze ty, ke kterým jsou připojeny pracovní stanice. Evidence zásuvek je součástí dokumentace, kterou vede správce sítě. Návrh úprav: v pořádku, bez požadavku úprav 5.2. Ochrana sítě WAN, MAN Rozlehlá datová síť WAN slouží k vzájemnému propojení lokálních počítačových sítí LAN krajských správ ČSÚ. WAN síť ČSÚ je ve správě odboru 24 správy ICT. 8

11 Návrh úprav: žádné 5.3. Ochrana síťových prvků Sítě LAN krajské správy ČSÚ v Č. Budějovicích jsou vybaveny zařízeními typu switch a router v technologické místnosti v datových rozvaděčích. Přesný stav pracoviště je uveden v bodu 2 fyzická bezpečnost. Návrh úprav: žádné 5.4. Topologie sítě WAN Topologie sítě WAN MPSV je z hlediska správce i uživatele sítí LAN KS v Č.B. transparentní a správce sítě definuje pouze nároky na kapacitu a prioritu přenosů a druh dat. Výstavbu a správu provádí odbor 24 správy ICT. Návrh úprav: žádné 5.5. Dostupnost sítě a služeb IS ČSÚ sleduje dostupnost a propustnost sítě WAN a služeb Intranetu. Nedostupnost sítě WAN se hlásí správci WAN. Návrh úprav: žádné 5.6. Ochrana připojení k externí síti a k veřejné síti internet Síť LAN KS ČB a systém DataMan nepoužívá připojení k externí síti ani síti internet. Rovněž modemová spojení nejsou používána a v sítích LAN nejsou externí přípojné body. Návrh úprav: žádné 5.7. Připojení externí organizace k IS ČSÚ K sítím LAN ani k informačnímu systému PK.NET není správce sítě ani žádná jiná organizace připojena, nejsou zřízeny ani dočasné přístupové body. Návrh úprav: žádné 6. Aplikační bezpečnost 6.1. Popis aplikace V sítích LAN KS ČB ČSÚ je používána zakázková aplikace DataMan. Podrobnější informace viz. Příloha č.1. 9

12 6.2. Identifikace uživatele v aplikaci Aplikace DataMan eviduje informace pro vnitřní potřebu i osobní údaje. Při práci s osobními údaji se pracovník autorizuje uživatelským jménem a heslem. Návrh úprav: žádné 6.3. Přístupová práva uživatele na úrovni aplikace Uživatelé sítě LAN mají přístup jen k omezeným datovým zdrojům (adresářům, serverům) podle své úrovně oprávnění. Uživatelé systému DataMan mají přidělována přístupová práva přidělením do rolí. Jednotlivé role umožňují přístup pouze do dat, který uživatel spravuje. Funkce systému není omezena. Ze skupiny privilegovaných uživatelů je zaveden účet Administrátora. Návrh úprav: omezit funkce systému v závislosti na jednotlivých rolích Podle požadavku jsou stanoveny následující role uživatelů: administrátor - DMADM o účet správce o plná přístupová práva na prohlížení a úpravu všech dat a tisk všech dokumentů a sestav o možnost měnit číselníky o možnost spravovat seznam uživatelů a přidělovat přístupová práva (role) programátor - DMANDEVELOP o o obdobná práva jako administrátor nelze spravovat seznam uživatelů a přidělovat přístupová práva (role) vedoucí - DMANVED o plná přístupová práva na prohlížení a úpravu všech dat a tisk všech dokumentů a sestav zpracovatel - DMANUSER o přístupová práva na prohlížení a úpravu dat a tisk všech dokumentů a sestav o přístup pouze k datům, které uživatel spravuje Pozn.: Každý uživatel má navíc v aplikaci přidělen kód, který jej jednoznačně identifikuje. DMANUSER má oprávnění k datům na základě tohoto kódu. 10

13 7. Závěr Výsledkem práce je doporučení pro jednorázovou úpravu stavu zabezpečení pracoviště KS ČSÚ v Českých Budějovicích a návrh bezpečnostních pravidel. Jednorázově je nutné provést: 1. Zavedení Provozního deníku 2. Změna hesel u uživatelů v systému DataMan. 3. Zajistit uzamykání počítačů při delší době nečinnosti. 4. Kompletně přepracovat dokumentaci systému DataMan. 5. Implementovat uživatelskou dokumentaci do systému DataMan. 6. Zajistit omezení ve funkcích systému pro uživatele. Pravidelně je nutné provádět: 1. pravidelné a častější zálohování dat (3x týdně). 2. evidenci do Provozního deníku. 3. pravidelně ze systému DataMan archivovat logy a provádět jejich kontrolu. 11

14 Přílohy Příloha 1. Popis systému DataMan DataMan (32-bitový klient Oracle) - dále jen DMANcli32, nebo pouze DMANcli - je univerzálním nástrojem hromadného zpracování dat se zvláštním zaměřením na sběr a čištění dat od formálních a logických chyb. Data ukládá do databáze Oracle. Tabulky v přiděleném prostoru databáze si sám zakládá a udržuje jejich obsah. Je optimalizován pro minimální zatížení přenosových cest i databázových serverů. Slouží pro pořízení, verifikaci, opravy, exporty, importy, tisky a obecné transformace dat v databázi Oracle. Pracuje v interaktivním i dávkovém režimu. Využíván je především Českým statistickým úřadem pro sběr, verifikaci a různé další zpracování dat ze statistických šetření (od statistických výkazů i jiných obecných formulářů až po zevrubné kontroly a korekce všech dat ze Sčítání lidu, domů a bytů 2001). Převážná část jeho využití má charakter multiuživatelského on-line transakčního zpracování, nedílnou součástí jeho práce jsou však též dávkové běhy (exporty, importy, transformace dat, produkce tiskových výstupů, dávkové kontroly dat apod.). DMANcli32 má některé volitelné specifické vlastnosti, usnadňující sběr, zpracování a další využití dat pro statistické účely. Jde např. o možnost rozčlenění dat v jednom formuláři resp. výkazu mezi větší počet tabulek v databázi Oracle. Dále lze v DMANcli v každém typu statistického šetření volitelně použít speciální příznaky pro všechna datová pole. Příslušné příznaky jsou pak trvale spojeny s každým polem formuláře a lze je snadno jazykovými prostředky DMAN nastavovat i vyhodnocovat jejich hodnoty. Jednou ze základních vlastností technologie zpracování dat DataMan je jednotné uživatelské rozhraní a jednotný způsob obsluhy pro všechny aplikace. Tím je dána snadná zastupitelnost zpracovatelů dat i mezi různými aplikacemi. Vychází se z toho, že data se vždy editují (je jedno zda vznikají ručním pořízením přímo v DMAN, nebo např. optickým snímáním mimo DMAN). Dále se různě formálně a logicky verifikují, neboli libovolně složitě prověřují kontrolami. Dále se z nich vytvářejí odvozená data, různé výstupy, transformují se, exportují, importují atd. Technologie DMAN umožňuje přímo provádět různé akce, jež tak není potřeba programovat, ale stačí je pouze vyvolat. Tvůrci aplikací v DMAN nemusí (a ani jim není umožněno) vytvářet uživatelská rozhraní, ale zaměřují se pouze na tvorbu výkonných modulů specifických pro daný typ výkazu - programů v jazyce 12

15 DAP pro kontroly, tisky, nestandardní exporty či importy apod. Zvyšuje se tak produktivita programátorské práce a je zde lehce dosažitelná i zastupitelnost programátorů. [Zdroj: Onyx Software s.r.o.] 13