Bezpečnostní normy a standardy KS - 6

Transkript

1 VŠFS; Aplikovaná informatika; SW systémy 2005/ Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní normy a standardy KS - 6

2 VŠFS; Aplikovaná informatika; SW systémy 2005/ Osnova historický vývoj bezpečnostních norem bezpečnostní normy zabezpečených informačních systémů; standardizace šifrovacích algoritmů; současné trendy ve standardizaci bezpečnostních procesů norma ISO 17799; vazby mezi bezpečnostními normami.

3 VŠFS; Aplikovaná informatika; SW systémy 2005/ Literatura Přibyl J, Kodl J.: Ochrana dat v informatice, ČVUT, 1998 Kolektiv: Informační bezpečnost, Tate International, 2001 Doporučená Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004

4 VŠFS; Aplikovaná informatika; SW systémy 2005/ Vývoj bezpečnostních norem požadavky na vypracování norem v oblasti ochrany dat v USA projekt ministerstva obrany (1977) US národní úřad pro normalizaci (NBS, nyní NIST-National Institute of Standards and Technology) zodpovědnost za vývoj federálních norem def. podmínky pro používání výp. techniky Serie norem FIPS PUB (Federal Information Processing Standards Publication ) návrh norem pro počítačovou kryptografii FIPS PUB 46 norma DES 1981 norma ANSI rozvoj norem pro stavbu a hodnocení zabezpečení počítačových systémů 1983 Kritéria TCSEC (Trusted Computer Security Evaluation Criteria) Oranžová kniha; postupně Duhová serie Soubor cca 30 tématických kritérií Aktivity v oblasti bezpečnosti v ISO (International Organisation for Standardisation) zřízení nového výboru Informační technologie a následně i podvýboru bezpečnostní technologie rozvržení práce do pracovních skupin WG norem s označením ISO0IEC JTC1 SC 27 (1989) Přejímání ISO norem do norem ČSN

5 VŠFS; Aplikovaná informatika; SW systémy 2005/ Současný stav bezpečnostních norem Základní směry bezpečnostní technické předpisy - oblast informační technologie, bezpečnostní požadavky, postupy, apod. příklady: ČSN ISO 8392 módy činnosti pro 64-bitový algoritmus blokové šifry; FIPS Security Requirements for Cryptographic Modules; PKCS#1 RSA Encryption Standard; normy pro hodnocení zabezpečených systémů TCSEC Trusted Computer Security Evaluation Criteria - federální norma USA ITSEC - Information Technology Security Evaluation Criteria evropská norma; BC 7799 British Standard Code of Practice for Information Security management. metodologie hodnocení COBIT Control Objectives for Information and related Technology

6 VŠFS; Aplikovaná informatika; SW systémy 2005/ Současný stav bezpečnostních norem Hlavní organizace řešící problematiku norem pro počítačovou kryptografii a ochranu informací v systémech mezinárodní ISO, IEC (International Electrotechnical Commission) společné normy ISO/IEC JTC1 (zejména SC 27) CCITT (Mezinárodní poradní výbor pro telefonii a telegrafii) normy řady X. --- (X.509) mezinárodní oborové ECMA (sdružení evropských výrobců počítačů) národní ANSI americké federální normy ČSN mezinárodní de facto standardy RFC (Request for Comment) firemní PKCS (Public-Key Cryptography Standards) - RSA

7 VŠFS; Aplikovaná informatika; SW systémy 2005/ FIPS PUB 140-2; Základní bezpečnostní požadavky pro kryptografické moduly Dokument je rozdělen do 4 základních úrovní řešení bezpečnosti. Tyto úrovně určují parametry návrhu a požadavky na implementaci modulů do systémů. Návrh se vztahuje k následujícím oblastem: Specifikace kryptografického modulu Rozhraní modulů Funkce, poskytované služby, požadavky na autentizaci Matematický model modulu Fyzická bezpečnost Bezpečnostní prvky programového vybavení Návrh systému klíčů Elekromagnetická kompatibilita Testovací subsystém Ověření shody s bezpečnostními požadavky Obnovení po chybách Norma obsahuje i procedury testování pro akreditované laboratoře

8 VŠFS; Aplikovaná informatika; SW systémy 2005/ Normy bezpečnosti informačních systémů Základní normy ČSN 13335; 1-4 Směrnice pro řízení bezpečnosti IT pojetí a modely bezpečnosti IT řízení a plánování bezpečnosti IT techniky pro řízení bezpečnosti IT výběr ochranných opatření Hodnotící normy ČSN Kritéria pro hodnocení bezpečnosti IT Úvod a všeobecný model bezpečnostní funkční požadavky požadavky na zaručitelnost bezpečnosti

9 VŠFS; Aplikovaná informatika; SW systémy 2005/ BS 7799 a normy následující Příručka pro správu bezpečnosti informací BS 7799 (Code of Practice for Information security management) = referenční dokument pro uživatele, kteří jsou ve svých institucích zodpovědni za návrh, implementci a dodržování bezpečnosti informací. Dokument poskytuje úplný soubor bezpečnostních opatření, metod a postupů vycházejících ze zkušeností v oblasti zabezpečení informací Na rozdíl od předchozích norem preferujících teoretické a systémové aspekty při zabezpečení informačních technologií je norma BS 7799 zaměřena v maximální možné míře na praktický charakter. Byl přijat jako mezinárodní norma ISO/IEC 17799:2005 (první část normy BS ) Připravuje se ISO/IEC 27001:2005 (druhá část normy BS ) Normy jsou přebírány jako normy ČSN

10 BS 7799 a normy následující První část obsahuje strukturovaná doporučení rozdělená do kapitol, která umožňují stanovit příslušná bezpečnostní opatření s tím, že: ž stanoví cíle stanoví odpovídající zodpovědnosti Záměr se odráží i ve vlastní struktuře dokumentu, který je rozdělen do kapitol: Bezpečnostní politika Správa bezpečnosti informací v organizaci Klasifikace a řízení aktiv, ve vazbě na udržení jejich odpovídající bezpečnosti Personální zabezpečení Fyzická bezpečnost a bezpečnost informačních technologií Správa výpočetních a komunikačních systémů Správa přístupových práv do systémů Vývoj a provozování systémů, ve vztahu k řešení otázek zabezpečení informací Zabezpečení kontinuity obchodních aktivit organizace Soulad s právními předpisy VŠFS; Aplikovaná informatika; SW systémy 2005/

11 VŠFS; Aplikovaná informatika; SW systémy 2005/ BS 7799 a normy následující Druhá část obsahuje návod jak vybudovat systém řízení bezpečnosti informací (ISMS) Norma klade hlavní důraz na zavedení procesů spojených s řízením rizik, k tomu využívá doporučení z části 1. Struktura dokumentu, který je rozdělen do oblastí: Definice rozsahu ISMS Definice politiky ISMS Analýza rizik Řízení rizik Výběr opatření Správa o aplikovatelnosti opatření

12 VŠFS; Aplikovaná informatika; SW systémy 2005/ BS 7799 a normy následující Novelizace přístupu ke zpracování aktualizovaných norem vychází z provázanosti jednotlivých (doposud významně oddělených norem). Vzniká soustava norem Specifikace ISMS ISO/IEC Navržená opatření pro správu ISMS ISO/IEC 17799:2005 (novela ISO 27002) Řízení rizik ISO/IEC Návazné oborové normy bezpečnost síťového prostředí ISO/IEC 18028

13 VŠFS; Aplikovaná informatika; SW systémy 2005/ COBIT Základní metodika pro audit a řízení IT Stanovení strategie budování IT využití procesního přístupu Pět základních projektů: 1. Postupy kontroly IT 2. Hodnocení úrovně vyzrálosti prostředí (maturity benchmarking) 3. Příručky pro implemntaci 4. Online přístup k metodologii COBIT 5. Základní varianta COBIT 6. Případové studie

14 VŠFS; Aplikovaná informatika; SW systémy 2005/ COBIT Struktura metodologie 1. 4 domény 1. plánování, 2. nasazení a osvojení, 3. provoz a dodávky, 4. monitorování 2. Rozdělení každé domény na procesy (34 procesů) 3. Rozdělení procesů na postupy, záměry a cíle Vypracovány metody, které se vztahují výhradně k bezpečnostním aspektům

15 VŠFS; Aplikovaná informatika; SW systémy 2005/ Harmonizace norem Dochází ke konvergenci jednotlivých norem zejména z pohledů cílů a záměrů. Současný úkol = harmonizovat přístupy vedoucí k dosažení jednotlivých cílů => projekt Harmonizace informační bezpečnosti unifikace definic unifikace hodnocení unifikace aktivit zejména spojených s: ISO 17799, ISO 13335, ISO COBIT NIST řada projekt řešený v rámci ISACA (Information systém Audit and Control Association)