Krit eria hodnocen informacn bezpecnosti
|
|
- Dušan Tábor
- před 7 lety
- Počet zobrazení:
Transkript
1 Motivace pro hodnocen Krit eria hodnocen informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2017 Existuje produkt (syt em) deklarujc odolnost v uci jist ym hrozb am v uci informacn bezpecnosti deklaruje, ze zajist'uje integritu, d uvernost, dostupnost,... pri plnen jm poskytovan ych sluzeb deklaruje, ze tyto vlastnosti zajist'uje v uci napr. bezn ym utok um, nebo proti siln ym utok um nebo proti profesion alnm utok um,... Na z aklade ceho mohu verit, ze tyto deklarace jsou d uveryhodn e? Standardn resen { tret nez avisl a strana provede hodnocenm vlastnost produktu (syst emu) a potvrd, ze deklarace je validn { potvrzen m uze mt formu auditn (hodnotc) zpr avy { d uveryhodnejs potvrzen je vyd an certik atu d uveryhodnou certikacn autoritou Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 1 Motivace pro hodnocen Jak siln a je z aruka za to, ze deklarace vlastnosti produktu (syst emu) je validn? Sla z aruky se prirozene odvozuje od d uslednosti, detailnosti, presnosti, d ukladnosti,... proveden eho hodnocen Cena za zsk an z aruky je minim alne prmo umern a pozadovan e sle z aruky, obvykle jej cena se zvysuje rychleji Jak silnou z aruku za d uv eryhodnost vlastnost produktu (syst emu) potrebuji? Potrebn a sla z aruky je d ana potenci alem mozn ych skod zp usoben ych provozov anm produktu (syst emu) Pro syst em resc beznou provozn agendu organizace pravdepodobne vystaven y pouze bezn ym slab ym utok u stac slabs z aruka nez pro produkt (syst em) zpracov avajc vysoce citliv a data s potenci alem siln ych utok u (napr. syst em elektronick eho bankovnictv) Motivace pro hodnocen Cm je ovlivnena dosaziteln a sla z aruky za d uveryhodnost? Pozitivn v ysledek hodnocen proveden y ov erenm bezpecnostnch vlastnost produktu (syst emu) oprav nuje vyslovit pouze velmi nzkou z aruku pokud hodnocen bylo proveden e pouze na z aklade test u v uci uzivatelsk emu manu alu nzkou z aruku, pokud pro hodnocen se navc pouzila neform aln specikace vlastnost (formou eseje) stredne silnou z aruku, pokud se pri hodnocen pouzila semi-form aln specikace, zkoumal se detailn n avrh a zdrojov e k ody program u atd. atd.... velmi silnou z aruku, pokud se pro hodnocen pouzila plne form aln specikace vlastnost (algebraicko-logick y model) a pokud se pri hodnocen form alne prok azala validnost a n avaznost n avrhu, detailnho n avrhu a implementace Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 2 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 3
2 Motivace pro hodnocen Aby byla deklarovan a z aruka za validnost bezpecnostnch vlastnost produktu (syst emu) d uv eryhodn a, mus se vyslovit na z aklade standardizovan eho, vseobecn e uzn avan eho, reprodukovateln eho, opakovateln eho,... postupu takov y postup specikuje standard ISO/IEC 15408, Evaluation criteria for IT security Cl predn asky { pozn an z asad a princip u ISO/IEC Standard res jak zadat pri popt avce / v yberov em rzen pozadovanou urove n z aruky za deklarovanou informacn bezpecnost produktu / syst emu (deklarac pozadovan eho prolu ochran) Standard rovn ez res jak deklarovat urove n z aruky za dosazenou informacn bezpecnost nabzen eho produktu (deklarac bezpecnostnho cle produktu) Standard denuje postup nez avisl eho posouzen informacn bezpecnosti produktu a syst emu (implementovan eho a provozovan eho konglomer atu produkt u v konkr etnm kontextu) Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 4 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 5 Cl predn asky { pozn an z asad a princip u ISO/IEC ISO/IEC 15408, Evaluation criteria for IT security ISO/IEC 15408, Evaluation Criteria for IT Security, standard p uvodne zvan y Common Criteria, CC Standard vydan y ISO/IEC/JTC1/SC 27/WG3 ISO/IEC : Part 1: Introduction and general model ISO/IEC : Part 2: Security functional requirements ISO/IEC : Part 3: Security assurance requirements vsechny 3 c asti byly publikovan e v r Jedn a se o hodnotc krit eria podporujc vysloven z aruky, ze byly veden e prsn ym a standardnm zp usobem procesy { specikace informacn bezpecnosti produktu/syst emu, { implementace informacn bezpecnosti produktu/syst emu a { a vlastnho hodnocen informacn bezpecnosti produktu/syst emu Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 6 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 7
3 Hodnotc krit eria = Hodnotc krit eria seznam podmnek, kter e vyvjen y/kupovan y produkt nebo syst em m a b yt schopn y (mus) splnit, resp. kter ym mus vyhovet Hodnotc krit eria metodologie hodnocen metodologie hodnocen = zp usob proveden hodnocen zda hodnocen y produkt/syst em vyhovuje stanoven ym krit erim metodologii obvykle urcuje autorita, kter a je v dan e oblasti (napr. EU, st at, koncern,... ) odpovedn a za dodrzov an konzistence hodnocen Common Criteria, CC (ISO/IEC 15408) Common Criteria for Information Technology Security Evaluation poskytuj prostred (framework), ve kter em m uze { uzivatel produktu/syst emu udat pozadavky na jeho inf. bezpecnost { v yrobce specikovat bezpecnostn vlastnosti jeho produktu/syst emu { hodnotitel hodnotit, zda produkt/syst em m a deklarovan e vlastnosti Kdo standard hodnotcch krit eri IT bezpecnosti vyuzv a? Z akaznk pri vypisov an v yberov eho rzen zad av a pozadavky na bezpecnostn vlastnosti pozadovan eho informacnho syst emu (produktu) { vyd av a prol ochran, kter e mus nabzen y produkt poskytovat V yvoj ar jako vodtko pl anovan ych vlastnost pri v yvoji zabezpecovan eho produktu resp. syst emu bezpecnostn vlastnosti vyvinut eho produktu deklaruje jako jeho bezpecnostn cl Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 8 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 9 Kdo standard hodnotcch krit eri IT bezpecnosti vyuzv a? Hodnotitel { jako programov y prol sv ych cinnost hodnocen se vesmes res jako zak azkov a cinnost, hodnotitel = rma fakt, ze hodnotitel pro hodnocen prokazatelne pouzv a spr avn a krit eria a spr avnou metodologii hodnocen potvrzuje relevantn akreditacn autorita mezi typick e cinnosti vykon avan e hodnotitelem patr: { potvrzen, ze dan y prol ochran odpovd a pozadavk um z akaznka { potvrzen, bezpecnostn vlastnosti produktu (syst emu) odpovdaj vlastnostem deklarovan ym v jeho bezpecnostnm cli { potvrzen,ze jist y bezpecnostn cl vyhovuje pozadavk um deklarovan ym dan ym prolem ochran Hodnotc krit eria a standardy krit eri v yvoje IT bezpecnosti Hodnotc krit eria standardy v yvoje produktu/syst emu spl nujcho pozadavky standard u rodiny ISO/IEC i kdyz lze standardy ISO/IEC a ISO/IEC pouzt pro hodnocen jak se zach az s informacemi, nen to jejich clem, { jsou prlis technicky orientovan e { jejich smyslem je denovat, jak bezpecne manipulovat s informacemi ani ISO/IEC ani ISO/IEC nepozaduj pouzit { hodnocen ych produkt u, resp. { produkt u s certik atem dosazen e urovne informacn bezpecnosti ISO/IEC i ISO/IEC pouze pozaduj, { aby produkt / syst em byl externe auditovateln y a { aby se pravidelne kontroloval soulad jeho bezpecnostnch vlastnost syst emu s vhodn ymi implementacnmi krit erii, kter ymi mohou b yt napr. hodnotc krit eria Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 10 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 11
4 Vysloven z aruky bezpecnosti informac v produktu/syst emu Cl hodnocen z pohledu bezpecnosti informac vysloven urovne z aruky, s jakou lze garantovat, ze produkt/syst em zajist'uje (deklarovanou) informacn bezpecnost Pouzit a hodnotc krit eria proto mus denovat mru z aruky Mra z aruky mus b yt vyj adren a vhodn ymi stupni ( urovnemi) { obecne, napr.: nzk a, stredn, vysok a,... { podle CC: EAL1, EAL2,..., EAL7, EAL { Evaluation Assurance Level, EALi = urove n z aruky za dosazenou kvalitu informacn bezpecnosti, POZOR: nikoli sly pouzit ych bezpecnostnch mechanism u, hodnot se kvalita specikace, implementace, dod avek,... EAL1 { nejnizs z aruka kvality informacn bezpecnosti... EAL7 { nejvyss z aruka kvality informacn bezpecnosti Vysloven z aruky bezpecnosti informac v produktu/syst emu Pro dosazen cle hodnocen { tj. pro vysloven z aruky za dosazenou kvalitu informacn bezpecnosti, se mus prok azat, ze zaveden a bezpecnostn opatren maj spr avnou funkcnost, poskytuj ochranu proti vsem relevantnm hrozb am jsou efektivn, ucinne zabra nuj hrozb am, kv uli kter ym byly zavedeny Hloubka a d ukladnost procedur overen obou techto deklarovan ych vlastnost jsou dan e udanou/pozadovanou urovn z aruky, pro EAL1 se overuj na z aklade uzivatelsk e dokumentace pro EAL7 se overuj na preciznch algebraicko-logick ych model u POZOR { nem uzeme si b yt nikdy jisti absolutn efektivitou a perfektn funkcnost prosazovan ych opatren Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 12 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 13 Predm et hodnocen { produkt, syst em Produkt, syst em, predm et hodnocen Predm etem hodnocen (PH), Target Of Evaluation (TOE) m uze b yt produkt { individu aln v yrobek syst em { jedinecn a kombinace produkt u plncch v prostred organizace urcitou roli Hodnocen produktu obtzne se posuzuje efektivnost bezpecnostnch rys u, { neb yv a zn am e prostred, ve kter em bude produkt provozovan y { nen jasn e, co bude konkr etn uzivatel od produktu pozadovat, pri n avrhu vlastnost produktu se mus br at do uvahy generick e pozadavky vetsiny uzivatel u je odpovednost hodnotitele, jak kontroluje funkcnost a efektivitu Hodnocen syst emu pozadavky na efektivnost bezpecnostnch rys u syst emu b yvaj zrejm e, { zn ame prostred, ve kter em bude syst em provozovan y { je jasn e, co konkr etn uzivatel od produktu pozaduje jejich vysloven je ale slozit y a technick y proces Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 14 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 15
5 Prnosy a probl emy hodnocen Prnosy hodnocen pro podnik an proveden hodnocen m uze produktu otevrt cestu na nov e trhy (napr. do oblasti st atn spr avy, zdravotnictv, arm ady,... ) hodnocen m uze odstranit starost, zda produkt m a sanci uspet na trhu v ysledek hodnocen obecne b yv a dobr y reklamn n astroj Probl emy s hodnocenm jak akoliv zmena PH (napr. z aplatou) hodnocen znehodnocuje az anuluje uzivatel, kter y nen expertem v (hodnocen) bezpecnosti { nemus plne rozumet z aruk am odvozen ym z v ysledk u hodnocen a { nemus b yt schopn y zadat pozadavky na hodnocen Kdo hrad hodnocen? N aklady hodnotiteli vzdy hrad sponzor hodnocen v yrobce produktu vlastnk syst emu Pri volbe clov e urovne z aruky hraje d ulezitou roli cena hodnocen Je-li PH produkt, n aklady na hodnocen lze rozpt ylit mezi velk y pocet z akaznk u Je-li PH syst em, vesker e n aklady hrad vlastnk syst emu Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 16 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 17 Metodologie hodnocen Hodnocen prov ad hodnotitel Hodnotitel m a b yt dozorovan y (kontrolovan y, prov erovan y) autoritou pro hodnocen informacn bezpecnosti pro sponzora hodnocen je hodnotitel d uv eryhodnou tret stranou Pouzit takov ych partner u mj. pozaduje i standard ISO/IEC Sponzor hodnocen uzavr a s hodnotitelem smluvn vztah Kazd a f aze hodnocen vyjmenovan a ve smlouve probh a podle denovan ych postup u vc. denovan eho harmonogramu Hodnotitel vypracov av a hodnotc zpr avu, ve kter e vyslovuje d ukazy podepren e z avery o kvalitativn urovni bezpecnostnch vlastnost PH Metodologie hodnocen Ve smlouve se vymezuje zda hodnotc zpr ava bude d ukazem pro vyd an certik atu dosazen e urovne z aruky za kvalitu informacn bezpecnosti Certik at dosazen e urovn e z aruky odvozen e pri hodnocen vyd av a uzn avan a certikacn autorita na z aklad e hodnotc zpr avy hodnotitele Certikacn autority b yvaj licencovan e komercn organizace licencovan e = akreditovan e u relevantn autority Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 18 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 19
6 Metodologie hodnocen Autoritou pro hodnocen informacn bezpecnosti IT m a b yt n arodn / mezin arodn instituce, kter a kontroluje, ze vsichni pod ni spadajc hodnotitel e spl nuj profesn vlastnosti pozadovan e od hodnotitel u vsechny pod ni spadajc certikacn autority spl nuj profesn vlastnosti pozadovan e po certikacnch autorit ach Hodnotitel e a certikacn autority se mus obvykle uch azet o akreditaci u takov e autority pro hodnocen bezpecnosti IT Investigace nebo audit? Metody hodnocen mohou b yt produktove/syst emove orientovan e, investigativn hodnocen { zkoum a se, testuje se, hotov y produkt/syst em a jeho vlastnosti { hodnocen je obtzne opakovateln e, je individu aln pro kazd y PH procesne orientovan e, auditn postup { hodnot se dokumentace a procesy n avrhu, v yvoje, porizov an a provozov an PH { levnejs a snadneji opakovateln e hodnocen, avsak pro koncov eho uzivatele m uze b yt m ene uzitecn e { presto uprednost novan a forma, uplatnen a i v ISO/IEC Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 20 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 21 Historie { The Orange Book, TCSEC Trusted Copmuter Security Evaluation Criteria (TCSEC) klasikace poctac u s operacnmi syst emy pro pouzit v arm adnch instalacch, 1985, US Department of Defence Hodnocen y poctacov y syst em pad a do jedn e ze { 7 trd (D, C1, C2, B1, B2, B3, A) ze { 4 rodin (D, C, B, A), pricemz { A je nejprsn ejs trda, D je trda syst em u nespl nujcch krit eria hodnocen Pro kazdou trdu C az A je d an seznam pozadavk u na bezpecnostn funkcnost a na zarucitelnost za bezpecnost s urovn bezpecnosti (s trdou) je sv az ana detailnost zkoum an syst em, kter y deklaruje dosazen nizs trdy nen testovan y stejne, jako syst em deklarujc dosazen vyss trdy The Orange Book, TCSEC, trdy D a C D { PH nesplnil pozadavky z adn e vyss trdy C { PH spl nuje pozadavky na volitelnou ochranu, Discretionary protection jsou k dispozici n astroje pro rzen prstupu a pro audit, kter e cin uzivatele odpovedn e za jejich akce { podtrda C1 { na skupinov e urovni { podtrda C2 { na individu aln urovni testuj se v yskyty obvykl ych chyb, testov an je produktove orientovan e C2 byla nejbeznejs komercn trda typick y reprezentant { univerz aln operacn syst em, ve kter em volitelnost ochran rd vlastnk objektu, prideluje ostatnm uzivatel um / proces um prstupov a pr ava (read, write, execute... ) Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 22 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 23
7 The Orange Book, TCSEC, trda B B { PH spl nuje pozadavky na povinnou ochranu, Mandatory protection, zpracov avaj se klasikovan a data (tajn a, prsne tajn a,... ) s datov ymi objekty jsou vzdy sv azan a data indikujc klasikaci (security labels) procesy/uzivatek e jsou zarazeni na konkr etn urove n opr avnen prstup z urovn opr avnen k klasikovan ym dat um rd samostatne denovan a pravidla { politika rzen prstupu pozaduje se poskytnut d ukaz u pomoc form alnch model u bezpecnosti (napr. Bell-LaPadula Model) existuj tri trdy v rodine B { B1, B2 a B3 odlisujc se urovn hloubky zkoum an vlastnost souvisejcch s informacn bezpecnosti testuje se funkcnost produktu i jeho zdrojov y program The Orange Book, TCSEC, trda A A { PH spl nuje pozadavky na overenou ochranu, Verified Protection, jedin a trda funkcne ekvivalentn B3 pro PH navc proti B3 mus b yt vypracovan y form aln model a mus se poskytnout form aln d ukazy, ze produkt spl nuje n avrhovou specikaci Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 24 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 25 ITSEC Information Technology Security Evaluation Criteria, (ITSEC) Evropsk a hodnotc krit eria (vznik 1990, EU je prijala v 1995) V soucasnosti jsou nahrazen a kriterii Common Criteria, ISO/IEC 15408, nem a smysl se ITSEC zab yvat hloubeji, principy jsou vsak d ulezit e pro pochopen ISO/IEC Byla hojne prekl adan a do mnoha jazyk u, na skodu jednotn e interpretaci Prerusuj prmou vazbu mezi funkcnost a zarucitelnost obe krit eria lze zadat na sobe nez avisle Za urcen pozadavk u a hrozeb je odpovedn y sponzor PH je produkt nebo syst em nedenuj striktn e preddenovan e trdy PH obsahuj prklady trd, ty nejsou nutn e inkrement aln ITSEC Dosazen a urove n z aruky za kvalitu informacn bezpecnosti se hodnotila dosazenou d uv eryhodnost ve 4 pohledech V yvojov y proces forma specikace pozadavk u, n avrh architektury, detailn n avrh, implementace V yvojov e prostred Jak probhalo rzen projektu, pouzit e programovac jazyky, pouzit e kompil atory, aplikovan a bezpecnost pri v yvoji Provozn dokumentace dokumentace spr avce, dokumentace uzivatele Provozn prostred dod avka, distribuce, kongurace, spusten, provoz Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 26 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 27
8 E0 E1 E2 ITSEC, trdy zarucitelnosti bezpecnosti nedostatecn a zarucitelnost kvality bezpecnosti, hodnocen nelze prov est pro hodnocen mus b yt zad an bezpecnostn cl a neform aln popis hodnocen eho predmetu a testov an bezpecnostnch funkc mus indikovat, ze hodnocen y predmet spl nuje bezpecnostn cl navc proti E1 se pozaduje pro hodnocen dostupnost neform alnho popisu detailnho n avrhu PH a hodnotiteli se mus dodat d ukazy testov an; mus se prov adet spr ava kongurace a mus b yt zaveden proces dod avky PH E3 E4 E5 ITSEC, trdy zarucitelnosti bezpecnosti navc proti E2 se pozaduje pro hodnocen dostupnost detailnho n avrhu a zdrojov ych text u program u bezpecnostnch funkc navc proti E3 se pozaduje pro hodnocen vyj adren bezpecnostn politiky hodnocen eho predmetu form alnm modelem, semi-form aln popis architektury a detailnho n avrhu PH a proveden anal yzy zranitelnosti na t eto urovni navc proti E4 se mus se prok azat uzk a souvislost mezi detailnm n avrhem a implementac na urovni zdrojov ych text u program u Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 28 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 29 E6 ITSEC, trdy zarucitelnosti bezpecnosti navc proti E5 se pozaduje form aln popis bezpecnostn architektury PH konzistentn s form alnm modelem bezpecnostn politiky; mus b yt jednoznacne prokazateln a souvislost v ykonn ych (bin arnch) program u s jejich zdrojov ymi formami. Common Criteria, ISO/IEC Evaluation criteria for IT security ISO/IEC : Part 1: Introduction and general model ISO/IEC : Part 2: Security functional requirements ISO/IEC : Part 3: Security assurance requirements Predmetem hodnocen m uze b yt produkt nebo syst em (d ale nerozlisujeme) Pokud lze produkt/syst em lze pouzvat vce zp usoby pak predm etem hodnocen, Target of Evaluation, TOE, je konkr etn m od jeho pouzit (podle n avodu) Hodnocenm podle CC se ov eruje, zda TOE vykazuje deklarovan e bezpecnostn vlastnosti a to jak z funkcn skladby tak i z hlediska realizace Hodnocen stanovuje urove n z aruky za dosazenou bezpecnost Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 30 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 31
9 Specikacn dokument CC, Protection Prole prol ochran, Protection Profile, PP dokument typicky vytv aren y uzivatelem nebo nejakou uzivatelskou komunitou identikuje pozadavky na bezpecnost pro jist e prostred efektivne denuje trdu bezpecnostnch zarzen, napr. { pouzit cipov ych karet pro dosazen nepopiratelnosti (podpisov an) { st'ov e rewally (pro rzen prstupu),... v yrobce se m uze rozhodnout vyr abet zarzen vyhovujc konkr etnmu PP, v yrobek lze certikovat jako vyhovujc PP PP lze pouzt jako sablonu pro denici bezpecnostnho cle (specikaci bezpecnostnch vlastnost konkr etnho produktu/syst emu) z akaznk si m uze vybrat z produkt u, kter e deklaruj vyhoven jist emu PP, resp. kter e vlastn certik at vyhoven jist emu PP Specikacn dokument CC, Security Target bezpecnostn cl, Security Target, ST dokument denujc bezpecnostn vlastnosti produktu/syst emu, tzv. Security Functional Requirements (SFRs) { specikace bezpecnostnch funkc poskytovan ych produktem { souc ast CC je standardn katalog techto funkc { napr SFR m uze denovat, jak se m a konkr etn role autentizovat { CC nepredpisuj z adn e povinn e SFR v ST { nekter e SFR se mohou podmi novat { napr. schopnost omezovat prstup rolm vyzaduje nutnost mt moznost identikovat jednotliv e role produkt/syst em se obvykle hodnot jak spl nuje zadan y/deklarovan y ST, { je hodnocen y proti SFRs deklarovan ym v ST lze rovnez hodnotit ST, zda vyhovuje zadan emu PP ST je mnohdy reklamnm materi alem v yrobce Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 32 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 33 Specikacn dokument CC, Security Target ST obsahuje popisy bezpecnostnch probl em u resen ych pomoc TOE a provoznho prostred TOE TOE z akaznkovi vyhovuje, { pokud se shoduje z akaznk uv bezpecnostn probl em s probl emem, o kter em se v ST dan eho TOE rk a, ze je tmto TOE resen y, a { pokud se shoduje provozn prostred z akaznka s prostredm, ve kter em mus b yt TOE provozovan y TOE lze hodnotit proti ST, hodnot se jak TOE spl nuje ST ST m uze deklarovat, kter ym PP vyhovuje a TOE pak lze hodnotit i proti temto PP, zda jim provozn prostred TOE odpovd a Z akaznk m uze deklarovat, kter y PP charakterizuje jeho provozn prostred a jeho bezpecnostn probl emy Common Criteria, hodnocen produktu a PP Hodnocen produktu/syst emu (TOE) typicky sest av a ze 2 krok u hodnocen ST, o kter em TOE sdeluje, ze ho spl nuje, aby se zskala jistota, ze probl em resen y produktem je probl emem, kter y je potreba resit vlastn hodnocen TOE proti tomuto ST, aby se zskala jistota, ze TOE spl nuje bezpecnostn urove n denovanou v ST Hodnocen PP probh a pred form aln deklarac PP relevantn autoritou odpovednou za bezpecnost IT clem hodnocen je zsk an jistoty, ze PP spr avne identikuje pozadavky na bezpecnost Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 34 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 35
10 Jak CC pouzvaj... Jak CC pouzvaj... Zadavatel e v yvoje jako specikace bezpecnostnch pozadavk u na TOE stanovuj Proly ochran { dokumenty popisujc generick e pozadavky na bezpecnostn rysy trdy produkt u a prpadne i Bezpecnostn cl { pozadavky na bezpecnostn vlastnosti konkr etnch produkt u V yvoj ari specikuj pomoc CC bezpecnostn vlastnosti vyvjen eho TOE dokumentem Bezpecnostn cl, pokud ST nezdal zadavatel v yvoje Z akaznci (pri vyps an v yberov eho rzen,... ) z akaznk vyhled a/vypracuje Prol ochrany, kter y spl nuje jeho pozadavky a pouzije ho pri specikaci objedn avky, vyps an v yberov eho rzen,... Uzivatelsk a sdruzen, resorty (zdravotnictv, st atn spr ava, skolstv, bankovn sektor,... ) denuj pomoc CC Proly ochran, kter e specikuj spolecn e/generick e pozadavky na bezpecnost Hodnotitel e pouzvaj Proly ochran a Bezpecnostn cle jako mertko mry, zda / jak TOE vyhovuje pozadovan e bezpecnosti Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 36 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 37 Uvod Struktura ST/PP orientacn popis resen eho probl emu na vyjadrovac urovni bezn eho uzivatele Popis zarzen (TOE), prohl asen shody, (TOE DESCRIPTION) podrobn y popis ucelu, chov an, struktury,... vyhovujcho TOE popis jak ST/PP spl nuje Common Criteria a prp. kter e PP spl nuje ST Denice bezpecnostnho probl emu (TOE SECURITY ENVIRONMENT) popis predpokl adan ych podmnek/vlastnost provoznho prostred popis osetrovan ych hrozeb Struktura ST/PP Bezpecnostn cle (SECURITY OBJECTIVES) popis bezpecnostnch vlastnost TOE, v yvojov eho prostred a provoznho/organizacnho prostred Bezpecnostn pozadavky (IT Security Requirements) preklad bezpecnostnch cl u do technick ych pozadavk u, kter e mus b yt splneny napr. { pozaduje se, aby vesker y zdrojov y k od byl spravovan y spr avnm syst emem pro zmenov e rzen napr. { pozaduje se proveden upln eho otestov an funkcnosti TOE je hodnocen y proti t eto sekci hodnot se ST, aby se zskala jistota, ze tato sekce odpovd a cl um Od uvodn en bezpecnostnch cl u (RATIONALE) Pro ilustraci { prklady rozsah u typick ych PP PP rewallu 60 az 200 stran, PP PKI 150 az 200 stran sbrka sablon PP viz Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 38 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 39
11 Dv e kategorie pozadavk u na IT bezpecnost dosahovanou TOE Dv e kategorie pozadavk u na IT bezpecnost dosahovanou TOE funkcn pozadavky { cle z hlediska bezpecnosti informac Security Functional Requirements (SFRs) CO TOE D EL A? { pri hodnocen produktu/syst emu proti jeho ST, resp. CO TOE M A D ELAT? { pri hodnocen PP/ST denice bezpecn eho chov an TOE (identikace, autentizace, nepopiratelnost,... ) se provede v yctem pozadavk u na sk alu poskytovan ych bezpecnostnch funkc bezpecnostn funkce (opatren,... ) vznikaj implementac funkcnch pozadavk u pozadavky zarucitelnosti bezpecnosti Security Assurance Requirements JE TOE UD EL AN DOB RE A D EL A CO M A D ELAT? urceno pro stanoven velikosti d uvery v bezpecnostn funkce vytvoren e implementac funkcnch pozadavk u sla z aruky se odvozuje z d ukaz u zskan ych prok az anm spr avnosti n avrhu a implementace tj. ucinn eho splnen cl u, coz vyzaduje dostupnost specikace { sly (odolnosti, ucinnosti,... ) bezpecnostnch funkc { d ukaz u, kter e mus poskytnout v yvoj ar { d ukaz u, kter e mus vypracovat hodnotitel { rozsahu (hloubky, prsnosti,... ) hodnocen Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 40 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 41 Pozadavky na bezpecnostn funkcnost Security Functional Requirements (SFRs) Popis mozn ych pozadavk u na bezpecnostn funkcnost uv ad c ast II krit eri Popis mozn ych... = kter e bezpecnostn funkce lze poskytovat 44 pozadavk u na funkcnost seskupen ych do 6 trd mohou b yt zahrnuty mezi Bezpecnostn pozadavky v ST/PP Prklady User identication (FIA UID) Condentiality of imported data (FCO CID) Random number generation (FMI RND)... Pozadavky na z aruku dosazen bezpecnosti Security Assurance Requirements Popis, jak spolehliv e se maj SFR implementovat obsahuje c ast III krit eri v yctov e seznamy pro v yvoj are/hodnotitele, uv adej se v ST a v PP popisy opatren prijman ych behem v yvoje/hodnocen produktu s clem vyhoven/prok az an deklarovan e bezpecnostn funkcnosti napr. { pozaduje se, aby vesker y zdrojov y k od byl spravovan y spr avnm syst emem pro zmenov e rzen napr. { pozaduje se proveden upln eho otestov an funkcnosti urove n spln en pozadavk u na z aruku deteriminuje zarazen TOE na konkr etn urove n z aruky, Evaluation Assurance Level (EAL) { 1, 2,..., 7 tvrdost, prsnost splnen a hodnocen pozadavk u je d ano EAL zvysuje se a rozsiruje se se vr ustem csla EAL Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 42 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 43
12 Pozadavky na z aruku dosazen bezpecnosti Jedn a se o denice krit eri pro stanoven/hodnocen prol u ochrany (PP) a bezpecnostnch cl u (ST) z hledisek Conguration Management / Spr avy kongurace Guidance Documents / Pr uvodn dokumentace Vulnerability Assessment / Posouzen zranitelnosti Delivery and Operation / Dod an a provozu Life Cycle Support / Podpory zivotnho cyklu Assurance Maintenance / Zajist'ov an udrzby Development / V yvoje Tests / Testov an Urovn e z aruky dosazen bezpecnosti numerick e sk alov an podle dosazen eho plnen r uzne siln ych pozadavk u na bezpecnost sk ala { mnozina urovn z aruky EAL0 az EAL7 kazd e EAL odpovd a balk pozadavk u na z aruku bezpecnosti tento balk pokr yv a pozadavky na prsnost v yvoje, kvalitu dokumentace, zajist enost provozu,... TOE EAL0 { chybn y / nehodnotiteln y TOE EAL1 { funkcne spr avn y TOE, nevystaven y velk ym hrozb am... EAL4 { funkcne i struktur alne spr avn y TOE, vystaven y siln ym utok um... vyss urovne (velmi orientacne) odpovdaj trd am podle Oranzov e knihy, TCSEC (EAL2{C1, EAL3{C2,..., EAL7{A) Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 44 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 45 Urovn e z aruky dosazen bezpecnosti Urovn e z aruky dosazen bezpecnosti vyss EAL obecn e neimplikuje,,vyss bezpec", vyss EAL pouze indikuje, ze dosazen deklarovan ych vlastnost z pohledu informacn bezpecnosti byly pecliv eji validovan e { tj. TOE s vyss EAL je d uveryhodnejs Balk pozadavk u na z aruku dosazen bezpecnosti d avan y do ST/PP se nevol ad hoc, obvykle se prebr a se z denice urcen e clov e EAL Prklad vztahu z aruky dosazen bezpecnosti a EAL: ALC DVS, Assurance Life cycle support, Development security rodina z aruk ALC DVS obsahuje 2 urovne z aruk: ALC DVS.1: ve v yvojov em prostred existuj dobr e spr avn procedury ALC DVS.2: plat ALC DVS.1 a existuje d ukaz, ze tyto proceduru pro ochranu TOE dostacuj TOE deklarujc v ST/PP urovn e z aruky EAL1 nebo EAL2 nemus demonstrovat splnen z adn e z aruky ALC DVS EAL3, EAL4 nebo EAL5 mus demonstrovat splnen z aruky ALC DVS.1 EAL6 nebo EAL7 mus demonstrovat splnen z aruky ALC DVS.2 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 46 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 47
13 Mezin arodn uzn av an Pro komercn zivotaschopnost hodnocen je nutn e, aby bylo uzn av ano v co nejsirsm obchodnm prostoru Hodnotc autority mus souhlasit s uzn av anm certik at u vydan ych hodnotcmi centry, kter a pod n e nespadaj 22 zem uzn av a Common criteria recognition arrangement (CCRA), kter e toto uzn av an garantuje Str anky vybran ych instituc opr avnen ych k vyd av an certik at u IT v r amci CCRA spl nujcch n arodn sch emata pro hodnocen a certikaci IT podle CC, : UK, USA, Nemecko, CZ, NBU { certik aty uzn av a, z adn a organizace v CZ je zatm nevyd av a Hodnocen v yvoj are posledn krok procesov e orientovan eho hodnocen, kter y posuzuje jak byl produkt vyvjen y, a to bez jak ychkoliv referenc na vlastn produkt hodnot se v yvoj ar, nehodnot se vyvjen y produkt organizace se stane certikovan ym producentem bezpecn ych produkt u (syst em u) nejedn a se o splnen pozadavk u ISO/IEC certik at ISO/IEC potvrzuje schopnost spolecnosti bezpecne manipulovat s informacemi certik at ISO/IEC nepotvrzuje schopnost spolecnosti vyr abet kvalitn n astroj pro bezpecnou manipulaci s informacemi Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 48 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 49 Hodnocen v yvoj are Existuj standardy, kter e tuto ideu podporuj s erie standard u ISO 9000 { standardizace manazersk ych praktik (analogie ISO/IEC 27001) { prosazov an kvality (podnikatelsk ych) proces u N ekter prodejci prohlasuj, ze registrace pod pecet kvality ISO 9000 je siln ejs prodejn argument nez certik at hodnocen v yvoj are podle Common Criteria Hodnocen v yvoj are podle CC skutecne negarantuje bezpecnost produktu, lze ho dobre vyuzt pro PR ale asi h ure pro zprstupnen nov ych trh u nen jasn e jak zach azet s prevzat ymi aplikacemi (nevyvjen ymi v rezimu rzen em kvalitou) nebo s aplikacemi zskan ymi z vnejsho zdroje EALs, Evaluation Assurance Levels, prehled urovn e z aruky za dosazen informacn bezpecnosti v TOE 7 denovan ych urovn z aruky za dosazen informacn bezpecnosti v TOE (priblizn y ekvivalent dle TCSEC) EAL1, funkcne testovan y TOE EAL2, struktur alne testovan y TOE ( TCSEC C1) EAL3, metodicky testovan y a kontrolovan y TOE ( TCSEC C2) EAL4, metodicky navrzen y, testovan y a prezkouman y TOE ( TCSEC B1) EAL5, semiform alne navrzen y a testovan y TOE ( TCSEC B2) EAL6, semiform alne navrzen y se semiform alne overen ym n avrhem a testovan y TOE ( TCSEC B3) EAL7, form alne navrzen y s form alne overen ym n avrhem a testovan y TOE ( TCSEC A1) Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 50 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 51
14 Implikace z urovn z aruk Kter a EAL je vhodn a pro n as TOE? s r ustem csla EAL se zvysuje uplnost a prsnost hodnocen dosazen e kvality pln en pozadavk u na bezpecnost nic vce, nic m ene vys cslo EAL neznamen a dosazen vyssho bezpec, silnejs mechanismy apod. Standard CC neposkytuje metodologii, n avod, pro rozhodnut, kter a EAL je nejvhodnejs pro dan y TOE Relevantn mry jsou st ale predmetem v yvoje / v yzkumu Pozadovanou EAL m a urcit z akaznk, z akaznk vlastn aktiva, prodejce nem uze zn at hodnotu/rizika kritick ych aktiv z akaznka cenov e orientacn pohledy (USA, 2006) EAL2: { USD, 5 { 10 mesc u EAL3: { USD, 6 { 12 mesc u EAL4: { USD, 8 { 24 mesc u Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 52 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 53 Cm se lis EAL? Kter a EAL je vhodn a pro n as TOE? EAL1 EAL 7 rostou pozadavky na kvalitu v yvojov eho procesu TOE EAL1 EAL 7 rostou pozadavky na rozsah white-box testov an TOE EAL1 EAL 7 roste potenci al utoku na provoz TOE, v ys skod, silou utocnk u EAL1{EAL3: odolnost v uci slab ym utok um, nzk a az stredn v yse skod EAL4: odolnost v uci bezn ym utok um, stredn skody EAL5: odolnost v uci siln ym utok um, velk e skody EAL6 { EAL7: odolnost v uci extr emne siln ym utok um profesion al u D ulezitou roli hraje zbytkov a zranitelnost TOE, pr. EAL3: This TOE may not be resistant to MODERATE and HIGH level attack potential. This TOE may include vulnerability that will be exploitable by attackers who have MODERATE or HIGH level attack potential. Kter a EAL je vhodn a pro n as TOE? Prklad resen M ame chr anit aktiva v syst emu proti neautorizovan emu zprstupn en (C, confidentiality), neautorizovan e modikaci (I, integrity) a ztr at e dostupnosti (A, availability) aktiva Utoky na jednotliv a aktiva v syst emu mohou zp usobit skody sk alovan e do skodnch trd n asledovn e C: z adn a, nzk a, stredn, vysok a skoda (numericky 0, 1, 2, 3) I: nzk a, stredn, vysok a skoda (numericky 1, 2, 3) A: nzk a, stredn, vysok a skoda (numericky 1, 2, 3) Kriticnost aktiva lze ohodnotit souctem numerick ych ohodnocen skodnch trd, kter ym je aktivum vystaveno Potrebn a EAL produkt u pouzit ych pro ochranu aktiva necht' je funkc jeho kriticnosti a jeho nejvyss skodn trdy Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 54 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 55
15 Kter a EAL je vhodn a pro n as TOE? Prklad resen Kter a EAL je vhodn a pro n as TOE? Prklad resen Skodn trdy C: z adn a, nzk a, stredn, vysok a skoda (numericky 0, 1, 2, 3) I: nzk a, stredn, vysok a skoda (numericky 1, 2, 3) A: nzk a, stredn, vysok a skoda (numericky 1, 2, 3) Prklady kriticnost syst em u 2: nzk a skodn trda z hlediska integrity a dostupnosti 3: nzk a skodn trda z hlediska integrity, dostupnosti a d uvernosti 3: stredn skodn trda z hlediska integrity a nzk a skodn trda z hlediska dostupnosti 6: stredn skodn trda z hlediska integrity, dostupnosti a d uvernosti 9: vysok a skodn trda z hlediska integrity, dostupnosti a d uvernosti Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 56 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 57 Kter a EAL je vhodn a pro n as TOE? Prklad resen Co stoj a jak dlouho se res hodnocen ranku EAL2-EAL4? Pro ochranu administrativnch dat se sk alou skod CIA 0, 1, 1 tj. nzk a skodn trda z hlediska integrity a dostupnosti, je vhodn a EAL 2 Pro ochranu web serveru se sk alou skod CIA 0, 2, 2, tj. stredn skodn trda z hlediska integrity a dostupnosti, je vhodn a EAL 3 Pro ochranu klc u PKI se sk alou skod CIA 3, 3, 2, tj. vysok a skodn trda z hlediska integrity a d uvernosti a stredn skodn trda z hlediska dostupnosti, je vhodn a EAL 6 Zdroj: US Government Accountability Office, 2006 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 58 Jan Staudek, FI MU Brno PV017 { Kriteria hodnocen informacn bezpecnosti bezpecnosti 59
Rzen informacn bezpecnosti v organizaci
Dodatek predn asky Rzen informacn bezpecnosti v organizaci Dodatek PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Oblasti rzen ovlivn en e prosazov anm informacn
Rzen informacn bezpecnosti v organizaci
Rzen informacn bezpecnosti v organizaci Dodatek PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Dodatek predn asky Oblasti rzen ovlivn
Prklad dokumentov e z akladny ISMS
Prklad dokumentov e z akladny ISMS podle z akona o kybernetick e bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Standard
Projekt implementace ISMS Dodatek 1, PDCA
Projekt implementace ISMS Dodatek 1, PDCA PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 PDCA { f aze Plan, podrobn eji 1. denov an oblasti
Krit eria hodnocen informacn bezpecnosti, dodatek
Dopln ek predn asky pro samostudium Krit eria hodnocen informacn bezpecnosti, dodatek Následující podklady jsou doplňkem přednášky určený pro rozšířující samostudium PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/
Projekt implementace ISMS
Projekt implementace ISMS PV 017 Bezpecnost IT Jan ÐStaudek Û Å«Æ ±²³ µ ¹º»¼½¾ Ý http://www..muni.cz/usr/staudek/vyuka/ Verze : podzim 2016 ISMS { Information Security Management System Metodicky vypracovan
Distribuovan e algoritmy
Distribuovan e algoritmy PA 150 Principy operacnch syst em u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Distribuovan y syst em, distribuovan y algoritmus
GPDR, General Data Protection Regulation
Obecn e narzen o ochran e osobnch udaj u, OU GPDR, General Data Protection Regulation PV 017 Rzen informacn bezpecnosti Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze :
Politika informacn bezpecnosti
Politika Politika informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2019 Politika { pravidla rdic dosazen cl u urcen ymi
Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,...
Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,... PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Audit Audit (z lat.
Aplikacn bezpecnost. Informacn bezpecnost z pohledu aplikacnch syst em u. PV 017 Bezpecnost informacnch technologi
Informacn bezpecnost z pohledu aplikacnch syst em u Aplikacn bezpecnost PV 017 Bezpecnost informacnch technologi Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim
N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS
Metriky a m eren informacn bezpecnosti N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Organizace
N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS
Metriky a m eren informacn bezpecnosti N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Organizace
Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,...
Audit Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,... PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Audit (z lat.
Aplikacn bezpecnost. PV 017 Bezpecnost informacnch technologi. Jan Staudek Verze : podzim 2017
Aplikacn bezpecnost PV 017 Bezpecnost informacnch technologi Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2017 Informacn bezpecnost z pohledu aplikacnch syst
Uvod, celkov y prehled problematiky
Organizace v yuky Uvod, celkov y prehled problematiky PV 169 Z aklady prenosu dat Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Predn as, zkous (zkouska psemn a) Jan Staudek,
Projekt implementace ISMS
ISMS { Information Security Management System Projekt implementace ISMS PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 018 Syst em proces
Rzen reakc na bezpecnostn incidenty
Rzen reakc na bezpecnostn incidenty PV 017 Bezpecnost informacnch technologi Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 n Bezpecnostn ud alost, bezpecnostn
Uvod, celkov y prehled problematiky
Uvod, celkov y prehled problematiky PV 169 Z aklady prenosu dat Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Organizace v yuky Predn as, zkous (zkouska
Sekven cn soubory. PV 062 Organizace soubor u. Jan Staudek Verze : jaro 2018
Sekven cn soubory PV 062 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2018 Klasick e, standardn organizace soubor u hromada sekvencn soubor
Prklady opatren, zranitelnost a hrozeb
Prklady opatren, zranitelnost a hrozeb PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Obsah Prklad kategori opatren podle ISO/IEC 27001/27002
Anatomie informacn bezpecnosti
Anatomie informacn bezpecnosti PV 017 Bezpecnost IT Jan ÐStaudek Û Å«Æ ±²³ µ ¹º»¼½¾ Ý http://www..muni.cz/usr/staudek/vyuka/ Verze : podzim 2016 Predm et ochrany { aktiva aktivum { predm et, myslenka,
Projekt implementace ISMS, Dodatek 2, Pozn amky k projektov emu rzen
Projekt implementace ISMS, Dodatek 2, Pozn amky k projektov emu rzen PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Obsah dodatku predn
projektu implementace ISMS
Obsah dodatku p redna sky Projekt implementace ISMS, Dodatek 2, Poznamky k projektovemu r zen 2 Podrobny popis kroku/v ystup u Projektu implementace ISMS 2 Poznamky, doporu cen k integraci ISMS s ostatn
Vl akna. PB 152 Operacn syst emy. Jan ÐStaudek http://www..muni.cz/usr/staudek/vyuka/ Verze : jaro 2015
Vl akna PB 152 Operacn syst emy Jan ÐStaudek Û Å«Æ ±²³ µ ¹º»¼½¾ Ý http://www..muni.cz/usr/staudek/vyuka/ Verze : jaro 2015 Proces, resp. tak e task { drzitel zdroj u, vc. prostoru ve virtu aln pam eti
B azov y fenom en pri zajist'ov an bezpecnosti { riziko
B azov y fenom en pri zajist'ov an bezpecnosti { riziko Kdyz existuje potenci aln utocnk, kter y je schopn y dky zranitelnosti jist eho informacnho aktiva narusit n ekterou z bezpecnostnch vlastnost aktiva
Politika informacn bezpecnosti, Dodatek
Obsah dodatku Politika informacn bezpecnosti, Dodatek PV 017 Bezpecnost IT Politika informacn bezpecnosti dle z akona o kybernetick e bezpecnosti Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û
Rzen rizik. PV 017 Bezpecnost informacnch technologi. Jan Staudek Verze : podzim 2018
Rzen rizik PV 017 Bezpecnost informacnch technologi Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Rizika Proc organizace stanovuje / modikuje / rozsiruje
ISMS { Syst em rzen informacn bezpecnosti
Syst em rzen informacn bezpecnosti ISMS { Syst em rzen informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Information
Koncept informacn bezpecnosti II
B azov y fenom en pri zajist'ov an bezpecnosti { riziko Koncept informacn bezpecnosti II PV 017 Rzen informacn bezpecnosti Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze
ISMS { Syst em rzen informacn bezpecnosti
ISMS { Syst em rzen informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Syst em rzen informacn bezpecnosti Information
Projekt implementace ISMS Dodatek 4, Prklad politiky ISMS
Prklad kapitol politiky informacn bezpecnosti pro ISMS Projekt implementace ISMS Dodatek 4, Prklad politiky ISMS PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾
Podsyst em vstupu a v ystupu
Podsyst em vstupu a v ystupu PB 152 Operacn syst emy PV 062 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2016 Osnova predn asky Vstup/v ystup
Politika informacn bezpecnosti, Dodatek
Politika informacn bezpecnosti, Dodatek PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Obsah dodatku XXX tip u pro tvorbu politiky informacn
Soubor, souborov e organizace
Soubor, souborov e organizace PV 062 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2016 Osnova predn asky Pojem soubor, klc, operace se souborem,
Hasov an (hashing) na vn ejsch pam etech
Hasov an (hashing) na vn ejsch pam etech PV 062 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2018 Obsah predn asky Jak algoritmicky dos ahnout
Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb.
Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb. Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení a o certifikaci
Koncept informacn bezpecnosti
Koncept informacn bezpecnosti PV 017 Rzen informacn bezpecnosti Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Motto Bezpecnost nen cern a a bl a, bezpecnost
Obnova transakc po v ypadku
Klasikace poruch Obnova transakc po v ypadku PA 150 Principy operacnch syst em u Jan ÐStaudek Û Å«Æ ±²³ µ ¹º»¼½¾ Ý http://www..muni.cz/usr/staudek/vyuka/ poruchy transakc logick e chyby v resen T nelze
Operacn syst emy { prehled
Komponenty poctacov eho syst emu Operacn syst emy { prehled PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 uzivatel e (lid e, stroje,
MFF UK Praha, 29. duben 2008
MFF UK Praha, 29. duben 2008 Standardy a normy (informace o předmětu) http://crypto-world.info/mff/mff_04.pdf P.Vondruška Slide2 Úvod 1. RFC (Request For Comment) 2. Standardy PKCS (Public-Key Cryptographic
Koncept informacn bezpecnosti
Motto Koncept informacn bezpecnosti PV 017 Rzen informacn bezpecnosti Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Bezpecnost nen cern a a bl a, bezpecnost
Spr ava hlavn pam eti
Osnova predn asky Spr ava hlavn pam eti PB 15 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Obecn e principy spr avy hlavn pam eti str ankov an, paging hlavn pam eti, segmentov an,
ISO/IEC 27002:2013. PV 017 Bezpecnost IT. ISO/IEC 27002:2013, Oddly kategori bezpecnosti. ISO/IEC 27002:2013, Popis kategori bezpecnosti
ISO/IEC 27002:2013 Katalog opatren, ISO/IEC 27002 Dodatek predn asky Anatomie inform. bezpec., ilustracn v yklad PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾
Standardy (normy) a legislativa informacn bezpecnosti
Standardy (normy) a legislativa informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2019 Standardy (normy) a legislativa
INFORMACE O HODNOCENÍ BEZPEČNOSTI INFORMAČNÍCH TECHNOLOGIÍ COMMON CRITERIA (CC)
INFORMACE O HODNOCENÍ BEZPEČNOSTI INFORMAČNÍCH TECHNOLOGIÍ COMMON CRITERIA (CC) V České republice je dobře známa norma ISO/IEC 15408-1:1999, která je totožná s textem, zveřejněným Organizacemi sponzorujícími
Prepn an, switching. Propojovac probl em. PV 169 Z aklady prenosu dat. Prepnac, prepnan a st' Metody prepn an
Propojovac probl em Prepn an, switching PV 169 Z aklady prenosu dat Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Jak propojit dvoubodov ymi spoji mnoho zarzen? Kazd e zarzen s kazd ym? { Nerealistick
Vl akna. Proces a vl akna. PB 152 Operacn syst emy. Resen editoru pomoc vl aken. Koncept sekvencnho procesu m uze b yt neefektivn
Proces a vl akna Vl akna PB 15 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Proces, resp. tak e task { drzitel zdroj u, vc. prostoru ve virtu aln pameti pro
Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT
Standardy (normy) a legislativa Standardy (normy) a legislativa informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2019
Poctacov e syst emy { prehled
Poctacov e syst emy { prehled PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 Prol predm etu 1. etapa (1/4 obsahu, predn asek), uvod
Pl anu zachov an kontinuity podnik an,
Pl anu zachov an kontinuity podnik an, Business Continuity Plan, BCP, dodatek predn asky k ISMS PV 017 Bezpecnost IT Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Verze : podzim
Spr ava hlavn pam eti
Spr ava hlavn pam eti PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 Osnova predn asky Obecn e principy spr avy hlavn pam eti str ankov
PV 017 Bezpecnost IT
Katalog opatren, ISO/IEC 27002 Dodatek predn asky Anatomie inform. bezpec., ilustracn v yklad PV 017 Bezpecnost IT Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Verze : podzim
Pl anu zachov an kontinuity podnik an,
Uvodem Pl anu zachov an kontinuity podnik an, Business Continuity Plan, BCP, dodatek predn asky k ISMS PV 017 Bezpecnost IT Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Kontinuita
EXTRAKT z české technické normy
EXTRAKT z české technické normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním 35.240.60 materiálem o normě. Dopravní telematika Dopravní telematika Elektronický výběr poplatků Směrnice
Operacn syst emy { prehled
Operacn syst emy { prehled PB 152 Operacn syst emy Jan ÐStaudek Û Å«Æ ±²³ µ ¹º»¼½¾ Ý http://www..muni.cz/usr/staudek/vyuka/ Verze : jaro 2015 hardware Komponenty poctacov eho syst emu b azov e v ypocetn
Standardy (normy) a legislativa informacn bezpecnosti
Standardy (normy) a legislativa informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2017 Standardy (normy) a legislativa
Informacn teorie. PV 062 Organizace soubor u. Jan Staudek Verze : jaro 2018
Informacn teorie PV 062 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2018 Cl predn asky Abychom mohli informace efektivn e ukl adat, zsk avat
Soubor, souborov e organizace
Soubor, souborov e organizace PV 062 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2018 Osnova predn asky Pojem souboru Model, sch ema souborov
Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT
Standardy (normy) a legislativa Standardy (normy) a legislativa informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2017
Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT
Standardy (normy) a legislativa Standardy (normy) a legislativa informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016
Procesy. PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017
Procesy PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 Uvodem k proces um Poctacov a platforma se skl ad a z kolekce hardwarov ych prostredk
Management informační bezpečnosti
Management informační bezpečnosti Definice V Brně dne 3. října 2013 Definice Common Criterta ITIL COBIT CRAMM Přiměřená ábezpečnostč Management informační bezpečnosti 2 Common Criteria Common Criteria
Bezpečnostní normy a standardy KS - 6
VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 2 Osnova historický
Procesy. Uvodem k proces um. PB 152 Operacn syst emy. Program a proces. Uvodem k proces um
Uvodem k proces um Procesy PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 Poctacov a platforma se skl ad a z kolekce hardwarov ych prostredk
Obnova transakc po v ypadku
Obnova transakc po v ypadku PA 150 Principy operacnch syst em u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Klasikace poruch poruchy transakc logick e
Soubor, souborov e organizace
Osnova predn asky Soubor, souborov e organizace PV 06 Organizace soubor u Pojem souboru Model, sch ema organizace soubor u Dotaz nad souborem Klasikace souborov ych organizac Jan Staudek http://www..muni.cz/usr/staudek/vyuka/
Podsyst em vstupu a v ystupu
Osnova predn asky Podsyst em vstupu a v ystupu PB 15 Operacn syst emy PV 06 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Vstup/v ystup { Input/output {
Distribuovan e prostred, cas a stav v distribuovan em prostred
Distribuovan e prostred, cas a stav v distribuovan em prostred PA 150 Principy operacnch syst em u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Obsah predn
Typologie, funkcn skladba a architektury OS, prklady z Windows, Unix, Linux, MAC OSx
Typologie, funkcn skladba a architektury OS, prklady z Windows, Unix, Linux, MAC OSx PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2016
X u zs speci kace { v etev matematiky zabyvaj. Verze : jaro 2018 Jan Staudek, FI MU Brno. X late Middle English
C l p redna sky Abychom mohli informace efektivn e ukladat, z skavat c i p rena set, resp. i dlouhodob e uchovavat, mus me v ed et/znat Informacn PV 06 Organizace souboru Jan Staudek http://www..muni.cz/usr/staudek/vyuka/
Distribuovan e prostred, cas a stav v distribuovan em prostred
Obsah predn asky Distribuovan e prostred, cas a stav v distribuovan em prostred PA 150 Principy operacnch syst em u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim
Volba v udce, Leader Election
Volebn probl em { Kdy a proc se vol vedouc uzel? Volba v udce, Leader Election PA 150 Principy operacnch syst em u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim
Volba v udce, Leader Election
Volba v udce, Leader Election PA 150 Principy operacnch syst em u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 Volebn probl em { Kdy a proc se vol vedouc
Bezpečnost IS. Základní bezpečnostní cíle
Bezpečnost IS Informační bezpečnost ochrana informace a uchování bezpečnostních atributů informace Důvěrnost, Integrita, Dostupnost, Autentičnost, Spolehlivost? Informace představují majetek s určitou
Bezs n urov a telefonie, DECT
Bezs n urov a telefonie, DECT PA 151 Soudob e ste Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 DECT, Digital European Cordless Telephone z obchodnho hlediska
Pl anov an. PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017
Pl anov an PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 Osnova predn asky Motivace: V multitaskingov ych syst emech existuje vce proces
Typologie, funkcn skladby a architektury OS
Typologie, funkcn skladby a architektury OS PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2015 Osnova predn asky Typologie operacnch syst
OCTAVE ÚVOD DO METODIKY OCTAVE
OCTAVE ÚVOD DO METODIKY OCTAVE Velká závislost organizací na informačních systémech s sebou přináší také nemalé požadavky na zabezpečení zpracovávaných a uložených informací. Důvěrnost, dostupnost a integrita
Informační bezpečnost. Dana Pochmanová, Boris Šimák
Informační bezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 Agenda Bezpečnost informací IT rizika Klíčové role IT bezpečnosti v organizaci Bezpečný vývoj IS Normy a standardy v oblasti IT bezpečnosti
Typologie, funkcn skladby a architektury OS
Obsah predn asky Typologie, funkcn skladby a architektury OS PB 15 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Typologie operacnch syst em u Generick e komponenty operacnch syst
Co je to COBIT? metodika
COBIT Houška, Kunc Co je to COBIT? COBIT (Control OBjectives for Information and related Technology) soubor těch nejlepších praktik pro řízení informatiky (IT Governance) metodika určena především pro
Technická komise ISO/JTC1/SC 27 Technická normalizační komise ÚNMZ TNK 20
ČSN ISO/IEC 7064 Information technology -- Security techniques -- Check character systems Zpracování dat. Systémy kontrolních znaků ČSN BS 7799-2 Information Security Management Systems -- Specification
Wireless MAN, WiMax,
Wireless MAN, WiMax, 802.16 PA 151 Soudob e ste Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2016 Osnova Co to je WiMAX Uvod k 802.16 Z akladn principy cinnosti
ČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.020; 35.040 2008 Systém managementu bezpečnosti informací - Směrnice pro management rizik bezpečnosti informací ČSN 36 9790 Červen idt BS 7799-3:2006 Information Security Management
Bezpečnostní politika společnosti synlab czech s.r.o.
Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav
Typologie, funkcn skladba a architektury OS, prklady z Windows, Unix, Linux, Android
Typologie, funkcn skladba a architektury OS, prklady z Windows, Unix, Linux, Android PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017
ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti
Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti ehealth Day 2016 16.2.2016 Ing. Stanislav Bíža, Senior IT Architekt, CISA stanislav.biza@cz.ibm.com 12016 IBM Corporation Požadavky
Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.
Co je a co není implementace ISMS dle ISO 27001 a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o. OBSAH Co je implementace ISMS dle ISO 27001 Proč měřit ISMS? Zdroje pro měření
Digit aln vysl an. PV 169 Z aklady prenosu dat. Jan Staudek Verze : podzim 2018
Digit aln vysl an PV 169 Z aklady prenosu dat Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 K odov an spoje Proces konverze dat do digit alnho sign alu Pren
Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.
Modelování hrozeb Hana Vystavělová AEC, spol. s r.o. Agenda Možné způsoby identifikace rizik Úskalí analýzy rizik Modelování hrozeb metodiky Modelování hrozeb ukázky Výhody a přínosy modelování hrozeb
Souborov e syst emy { koncepty a rozhran
Souborov e syst emy { koncepty a rozhran PV 062 Organizace soubor u Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2018 Osnova predn asky pojem syst emu soubor u
Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů
Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických
Digit aln vysl an. K odov an spoje. PV 169 Z aklady prenosu dat. Prvek sign alu, prvek dat, stupe n sign alu. Stupe n dat, baudov a / bitov a rychlost
K odov an spoje Digit aln vysl an PV 169 Z aklady prenosu dat Proces konverze dat do digit alnho sign alu Pren asen a informace se nejprve k oduje do posloupnosti bit u { Analogov a informace se k oduje
Virtu aln pam et' PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017
Virtu aln pam et' PB 152 Operacn syst emy Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : jaro 2017 Virtualizace pam eti principy, z aklady str ankov an na z adost, Demand
Typologie, funkcn skladba a architektury OS, prklady z Windows, Unix, Linux, MAC OSx
Osnova dodatku predn asky Typologie, funkcn skladba a architektury OS, prklady z Windows, Unix, Linux, MAC OSx PB 15 Operacn syst emy Windows Unix Linux MAC OS X Jan Staudek http://www..muni.cz/usr/staudek/vyuka/
ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001
ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005
4. Standardy bezpečnosti Řízení kvality (audit) IS BIVŠ 2016
4. Standardy bezpečnosti Řízení kvality (audit) IS BIVŠ 2016 Obsah Standardy dvě perspektivy 1. Perspektiva funkce/profese/útvaru (Assurance function perspective) (ITAF, IPPF, SSAE) 2. Perspektiva vlastního
POSTUP CERTIFIKACE. Hodnocení kvality a bezpečí lůžkové zdravotní péče
- CZECH ASSOCIATION FOR QUALITY CERTIFICATION SECRETARIAT: Prosecká 412/74, 190 00 Praha 9 - Prosek IČ: 69346305 DIČ: CZ69346305 tel.: +420 286 019 533, +420 286 019 534 e-mail: jolsanska@cqs.cz, vfiliac@ezu.cz
Jako příklady typicky ch hrozeb pro IT lze uvést: Útok
Bezpečnost - úvod Zranitelné místo Slabinu IS využitelnou ke způsobení škod nebo ztrát útokem na IS nazýváme zranitelné místo. Existence zranitelných míst je důsledek chyb, selhání v analýze, v návrhu