Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb.

Podobné dokumenty
Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů

(2) Zásady bezpečnostní politiky jsou rozpracovány v návrhu bezpečnosti informačního systému

Fakulta informačních technologií Božetěchova 2, BRNO

Komunikace mezi doménami s různou bezpečnostní klasifikací

2 Vymezení pojmů. Pro účely této vyhlášky se rozumí

3/2.2 LEGISLATIVA K IT BEZPEČNOSTI VE STÁTNÍ SPRÁVĚ A SAMOSPRÁVĚ

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Security Enhanced Linux (SELinux)

Jak efektivně ochránit Informix?

INFORMACE O HODNOCENÍ BEZPEČNOSTI INFORMAČNÍCH TECHNOLOGIÍ COMMON CRITERIA (CC)

Bezpečnostní normy a standardy KS - 6

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Technická bezpečnostní opatření nejen ve smyslu ZKB. Jan Zdvořáček ASKON International s.r.o.

Bezpečnostní dokumentace informačních a komunikačních systémů (IKS)

MFF UK Praha, 29. duben 2008

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

seznam je seřazen podle (implementační) složitosti, které tentokrát přímo úměrně odpovídá kvalita poskytované ochrany

PV157 Autentizace a řízení přístupu

EXTRAKT z české technické normy

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Bezpečností politiky a pravidla

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Využití identity managementu v prostředí veřejné správy

Provozní hlediska systémového auditu v aplikacích a systémech

ČESKÁ TECHNICKÁ NORMA

Bezpečnost IS. Základní bezpečnostní cíle

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

ČESKÁ TECHNICKÁ NORMA

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Ochrana utajovaných informací v komunikačních a informačních systémech. Jan Svoboda

Tonda Beneš Ochrana informace podzim 2011

Management informační bezpečnosti

Bezpečnostní politika společnosti synlab czech s.r.o.

Kybernetická bezpečnost

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Fyzická bezpečnost z hlediska ochrany utajovaných informací

Pojem bezpečnost ICT v českém právním řádu

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

Obecné nařízení o ochraně osobních údajů

RBAC (ROLE BASED ACCESS CONTROL) Martin Zukal

Zabezpečená videokonference a hlas v IP a GSM komunikačním prostředí. Jiří DOUŠA Červen 2014

METODIKA PROVÁDĚNÍ AUDITU COBIT

I.CA RemoteSeal. Ing. Filip Michl První certifikační autorita, a.s

Informační bezpečnost

Software Operaèní systém autorské dílo licenci multilicenci Aplikaèní software Komerèní programy upgrade OEM software Demoverze a zku ební verze

Software Operaèní systém autorské dílo licenci multilicenci Aplikaèní software Komerèní programy upgrade OEM software Demoverze a zku ební verze

Software Operaèní systém autorské dílo licenci multilicenci Aplikaèní software Komerèní programy upgrade OEM software Demoverze a zku ební verze

Microsoft Day Dačice - Rok informatiky

Informatika / bezpečnost

Zabezpečené vzdálené přístupy k aplikacím případová studie. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Zákon o kybernetické bezpečnosti

Operační systém GNU/Linux

Certifikace pro výrobu čipové karty třetí stranou

PV157 Autentizace a řízení přístupu. Řízení přístupu

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Vaše jistota na trhu IT. Národní distribuce oficiálních dokumentů EU. IS EU Extranet ČR. Jiří Truxa, S.ICZ a.s , Hradec Králové.

Zajištění provozu multifunkčních, multimediálních elektronických zařízení určených pro zpracování utajovaných informací

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

GDPR compliance v Cloudu. Jiří Černý CELA

Systém Přenos verze 3.0

Správa přístupu PS3-2

František Maleč technický ředitel Státní tiskárna cenin, s.p. Libor Šmíd vedoucí obchodní skupiny Státní správa Monet+, a.s.

monolitická vrstvená virtuální počítač / stroj modulární struktura Klient server struktura

galvanicky oddělená obousměrná výměna informací Základy AirGap 02 Vzduchová mezera - realita Bezpečnostní návrh AirGap 02

Předmět úpravy. 2 Způsob dokládání splnění povinností stanovených v 6 zákona o elektronickém podpisu

Technická a organizační opatření Českých Radiokomunikací

Operační systémy. Tomáš Vojnar IOS 2009/2010. Vysoké učení technické v Brně Fakulta informačních technologií Božetěchova 2, Brno

7. Integrita a bezpečnost dat v DBS

7. Integrita a bezpečnost dat v DBS

Certifikační autorita v praxi

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

0x5DLaBAKx5FC517D0FEA3

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Ochrana informace I. - otázky ke zkoušce

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

GDPR, eidas Procesní nebo technologický problém?

Software. Mgr. Krejčí Jan (UJEP) Software 23. října / 6

MOŽNOSTI FINANCOVÁNÍ PROJEKTŮ EGOVERNMENTU A KYBERNETICKÉ BEZPEČNOSTI Z INTEGROVANÉHO REGIONÁLNÍHO OPERAČNÍHO PROGRAMU (IROP) V PROGRAMOVÉM OBDOBÍ

Šifrování. Tancuj tak, jako když se nikdo nedívá. Šifruj tak, jako když se dívají všichni! Martin Kotyk IT Security Consultnant

Datové schránky. únor Jana Kratinová SIKS a.s.

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Elektronický podpis a jeho implementace v nákupním systému

IBM SmartCloud Enterprise Igor Hegner ITS Sales

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Směrnice o ochraně osobních údajů

Aktuality z elektronické identifikace. Jaromír Talíř

Software. RNDr. Krejčí Jan, Ph.D. 5. listopadu RNDr. Krejčí Jan, Ph.D. (UJEP) Software 5. listopadu / 6

KYBERNETICKÁ BEZPEČNOST V ARMÁDĚ ČR

Kybernetická bezpečnost a GDPR. OBCE, MĚSTA, KRAJE a jiné organizace

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

FVL FB. Bezpečnostní normy. Ing. Oldřich Luňáček, Ph.D.

Ministerstvo pro místní rozvoj stanoví podle 213 odst. 3 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, (dále jen zákon ): 2 Vymezení pojmů

Aktuální situace čerpání v oblasti egovernmentu a kybernetické bezpečnosti v Integrovaném regionálním operačním programu 4. 4.

Management informační bezpečnosti. V Brně dne 26. září 2013

Částka 4 ČÁST PRVNÍ OBECNÁ USTANOVENÍ

Bezpečnostní projekt podle BSI-Standardu 100

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Transkript:

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb. Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení a o certifikaci stínicích komor NBÚ, Odbor informačních technologií a.maskova@nbu.cz, p.adler@nbu.cz 20. června 2011 1

Bezpečnostní provozní módy vyhrazený s nejvyšší úrovní víceúrovňový definovány v předpisech NATO, EU, národních (vyhláška č. 523/2005 Sb.) prvé dva jsou jedno- úrovňové 20. června 2011 2

Bezpečnostní provozní mód víceúrovňový Bezpečnostní provozní mód víceúrovňový je takové prostředí, které umožňuje v jednom informačním systému současné zpracování utajovaných informací klasifikovaných různými stupni utajení, ve kterém nemusí všichni uživatelé splňovat podmínky přístupu k utajovaným informacím nejvyššího stupně utajení, které jsou v informačním systému obsaženy, přičemž všichni uživatelé nemusí být oprávněni pracovat se všemi utajovanými informacemi. 20. června 2011 3

Bezpečnostní funkce jednoznačná identifikace a autentizaci uživatele informačního systému, ochrana důvěrnosti a integrity autentizační informace, volitelné řízení přístupu k objektům informačního systému na základě přístupových práv uživatele a jeho identity nebo členství ve skupině uživatelů, nepřetržité zaznamenávání bezpečnostně relevantních událostí do auditních záznamů a zabezpečení auditních záznamů před neautorizovaným přístupem, zejména modifikací nebo zničením 20. června 2011 4

Bezpečnostní funkce možnost zkoumání auditních záznamů a stanovení odpovědnosti jednotlivého uživatele, ošetření paměťových objektů před jejich dalším použitím, zejména před přidělením jinému subjektu informačního systému, které znemožní zjistit jejich předchozí obsah, ochrana důvěrnosti dat během přenosu mezi zdrojem a cílem, a dále povinné řízení přístupu 20. června 2011 5

Povinné řízení přístupu Funkce povinného řízení přístupu subjektů IS k objektům IS musí zabezpečit trvalé spojení každého subjektu a objektu IS s bezpečnostním atributem, který - pro subjekt IS vyjadřuje úroveň jeho oprávnění - pro objekt IS jeho stupeň utajení, ochranu integrity bezpečnostního atributu, 20. června 2011 6

Povinné řízení přístupu výlučné oprávnění bezpečnostního správce IS k provádění změn bezpečnostních atributů subjektů i objektů informačního systému přidělení předem definovaných hodnot atributů pro nově vytvořené objekty IS a zachování atributu při kopírování objektu IS 20. června 2011 7

Povinné řízení přístupu bezpečnostní funkce povinného řízení přístupu musí zajistit tyto zásady subjekt informačního systému může číst informace v objektu informačního systému pouze tehdy, je-li úroveň jeho oprávnění stejná nebo vyšší než stupeň utajení objektu informačního systému, subjekt informačního systému může zapisovat informaci do objektu informačního systému pouze tehdy, je-li úroveň jeho oprávnění stejná nebo nižší než stupeň utajení objektu informačního systému, 20. června 2011 8

Povinné řízení přístupu přístup subjektu IS k informaci obsažené v objektu IS je možný, jestliže jej povolují jak pravidla povinného řízení přístupu, tak pravidla volitelného řízení přístupu, IS v bezpečnostním provozním módu víceúrovňovém, musí být schopen přesně označit stupněm utajení utajované informace vystupující z IS a umožnit přiřadit stupeň utajení utajované informaci vstupující do IS, bezpečnostní funkce musí být realizovány identifikovatelnými programově technickými mechanismy, dokumentovány tak, aby bylo možné jejich nezávislé prověření a zhodnocení. 20. června 2011 9

Bellův a LaPadulův formální model bezpečnostní politiky Bell D.E., La Padula L.J., 1976, zpráva MITRE Corporation, vyvinut pro DoD US vliv na TCSEC vliv na ITSEC vliv na profily v CC 20. června 2011 10

Bellův a LaPadulův formální model bezpečnostní politiky bezpečnost formálně popsána a dokázána stavový model - stav je bezpečný pokud je v souladu s bezpečnostní politikou pro přístup subjektu k objektu; porovnává se úroveň prověření subjektu a stupeň utajení objektu + need-to-know subjektu k objektu; přechod do dalšího stavu zajišťován tak, že nový stav je opět bezpečný základní zásady bezpečnostní politiky pro MAC: - Simple Security Condition: subjekt nesmí číst z objektu vyšší bezpečnostní úrovně (no read-up) - * Property: subjekt nesmí zapisovat do objektu nižší bezpečnostní úrovně (no write-down) - Discretionary security property (dle přístupových práv, jako v jednoúrovňovém IS) 20. června 2011 11

Základní dokumenty TCSEC (Trusted computer System Evaluation Criteria - Orange Book), rok 1983, update 1985, třídy B1(Labeled Security Protection), B2, B3 ITSEC (Information Technology Security Evaluation Criteria), rok 1990 a 1991, funkční třída F-B2 odpovídá třídě B2 s úrovní důvěry E4 (pro F-B1 úroveň E3) CC, profily zahrnující povinné řízení přístupu, hodnocení produktu min. na úrovni EAL4 20. června 2011 12

Bezpečná realizace víceúrovňový operační systém ohodnocený podle některých z kritérií bezpečnosti (CC) na aplikační úrovni obtížné navrhnout, implementovat, poté prokázat bezpečnost využití kryptografické ochrany - obtížnost návrhu, implementace, prokázání bezpečnosti 20. června 2011 13

Bezpečná realizace aktuálně neznáme v oblasti utajovaných informací realizaci víceúrovňového IS v NATO ani EU některé operační systémy hodnocené podle CC mají modul zajišťující povinné řízení přístupu (Mandatory Access Control- MAC) režie na správu víceúrovňového systému je údajně vysoká, funkce MAC není využívána 20. června 2011 14

Bezpečná realizace IBM z/os v módu Labeled Security mode některé UNIX/LINUX systémy mají zabudováno kromě volitelného i povinné řízení přístupu, které ale musí být aktivováno: - Free BSD 8.2 Release (při kompilaci se přidá MLS modul, volí se úrovně ) - Red Hat Enterprise Linux Ver. 5 on IBM Hardware - AIX 6 ver. 6100-00-02 - Solaris 10 Release 11/06 Trusted Extensions - aj. 20. června 2011 15

Bezpečná realizace Poznámky stěžejním problémem je přesná implementace Bell- LaPadula modelu, zejména udržení integrity atributů subjektů a objektů a neobejitelnost pravidel pro přístup některé certifikované IS v bezpečnostním provozním módu s nejvyšší úrovní využívají labelů s označením stupně utajení a kategorie informace připojených k některým objektům (např. e-mailová zpráva); to z nich ještě nedělá víceúrovňový systém přímo na OS Windows postavit víceúrovňový systém nelze 20. června 2011 16

Dotazy? 20. června 2011 17