Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,...

Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,... PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018

Audit Audit (z lat. auditus, slysen) { uredn prezkoum an a zhodnocen dokument u a jin ych objekt u nez avislou osobou. Ucel auditu { zjistit, zda doklady pod avaj platn e a spolehliv e informace o skutecnosti a obvykle tak e zhodnotit kvalitu vnitrn kontroly rmy. Vzhledem k rozsahu dokumentace se audit obvykle zab yv a jen vzorky a jeho v ysledek tedy neznamen a naprostou jistotu, n ybrz jen rozumnou pravd epodobnost konecn eho hodnocen. Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 1

Prvn cl predn asky { porozum en auditu ISMS ISO/IEC 27007:2011 Information technology Security techniques Guidelines for information security management systems auditing Cl auditu ISMS { vyhodnocen: { zda ISMS adekv atn e identikuje a res pozadavky informacn bezpecnosti { trval e primerenosti cl u ISMS stanoven ych vedenm a { postup u pro udrzbu a pro ucinn e zlepsov an ISMS. Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 2

Druh y cl predn asky { porozum en auditu opatren ISO/IEC TR 27008: 2011, Information technology Security techniques Guidelines for auditors on information security controls Cl { porozum et princip um prezkoum av an, tj. veden auditu, implementac a pouzv an bezpecnostnch opatren zaveden ych na z aklad e doporucen dan ych procesy rzen rizik s clem redukovat rizika pro informacn bezpecnosti D uvod prezkoum av an, veden auditu, opatren je: zjist en jsou tato opatren v souladu se standardy a s vnitrnmi predpisy o InfSec zaveden ymi v organizaci Clem auditu bezpecnostnch opatren (politik,... ) je zjistit, { zda jejich dokumentace pod av a platn e a spolehliv e informace o skutecnosti a { zda jejich implementace a provozov an odpovd a jejich specikaci Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 3

Typick e oblasti auditu ISMS Res pouzit a metodologie posuzov an a hodnocen rizik, v ysledn eho posouzen a zvl adnut rizik relevantn pozadavky? Odpovd a prohl asen o aplikovatelnosti v ysledk um posouzen rizik? Je implementace opatren prijat ych pro snzen rizika efektivn? Prov ad se m eren ucinnosti implementovan ych opatren? Sleduj se a posuzuj procesy a opatren ISMS? Prov adej se intern audity a posuzov an ISMS managementem? Prijmaj opravn a opatren po vyhodnocen ucinnosti ISMS? Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 4

Typick e oblast auditu ISMS Je auditovan y provozovan y syst em v souladu s denovan ymi cli, politikami a procedurami? Dodrzuj se konkr etn pr avn, smluvn a jin e pozadavky, kter e se t ykaj auditovan eho subjektu a maj dopad na informacn bezpecnost? Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 5

Ocek av an od auditu ISMS, auditorsk y t ym by mel... Proverit, zda je oblast a hranice auditovan eho ISMS jasne denov ana { z hledisek { charakteristiky podnik an, { umst en majetku a technologi organizace, { a to vcetne zd uvodnen jak ychkoli vyloucen z oblasti. Potvrdit, ze auditovan y subjekt spl nuje pozadavky ISO / IEC 27001 na zaveden oblasti ISMS. Prov erit, ze hodnocen rizik informacn bezpecnosti a zvl adnut rizik v auditovan em subjektu odpovd a cinnostem organizace a hranici oblasti ISMS a potvrdit, ze se to odr az v prohl asen o aplikovatelnosti Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 6

Ocek av an od auditu ISMS, auditorsk y t ym by mel... Prov erit rozhran sluzeb a/nebo cinnost, kter e nejsou plne zahrnut e v oblasti ISMS: { zda jsou v denici oblasti ISMS zmnen e a { zda jsou zahrnuty do hodnocen rizik informacn bezpecnosti auditovan eho subjektu (jedn a se typicky o prpady sdlen IT syst em u, datab az, telekomunikacn syst em u,... s jin ymi organizacemi). Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 7

Z avery z uvodu k auditu Organizace by m ela pravideln e kontrolovat, prezkoum avat zda m a r adne instalov any a provozov any implementace bezpecnostnch standard u, politik, predpis u,... Audit je pro tento ucel velmi ucinn y n astroj Condition sine qua non : Kontrolu, formou auditu, mus prov adet role, kter e nejsou poveren e rdicmi ci exekutivnmi funkcemi v auditovan e oblasti vlastnk syst emu, pracovnci z odd. vnitrn kontroly, intern nebo extern odbornci z oblasti informacn bezpecnosti Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 8

Metody prezkoum av an, v ycet Vysetrov an, cl { porozum et/objasnit/zskat d ukazy Podle typu: Vseobecn e, clen e, detailn Podle rozsahu, sre setren: Reprezentativn, specick e, upln e (vycerp avajc) Interview, cl { porozum et/objasnit/zjistit kde zskat d ukazy Podle typu: Vseobecn e, clen e, detailn Podle hloubky setren: Reprezentativn, specick e, upln e (vycerp avajc) Test, cl { porovn an skutecn eho a ocek avan eho chov an objektu Blind, black-box, na slepo Double blind, dublovan e na slepo Gray-box, s c astecn ym odhalenm objektu Double gray-box, Tandem, white-box, s pln ym odhalenm Reversal, simulovan y utok Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 9

Metody prezkoum av an, vysetrov an Proces kontrolov an, prohlzen, prezkoum av an, pozorov an, studov an nebo anal yzy jednoho nebo vce prezkoum avan ych objekt u Clem vysetrov an je porozum et, objasnit nebo zskat d ukazy V ysledky vysetrov an slouz k podpore rozhodnut zda opatren d ale pouzvat, zda m a potrebnou funkcnost, ucinnost, zda plne pokr yv a zam yslen y ucel, zda je potreba tyto rysy vylepsit Vysetrov an lze podporovat automatizovan ymi n astroji Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 10

Metody prezkoum av an, interview Proces veden rozhovor u s jednotlivci nebo se skupinami v organizaci Clem interview je porozum et, objasnit nebo zjistit, kde zskat d ukazy V ysledky interview slouz k podpore rozhodnut zda opatren d ale pouzvat, zda m a potrebnou funkcnost, ucinnost, zda plne pokr yv a zam yslen y ucel, zda je potreba tyto rysy vylepsit Interview nelze podporovat automatizovan ymi n astroji Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 11

Metody prezkoum av an, test Proces cvicn eho provozov an jednoho nebo vce prezkoum avan ych objekt u, za urcit ych specikovan ych podmnek Clem je porovn an skutecn eho a ocek avan eho chov an objektu V ysledky testu slouz k podpore rozhodnut zda opatren d ale pouzvat, zda m a potrebnou funkcnost, ucinnost, zda pln e pokr yv a zam yslen y ucel, zda je potreba tyto rysy vylepsit Testov an mus b yt provedeno s velkou p ec kvalikovan ymi odbornky Mozn e dopady testov an na fungov an organizace mus b yt posouzeny a schv aleny vedenm pred zah ajenm testov an Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 12

Metody prezkoum av an, test Je nutn e zv azit moznost testov an mimo provozn dobu Testov an mus b yt reprodukovateln e, opakovateln e Poruchy nebo nedostupnost syst em u kv uli testov an m uze mt v yznamn y vliv vlastn podnikatelsk e procesy organizace (nancn d usledky, dopad na pov est organizace) Pl anov an test u mus br at ohled na smluvn z avazky (vcetn e posouzen pr avnch aspekt u) Auditor opatren mus pecliv e vyhodnotit prpadnou falesnost pozitivnch a negativnch v ysledk u test u jest e pred provedenm jak ehokoliv z av eru Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 13

Metody prezkoum av an, test Mezi typick e prezkoum avan e objekty patr mechanismy (napr. hardware, software, rmware) a procesy (napr. z oblast provozu syst emu, administrace, rzen,... ) Testov an lze podporovat automatizovan ymi n astroji Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 14

Vysetrov an, typicky vysetrovan e objekty specikace napr. politiky, pl any, postupy, pozadavky na syst em, n avrhy,... mechanismy napr. funkce implementovan e v hardware, software, rmware procesy napr. z oblast provozu syst emu, spr avy, rzen, zaskolov an,... Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 15

Prklady vysetrovacch akc auditor u informacn bezpecnosti prezkoum av an politik informacn bezpecnosti, pl an u a postup u anal yza projektov e dokumentace syst em u a specikac rozhran sledov an cinnosti syst emu z alohov an a prezkoum av an v ysledk u cvicen podle pl an u zachov an cinnosti pozorov an procesu reakce na incidenty studium technick ych prrucek a n avod u pro uzivatele a spr avce kontrola, studium nebo pozorov an provozu IT mechanism u v hardware / software informacnch syst em u kontrola, studium a pozorov an zm enov eho rzen a protokolov an cinnost t ykajcch se informacnch syst em u kontrola, studium nebo pozorov an fyzick ych bezpecnostnch opatren souvisejcch s provozem informacnch syst em u Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 16

Klasikace typ u setren, vseobecn e setren Prezkoum av an na vysok e urovni, kontroly, pozorov an nebo inspekce prezkoum avan eho objektu Je k dispozici omezen e mnozstv d ukaz u a/nebo dokumentace (napr. funkcn popisy mechanism u, vysoko urov nov e popisy proces u aktu aln specikacn dokumentace) Setren na t eto urovni umozn porozum et opatrenm do t e hloubky, ze lze urcit, ze jsou implementovan a a bez zjevn ych chyb Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 17

Klasikace typ u setren, clen e setren Prezkoum av an na vysok e urovni, kontroly, pozorov an nebo inspekce a hlubs studium / anal yza zkouman eho objektu Je k dispozici podstatn e mnozstv d ukaz u a/nebo dokumentace (napr. funkcn popisy mechanism u, a tam kde jsou vhodn e a dostupn e vysoko urov nov e n avrhy mechanism u, vysoko urov nov e popisy proces u a implementacn procedury proces u a aktu aln dokumentace a specikacn dokumentace) Setren na t eto urovni umozn porozum et opatrenm do t e hloubky, ze lze urcit, ze jsou implementovan a a bez zjevn ych chyb. Poskytuje rovn ez presv edciv e d ukazy spr avn e implementace opatren a jejich fungov an zam yslen ym zp usobem Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 18

Klasikace typ u setren, detailn setren Prezkoum av an na vysok e urovni, kontroly, pozorov an nebo inspekce a detailn, d ukladn e studium / anal yza prezkoum avan eho objektu Je k dispozici velk e mnozstv d ukaz u a/nebo dokumentace (napr. funkcn popisy mechanism u, a tam kde jsou vhodn e a dostupn e vysoko urov nov e a detailn n avrhy mechanism u a informace o jejich implementaci, detailn n avrhy vysoko urov nov e popisy proces u a detailn implementacn procedury proces u a aktu aln dokumentace a specikacn dokumentace) Setren na t eto urovni umozn porozum et opatrenm do t e hloubky, ze lze urcit, ze jsou implementovan a a bez zjevn ych chyb, Poskytuje rovn ez presv edciv e d ukazy spr avn e implementace opatren a jejich fungov an zam yslen ym zp usobem a ze existuj presv edciv e d ukazy jejich spr avn e implementace a jejich fungov an zam yslen ym zp usobem a to trvale na trvale konzistentn b azi a ze funguje podpora pro vylepsov an jejich efektivnosti Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 19

Reprezentativn setren Klasikace setren dle rozsahu Setr reprezentativn vzorek prezkoum avan ych objekt u (podle typ u objekt u a poctu objekt u dan eho typu) ze kter eho lze urcit, ze opatren jsou implementovan a a bez zjevn ych chyb Specikovan e setren Pouzv a reprezentativn vzorek prezkoum avan ych objekt u (podle typ u objekt u a poctu objekt u dan eho typu) a dals konkr etn prezkoum avan e objekty povazovan e za d ulezit e pro dosazen cle setren, aby bylo mozn e urcit, ze opatren jsou implementovan a a bez zjevn ych chyb Poskytuje rovn ez presv edciv e d ukazy spr avn e implementace opatren a jejich fungov an zam yslen ym zp usobem Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 20

Klasikace setren dle rozsahu Upln e, vycerp avajc setren Pouzv a reprezentativn vzorek prezkoum avan ych objekt u (podle typ u objekt u a poctu objekt u dan eho typu) a dals konkr etn prezkoum avan e objekty povazovan e za d ulezit e pro dosazen cle setren, aby bylo mozn e urcit, ze opatren jsou implementovan a a bez zjevn ych chyb. Poskytuje rovn ez presv edciv e d ukazy spr avn e implementace opatren a jejich fungov an zam yslen ym zp usobem a ze existuj presv edciv e d ukazy jejich spr avn e implementace a jejich fungov an zam yslen ym zp usobem a to trvale na trvale konzistentn b azi a ze funguje podpora pro vylepsov an jejich efektivnosti Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 21

Prklady osob / skupin, se kter ymi se vedou interview management vlastnci informacnch aktiv, proces u,... spr avci informacn bezpecnosti manazeri informacn bezpecnosti personalist e, spr avci lidsk ych zdroj u spr avci technick ych zarzen skolitel e a manazeri skolen oper atori informacnch syst em u administr atori st a syst emov administr atori spr avci are al u spr avci fyzick e bezpecnosti uzivatel e Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 22

Klasikace typ u interview podle hloubky setren Vseobecn e interview Siroce pojat a diskuse na vysok e (konceptu aln) urovni s jednotlivci nebo skupinami Diskuse se vede pomoc sady vseobecn ych (generick ych) ot azek na vysok e (konceptu aln) urovni Diskuse na t eto urovni umozn porozum et opatrenm do t e hloubky, ze lze urcit, ze jsou implementovan a a bez zjevn ych chyb Clen e interview Nad r amec vseobecn eho interview se zahrnuje do interview detailn ejs diskuse clen a na konkr etn dlc oblasti Odpov edi na detailn ejs ot azky vyzaduj hlubs setren Diskuse na t eto urovni umozn porozum et opatrenm do t e hloubky, ze lze urcit, ze implementovan a jsou a bez zjevn ych chyb a ze existuj presv edciv e d ukazy jejich spr avn e implementace a jejich fungov an zam yslen ym zp usobem Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 23

Klasikace typ u interview podle hloubky setren Detailn interview Nad r amec clen eho interview se zahrnuj do interview detailn vysetrovac ot azky clen e na konkr etn oblasti Odpov edi na tyto ot azky vyzaduj velmi hlubok e, detailn setren nebo prpadn e vyvol an prezkumn ych procedur Diskuse na t eto urovni umozn porozum et opatrenm do t e hloubky, ze lze urcit, ze implementovan a jsou a bez zjevn ych chyb a ze existuj presv edciv e d ukazy jejich spr avn e implementace a jejich fungov an zam yslen ym zp usobem a to trvale na trvale konzistentn b azi a ze funguje podpora pro vylepsov an jejich efektivnosti Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 24

Klasikace typ u interview podle z ab eru ucastnk u Prehledov e interview vseobecn e interview Diskuse s reprezentativnm vzorkem jednotlivc u v klcov ych rolch organizace volen ych tak, aby bylo mozn e urcit, ze prezkoum avan a opatren jsou implementovan a a bez zjevn ych chyb Specikovan e interview clen e interview Diskuse s dostatecn e velk ym vzorkem jednotlivc u v klcov ych rolch organizace a dalsch stanoven ych jednotlivc u povazovan ych za zvl ast e d ulezit e pro urcen, ze opatren jsou implementovan a a bez zjevn ych chyb a ze existuj presv edciv e d ukazy jejich spr avn e implementace a jejich fungov an zam yslen ym zp usobem Podrobn e interview detailn interview Diskuse s dostatecn e velk ym vzorkem jednotlivc u v klcov ych rolch organizace a dalsch stanoven ych jednotlivc u povazovan ych za zvl ast e d ulezit e pro urcen, ze opatren jsou implementovan a a bez zjevn ych chyb a ze existuj presv edciv e d ukazy jejich spr avn e implementace a jejich fungov an zam yslen ym zp usobem a to trvale na trvale konzistentn b azi a ze funguje podpora vylepsov an jejich efektivnosti Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 25

Prklady testovacch akc auditor u informacn bezpecnosti testov an rzen prstupu, identikacnch a autentizacnch mechanism u testov an nastaven bezpecnostnch kongurac testov an fyzick ych zarzen pro rzen prstupu prov ad en penetracnch test u klcov ych prvk u informacnch syst em u testov an z alohovacch operac informacnch syst emu testov an reakc na incidenty prov erov an procedur zachov an cinnosti v krizov ych situacch testov an reakc bezpecnostnch syst em u urcen ych pro detekci, varov an a reakce na pr uniky testov an algoritm u sifrovacch a hasovacch mechanism u testov an mechanism u tvorby uzivatelsk ych jmen a opr avn en testov an autorizacnch mechanism u ov eren odolnosti bezpecnostnch opatren,... Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 26

Typy test u Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 27

Typy test u, Blind Testing (Black Box Testing), testov an "naslepo\ Auditor prezkoum av a objekt pouze na z aklad e znalost verejn e dostupn ych informac o objektu, zkoum a funkcnost objektu, aniz by nahlzel do jeho vnitrnch struktur nebo operac Prezkoum avan y objekt je na prezkum pripraven predem, vsechny podrobnosti o prezkoum av an objekt predem zn a Blind Testing je predevsm testov anm schopnostmi auditora, sre a hloubka Blind Testing mohou b yt pouze tak velk e, jak to dovoluj znalosti a schopnosti auditora Tento typ testu m a pri prezkoum av an informacn bezpecnosti omezen e pouzit a je treba se mu spse vyhnout Blind Testing se casto ch ape jako etick e hackov an. Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 28

Typy test u, Blind Testing (Black Box Testing), testov an "naslepo\ Tester bezpecnosti aplikacnho syst emu je v roli hackera. Testuje s minimem informac, k aplikaci nem a ani login ani nejak a opr avnen S verejn e dostupn ymi informacemi se tester pokous vyuzt aplikaci vsemi mozn ymi zp usoby Testy se zam eruj na obejit autentizace a na vyuzit zranitelnost v provoznm prostred Do testovan e oblasti se vedle vlastn aplikace zahrnuje i aplikacn server a operacn syst em Test se obvykle prov ad po nasazen aplikace do provozu Testerem je obvykle externista bez apriorn znalosti aplikace Black Box Testing) pom uze objasnit jakou sanci usp esn e utocit m a utocnk z Internetu, kter y o aplikaci nic nev Black Box Testing) nepom uze pri zkoum an, jakou skodu m uze zp usobit utocnk s validnmi prihlasovacmi informacemi Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 29

Typy test u, Double Blind Testing, dublovan e slep e testov an Auditor prezkoum av a objekt pouze na z aklad e znalost verejn e dostupn ych informac o objektu, zkoum a funkcnost objektu, aniz by nahlzel do jeho vnitrnch struktur nebo operac Prezkoum avan y objekt nen predem informovan y ani o rozsahu testov an, ani o pouzit em testovacm vektoru vstup u Double Blind Testing testuje pripravenost prezkoum avan eho objektu na nezn am e podnety Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 30

Typy test u, Gray Box Testing, testov an s c astecn ym odhalenm Auditor prezkoum av a objekt na z aklad e omezen ych znalost jeho ochran a jm reprezentovan ych aktiv, ale zato s uplnou znalost dostupn ych testovacch vektor u, Auditor c astecn e zn a vnitrn strukturu objektu, m a napr. prstup k dokumentaci vnitrnch datov ych struktur a algoritm u Prezkoum avan y objekt je na prezkum pripraven predem, vsechny podrobnosti o prezkoum av an objekt predem zn a Gray Box Testing je testov anm schopnostmi auditora Hlavn prnos Gray Box Testing je ucinnost { rozsah a hloubka z avis na jak na kvalit e informac poskytnut ych auditorovi predem, tak i na znalostech a schopnostech auditora. Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 31

Typy test u, Gray Box Testing, testov an s c astecn ym odhalenm Gray Box Testing se nekdy naz yv a test zranitelnosti a nejcasteji je spoust en autorem objektu jako sebehodnocen Tester testuje jak m uze narusit bezpecnost validn uzivatel Pokud se takto testuje aplikace pred nasazenm, testuje bezpecnostn nedostatky v aplikaci Pokud se takto testuje aplikace po nasazen do provozu, testuj se navc i bezpecnostn nedostatky v provoznm prostred Tester mus b yt znal y aplikace, test se vesmes del a manu alne, nikoli automatizovan e Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 32

Typy test u, Double Gray Box Testing Auditor prezkoum av a objekt na z aklad e omezen ych znalost jeho ochran a jm reprezentovan ych aktiv, ale zato s uplnou znalost dostupn ych testovacch vektor u, Auditor c astecn e zn a vnitrn strukturu objektu, m a napr. prstup k dokumentaci vnitrnch datov ych struktur a algoritm u Prezkoum avan y objekt je na prezkum c astecn e pripraven predem, zn a rozsah a casov y r amec, nezn a test. vektory Double Gray Box Testing testuje pripravenost prezkoum avan eho objektu na nezn am e podnety Prnos Double Gray Box Testing je ucinnost { rozsah a hloubka z avis jak na kvalit e informac poskytnut ych auditorovi predem, tak i na znalostech a schopnostech auditora. Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 33

Typy test u, Tandem Testing(White Box Testing), test. s pln ym odhalenm Auditor i prezkoum avan y objekt jsou pln e pripraveni na prezkoum an, ob e strany znaj vsechny detaily predem Tandemov e zkoum an testuje ochrany a opatren v objektu. Nejedn a se ale o test pripravenosti cle na nezn am e vstupy. B azov y prnos tandemov eho testov an je d an d ukladnost { auditor m a upln y prehled o vsech testech a jejich reakcch. Rozsah a hloubka z avis jak na kvalit e informac poskytnut ych auditorovi predem, tak i na znalostech a schopnostech auditora. Tandem Testing se casto naz yv a jako in-house review a auditor m a v celkov em procesu zabezpecov an casto aktivn roli. Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 34

Typy test u, Tandem Testing(White Box Testing), test. s pln ym odhalenm Tester m a k dispozici upln y zdrojov y k od Zranitelnosti se ve zdrojov em k odu vyhled avaj jak na urovni n avrhu, tak i na urovni implementace Uplat nuje se pred nasazenm aplikace do provozu Anal yza k odu se neres r adek po r adku, ale posuzuje se resen identikovan ych hrozeb pro danou aplikaci Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 35

Typy test u, Reversal, simulovan y utok Auditor prezkoum av a objekt na z aklade upln e znalost jeho proces u a provozn bezpecnosti a prezkoum avan y objekt nev nic o tom co, jak nebo kdy bude auditor testovat Hlavnm clem testu tohoto typu je posoudit pripravenost cle na nezn am e podnety reektujc podmnky v re aln em svete Rozsah a hloubka z avis jak na kvalit e informac poskytnut ych auditorovi predem, tak i na znalostech, schopnostech a kreativit e auditora. Test je veden y jako simulovan y utok Casto je naz yv an Red Team exercise Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 36

White-box testing vs. black-box testing vs. Gray-box testing Black-box testing testov an funkcnosti software testov an na z aklade znalosti validnch v ystup u na denovan e vstupy black-box testing detekuje, ze neco je spatne, nekde je chyba White-box testing testov an software testov anm vnitrn struktury Control flow testing, Data flow testing, Branch testing Path testing, Statement coverage, Decision coverage,... white-box testing m a za cl odhalit detekovanou chybu Gray-box testing (translucent testing) kombinace White-box testing a Black-box testing Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 37

Prprava auditu Cinnosti v prpravn e f azi auditu se maj t ykat probl em u souvisejcch s n aklady, pl anem, dostupnost odbornku a provedenm auditu Typick e prpravn e cinnosti ze strany organizace zajist en dostupnosti politiky souvisejcch s auditem zajist en, aby se ukoncily vsechny implementacn pr ace na opatrench pl anovan e pred provedenm auditu stanoven cle a rozsahu auditu ( ucelu a predm etu) informov an klcov ych funkcion ar u organizace o blzcm se auditu a prid elen zdroj u potrebn ych k jeho proveden ustanoven prslusn ych komunikacnch kan al u mezi organizacnmi funkcion ari zainteresovan ymi na auditu stanoven casov eho r amce pro dokoncen auditu a etap a klcov ych termn u Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 38

Prprava auditu identikace a v yb er nez avisl eho auditora opatren, resp. auditorsk eho t ymu, kter y odpovedne povede prezkoum av an shrom azd en artefakt u poskytovan ych auditorovi (dokumentace opatren, vc. organizacnch sch emat, politik, pl an u, specikac, n avrh u, z aznam u, manu al u spr avc u / obsluhy, manu al u informacnch syst em u, dohod, v ysledk u predchozch audit u) vytvoren mechanism u pro minimalizaci nejasnosti a nedorozum en mezi organizac a auditorem Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 39

Prprava auditu Typick e prpravn e cinnosti ze strany auditora porozum en provozu organizace (vcetn e posl an, funkc a podnikov ych proces u) a porozum en jak k n emu prispvaj informacn aktiva v auditovan e oblasti porozum en strukture informacnch aktiv (tj. architekture syst emu), d ukladn e pochopen vsech auditovan ych opatren, nastudov an publikac referencovan ych v auditovan ych opatrench, identikace jednotek organizace odpov edn ych za vypracov an a implementaci auditovan ych opatren stanoven vhodn ych organizacnch stycn e body potrebn ych k proveden auditu, zsk an artefakt u potrebn ych pro audit (dokumentace opatren, vc. organizacnch sch emat, politik, pl an u, specikac, n avrh u, z aznam u, manu al u spr avc u / obsluhy, manu al u informacnch syst em u, dohod, v ysledk u predchozch audit u) Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 40

Prprava auditu zsk an v ysledk u predchozch audit u, kter e lze vhodn e znovu pouzt pro audit (napr. auditn zpr avy, anal yzu zranitelnost, inspekce fyzick e bezpecnosti, testov an v yvoje a hodnocen) setk an s relevantnmi funkcion ari organizace zajist'ujc jednoznacn y v yklad jak cl u auditu tak jeho hloubky a rozsahu prezkumu, vypracov an pl anu auditu Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 41

Vypracov an pl anu auditu Vymezen prezkoum avan e oblasti zacn a se s opatrenmi popsan ymi v dokumentaci a bere se do uvahy cl auditu Urcen auditnch, prezkumn ych procedur proceduru vymezuj cl, metody zkoum an a auditovan e objekty cl je uzce v azan y na funkcnost opatren v yb er metody auditu (setren, interview, testov an) mus br at ohled na dopady v organizaci a z arove n mus zajistit, aby se splnily cle auditu zkoumaj se procesy, procedury, specikace, mechanismy, osoby,... Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 42

Vypracov an pl anu auditu Rozhodnut o prebr an v ysledk u predchozch audit u Vypracov an detailnho pl anu postupu auditu pomoc urcen ych procedur Specikace v ystup u auditu Odsouhlasen pl anu funkcion ari organizace Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 43

V ystup z auditu, anal yza v ysledk u Prklady klasikac zjist en ych nedostatk u auditem Z avaznost A { zjisten y nedostatek je velmi z avazn y (velmi v yznamn y). Velmi v yznamn e narusuje bezpecnost syst emu. Doporucujeme co nejrychlejs (pokud mozno okamzit e) odstran en nedostatku. V prpad e nov eho syst emu doporucujeme odstran en nedostatku jest e pred jeho nasazenm. Z avaznost B { zjisten y nedostatek je stredne z avazn y (v yznamn y). Ohrozuje bezpecnost syst emu, avsak ohrozen nen bezprostredn nebo nen velmi z avazn e. Nedostatek by mel b yt odstranen pri nejblizs vhodn e prlezitosti. Z avaznost C { zjisten y nedostatek nen z avazn y, neznamen a konkr etn ohrozen bezpecnosti syst emu, ale m uze b yt povazov an za prestupek proti bezpecnostnm zvyklostem. Hodnotitel e doporucuj odstran en tohoto nedostatku pri vhodn e prlezitosti, nerespektov an tohoto doporucen nemus v est k ohrozen bezpecnosti syst emu. Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 44

V ystup z auditu, anal yza v ysledk u Z avaznost nen { zjisten y nedostatek nen z avazn y, neznamen a konkr etn ohrozen bezpecnosti syst emu, ale m uze b yt povazov an za prestupek proti bezpecnostnm zvyklostem. V etsinou se jedn a o prpady, kdy hodnotitel e si jsou v edomi skutecnosti, ze za soucasn eho stavu technologie nen k dispozici prijateln e technick e resen, kter e by toto relevantn odstranilo Jan Staudek, FI MU Brno PV017 { Audit bezpecnostnch opatren 45