B azov y fenom en pri zajist'ov an bezpecnosti { riziko

Podobné dokumenty
Koncept informacn bezpecnosti II

Rzen informacn bezpecnosti v organizaci

Rzen informacn bezpecnosti v organizaci

Projekt implementace ISMS Dodatek 1, PDCA

Prklad dokumentov e z akladny ISMS

Koncept informacn bezpecnosti

Koncept informacn bezpecnosti

Projekt implementace ISMS

Prklady opatren, zranitelnost a hrozeb

Distribuovan e algoritmy

Rzen reakc na bezpecnostn incidenty

Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,...

GPDR, General Data Protection Regulation

Aplikacn bezpecnost. PV 017 Bezpecnost informacnch technologi. Jan Staudek Verze : podzim 2017

Aplikacn bezpecnost. Informacn bezpecnost z pohledu aplikacnch syst em u. PV 017 Bezpecnost informacnch technologi

Projekt implementace ISMS

Projekt implementace ISMS, Dodatek 2, Pozn amky k projektov emu rzen

Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,...

Rzen rizik. PV 017 Bezpecnost informacnch technologi. Jan Staudek Verze : podzim 2018

Politika informacn bezpecnosti

Uvod, celkov y prehled problematiky

N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS

Uvod, celkov y prehled problematiky

projektu implementace ISMS

Krit eria hodnocen informacn bezpecnosti

ISMS { Syst em rzen informacn bezpecnosti

Vl akna. PB 152 Operacn syst emy. Jan ÐStaudek Verze : jaro 2015

Anatomie informacn bezpecnosti

N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS

Krit eria hodnocen informacn bezpecnosti, dodatek

ISMS { Syst em rzen informacn bezpecnosti

Politika informacn bezpecnosti, Dodatek

Politika informacn bezpecnosti, Dodatek

Pl anu zachov an kontinuity podnik an,

Bezepečnost IS v organizaci

Sekven cn soubory. PV 062 Organizace soubor u. Jan Staudek Verze : jaro 2018

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Projekt implementace ISMS Dodatek 4, Prklad politiky ISMS

Podsyst em vstupu a v ystupu

Operacn syst emy { prehled

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Operacn syst emy { prehled

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Pl anu zachov an kontinuity podnik an,

Hasov an (hashing) na vn ejsch pam etech

Poctacov e syst emy { prehled

Spr ava hlavn pam eti

Obnova transakc po v ypadku

Vl akna. Proces a vl akna. PB 152 Operacn syst emy. Resen editoru pomoc vl aken. Koncept sekvencnho procesu m uze b yt neefektivn

PV 017 Bezpecnost IT

Spr ava hlavn pam eti

V Brně dne 10. a

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Procesy. PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017

ISO/IEC 27002:2013. PV 017 Bezpecnost IT. ISO/IEC 27002:2013, Oddly kategori bezpecnosti. ISO/IEC 27002:2013, Popis kategori bezpecnosti

Soubor, souborov e organizace

Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT

Standardy (normy) a legislativa informacn bezpecnosti

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Distribuovan e prostred, cas a stav v distribuovan em prostred

Distribuovan e prostred, cas a stav v distribuovan em prostred

ČESKÁ TECHNICKÁ NORMA

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Procesy. Uvodem k proces um. PB 152 Operacn syst emy. Program a proces. Uvodem k proces um

Volba v udce, Leader Election

Standardy (normy) a legislativa informacn bezpecnosti

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Informatika / bezpečnost

Volba v udce, Leader Election

Bezpečnostní politika společnosti synlab czech s.r.o.

V Brně dne a

Informa ní bezpe nost I Management bezpe nosti informa ních systém - ISMS. michal.slama@opava.cz

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Informacn teorie. PV 062 Organizace soubor u. Jan Staudek Verze : jaro 2018

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Pl anov an. PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Projektové řízení a rizika v projektech

Podsyst em vstupu a v ystupu

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Prepn an, switching. Propojovac probl em. PV 169 Z aklady prenosu dat. Prepnac, prepnan a st' Metody prepn an

Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT

Kybernetická bezpečnost

Obnova transakc po v ypadku

Implementace systému ISMS

OCTAVE ÚVOD DO METODIKY OCTAVE

Sign aly. PV 169 Z aklady prenosu dat. Jan Staudek Verze : podzim 2018

Sign aly. Data a sign aly. PV 169 Z aklady prenosu dat. Sign al, elektromagnetick y sign al. (Elektromagnetick y) sign al

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Typologie, funkcn skladba a architektury OS, prklady z Windows, Unix, Linux, MAC OSx

GENDEROVĚ PŘÁTELSKÝ ÚŘAD SLANÝ PODKLAD K E-LEARNINGOVÉMU KURZU

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Typologie, funkcn skladba a architektury OS, prklady z Windows, Unix, Linux, Android

Virtu aln pam et' PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017

ANECT, SOCA a bezpečnost aplikací

Návrh individuálního národního projektu. Podpora procesů uznávání UNIV 2 systém

Transkript:

B azov y fenom en pri zajist'ov an bezpecnosti { riziko Kdyz existuje potenci aln utocnk, kter y je schopn y dky zranitelnosti jist eho informacnho aktiva narusit n ekterou z bezpecnostnch vlastnost aktiva (CIA), pak je toto aktivum vystaveno hrozb e pravd epodobnost uplatn en hrozby (tj. utoku) a potencion aln v yse skody zp usoben e tmto utokem predstavuje riziko riziko se vyjadruje jednak v pravd epodobnostnch pojmech (s jakou pravd epodobnost se hrozba uplatn) a jednak v pojmech charakterizujcch dopad hrozby (velikost skody) Generick e kombinovan e vyj adren urovn e rizika urove n rizika = F (pravd epodobnost utoku) F(dopad utoku) Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 1

B azov y fenom en pri zajist'ov an bezpecnosti { riziko Z akladem urcen urovn e je odhad z avaznosti (,,seri oznosti") hrozby, tj. potenci alu, ze utocnk vyuzije zranitelnost aktiva ci skupiny aktiv a provede utok, tj. ze se hrozba se uplatn, realizuje do uvahy se bere jak dopad relevantnho utoku, tak i pravd epodobnost realizace/uplatn en hrozby ( utoku) velmi v yznamn e riziko se stav na rove n velk emu dopadu a velk e pravd epodobnosti v yskytu relevantnho utoku nev yznamn e riziko se stav na rove n mal emu dopadu a mal e pravd epodobnosti v yskytu relevantnho utoku Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 2

B azov y fenom en pri zajist'ov an bezpecnosti { riziko rizika se zvl adaj volbou a uplatn enm vhodn ych opatren abychom riziko zvl adli, tj. eliminovali ho nebo snzili jeho urove n volbou vhodn eho opatren, musme ho ohodnotit, tj. identikovat, pot e analyzovat a vyhodnotit (urcit jeho urove n) vynakl ad an velk ych n aklad u na zaveden opatren chr ancch aktiva prevenc utok u pri nev yznamn ych rizicch nen ospravedlniteln e Proces ohodnocen rizik usnadn pouzit tabulky rizik aktiv implementujc relaci mezi aktivy (r adky tabulky) a faktory urcujcmi rizika (sloupce) faktory: (1. sloupec obsahuje id aktiv) hrozby, zranitelnosti, id rizika, osoba odpov edn a za zvl ad an rizika, v yse mozn e skody, pravdepodobnost utoku,,... Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 3

B azov y fenom en pri zajist'ov an bezpecnosti { riziko Tabulku rizik aktiv vypl nujeme sloupec po sloupci nejprve vyplnme seznam aktiv (1.sloupec) organizace by si m ela udrzovat registr aktiv pot e pro kazd e aktivum nalezneme pro ne relevantn hrozby a po t e nalezneme zranitelnosti, kter e jednotliv e hrozby akcentuj typick e hrozby a zranitelnosti pro mal e a stredn rmy jsou na mnoha zdrojch katalogizov any Zvl adn rizik pro velk e organizace obvykle res outsourcovan e specializovan a rma nebo m a takov a organizace sv uj vlastn odbor pro resen rizik. Pouzvaj se specializovan e n astroje zalozen e na znalostnm inzen yrstv, znalostnch datab azch,... Pro mal e rmy drah e a zdlouhav e resen. Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 4

B azov y fenom en pri zajist'ov an bezpecnosti { riziko Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 5

B azov y fenom en pri zajist'ov an bezpecnosti { riziko Jak y rozsah ohodnocen rizik se d a zvl adnout manu alne? Necht' pro kazd e aktivum nalezneme 10 hrozeb, necht' kazd a vyuzv a 5 zranitelnost. To vypad a zvl adnutelne. Necht' ale organizace m a 50 aktiv. Zvl adat 2 500 rizik pro malou organizaci s 50 zam estnanci je presprlis Aktiva vsak ignorovat nelze. Lze se vsak soustredit na d ulezit e hrozby a zranitelnosti Napr. v pr umeru 5 hrozeb na aktivum se 2 zranitelnostmi d av a 500 rizik, coz se jiz d a i v mal e rme manazersky zvl adnout Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 6

B azov y fenom en pri zajist'ov an bezpecnosti { riziko Tato metodologie je dobr ym kompromisem mezi rychl ym ohodnocenm rizik a systematick ym a dostatecn e detailnm ohodnocenm umoz nujcm velmi presn e identikovat potenci aln bezpecnostn probl em Tm se snadn eji dosahuje cle ohodnocen rizik { odhalit potenci aln probl em drve nez nastane. Better safe than sorry Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 7

Prklad odvozen z avaznosti, urovn e rizika riziko = F (pravd epodobnost) F(dopad) vse ve vhodn em sk alov an, nikdy v absolutnch mr ach, napr. pravd epodobnostn charakter rizika: 1, (L, Low), zanedbateln y v yskyt utoku, jednou za dek adu let 2, (M, Medium), bezn y v yskyt utoku, jednou rocne 3, (H, High), v yskyt utoku hranicc s jistotou, kazd y den dopad odpovdajcho utoku: 1, (L) zanedbateln y / akceptovateln y, v destk ach tisc u Kc 2, (M) b ezn y, ve statisicch Kc 3, (H) katastrock y, v milionech Kc riziko, resp. v yznamnost rizika: resp. tabulkou (L) zanedbateln e riziko, (souciny = 1,2) pravd ep./dopad L M H (M) bezn e riziko, (souciny = 3,4) L L L M (H) katastrock e riziko, (souciny = 6,9) M L M H H M H H Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 8

Prklad odvozen z avaznosti, urovn e rizika vyj adren v yznamu rizika prkladem ve v ysi skod / dek adu: (L) zanedbateln e riziko, stovky tisc Kc / dek adu (M) bezn e riziko, jednotky mili on u Kc / dek adu (H) katastrock e riziko, destky a vce mili on u Kc / dek adu prklad z aver u pro zvl ad an rizik: (L) zanedbateln e riziko je akceptovateln e riziko, skody nevad obchodnmu modelu, lze je prp. osetrit pojist enm (M) bezn e riziko clem je (bezpecnostnmi) opatrenmi riziko eliminovat nebo alespo n snzit na zanedbateln e riziko snzenm pravd epodobnosti utoku (H) katastrock e riziko je neakceptovateln e riziko, clem je preventivn e bezpecnostnmi opatrenmi riziko eliminovat nebo alespo n je zmenit na bezn e nebo na zanedbateln e riziko Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 9

Bezpecnostn opatren prijm ame/zav adme/prosazujeme (bezpecnostn) opatren, kter a dopad a/nebo pravd epodobnosti uplatn en hrozeb (rizika) omezuj na akceptovatelnou hodnotu Pro katastrock a rizika m a b yt vypracovan y pl an realizace opatren eliminujcch tato rizika nebo alespo n v pevne dan em casov em horizontu redukujcch tato rizika na b ezn a nebo na zanedbateln a rizika Pro bezn a rizika m a b yt urcena odpovednost na urovni konkr etnch osob/rol za uplat nov an stanoven ych opatren eliminujcch tato rizika nebo redukujcch tato rizika na zanedbateln a rizika Zanedbateln a rizika maj b yt zvl adnuteln a (eliminovan a) rutinnmi provoznmi procedurami nebo maj b yt vedome prohl asen a za zbytkov a, tj. akceptovateln a rizika Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 10

Bezpecnostn mechanismy (bezpecnostn) opatren musme ucinnou formou implementovat vhodn ymi (bezpecnostnmi) mechanismy mechanismy administrativnho, technick eho, logick eho,... charakteru opatren resc probl em nepopiratelnosti { digit aln podpis mechanismus = asymetrick a kryptograe opatren resc rzen prstupu v souladu s prijatou politikou rzen prstupu mechanismus = fyzick e klce, idenkacn karty, biometriky,... opatren resc probl em d uv ernosti v souladu s prijatou politikou zajist en d uv ernosti mechanismus = sifrov an, trezory, smluvn z avazek (NDA),... Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 11

Bezpecnostn politika Politika rzen prstupu, politika zajist en d uv ernosti,... prklady souc ast bezpecnostn politiky, resp. politiky informacn bezpecnosti soubor pravidel specikujc ucinn y zp usob uplat nov an opatren (implementovan ych adekv atnmi mechanismy) potrebn ych pro dosazen pozadovan e urovn e akceptovateln ych rizik Bezpecnostn politika (BP) rk a co se chr an, proti cemu/komu { stanovuje bezpecnostn cle jak se ochrana uplat nuje { urcuje zp usob dosazen bezpecnostnch cl u pomoc uplat nov an opatren implementovan ych vhodn ymi mechanismy Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 12

Bezpecnostn politika Detailnost bezpecnostn politiky z avis na chr an en e oblasti, ve kter e je politika uplat novan a Bezpecnostn politika zav ad ejc p eci o bezpecnost informac v organizaci rozhodnutm vedenm organizace n ekolikastr ankov y dokument, prokazateln e schv alen y vedenm organizace vymezujc chr an enou oblast a z akladn bezpecnostn cle. Obvykl e n azvy { bezpecnostn politika, resp. celkov a / korpor atn bezpecnostn politka,... Bezpecnostn politika stanovujc uplat nov an konkr etnch opatren v konkr etnch syst emech v chr anen e oblasti je d uvern y obsazn y dokument. Obvykl e n azvy { pl an zvl ad an rizik, resp. bezpecnostn politka syst emu XXX, syst emov a bezpecnostn politika Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 13

Duv eryhodn a bezpecnostn politika 2 2 Duv eryhodnost je,,pevnym bodem" tvo r c m zaklad bezpe cnosti informac,,dejte mi pevny bod ve vesmı ru a ja pohnu celou Zemı.\ Archimed es, O zakonech paky Jan Staudek, FI MU Brno zen informacn PV017, R bezpecnosti, Koncept informacn bezpecnosti II 14

D uv eryhodn a bezpecnostn politika Jestlize se dodrzov anm bezpecnostn politiky prokazateln e dos ahne pozadovan e urovn e ochrany aktiv, je bezpecnostn politika d uv eryhodn a jak vypracovat bezpecnostn politiku, aby byla d uv eryhodn a? podmnka nutn a (nikoli vsak postacujc) pro vypracov an d uveryhodn e BP: 1. musíme znát a umět stanovit bezpečnostní cíle 2. musíme znát a umět zvolit a implementovat adekvátní opatření d uv eryhodnost, tj.,,mt moznost d uv erovat", predstavuje z aklad vesker e informacn bezpecnosti, ve vsech jejch aspektech Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 15

D uv era/d uv eryhodnost, jej predpoklady a z aruka D uv eryhodn e bezpecnostn politiky jednoznacn e stanovuj/popisuj stavy syst emu spr avn e zvl adaj reakce na bezpecnostn incidenty podle jednoznacn e stanoven ych pozadavk u na bezpecnost D uv eryhodn a bezpecnostn opatren (funkce, sluzby) prosazuj d uv eryhodnou politiku jsou implementov any spr avn e Za dosazenou urove n d uv eryhodnosti lze vyslovit (d at) z aruku akceptovateln a forma vysloven z aruky { auditn zpr ava vypracovan a d uv eryhodnou tret stranou pragmaticky nejvyss forma vysloven z aruky { certik at vydan y respektovanou (prp. legislativn e autorizovanou) autoritou certik at { dokument, kter y prokazuje n ejakou skutecnost... Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 16

D uv era/d uv eryhodnost, jej predpoklady a z aruka Z aruka (za bezpecnost) z aruku lze d at jen za to, co je r adne specikov ano { specikujeme pozadavky, bezpecnostn cle, bezpecnostn opatren { čím jsou specifikace přesnější, tím vyšší záruku lze vyslovit z aruku lze d at jen za to, co m a systematicky vypracov an n avrh { n avrh { urcen jak splnit specikace { čím jsou návrhy přesnější, jednoznačnější a (semi-)formálně ověřitelnější, tím vyšší záruku lze vyslovit z aruku lze d at jen za to, co je adekv atne implementov ano { Programy, technologick e syst emy,..., vse, co realizuje to, co bylo specikov ano a navrzeno { čím přesněji implementace odpovídají specifikacím a návrhu, tím vyšší záruku lze vyslovit Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 17

Modelov y prklad bezpecnostn politiky zaveden a v yukov a bezpecnostn politika nepovoluje podvod { ops an dom ac ulohy (plagi at) at' jiz s vedomm nebo i bez vedom autora origin alu politikou stanoven y bezpecn y stav (bezpecnostn cl) { nikdo nevlastn kopii dom ac ulohy jin eho studenta studenti si uchov avaj sv e dom ac pr ace na skolnm poctaci Alice soubor se svou dom ac ulohou neoznac jako chr anen y proti cten jinou osobou Bob ulohu opse Kdo se choval v rozporu s bezpecnostn politikou? Alice?? Bob?? oba? Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 18

Modelov y prklad bezpecnostn politiky Odpov ed { bezpecnostn politiku nedodrzel pouze Bob politika zakazuje opisov an dom acch uloh Bob opisoval syst em se dostal do jin eho nez bezpecn eho stavu, Bob vlastn kopii Aliciny ulohy Alice si svoji dom ac ulohu nechr anila proti cten To ale bezpecnostn politika to nepozadovala Alice nijak nenarusila denovanou bezpecnostn politiku Pokud by politika student um predepisovala povinnost chr anit sv e dom ac ulohy pred ops anm, pak by Alice bezpecnostn politiku porusila Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 19

Vybran e m yty a nekter a dals fakta Vybran e m yty o n ekter ych bezpecnostnch n astrojch Nepopiratelnost (Non-repudiability) zajist pouzit digit alnch podpis u Hrozba kr adeze identity (Identity Theft) ve sv et e budovan em na b azi IT je a bude cm d al vce bude zdrojem nejv yznamejsch rizik N ekter a dals fakta o charakteru nastupujcch hrozeb Men se charakter utok u veden ych na IT { Dos ahlo se racion aln zvl adnut ochran proti fyzick ym utok um (ztr ata energie, propojen, dat... ) { Jakz takz se postupne zvl adaj ochrany proti syntaktick ym utok um (buer overow, command injection, protokolov e dry,... ) { Zacn a rychl y n ar ust s emantick ych utok u ( utok u clen ych na to, jak lid e ch apou obsah) Slozitost skladby IT n astroj u exponenci aln e roste M en se zranitelnost aplikac po prevodu do st'ov eho prostred,... Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 20

Hrozba s emantick ych utok u V yznamn e riziko dky,,prost'ov an"sv eta Lid e maj tendenci verit tomu co ctou na potvrzov an v erohodnosti,,nen cas" lid e jsou casto ob etmi chybn ych/falsovan ych statistik, legend a podvod u Podfuk se s velkou pravd epodobnost rozsr st'ov ym prostredm extr emn e rychle Komunikacn m edia se pouzvaj pro sren v erohodn ych stupidnost jiz po celou vecnost Soucasn e- a blzko-budouc poctacov e st e spust en takov ych utok u usnad nuj a zpr avy diseminuj extr emn e rychle digit aln podpisy, autentizace, integritn opatren... sren podfuk u nezabr an { s emantick e utoky jsou vedeny na HCI, nejm en e bezpecn e rozhran Internetu Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 21

Hrozba s emantick ych utok u, 2 Pouze amat er utoc na poctace a software Profesion al utoc na lidi ochrana proti s emantick ym utok um mus b yt clen a na soci aln resen, ne na matematicko-logick a (a technick a) resen Nastupuje fenom en kybernetick eho prostoru, je nutn e fenom en informacn bezpecnosti rozsrit na fenom en kybernetick e bezpecnosti Ke konceptu kybernetick eho prostoru a kybernetick e bezpecnosti se v uvodu jeste vr atme Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 22

Principy e-comm usnad nujc devastujc podvody Snadnost automatizace proces u stejn a automatizace, kter a cinn e-comm efektivn ejs nez klasick y byznys, zefektiv nuje i prov ad en podvod u podvod vyzadujc vynalozen destek minut casu v paprov em syst emu lze snadno prov est,,na jedno kliknut" resp. lze snadno jej periodicky opakovat principem 24 7 singul arn podvod s nzkou skodou ignorovateln y v paprov em syst emu m uze b yt hrozbou s velk ym rizikem v e-comm syst emu Izolovanost jurisdikce v mstech zdroje a cle utoku Geograe v elektronick em svete nehraje z adnou roli Utocnk nemus b yt fyzicky blzko syst emu, na kter y utoc. Utocit m uze ze zeme, { kter a,,nevyd av a zlocince", { kter a nem a adekv atn policejn apar at, { kter a nem a potrebn e pr avn z azem vhodn e ke sth an,... Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 23

Principy e-comm usnad nujc devastujc podvody, 2 Rychlost sren,,prost'ovan ym sv etem" pad elatel paprov ych pen ez monet arn syst em nezdevastuje { sirok a diseminace padelatelsk eho n astroje je nere aln a, { rychl e sren padelk u je obtzn e zpr ava jak podv est siroce pouzvan y e-comm syst em,,diseminovan a Internetem" (prp. s pripojen ym adekv atnm softwarov ym n astrojem) umozn,,si vhodn e kliknout"statisc um lid b ehem n ekolika dn { znalost jak podv est zskal 1 clov ek, utocit mohou statisce lid Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 24

D uv eryhodnost nepopiratelnosti, co je to digit aln podpis? Predpoklad mnoha soucasn ych pr avnch norem: D uv eryhodnost digit alnho podpisu je alespo n takov a jako d uv eryhodnost rukopisn eho podpisu Spl nuje digit aln podpis tento predpoklad? Form aln e pouzit y matematick y (kryptologick y) z aklad je vyhovujc S emanticka aktu digit alnho podpisu predpokladu nevyhovuje Predpoklad soucasn ych pr avnch norem: Alicin podpis dokumentu indikuje odsouhlasen jeho obsahu Alic D uv eryhodnost podpisu se zesiluje podpisem u not are Z digit alnho podpisu Alice nem uze soudce odvodit, ze Alice dokument vid ela Alice v z adn em prpade nepoctala podpis = dokument P Kmod n, v ypocet Alicina podpisu,,dokumentu"(kter eho???) d elal jej poctac Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 25

D uv eryhodnost nepopiratelnosti, co je to digit aln podpis?, 2 v ypocet Alicina podpisu,,dokumentu"d elal jej poctac Alice mus mt d uveru v to, ze jej aplikacn syst em podpisuje dokument, kter y j prezentuje (probl em trojsk ych ko n u) Alice mus mt d uveru, ze v jejm poctaci nikdo neodchyt av a jej PK { uchov an PK v bezpecn em modulu (karta) neres probl em podvrzen falesn eho dokumentu trojsk ym kon em M a-li b yt d uveryhodn y Alicin podpis dokumentu, mus b yt d uv eryhodn y Alicin poctac podpisujc dokument Nelze se spol ehat pouze na matematiku pro dosazen bezpecnosti vysok e riziko predstavuje d uv eryhodnost pouzit eho hardw./softw. Digit aln podpis Alice vypovd a pouze o tom, ze v dobe podpisov an byl pouzit y Alicin PK Digit aln podpis nic nerk a o tom, ze Alice podepsala dokument, kter y videla pri podpisov an Zad an pro budoucno { jak zajistit, ze Alicin poctac bude nezfalsovateln y (tamperproof ) Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 26

Hrozba enormnho n ar ustu slozitosti a rozsahu Enorm e nar ust a slozitost vnitrnch algoritm u (j adra) OS pocty instrukc spotrebovan ych ve Windows pri Zasl an zpr avy mezi procesy: 6K { 120 K podle pouzit e metody Vyvtoren procesu: 3M Vytvoren vl akna: 100K Vytvoren souboru: 60K Vytvoren semaforu: 10K { 30K Nahr an DLL knihovny: 3M Obsluha prerusen/v yjimky: 100K { 2M Prstup do syst emov e datab aze Registry: 20K... Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 27

Proc se zav ad syst em rzen informacn bezpecnosti Ctyri hlavn d uvody, proc organizace mus zajist'ov an informacn bezpecnosti manazersky rdit Urcuje tak pro organizaci z avazn a strategie, vl ada, matersk a organizace, spr avn rada,... rozhodla, ze v kontextu vseobecn ych podnikatelsk ych rizik je nutn e informacn bezpecnost spravovat (rdit) l epe Je nutn e, aby z akaznci/dodavatel e organizaci d uv erovali, je potreba z akaznk um ci dodavatel um demonstrovat, ze organizace pouzv a ty nejleps praktiky rzen informacn bezpecnosti existuje sance zskat konkurencn v yhodu Vyzaduj to z akonn e predpisy person aln soukrom, ochrana dat, nespr avn e pouzv an poctace Je nutn e vylepsit vnitrn efektivnost rzen IT Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 28

Syst em rzen informacn bezpecnosti, ISMS Pro efektivn rzen InSec mus organizace aplikovat adekv atn syst em manazersk eho resen Information Security Management System, ISMS souc ast celkov eho syst emu rzen organizace cl: na z aklad e pozn ani podnikatelsk ych rizik vybudov an, implementace, provozov an, monitorov an, prezkoum av an, udrzov an a vylepsov an InSec pripome nme pojem InSec, informacn bezpecnost: zabezpecen d uv ernosti, integrity a dostupnosti informacnch aktiv skladba: organizacn struktura, politiky, pl anovac cinnosti, odpov ednosti, praktiky (obvykl e metody), procedury, procesy, zdroje Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 29

Syst em rzen informacn bezpecnosti, ISMS Hardwarov a / softwarov a,,pultov a"resen individu alnch probl em u informacn bezpecnosti jsou nedostatecn a Rychle se mnoz st ale komplexn ejs, propracovan ejs a glob aln ejs hrozby pro informacn bezpecnost dky rozvoji technologi Roste pocet pozadavk u na vyhov en regulacnm opatrenm v oblasti zpracov an informac a zachov av an soukrom Resen: v organizaci mus fungovat, jako souc ast celkov eho syst emu rzen organizace, syst em rzen informacn bezpecnosti, ISMS syst em proces u zameren y na ustaven, zav aden, provozov an, prosazov an, monitorov an, prezkoum av an, udrzov an a zlepsov an informacn bezpecnosti zalozen y na prstupu organizace k rizik um v kontextu informacn bezpecnosti Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 30

Syst em rzen informacn bezpecnosti, ISMS ISMS reprezentuje ucelen y strukturovan y prstup k rzen InSec Navrhuje se tak, aby se postaral o efektivn interakci tr b azov ych komponent implementace InSec procesy (procedury) technologie chov an uzi vatel u N avrh a implementace ISMS mus vych azet z potreb a cl u, bezpecnostnch pozadavk u, organizacnch proces u, velikosti a struktury organizce nejde o jednor azov e, vsepokr yvajc resen ISMS mus b yt sk alovan y podle potreb organizace Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 31

Syst em rzen informacn bezpecnosti, ISMS Syst em rzen informacn bezpecnosti mus b yt prim eren y a sit y na mru konkr etn organizaci Politiky, procesy, procedury ISMS mus odr azet styl a kulturu organizace Prijat e procesy a procedury do ISMS mus odr azet v ysledky ohodnocen rizik. I kdyz n ekter a rizika jsou generick a pro vce organizac, jejich osetren b yv a vhodn e ust na mru konkr etnmu prostred organizace Politik am, proces um, procedur am ISMS mus organizace rozum et, nejl epe se jim porozum podlenm se na jejich v yvoji Politiky, procesy, procedury mus b yt aktu aln, hrozby bezpecnosti informac nar ustaj soucasn e s rozsirov anm a inovacemi IT organizace Soucasn a,,top"technologie budov an ISMS je denovan a standardem ISO/IEC 27001:2013 Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 32

Ekonomick y pohled { fakta Vybudovat si vlastn t ym zajist'ujc a prosazujc informacn bezpecnost je n akladn y a dlouhodob y proces. Aplikace strukturovan ych inzen yrsk ych postup u pri zabezpecov an IT se proto cm d al sreji uplat nuje jako samostatn y byznys. Na trhu outsourcingu informacn bezpecnosti popt avka prevysuje kvalitn nabdku, kupovat si informacn zabezpecov an jako sluzbu proto nen levn e. Mnoho rem a organizac si proto zabezpecov an d el a, v lepsm prpad e amat ersky vlastnmi silami, citem, v horsm prpad e myln e predpokl ad a, ze ochranu jejich zdroj u zajist v yrobce dodan eho software a hardware (a nebo p anb uh). Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 33

Tri cesty k zajist en informacn bezpecnosti Pro obhospodarov an citliv ych aktiv existuj 3 moznosti: A. Vytvorit v organizacn strukture alespo n na manazersk e urovni roli bezpecnostnho manazera a informacn bezpecnost zajistit outsourcingem pod jeho rzenm. B. Vytvorit v organizacn strukture bezpecnostn infrastrukturu a t ym schopn y pln e prosazovat informacn bezpecnost sv ymi silami. C. Nechat si bezpecnost IT zajist'ovat mnohdy i velmi iniciativn e vnitrnmi silami p usobcmi bez systematicky rzen eho veden vhodnou politikou, casto majoritn e motivovan ymi snahou prok azat sv e vlastn dokonalosti.!!! The road to hell is paved with good intentions!!! V enov an bezpecnosti IT pouze tolik energie, kolik je nutn e pro v yber,,bezpecn eho" software, cestu do pekel jen zkr at. Nic jin eho se tm nedos ahne. Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 34

Epiloque uvah zajist'ov an informacn bezpecnosti Z pohledu rzen organizace pomoc IT pesimismus nen na mst e Informacn bezpecnost v organizaci v yrazn e podpor politika informacn bezpecnosti a syst em rzen informacn bezpecnosti r adn e vypracovan a a systematicky prosazovan a politika, politika s kvalitou odpovdajc v ysi potenci alnch skod politika periodicky auditovan a z hlediska jejho dodrzov an a ucinnosti politika periodicky upres novan a podle v ysledk u auditu politika vypracovan a v uzk e n avaznosti na ostatn politiky organizace tak, aby byla zarucen a adekv atn kontinuita pln en cl u organizace i pri selh an n ekter ych ochran informacn bezpecnosti Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 35

Rekapitulace { co d elat pro zajist en InfSec Ohodnocen rizik mus se zn at akceptovateln a rizika musi se zn at kter e hrozby predstavuj neakceptovateln a rizika proti takov ym hrozb am se mus organizace br anit aplikac vhodn ych opatren Clem ohodnocen rizik je denovat opatren chr anc informacn aktiva pred zn am ymi hrozbami Opatren bud'to hrozby preventivn e eliminuj nebo snizuj zranitelnost aktiv nebo zamezuj prstupu utocnk um nebo um detekovat napaden aktiva a obnovit jeho stav pred utokem Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 36

Rekapitulace { co d elat pro zajist en InfSec Anal yza infrastruktury aby bylo mozn e ud elat hodnocen rizik, je treba analyzovat informacn syst emy zahrnut e do ochran, odhalit v nich zraniteln a msta a potenci aln utocnky je nutn e odhalit zranitelnosti vyuziteln e zn am ymi hrozbami je vhodn e pouzvat IDS (syst emy detekce pr uniku) pro odhalov an utok u, ke kter ym doch az v re aln em case je vhodn e detekovat dosud nezn am e utoky, tzv.,,zero day" utoky, tj, prsl. aktivity oznacovat jako,,divn y"nebo,,neobvykl e" efektivn je monitorov an server u a kritick ych infrastruktur, kontrolovat logy rewall u a kritick ych aplikac,... odhalen zranitelnost patr mezi prvn kroky pri hled an rizik Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 37

Rekapitulace { co d elat pro zajist en InfSec Rozpocet zabezpecov an vzdy je determinovan y profesnm (byznys) modelem organizace resit rozpocet z roku na rok nen prlis moudr e reaktivn resen bezpecnosti je chybn e, proaktivn je spr avn e Silnou roli hraj politika, procedury reakc na bezpecnostn incidenty DRP, Disaster Response Plan, havarijn pl an { co delat po katastrofe Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 38

Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 39

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář