Tonda Beneš Ochrana informace podzim 2017

Podobné dokumenty
Tonda Beneš Ochrana informace podzim 2011

BEZPEČNOST IS. Ukončení předmětu: Předmět je zakončen zkouškou sestávající z písemné a doplňkové ústní části.

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

srpen 2008 Ing. Jan Káda

Security of Things. 6. listopadu Marian Bartl

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

Typy bezpečnostních incidentů

Implementace systému ISMS

Bezpečnost intranetových aplikací

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Fyzická bezpečnost. Bezpečnost informací v ČR. Ing. Oldřich Luňáček, Ph.D. oldrich.lunacek@unob.cz

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

VODÍTKA HODNOCENÍ DOPADŮ

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Bezepečnost IS v organizaci

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

KYBERNETICKÁ A INFORMAČNÍ VÁLKA

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Ochrana před následky kybernetických rizik

Bezpečnostní politika informací v ČSSZ

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Řízení kybernetické a informační bezpečnosti

BEZPEČNOST INFORMACÍ

Politika bezpečnosti informací

CISCO CCNA I. 8. Rizika síťového narušení

ODEMČENÉ DVEŘE PRŮZKUM UKAZUJE, ŽE TISKÁRNY ČASTO BÝVAJÍ NEZABEZPEČENÉ PROTI KYBERNETICKÝM ÚTOKŮM

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

Aplikovaná informatika

Informatika / bezpečnost

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc

1. KYBERNETICKÁ BEZPEČNOST

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Tel.: (+420)

VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Systém řízení informační bezpečnosti (ISMS)

Provozování integrovaného podnikového systému. Jaroslav Šmarda

Bezpečnostní politika společnosti synlab czech s.r.o.

Zákon o kybernetické bezpečnosti

V Brně dne 10. a

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. Některé aspekty kybernetické kriminality

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

VÝZNAM BEZPEČNOSTI MOBILNÍCH PLATFOREM JDE RUKU V RUCE S ROSTOUCÍ POPULARITOU SMARTPHONŮ

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Technická a organizační opatření pro ochranu údajů

Politika bezpečnosti informací

Aplikovaná informatika

DVAKRÁT MĚŘ A JEDNOU ŘEŽ

Security Expert Center (SEC)

Bezpečnost na internetu. přednáška

Koordinační středisko pro resortní zdravotnické informační systémy. Závěrečný test Základy informační bezpečnosti pro uživatele. Verze: 1.

Security. v českých firmách

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Směrnice upravující eliminaci rizik při správě osobních údajů technicko-organizační opatření

Provozní hlediska systémového auditu v aplikacích a systémech

Security. v českých firmách

Všeobecné podmínky systému JOSEPHINE

Hospodářská informatika

POPIS CSIRT. Státní pokladna Centrum sdílených služeb, s. p. Vlastník dokumentu: Datum poslední aktualizace:

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o.

Organizační opatření, řízení přístupu k informacím

VYHLÁŠKA ze dne o hlášení bezpečnostních a provozních incidentů osobami oprávněnými poskytovat platební služby

Úvod - Podniková informační bezpečnost PS1-1

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Technologie pro budování bezpe nosti IS technická opat ení.

DŮVODOVÁ ZPRÁVA. Jednání Zastupitelstva městské části Praha Zbraslav. číslo: 20 Dne: Zpracovatel: OKT

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

Životní cyklus rizik - identifikace.

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

OCTAVE ÚVOD DO METODIKY OCTAVE

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

CYBER RISK POJIŠTĚNÍ POHLEDEM POJIŠŤOVACÍHO MAKLÉŘE

EBA/GL/2015/ Obecné pokyny

Certifikace pro výrobu čipové karty třetí stranou

Projektové řízení a rizika v projektech

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL

vnější profesionál vnitřní profesionál organizace opakuje podsouvá

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

Kybernetické bezpečnostní incidenty a jejich hlášení

SECTRON s.r.o. Výstavní 2510/10, Ostrava - Mariánské Hory , sales@sectron.cz

Počítačové a informační právo

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

DOPORUČENÍ NÚKIB. k ustanovení 10a zákona o kybernetické bezpečnosti a utajení informací podle zákona o ochraně utajovaných informací

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Jan Hřídel Regional Sales Manager - Public Administration

Návrh VYHLÁŠKA. ze dne 2014

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

Bezpečnostní politika společnosti synlab czech s.r.o.

Transkript:

Literatura http://www.obluda.cz/iprednasky/index.html ISO17799 ITILv3 ISO2700x PFLEEGER, "Security in Computing", Prentice-Hall, 1989 JACKSON, HRUSKA, "Computer Security Reference Book", Butterworth- Heineman, 1992 RUSSELL, GANGEMI, "Computer Security Basics", O'Reilly&Associates, 1991 SCHNEIER, "Applied Cryptography", John Wiley & Sons, 1994 PŘIBYL, "Ochrana dat v informatice", scriptum ČVUT, 1993 Frequently Asked Questions About Today's Cryptography, http://www.rsasecurity.com/rsalabs/faq/index.html k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky přednášené v konkrétním semestru 1 / 7

Zcela základní pojmy Informačním systémem(is) rozumíme soubor technických prostředků, softwaru a jeho konfigurací, záznamových medií, postupů, dat a personálu, který daná organizace používá ke správě svých informací. Korektní stav IS odpovídá situaci, kdy systém je schopen v definovaném rozsahu poskytovat zajišťovat všechny požadované vlastnosti zpracovávaných informaci, či poskytovaných služeb, například: o utajení o dostupnost o integrita o nepopiratelnost o včasnost o současnost o autenticita o anonymita o pseudonymita o Uvedený výčet není v žádném případě vyčerpávající, nebo reprezentativní. Výběr služeb vždy individuální Bezpečnostní incident je stav, kdy došlo k (potenciálnímu) porušení alespoň jedné z požadovaných vlastností. Pravidla hry Vlastník IS buduje spoustu mechanismů tzv. bezpečnostních protiopatření pro zabránění vzniku incidentu Základní princip ochrany výpočetních systémů. O peníze jde až v první řadě. Chráněné objekty mají svoji cenu, pro kterou jsou chráněny. Cena může být různá pro majitele a útočníka. Ochrana není, ani přibližně, zadarmo. Princip nejsnazšího průniku. Je třeba očekávat, že útočník použije libovolný způsob průniku. Fanatismus nepřináší dobré výsledky k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky přednášené v konkrétním semestru 2 / 7

Bezpečnost je souboj mezi zdroji (čtěte penězi, znalostmi, důvtipem,..) útočníka a zdroji provozovatele systému. Kdo jich má víc, pravděpodobně zvítězí. Proč se tato hra hraje Základem úspěchu je uvědomit si, proč chceme dosáhnout bezpečnosti víra v právo na o soukromí o ochranu osobnosti o listovní tajemství o obchodní tajemství o právo se bránit nedůvěra v o státní moc o obchodní partnery o okolí povinnosti o legislativa o závazky (smlouvy, sliby, ) O co se hraje Ve skutečnosti by se mělo hrát o myšlenky tj. informace, zpravidla se ovšem opatření soustředí na jejich technickou reprezentaci Informační systém je tvořen souborem tzv. aktiv. Jejich společným cílem je poskytovat vám služby v požadované kvalitě. Mezi aktiva patří mimo jiné: o záznamová media o počítače o tiskárny o programy o konfigurace o vlastní informace o sklad spisů o napájení o komunikační linky o administrátoři o uživatelé o zálohy o provozní prostory o... Svůj soupis aktiv si každý musí provést sám. Váš útočník hledá expozici tj. místo potenciálního poškození. Zranitelností rozumíme nedostatek bezpečnostního systému, může být použit k narušení některé z definovaných vlastností systému. k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky přednášené v konkrétním semestru 3 / 7

Př: Data o novém výrobku jsou z pohledu útočníka expozicí, když si naplánuji, že je budu svým pobočkám posílat nešifrované majlem, je to zjevná zranitelnost. Bezpečák by měl vidět samé hrozby tj. skutečnosti, které potenciálně mohou být původci bezpečnostního incidentu. Zdaleka nejstrašnější hrozbou jsou vlastní uživatelé. Kromě nich sem patří ještě: o povodně a záplavy o požáry o zloději o rozvědky o konkurence o hackeři o vandalové o nešikové s bagrem o viry a červi o závady techniky o výpadky napájení o teplota o vlhkost o vibrace o soud o... Přehled relevantních hrozeb si musí každý sestavit sám. Někdy se tomu učeně říká model ohrožení. Cíl hry Cílem překvapivě není zbavit se útočníka, ani eliminovat všechny potenciální incidenty - prostě proto, že se to nevyplatí. Naplněním hrozby vznikne bezpečnostní incident jehož finančnímu vyjádření se říká dopad. Rozsah hrozeb spolu s pravděpodobností jejich realizace udává celkovou míru rizika. Riziko vztažené k určitému období = očekávaná ztráta. Cílem najít místo, kde se bezpečnostní opatření přestávají vyplácet. Nevyloučili jsme zcela riziko incidentu zbylo zbytkové riziko k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky přednášené v konkrétním semestru 4 / 7

Stav, kdy vám někdo nebo něco prostřelilo bezpečnostní opatření, je nutno brát jako další z provozních režimů IS. Takže shrnuto: cílem je minimalizovat celkové náklady na provoz: Investice Provozní náklady Očekávané ztráty za sledované období. Jak na to Rozsah pokrytí politiky tzn. co a proti čemu to má chránit seznam aktiv uvažované hrozby Požadavky na bezpečnost Je řada důvodů, proč vytvářet bezpečnostní opatření o zákonné požadavky o dosažení provozní kontinuity o obecné standardy o požadavky protistrany o resortní normy o zajištění konkurenčních výhod o ochrana obchodního tajemství o... Okruh možných řešení Pomoci může celá řada technických norem a certifikátů Plán Potřebujete bezpečnostní politiku. zde se naplánuje, jak budete řešit všechny oblasti bezpečnosti, kdo je za co zodpovědný a jak to budete implementovat a provozovat. Realizace a provoz Praktické realizace, následně provoz, monitorování, aplikace změn, verifikace, auditu atd. atp. k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky přednášené v konkrétním semestru 5 / 7

Krok stranou Bezpečnost je naprosto netriviální propletenec povětšinou velmi triviálních záležitostí. Obrázek je namalován před zhruba čtyřmi lety podle průzkumu který činil Národní Bezpečnostní Úřad ve spolupráci s časopisem DSM a společnosti PriceWaterhouseCoopers. Možné hrozby 1. přerušení - některá část systému je ztracena nebo nedosažitelná 2. zachycení - neautorizovaný subjekt získá přístup k nějakému objektu systému 3. modifikace - neautorizovaný subjekt získá možnost pozměňovat některé části systému 4. fabrikace - neautorizované vytvoření nového objektu 5.... 6. obecně narušení některé z požadovaných vlastností systému Zdroje ohrožení 1. vyšší moc (požár, povodeň, zemětřesení, blesk, ) 2. závady technického zařízení 3. neúmyslné lidské chyby 4. záměrné útoky Klasifikace možných útočníků klasifikovat lze dle mnoha kriterií, zejména dle I. způsobu, jak se projeví způsobená škoda A. ztráta integrity B. ztráta dosažitelnosti C. ztráta autenticity II. druhu způsobené ztráty A. neautorizované použití služeb B. přímá finanční ztráta k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky přednášené v konkrétním semestru 6 / 7

C. fyzické poškození, vandalismus III. role, kterou výpočetní technika hraje v tomto konání A. objekt útoku B. nástroj C. prostředí D. symbol IV. použitých prostředků A. opisování údajů B. špionáž C. vkládání falešných dat D. krádež E. odposlech F. scanování, prohledávání - kupříkladu hledání hesel zkoušením, hledání tfn. linek, které vedou k počítači, G. piggybacking, tailgating - útočník se snaží projít vstupní kontrolou zároveň s autorizavanou osobou, nebo pokračovat v započaté session H. trojské koně - programy, vykonávající skrytou funkci I. viry J. trapdoors - skryté vstupy do systému, utajené příkazy umožňující přeskočit některé části procesu K. logické bomby - části kódu spouštěné výskytem určitých okolností - čas, dosažený obrat, stav systému L. salami attack - využívání zaokrouhlovacích chyb, drobné úpravy na hranici přesnosti zpracovávaných dat M. prosakování dat N. pirátství k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky přednášené v konkrétním semestru 7 / 7

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář