Bezpečnost IS. Základní bezpečnostní cíle



Podobné dokumenty
Bezepečnost IS v organizaci

Informatika / bezpečnost

V Brně dne 10. a

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Bezpečnost informačních systémů

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní normy a standardy KS - 6

EXTRAKT z české technické normy

Tel.: (+420)

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Úvod - Podniková informační bezpečnost PS1-2

V Brně dne a

Předmět úpravy. 2 Způsob dokládání splnění povinností stanovených v 6 zákona o elektronickém podpisu

Bezpečnostní politika společnosti synlab czech s.r.o.

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Y36PSI Bezpečnost v počítačových sítích. Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Penetrační testy OSSTMM. Jaromír Vaněk ICQ: Jabber:

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Není cloud jako cloud, rozhodujte se podle bezpečnosti

dokumentaci Miloslav Špunda

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o.

Aplikovaná informatika

Metodický list č.1. Vladimír Smejkal: Grada, 1999, ISBN (a další vydání)

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Penetrační testy. Pohled na vaši síť očima hackera. Ing. Jan Pawlik IT Security Specialist

Autentizace uživatelů

Technické aspekty zákona o kybernetické bezpečnosti

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Úvod do bezpečnosti IS

Management informační bezpečnosti. V Brně dne 26. září 2013

ISSS Mgr. Pavel Hejl, CSc. T- SOFT spol. s r.o.

Zákon o kybernetické bezpečnosti: kdo je připraven?

Bezpečnost na internetu. přednáška

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

Nástroje IT manažera

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

srpen 2008 Ing. Jan Káda

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Masarykova střední škola zemědělská a Vyšší odborná škola, Opava, příspěvková organizace

ČESKÁ TECHNICKÁ NORMA

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb.

PV157 Autentizace a řízení přístupu

ELEKTRONICKÝ PODPIS V PODNIKOVÝCH APLIKACÍCH. Tomáš Vaněk ICT Security Consultant

Informační bezpečnost. Dana Pochmanová, Boris Šimák

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Řízení rizik. RNDr. Igor Čermák, CSc.

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Digitální podepisování pomocí asymetrické kryptografie

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

I.CA RemoteSeal. Ing. Filip Michl První certifikační autorita, a.s

Technická komise ISO/JTC1/SC 27 Technická normalizační komise ÚNMZ TNK 20

Systém řízení informační bezpečnosti (ISMS)

Zákon o kybernetické bezpečnosti

Organizační opatření, řízení přístupu k informacím

Důvěryhodná výpočetní základna -DVZ

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

Nástroje IT manažera

Obsah. Příloha č. 2: Standardy a doporučení Verze:

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Adware ENISA. Aktivní kybernetická obrana. Aktivum. Analýza hrozeb. Analýza počítačového viru. Antispamový filtr. Antivirový program

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Směrnice upravující eliminaci rizik při správě osobních údajů technicko-organizační opatření

12. Bezpečnost počítačových sítí

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

Směry rozvoje v oblasti ochrany informací KS - 7

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

Bezpečností politiky a pravidla

KLASICKÝ MAN-IN-THE-MIDDLE

Správa přístupu PS3-2

Šifrování. Tancuj tak, jako když se nikdo nedívá. Šifruj tak, jako když se dívají všichni! Martin Kotyk IT Security Consultnant

Certifikace pro výrobu čipové karty třetí stranou

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Technologie počítačových komunikací

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Cyber Security GINIS. Ing. Igor Štverka GORDIC spol. s r. o.

6. Bezpečnost IS. Osnova. Výklad

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

Digitální podepisování pomocí asymetrické kryptografie

ČESKÁ TECHNICKÁ NORMA

Transkript:

Bezpečnost IS Informační bezpečnost ochrana informace a uchování bezpečnostních atributů informace Důvěrnost, Integrita, Dostupnost, Autentičnost, Spolehlivost? Informace představují majetek s určitou hodnotou a musí se chránit před neoprávněným přístupem, zsizením, zfalšováním a zneužitím, vyzrazením, zablokováním přístupu opravněným subjektům Bezpečnostní politika Základní dokument informační bezpečnosti Bezpečnostní politika IS/IT Je to soubor technických, administrativních opatření a postupů sloužící k udržení definovaného zabezpečení Vztahuje se na IT, lidé, data Systém řízení informační bezpečnosti ISMS Information Security Management System Analýza rizik Klíčový krok ve výstavbě ISMS Základní bezpečnostní cíle Co nastane, když nebudou informace chráněny? (dopad) Jak může být bezpečnost informací porušena? (zranitelné místo, hrozba) Jaká je pravděpodobnost, že to nastane? (míra rizika) Zachování důvěrnosti informace Zachování integrity informace Zachování dostupnosti informace Zajištění autenticity informace Zajištění spolehlivosti informace Zajištění prokazatelnosti původu informace Zajištění prokazatelnosti převzetí informace Zranitelné místo vlastnost IS, nějaká nedokonalost (neexistuje IS bez zranitelných míst) Výskyt: v HW, v SW, v provozním prostředí, v lidech Cíl AR odhalení zranitelných míst, určení přijatelné míry rizik, určení způsobu, jak rizika udržet na přijatelné úrovni Hrozba možnost využít zranitelné místo Riziko pravděpodobnost využití zranitelného místa Útok úmyslné, nebo neúmyslné využití zranitelného místa Přerušení, Odposlech, Změna, Padělání zfalšování. Dopad důsledek útoku vyjádřený v určité hodnotě (zpravidla finanční) Objekt IS pasivní entita IS, obsahuje nebo přijímá informace Subjekt IS aktivní entita IS autorizovaná k manipulaci s informací Bezpečnostní funkce opatření k dosažení bezpečnostního cíle

Bezpečností mechanismus prostředek, nebo nástroj k dosažení bezpečnostního cíle K dosažení bezpečnostního cíle je nutné zvolit vhodnou bezpečnostní funkci, ta se zajistí vhodným bezpečnostním mechanismem. Typy bezpečnostních opatření podle času uplatnění preventivní, detekční, opravné (zálohy), kontrolní (monitoring), zastrašovací (podniková ustanovení, zákonná opatření) podle způsobu implementace fyzické (zámky, trezory...), HW (identifikační karty, ), SW, administrativní (směrnice, předpisy) Implementace bezpečnostních mechanismů Kryptografické systémy, firewally, monitorovací a auditní systémy, digitální podpis,... Postup při provádění Analýzy rizik Identifikace a ocenění aktiv, Nalezení zranitelných míst, Odhad rizik, Stanovení nepřijatelných a přijatelných rizik, Stanovení očekávaných ročních ztrát Systémová bezpečnostní politika (SBP) vychází z celkové bezpečnostní politiky, zahrnuje technickou složku a administrativní složku Součástí je Plán obnovy, Havarijní plán Monitoring a audit průběžné a následné sledování účinnosti informačního bezpečnostního systému. Standardy vznikají na mezinárodní úrovni v ISO (International Organization for Standardization) a IEC (International Electrotechnical Commision) Na státní úrovni ÚNMZ - Úřad pro technickou normalizaci, metrologii a státní zkušebnictví 27000 Series of Standards ISO/IEC 27k jednotná koncepce normalizace informační bezpečnosti Bezpečnostní domémy Bezpečnostní politika, Organizace bezpečnosti, Klasifikace a řízení aktiv, Personální bezpečnost, Fyzická bezpečnost a bezpečnost prostředí, Řízení komunikací a řízení provozu, Řízení přístupu, Vývoj a údržba systému, Management bezpečnostních událostí Řízení přístupu kategorie Požadavky na řízení přístupu řídit přístup k informacím měl by být řízen na základě provozních a bezpečnostních požadavků Řízení přístupu uživatelů předcházet neoprávněnému k informačním systémům měli by existovat formální postupy pro přidělování uživatelských práv Odpovědnosti uživatelů předcházet neoprávněnému uživatelskému přístupu Řízení přístupu k síti politika užívání síťových služeb, princip oddělení v sítích, Řízení přístupu k OS Systém správy hesel, Časové omezení spojení,... Řízení přístupu k aplikacím Monitorování přístupu k systému a jeho použití Mobilní výpočetní prostředí a práce na dálku.

Common Criteria TOE Target of Evaluation produkt/systém, který je předmětem hodnocení PP Protection Profile dokument, který identifikuje bezpečnostní požadavky pro třídu bezpečnostích zařízení ST security target dokument identifikující bezpečnostní vlastnosti TOE SFR Security Functional Requirements - identifikuje jednotlivé bezpečnostní funkce, které by měl TOE zajistit. SAR Security Assurance Requirements udává míru zajištění souladu s požadovanými bezp. Požadavky EAL Evaluation Assurance Level vyjádření stupně hloubky a rozsahu evaluace Úrovně záruk EAL1 EAL4 1. Funkčně testováno poskytuje jistou míru důvěry... 2. Strukturovaně testováno nezávislé testování... 3. Metodicky testováno a kontrolováno maximální záruky 4. Metodicky navrženo, testováno a kontrolováno Kryptografické systémy Symetrické Asymetrické DES (Data encryption standard) IDEA (International Data Encryption Algorithm) RC2 a RC4 RSA (Rivest Shamir Adleman) DSS EC HASH algoritmy MAC MD5 SHA 1 Digitální podpis Složky zajišťující digitální podpis asymetrické kryptografické systémy, hash funkce, správa veřejných klíčů, certifikační autorita Digitální podpis zabezpečuje integritu podepsané zprávy, autentičnost zprávy Automatizovanou správu veřejných klíčů zajišťuje PKI Public Key Infrastucture Funkce CA registrace uživatelů certifikátů, vydávání certifikátů k veřejným klíčům, odvolávání platnosti certifikátů, odebírání platnosti certifikátů,...

Bezpečnost sítí Distribuované systémy IS jsou provozovány v síťové infrastruktuře na autonomních systémech. Bezpečnost DIS (distribuovaný systém) bezpečnost komunikačních procesů Lokální uživatel interakce s produktem pomocí jeho vlastních prostředků Vzdálený uživatel - interakce s produktem pomocí jiného produktu Autorizovaný uživatel uživatel oprávněný provést určitou operaci Role předdefinovaná sada pravidel určující povolené interakce pro jejich zabezpečení. Model ISO/OSI Aplikační, prezentační, relační, transportní, síťová, datových spojů, fyzická Bezpečnostní služby Služby pro autentizace ověření identity Služby pro řízení přístupu autorizace Služby pro zajištění důvěrnosti ochrana informace před neautorizovaným odhalením Služby pro zajištění integrity Služby pro nepopíratelnost zodpovědnosti služba zajišťující možnost dokázat přijetí/odeslání zprávy Bezpečnostní mechanizmy vhodné pro implementaci bez. funkcí Kryprografická ochrana důvěrnosti, Kryptografická ochrana integrity, Systém řízení přístupu, krypt. Autentizace, elektronický podpis, Bezpečná komunikace důvěra v partnera s kterým komunikuji, že není odposlouchávána zpráva, že není změněna,. Služby důvěryhodných třetích stran TTP poskytují bezp, služby kterým lze důvěřovat. In-line TTP leží přímo v komunikačním kanále mezi dvěma entitami. On-line TTP neleží přímo v komunikačním kanále, poskytuje bezp. službu na základě požadavků jedné, nebo obou stran Off-line TTP nezůčastní se transakce, své služby poskytuje před uskutečněním komunikace Penetrační testy Nástroj k odhalení zranitelných míst v IS, součást bezp. analýzy, Cílem je prevence, snížit rizika využití zranitelných míst Metody Network scanning, Vulnerability scanning, password cracking, log review, virus detection, Exploit speciální program, data nebo skript, které využívají programátorskou chybu, která způsobí původně nezamýšlenou činnost SW a umožňuje tak získat nějaký prospěch. Vulerability chyba SW, která může být využita k provedení útoku Exposure chyba v SW, která nepřímo dovoluje neoprávněný přístup do systému Penetrační testy se provádí ve všech fázích výstavby ISMS

Strategie odkud bude prováděn externí/interní podle míry znalostí zúčastněných stran blind (útočník má omezené informace, cíl ví všechno), double-blind (nikdo neví nic), tandem (všichni ví všechno), reversal (útočník ví všechno, cíl neví nic) White box útočník zná infrastrukturu a má přístupy Black box útočník má znalosti, které může sehnat například na public webu Gray box kombinace předchozích částečná znalost infrastruktury a přístupy Typy podle oblasti IS, kde se cíl nachází, podle známých útoků, které se provádějí Známé útoky Network sniffing, spoofing,, trojan atack, SQL injection, Cross-site scripting, Dohoda o provedení PT výběr testera, stanovení rozsahu, doby a způsobu Výběr je kritické rozhodnutí penetrační tým dostane veškeré info o IS atd., nemusí se povést, může nechtěně spustit další události... Nikdy ho neprovádí vlastní IT tým Stanovení rozsahu určení cílů a hranic, jednorázový/opakovaný test, kdy se ukončí apod. IDS/IPS bezpečnostní mechanismy preventivní a detekční detekce pokusu, nebo průniku

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář