Úvod - Podniková informační bezpečnost PS1-2

VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-2

VŠFS; Aplikovaná informatika - 2006/2007 2 Literatura Kovacich G.L.: Průvodce bezpečnostního pracovníka IS, Unis Publishing, 2000 Kolektiv: Informační bezpečnost, Tate International, 2001 Časopis DSM - Data security management Doporučená Smejkal V.; Rais K.:Řízení rizik, Grada 2003 Frimmel M.: Elektronický obchod, Prospektum 2002 Smejkal a kol. Právo informačních a telekomunikačních systémů, Beck 2001

VŠFS; Aplikovaná informatika - 2006/2007 3 Osnova II principy informační bezpečnosti; program informační bezpečnosti v podniku; bezpečnostní program - požadavky na pracovníky podniku; procesy v oblasti bezpečnosti informací; bezpečnostní informační technologie; realizace bezpečnostního programu;

VŠFS; Aplikovaná informatika - 2006/2007 4 Technologie Strategické úvahy musí odpovědět na otázku jak je informační technologie vhodná pro integraci bezpečnostních opatření. Bezpečnostní program řeší: komplexní bezpečnostní architekturu rozdělení informačního prostředí na digitální zóny úrovňové pojetí bezpečnosti akční plán (roadmap) strategických i taktických cílů bezpečnostní modely

VŠFS; Aplikovaná informatika - 2006/2007 5 Víceúrovňová bezpečnost Bezpečnost koncového bodu Komunikační bezpečnost Zabezpečení perimetru Autentizace uživatele Neoprávněný přístup z prostředí sítě Bezpečnost síť. prostředí Oddělení dobrých a špatných dat Ochrana před škodlivým SW a transakcemi Secure Network access switch

VŠFS; Aplikovaná informatika - 2006/2007 6 Víceúrovňová bezpečnost Příklad architektury podnikového informačního systému

VŠFS; Aplikovaná informatika - 2006/2007 7 Technologie Architektonický pohled - hodnocení technologických komponent při plnění násl.. bezpečnostních požadavků: autentizace, autorizace, správa uživatelských účtů firewall; VPN antivirová ochrana správa bezpečnostních zranitelností a rizik IDS detekce narušení systému filtrování obsahu dat šifrování

VŠFS; Aplikovaná informatika - 2006/2007 8 Technologie Hierarchie realizace bezpečnostní architektury autentizace, autorizace, správa uživatelských účtů firewall; VPN antivirová ochrana správa bezpečnostních zranitelností a rizik IDS detekce narušení systému filtrování obsahu dat management

VŠFS; Aplikovaná informatika - 2006/2007 9 Technologie efektivita vynakládaných financí Zdroj: Gartner efektivnost vynaložení financí na jednotlivé bezpečnostní technologie

VŠFS; Aplikovaná informatika - 2006/2007 10 Program podnikové informační bezpečnosti Bezpečnostní cíle se soustřeďují na zajištění integrity, dostupnosti, důvěrnosti informací, které se v daném podniku vytváří a dále zpracovávají, přenáší a distribuují uchovávají, archivují a skartují

VŠFS; Aplikovaná informatika - 2006/2007 11 Integrita, Důvěrnost, Dostupnost Integrita informace není modifikována, systém provádí dané operace s očekávaným výstupem; Důvěrnost služba systému pro zajištění ochrany informací před neoprávněným využitím; Dostupnost vlastnost systému, která zabraňuje zadržování informací určených oprávněným uživatelům odmítnutí služby;

VŠFS; Aplikovaná informatika - 2006/2007 12 Program podnikové informační bezpečnosti Program obecně vychází ze stanovení 4 základních hranic v prostředí podniku a ve vnějším elektronickém světě - externí (Internet), extranet, intranet a zóna kritických dat. Perimetr elektronická hradba okolo podniku Síťové servery (gateways) vstupní brány do interního prostředí

VŠFS; Aplikovaná informatika - 2006/2007 13 Program podnikové informační bezpečnosti vycházet z oddělených zón a v každé z těchto zón jsou požadovány příslušné bezpečnostní Podnikový bezpečnostní program musí produkty. Internet - uživatelé Elektronické tržiště - partneři, zákazníci, klienti El. pracovní prostředí pracovníci, smluvní zaměstnanci Zóna citlivých dat pracovníci s definovaným přístupem

VŠFS; Aplikovaná informatika - 2006/2007 14 Program podnikové informační bezpečnosti Vícevrstvová informační bezpečnost servisní protokoly informační aktiva aplikace programová volání procesy vzdálená volání procedur systémové prostředí operační systémy aplikační SW HW systémy přenosu FW Intranet Extranet router switch gateway

VŠFS; Aplikovaná informatika - 2006/2007 15 Firewally; VPN Firewall prvek elektronického perimetru Základní třídy: firewally s filtrováním paketů; - kontrola hlaviček paketů firewally s povolováním služeb; - monitoring stavu transakcí proxy firewally na aplikační úrovni; - přepis paketů Nebezpečné porty nutno zajistit restrikci těchto portů

VŠFS; Aplikovaná informatika - 2006/2007 16 Firewally; VPN Virtuální privátní sítě Virtual private networks => vytvoření chráněného spojení mezi dvěma místy sítě Využití protokolu SSL (Secure Socket Layer), který poskytuje zabezpečený přenos s využitím kryptografických metod. Protokol je umístěn v síťové vrstvě OSI nad TCP/IP. Mohou jej využít vyšší protokoly viz např. HTTPS Je zajištěna: důvěrnost přenášených dat šifrování; integrita dat krypto kontrolní součet; autentizace využití certifikátů

VŠFS; Aplikovaná informatika - 2006/2007 17 Antivirová ochrana Antivirová ochrana je požadovaná součást programu informační bezpečnosti. Antivirový SW využívá při ochraně počítačového systému proti škodlivému SW dvou základních metod: identifikace charakteristických značek viru. Identifikace značky viru jsou podobné zkoumání otisků prstů jedná se o metody reaktivní heuristické metody, vyhledávání vzorků, které lze v daném viru identifikovat metody proaktivní

VŠFS; Aplikovaná informatika - 2006/2007 18 Správa bezpečnostních zranitelností a rizik Vulnerability management - Správa bezpečnostních zranitelností Nástroje použité při správě zranitelností porovnávají prostředí podnikového informačního systému vůči databázi známých zranitelných míst a ukazují zda jsou tato místa obsažena v systému či nikoliv. Dvě základní metody na bázi: sítě; host počítače. V prvním případě se používá síťových nástrojů k tomu, aby se kontroloval provoz sítě a zjišťovaly její slabiny v druhém případě se monitorují výpočetní systémy jako např. servery.

VŠFS; Aplikovaná informatika - 2006/2007 19 Filtrování obsahu dat Metody zahrnují filtrování web stránek a elektronické pošty. Filtrování obsahu lze použít k blokování přístupu k určitým webovým stránkám, obsahujícím nevhodný obsah. Velký problém současnosti ------- spam Implementace nástrojů filtrujících obsah přináší otázky legálnosti i omezování lidských práv - musí být v souladu s bezpečnostní politikou.

VŠFS; Aplikovaná informatika - 2006/2007 20 Kryptografická ochrana dat Šifrování je proces převedením dat do takového formátu, který nemůže neoprávněná osoba jednoduše přečíst. Moderní kryptografie využívá dvou základních směrů symetrickou a asymetrickou šifru. Při symetrickém šifrování obě strany používají stejný tajný klíč a to při šifrování i dešifrování zprávy. Asymetrické šifrování je postaveno na principu, kdy každý účastník vlastní veřejný a privátní klíč pro šifrování a dešifraci.

VŠFS; Aplikovaná informatika - 2006/2007 21 Realizace bezpečnostního modelu Jednotlivé kroky: přijmout základní strategii, kdy informační infrastruktura vytváří podporu pro činnosti podniku. Část podniku, která je zodpovědná za správu informačního systému musí být koncipována jako dodavatel služeb pro obchodní úseky; vytvořit bezpečnostní politiku - spolupráce s obchodními úseky; využít nejvýhodnějších opatření využití norem - obecná politika = ISO 13335, bezpečnostní procesy = ISO 17799;