Normy ISO/IEC 27033 Bezpečnost síťové infrastruktury NISS V Brně dne 7. listopadu 2013
Soubor norem řady ISO/IEC 27033 ISO/IEC 27033 - Informační technologie Bezpečnostní techniky Síťová bezpečnost Jde o otevřený soubor norem s postupným vydáváním poskytující podrobný návod na implementaci bezpečnostních mechanizmů, které jsou zmíněny v normě ISO/IEC 27002. Týkají se bezpečnosti zařízení připojených do sítě, síťových služeb, uživatelů přistupujících do sítě, informací přenášených po síti a také správy těchto bezpečnostních opatření. Síťová bezpečnost je pojem označující soubor norem obsahující doporučení pro implementaci opatření, které se vztahují k bezpečnosti sítí (vnitřní ochrany a ochrany perimetru). Bezpečnost č síťové éinfrastruktury znamená stupeň ň zabezpečení č digitálního itál přenosového prostředí zajišťujícího důvěrnost a neporušenost komunikace. Poznámka: Pojem perimetr sítě značí přípojné body vnitřní sítě s externími (cizími) sítěmi. Normy ISO/IEC 27033 2
ISO/IEC 27033 ISO/IEC 27033 Informační technologie Bezpečnostní techniky Síťová bezpečnost navazuje na normy ISO/IEC 18028 pro standardy síťové bezpečnosti, která obsahuje 5 částí 18028 11 > 27033 1 2009 18028 2 > 27033 2 2012 vychází z normy ISO/IEC 27002 27033 3 2010 18028 3 18028 4 > 27033 4 2012 18028 5 > 27033 5 2013 27033 6 27033 7 Tabulka přechodu od řady norem ISO/IEC 18028 k ISO/IEC 27033 Normy ISO/IEC 27033 3
ISO/IEC 27033-1 ISO/IEC 27033-1:2009 vydaná první část - popisuje cesty a principy a koncept řešení Součástí je přehled definic souvisejících se síťovou bezpečností, návod jak rozpoznat a analyzovat bezpečnostní rizika sítě a stanovení požadavků na síťovou o bezpečnost. Popisuje způsob, jak vytvořit technicky bezpečný návrh sítě. Zabývá se riziky, návrhem a kontrolou bezpečnostních aspektů sítí z technického hlediska. Obsahuje slovník termínů používaných v síťové bezpečnosti a strukturovaný návod k procesu identifikace a analýzy bezpečnostních rizik a tím pádem stanovuje i požadavky na kontrolní o bezpečnostní mechanizmy. Zmiňuje další požadavky, např. nepopiratelnost nebo spolehlivost informací, které doplňují klasickou trojici důvěrnost, integritu a dostupnost. Snaží se poskytnout srozumitelný přehled síťové bezpečnosti bez jakékoli zmínky o síťovém modelu OSI. Normy ISO/IEC 27033 4
ISO/IEC 27033-2 ISO/IEC 27033-2:2012 příručka pro návrh a implementaci síťové bezpečnosti - definuje architekturu bezpečnosti sítě (přijato 20.1.2012) 2012) Určuje architekturu síťové bezpečnosti, která zajišťuje bezpečný přenos mezi koncovými zařízeními. Tato architektura může být aplikována na nejrůznější typy sítí bez ohledu na technologii nižších síťových vrstev. Slouží jako základ pro podrobná doporučení ohledně bezpečnosti koncových zařízení. Zabývá se problematikou rizik, návrhu, technik a kontrolních mechanizmů. Normy ISO/IEC 27033 5
ISO/IEC 27033-3 ISO/IEC 27033-3:2010 referenční síťové scénáře - hrozby, projekční techniky a kontrolní mechanizmy - definuje rizika, techniky návrhu a řešení problému spjatých se správou sítí. Cílem je definovat rizika, specifika návrhu a problematiku kontroly pro typické síťové scénáře. Pojednává zejména o konkrétních hrozbách, různé typy rizik nejsou podrobně řešeny. Normy ISO/IEC 27033 6
ISO/IEC 27033-4 ISO/IEC 27033-4:2012 mezisíťová bezpečná komunikace s využitím bezpečnostních bran - definuje rizika, techniky návrhu a řešení problémů spjatých se zabezpečením datových toků mezi sítěmi. Cílem je poskytnout návod, jak rozpoznat a analyzovat síťové bezpečnostní hrozby spojené s bezpečnostními branami a definovat požadavky na síťovou o bezpečnost s nimi spojenou. Poskytuje přehled bezpečnostních bran prostřednictvím různých architektur. Vysvětluje, jak bezpečnostní brány analyzují a kontrolují síťový provoz pomocí: filtrování paketů stavové kontroly paketů aplikační proxy překladu adres NAT analýzy a filtrování obsahu Normy ISO/IEC 27033 7
ISO/IEC 27033 - pokračování ISO/IEC 27033-5: zabezpečená komunikace v sítích VPN - bude definovat rizika, techniky návrhu a řešení problémů spjatých se spojením pomocí VPN. ISO/IEC 27033-6: IP konvergence bude popisovat rizika, projektování a kontrolní mechanizmy pro konvergenci signálů data, hlas a video ISO/IEC 27033-7: příručka pro zabezpečené bezdrátové sítě - hrozby, projekční techniky a kontrolní mechanizmy - bude definovat rizika, techniky návrhu a řešení problémů spjatých se zabezpečením bezdrátových a radiových sítí. ISO/IEC 27033-8+: příručka pro zabezpečení otevřená část pro oblasti LAN, WAN, Broadband, hlasové sítě, architekturu Web Hostingu, architekturu internetového e-mailu, směrovaný (routing) přístup do sítí třetích stran Normy ISO/IEC 27033 8
ISO/IEC 18028 Typická ukázka síťové architektury, jejíž bezpečnost řeší 5 oddílů normy ISO/IEC 18028 Normy ISO/IEC 18028 9
ISO/IEC 18028-22 Bezpečnost koncového uživatele 8 dimenzí bezpečnosti Úrovně bezpečnosti Signálová a kontrolní bezpečnost Management bezpečnosti ZRANITELNOST Bezpečnost aplikací Bezpečnost služeb Bezpečnost infrastruktury Řízení přístupu Autent tizace Nepopira telnost (pod porována kry yptografií) Důvěrn ost dat komunikace Bezpečnost Integri ita dat Dostupn nost dat Souk kromí HROZBA Zničení Zneužití Odstranění Odhalení Přerušení ÚTOK Bezpečnostní vrstvy Model hrozeb dle ISO/IEC 18028, potažmo ISO/IEC 27033-22 aitu-t T X.805 Normy ISO/IEC 18028 10
ISO/IEC 18028-3 Doporučené zapojení bezpečnostní brány s DMZ dle ISO/IEC 18028-3 Normy ISO/IEC 18028 11
ISO/IEC 18028-5 Základní doporučená bezpečnost pro VPN s tunelováním dle ISO/IEC 18028-5 Normy ISO/IEC 18028 12
ITU-T T X.805 IT» ICT => ITU-T X.805» ISO/IEC 27033 (ITU.T T X.1051»» ISO/IEC 27011) ISMS-T je označení pro problematiku ISMS v telekomunikačním prostředí. JTC1/SC27 je technická podkomise ISO/IEC zabývající se standardizací IT bezpečnosti. ITU (International Telecommunication Union) - Mezinárodní telekomunikační unie ITU-T - ITU-T připravuje technické specifikace pro telekomunikační systémy, sítě a služby, včetně jejich j provozu, fungování a údržbu. V rámci ITU-T jsou vytvářeny pracovní skupiny SG (Study Group) s určenými aktivitami. Problematika telekomunikační bezpečnosti je řešena dvojí cestou. První je IT, druhá ryze telekomunikační (ISMS-T) T). Ta je řešena normativně organizací ITU-T. ITU-T X.805 Security Architecture for Systems Providing End-to-End Communications ITU-T X.1051 Information security management system Requirements for telecommunications (ISMS-T) ITU-T X.805 13
ISO/OSI model SD SD SD SD L1 až L4 jsou vrstvy ISO/OSI referenčního č modelu ISI/OSI 14
Pasivní vrstva počítačové sítě L1 první (fyzická) vrstva ISO/OSI referenčního komunikačního modelu je vrstva fyzická. Je tvořena kabelážním systémem, který je složen ze síťových komponentů. K nim zejména patří: kabely v dané topologii (metalické i optické) kabelové trasy (svazky kabelů) konektory (RJ-45) přípojné boxy (pro konektory RJ-45) rozvodné panely (patch panely) v datovém rozvaděči Zabezpečení na úrovni pasivní vrstvy je dáno fyzickým řešením a lze ho nazvat Management bezpečnosti fyzické vrstvy nebo lépe Management bezpečnosti pasivní vrstvy například NISS. Poznámka: Bezpečnostní opatření dle ČSN ISO/IEC 27002:2006 Soubor popisů pro řízení bezpečnosti informací A9 A.9 Fyzická bezpečnost č a bezpečnost č prostředí A.9.2.3 Bezpečnost kabelových rozvodů (ochrana datových linek na úrovni fyzické, EMC, ) Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 15