Normy ISO/IEC Aplikační bezpečnost

Podobné dokumenty
Bezpečnostní aspekty informačních a komunikačních systémů KS2

Úvod - Podniková informační bezpečnost PS1-2

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Bezpečnostní politika společnosti synlab czech s.r.o.

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Bezpečnostní projekt Případová studie

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Bezpečnostní politika společnosti synlab czech s.r.o.

Zabezpečení v síti IP

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

PB169 Operační systémy a sítě

Firewally a iptables. Přednáška číslo 12

V Brně dne a

Implementace systému ISMS

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Management informační bezpečnosti

Koncept centrálního monitoringu a IP správy sítě

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

KYBERNETICKÁ BEZPEČNOST V ARMÁDĚ ČR

Specifikace předmětu zakázky

Management přepravy nebezpečných věcí na evropské a národní úrovni ve vztahu k systému krizového řízení ČR

Základní informace a postup instalace systému ISAO

Outsourcing v podmínkách Statutárního města Ostravy

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Téma bakalářských a diplomových prací 2014/2015 řešených při

Luděk Novák. Bezpečnost standardně a trochu praxe

Představení Kerio Control

Technologie počítačových komunikací

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Analýza a zabezpečení počítačové sítě

Zásady managementu incidentů

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

FlowMon Vaše síť pod kontrolou

Efektivní řízení rizik webových a portálových aplikací

ISMS. Bezpečnost ICS řešení. Ing. Petr Sedlák. V Brně dne 21. září 2017

Řešení ochrany databázových dat

Jak efektivně ochránit Informix?

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Bezpečnostní politika společnosti synlab czech s.r.o.

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Management bezpečnosti fyzické vrstvy

Bezpečnost webových stránek

V Brně dne 10. a

Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

Sísyfos Systém evidence činností

Normy ISO/IEC 27xxx Přehled norem

Penetrační testy OSSTMM. Jaromír Vaněk ICQ: Jabber:

Normy ISO/IEC 27xxx Přehled norem

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

Vývoj informačních systémů. Obecně o IS

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS V PRAXI. Jan Tejchman Business Consultant

BEZPEČNOST CLOUDOVÝCH SLUŽEB

METODIKA PROVÁDĚNÍ AUDITU COBIT

SSL Secure Sockets Layer

ČESKÁ TECHNICKÁ NORMA

1.05 Informační systémy a technologie

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

1.05 Informační systémy a technologie

Bezpečnost IS. Základní bezpečnostní cíle

Informační bezpečnost. Dana Pochmanová, Boris Šimák

1 Slovník pojmů Zákaznická data jsou data, která mají být zahrnuta do záložní kopie vytvořené pomocí Služby v závislosti na zálohovacím schématu.

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Flow Monitoring & NBA. Pavel Minařík

Enterprise Mobility Management

KLASICKÝ MAN-IN-THE-MIDDLE

Demilitarizovaná zóna (DMZ)

Obrana sítě - základní principy

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Check Point Nový Proaktivní Systém Ochrany Informací Ochrana SCADA/ICS systémů

Kybernetická bezpečnost - nový trend ve vzdělávání. pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany Brno, Česká republika

Komunikace mezi doménami s různou bezpečnostní klasifikací

Demo: Multipath TCP. 5. října 2013

EXTRAKT z technické normy CEN ISO

Počítačové sítě. Lekce 4: Síťová architektura TCP/IP

HP JetAdvantage Management. Oficiální zpráva o zabezpečení

ZMĚNA ČESKÉHO OBRANNÉHO STANDARDU. AAP-48, Ed. B, version 1

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Technické aspekty zákona o kybernetické bezpečnosti

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

LINUX - INSTALACE & KONFIGURACE

Nasazení bezpečnostního monitoringu v praxi. Jan Svoboda AEC

CCNA Network Upgrade

Michal Andrejčák, Klub uživatelů ŘS MicroSCADA, Hotel Omnia Janské Lázně, SDM600 Stručný popis a reference.

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Dodávka UTM zařízení FIREWALL zadávací dokumentace

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Transkript:

Normy ISO/IEC 27034 Aplikační bezpečnost V Brně dne 21. listopadu 2013

Soubor norem řady ISO/IEC 27034 ISO/IEC 27034 Information technology Security techniques Application security Bezpečnostní doporučení pro tvorbu, implementaci a užívání aplikač. SW Soubor norem - Část 1: Přehled a koncepce (2011) Část 2: Normativní rámce organizace Část 3: Proces řízení bezpečnosti aplikací 1 Owerview and concept 2 Organization Normative Framework 3 Applications Security Management Process 4 Applications security validation 5 Protocols and application security control data structure 6 Security guidenance for specific applications Část 4: Validace bezpečnosti aplikací Část 5: Datová struktura protokolů a opatření bezpečnosti aplikací Část 6: Bezpečnostní pokyny pro specifikování datové struktury aplikačních opatření Normy ISO/IEC 27034 2

Metodika aplikační bezpečnosti ISO/IEC 27034-1:2011 prozatím vydána první část Přehled a koncepce Metodika aplikační bezpečnosti je postavena na: - poznávání hrozeb - zabezpečení sítě, uživatele a aplikace - zapracování bezpečnosti do vývojového procesu SW Je zaměřena na principy, modely a praxi. Je nezávislá na technologii a platformě. Normy ISO/IEC 27034 3

Působnost ISO/IEC 27034 Návaznosti v ISO/IEC 27034: Obchodní a regulační návaznosti Technologická návaznost Normy ISO/IEC 27034 4

Pochopení ISO/IEC 27034 ISO/IEC 27034 není: Vývojový standard pro SW aplikace Aplikace standardu projektového řízení Standard pro vývojový životní cyklus SW (Software Development Life Cycle -SDLC) Normy ISO/IEC 27034 5

Pochopení ISO/IEC 27034 - pokračování ISO/IEC 27034 neřeší: Směrnice pro fyzickou a síťovou bezpečnost Směrnice pro kontrolu a měření (metriky) Směrnice pro strategii bezpečnostního kódování v libovolném programovacím jazyku Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 6

Aplikovatelnost ISO/IEC 27034 Nrma je aplikovatelná na: 1. vyvinuté aplikace (in-house) 2. získané od třetích stran 3. kde je vývoj či provoz poskytován formou outsourcingu Zamýšlené použití na: 1. manažery (řízení nákladů na zavedení a udržování aplikační bezpečnosti) 2. vývojáře (správné aplikování bezpečnosti v každé fázi životního cyklu aplikací) 3. auditory (kontrola aplikace z pohledu úrovně dosažené bezpečnosti) 4. koncové uživatele (používání bezpečných aplikací) Normy ISO/IEC 27034 7

Klíčové principy normy ISO/IEC 27034 Definované klíčové principy v normě: - bezpečnost č tje požadavek - zabezpečení aplikací je závislé na kontextu z pohledu obchodního, regulačního a technologického - vhodnost investice pro zabezpečení aplikací (přiměřená bezpečnost za akceptovatelné náklady) - prokazatelnost aplikační bezpečnosti (audit) Definice Cílené úrovně důvěry aplikace (Target application level of trust ) - pro organizaci používající aplikace je doporučena klasifikace informací - definování normativního rámce v organizaci i (ONF Organization Normative Framework) Analýza rizik aplikace Proces řízení rizik Cílená úroveň důvěry aplikace Normy ISO/IEC 27034 8

Chystané části normy ISO/IEC 27034-2: - popis implementace řídícího procesu aplikační bezpečnosti (ASMP) ISO/IEC 27034-3: - popis relevantních procesů v projektování vývoje aplikace ISO/IEC 27034-4: - popis certifikačních a validačních procesů ISO/IEC 27034-5: - definuje kontrolu aplikační bezpečnosti (ASC) struktury dat ISO/IEC 27034-6: - identifikuje ASC ve specifických aplikacích (web, klient-server) Ponámka: ASMP - Applications Security Management Process ASC Application Security Control Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 9

Bezpečnost aplikační vrstvy Pojem aplikační bezpečnosti lze chápat několikerým způsobem, my se však budeme držet základního informatického schématu referenčního modelu ISO/OSI, kde budeme považovat za oblast vhodnou pro aplikační bezpečnost zejména jeho vyšší vrstvy (konkrétně pátou až sedmou) relační, prezentační a zejména aplikační. Bezpečnost aplikační vrstvy se dnes zpravidla řeší značně intuitivně, nebo v horším případě vůbec. - v projektové fázi (nejefektivnější prosazování bezpečnosti) - v rutinním provozu (provádění bezpečnostních testů aplikace spočívá v identifikaci a analýze existujících zranitelností) Poznámka: V působnosti aplikační bezpečnosti se lze setkat s požadavky na certifikát bezpečnosti pro danou aplikaci v konkrétním sektoru či oboru činnosti, který vystavuje certifikační autorita pro danou problematiku. Normy ISO/IEC 27034 10

AFW Aplikační firewall chrání webové aplikace před útoky na aplikační úrovni, před krádeží a úniky podnikových nebo zákaznických dat na principu povolování a blokování klientských požadavků. Aplikační firewall chrání webové aplikace před útoky na aplikační úrovni, před krádeží a úniky podnikových nebo zákaznických dat na principu povolování a blokování klientských požadavků. Aplikační firewall funguje na bázi hloubkové kontroly paketů (deep packet inspection, DPI), která otevírá pakety s daty, které procházejí internetovým spojením. Prohledáním paketu dokáže firewall zjistit, o jaký typ dat se jedná (video, VoIP nebo data určená pro konkrétní aplikaci na podnikové síti). Následná analýza paketů rozhodne, zda je zjištěná výměna dat legitimní. WAF (webový aplikační firewall) by měl být klíčovou součástí každé sítě s HTTP provozem, poskytující nepřetržitou ochranu provozu kritických webových aplikací. Dodatečně zvyšuje celkovou o úroveň bezpečnosti tím, že dokáže zabránit útokům dříve, než zasáhnou vlastní webovou aplikaci. Normy ISO/IEC 27034 11

Bezpečnost webových aplikací Bezpečnost webových aplikací stručně řečeno znamená implementaci bezpečnostních prvků a opatření ve webových aplikacích samotných. Řešením aplikační bezpečnosti nejsou opatření typu: ochrana firewallem, ochrana pomocí IDP/IPS, používání SSL (zabezpečení komunikace), bezpečný OS, aplikace patche, uživatel musí mít heslo. Nic z toho aplikační bezpečnost primárně neřeší. Normy ISO/IEC 27034 12

Bezpečné webové aplikace Klíčové pilíře bezpečné webové aplikace: Autentizace Autorizace (řízení přístupu) Session management Validace vstupů a kódování Ochrana dat (integrita, důvěrnost) Řízení chyb Sběr a vyhodnocování auditních informací Bezpečnost administračního rozhraní Kryptografická ochrana Ochrana před specifickými útoky (pishing, DoS) Konfigurace infrastruktury Normy ISO/IEC 27034 13

Klasifikace firewallů Firewally a ISO/OSI model FW 14

Klasifikace firewallů pokračování 1 Aplikační brány (Proxy firewally) zcela oddělují sítě a plní funkci překladu adres (NAT Network Address Translation). Paketový filtr nejjednodušší a nejstarší forma firewallu fungující na pravidlech doručování paketů mezi adresami a porty. Stavový paketový filtr pracují jako klasické paketové filtry, ale navíc s ukládáním informací o povolených spojeních. Moderní stavové paketové filtry plní navíc ještě funkci kontroly korektnosti paketů a detekci průniků. Bezpečnostní politika FW je nastavení pravidel pro komunikaci přes firewall (VPN, NAT, IDS). FW 15

Klasifikace firewallů pokračování 2 Současné firewally můžeme rozdělit do sedmi kategorií: - Osobní firewally -Vestavěné firewally - Softwarové firewally (SOHO a Enterprise) - Hardwarové firewally (SOHO a Enterprise) - Speciální firewally Osobní FW ochrana uživatelských stanic s OS Windows (Personal FW) Vestavěné FW implementovány v routerech, AP (jednodušší paketové filtry) SW FW jsou určeny č pro OS serverů ů (Kerio, ) HW FW většinou vlastní architektura (ASIC), nouzově PC architektura (Appliance) s OS UNIX, garance propustnosti SoHo a Enterprise podle propustnosti (počet současných spojení, nebo počet uživatelů) Speciální FW určeny pro konkrétní aplikaci (web, databáze, služby, ) FW 16

Oblast průmyslu a informační bezpečnost ANSI/ISA- 99 Security for Industrial Automation and Control Systems ANSI/ISA 99.00.01 2007: Part 1: Terminology, Concept and Models ANSI/ISA 99.02.01 2009: Establishing an Industrial Automation and Control Systems Security program Připravované doplňkové normy řady ISA - 99 budou věnovány způsobu používání bezpečnostního programu poté, co byl sestaven a zaveden, a technickým požadavkům na automatizační a řídicí systémy v průmyslu. Ochrana proti vnějším útokům (Cyber Threats) a proti vnitřním incidentům v průmyslových řídících systémech. Příkladem řešení je Tofino Industrial Security Solution (Belden Company Tofino Security ) www.tofinosecurity.com www.iebmedia.com Industrial Ethernet Book IE FW 17

TOFINO Tofino Argon 100 Tofino Argon 220 IE - FW 18

4 kroky nasazení Tofino Industrial Security Solution 1. krok určení místa/míst aplikování Tofina (vytváření bezpečnostních zón) Tofino 19

4 kroky nasazení Tofino Industrial Security Solution 2. krok určení bezpečnostních modulů (pro požadovanou úroveň zabezpečení) Firewall (FW) Správa a kontrola konektivity (Secure Asset Mngmt SAM) Vyhledávání a identifikace síťových zařízení Vytváření VPN Even Logger Tofino 20

4 kroky nasazení Tofino Industrial Security Solution 3. krok určení serveru či stanice pro správu Tofina (Central Mngmt Platform - CMP) 4. krok objednání zařízení Tofino u autorizovaného dodavatele Tofino 21

Tofino SCADA Security Simulator Tofino 22

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář