Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT

Standardy (normy) a legislativa Standardy (normy) a legislativa informacn bezpecnosti PV 017 Bezpecnost IT Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2016 Cl predn asky o standardech a standardizaci { umet odpovedet na ot azky: Co to jsou standardy, normy, doporucen? Jak vznikaj standardy a doporucen? Kdo je kdo ve svete standard u a doporucen? Kter e standardy informacn bezpecnosti jsou reprezentativn? Standardizacn organizace a principy jejich cinnosti a p usoben Upozorn en na hlavn de-iure standardy informacn bezpecnosti Generick a pr avn hlediska { koncept relevantnch pr avnch princip u Relevantn legislativa v CR Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 1 What is a standard?, ISO/IEC Guide 2: 1996 Standard, norma, doporucen = dokumentovan a umluva A document, established by consensus and approved by a recognized body, that provides, for common and repeated use, rules, guidance or characteristics of activities and their results, aimed at the achievement of the optimum degree of order in a given context. umluva { o technick e specikaci nebo { o jin em podobn em presne stanoven em krit eriu cl umluvy pravidlo/smernice denujc charakteristick e vlastnosti materi al u, v yrobk u, proces u, sluzeb,... umoz nuje, aby materi aly, v yrobky, procesy, sluzby,,... byly takov e, jak e se zam ysl, ze maj b yt { form at platebn karty, { protokol komunikace, { politika poskytov an sluzby, {... Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 2 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 3

Standard, norma, doporucen = dokumentovan a umluva Standard, norma, doporucen = dokumentovan a umluva standard nebo norma? v Cesku (mimo oblast IT) se tradicne pouzv a pojem,,norma\, coz je historick y vliv nemciny v oblasti IT celosvetove pojem,,norma\ vesmes prohr av a s pojmem,,standard\ { d ano vlivem progresivn globalizac anglictiny Doporucen (recommendation) { termn pouzvan y n ekter ymi organizacemi vyd avajc standardy msto termnu,,standard"(itu { telekomunikace,... ) Standard vyvinut y na b azi konsensu jist e komunity, de facto standard standard vypracovan y v r amci jist e komunity, kter a si pred jeho vyd anm odsouhlas, ze standard odpovd a j stanoven ym cl um napr. dokumenty RFC vyd avan e IETF pro oblast Internetu de facto standard reprezentuje spse liber aln pohled na svet Standard,,podle pr ava\, de iure standard umluva schv alen a uzn avanou instituc poverenou tmto posl anm legislativou, rozhodnutm st atnch autorit,... standardy implicitne nejsou pr avne z avazn e, jist a pr avn norma ale m uze predepsat povinnost vyhoven (obvykle de iure) standardu typicky standardy vyd avan e organizacemi ISO, IEC, ITU,... de iure standard reprezentuje silne konzervativn pohled na svet konzervativci od liber al u prebraj co prebrat cht ej a co prebrat stac de facto standardy se vyd avaj rychleji vyzr al e de facto standardy, kter e se uk azaly jako efektivn, se casto prepracov avaj/prebraj na de iure standardy Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 4 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 5 Standard, norma, doporucen = dokumentovan a umluva Vyhov en standardu vs. certikace Z avaznost standard u z adn y standard s am o sobe nem a charakter pr avnho predpisu pr avn predpis m uze stanovit povinn e vyhoven standardu { v tom prpade se obvykle d av a prednost de iure standard um Mezin arodn charakter standard u v yrobci standardizovan ych produkt u/proces u v glob alnm prostred mus zvolit standard, kter emu proces/produkt vyhovuje tudz je nutn e zabr anit prlisn e diverzikaci prosazov an,,spr avn ych"technik,... mnoho standardů pokroku v technologiích smrt Compliance (vyhov en) vs. Certication (certikace) Produkt, sluzba, proces,... m uze b yt prohl asena za vyhovujc standardu prohl asen, ze produkt, sluzba, proces,... spl nuje podmnky denovan e standardem pozadavek vyhoven m uze b yt predepsan y z akonem, smlouvou,... Produkt, sluzba, proces,... m uze b yt certikovan y, tj. existuje certik at potvrzujc, ze je vyhovujc standardu Certikace { neutr aln d uveryhodn a tret strana prover validitu prohl asen o vyhoven standardu a vyd a o tom relevantn certik at Standardy denujc napr. algoritmus, jsou snadno certikovateln e Standardy n avod u jak budovat syst em/sluzbu jsou spse radou a certikace se obvykle nepozaduje Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 6 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 7

Probl emy standardizace Standard mus b yt odsouhlasen y vsemi cleny komunity mnoho r uzn ych pohled u na to, co je spr avn e pokud se do standardu dostane velk a sk ala voleb a povinn ych predpoklad u, obtzne a n akladne se implementuje to byl jeden z d uvod u proc model TCP/IP zvtezil nad modelem OSI Standard je jen dokument interpretace se mohou lisit, zvl aste pri prekladu do r uzn ych jazyk u Pokud produkt vyhov jen podstatn e c asti standardu, pak v podstat e vyhovuje standardu, ale nen vyhovujc standardu Pokud siln y v yrobce nahrad nez avisl e standardy sv ymi propriet arnmi standardy, v aze z akaznky na svoji propriet arn funkcionalitu Oblasti z ajmu de iure standard u univerz aln oblast bez portfeje { zahrnuje vse, bez omezen Celosvetove odpovedn a instituce: International Organization for Standardization ISO, ISO ISO { isos, stejn y, z adn y akronym!!! celosvetov a federace vce nez cca 160 clensk ych n arodnch (st atnch) standardizacnch organizac (ISO Member Bodies) ex. od r. 1947 oblast elektroniky a elektrotechniky Celosvetove odpovedn a instituce: ISO + International Electrotechnical Commission, IEC oblast komunikac Celosvetove odpovedn a instituce: ISO + International Telecommunications Union, ITU, konkr etne jej T-sektor, sektor standardizace, ITU-T, od r. 1993 n aslednick y org an CCITT ((1865) 1956{1993), Comité Consultatif International Téléphonique et Télégraphique Informacn bezpecnost je predm etem z ajmu ve vsech trech linich. Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 8 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 9 Pr ace na de iure standardech v oblasti IT,,Spolecn y technick y v ybor cslo c. 1\, Joint Technical Committee, ISO/IEC JTC1 zrzen y ISO a IEC v destk ach podv ybor u (Subcommittee, SC) res ISO/IEC JTC1 standardizaci v r uzn ych oblastech IT Informacn bezpecnosti se venuje SC 27, Security Techniques { v soucasnosti v SC27 p usob cca 40 clensk ych st at u Provozn z alezitosti chodu ISO/IEC JTC1 zajist'uje jeho odbor ITTF, IT Task Force ISO TC 68, ISO Technical Committee 68, Financial Services Informacn bezpecnosti se venuje podv ybor SC 2, Security Management and General Banking Operations Doporucen (ekvivalent standardu) v oblasti komunikac vyd av a ITU-T ITU-T casto uzce spolupracuje s ISO/IEC JTC1 Evropsk e de iure standardizacn organizace Comit e Europ een de Normalisation, CEN odpovd a svoj p usobnost ISO Comit e Europ een de Normalisation El ectrotechnique, CENELEC odpovd a svoj p usobnost IEC European Telecommunications Standards Institute, ETSI odpovd a svoj p usobnost ITU Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 10 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 11

N arodn (st atn) de iure standardizacn organizace V yznamn e postaven U.S.A. reprezentuj st at v ISO { ISO Member Bodies nejreprezentativn ejs normalizacn organizace v dan e zemi standardy,,siln ych\ organizac (ANSI, BSI, DIN,... ) jsou mnohdy respektov any a pragmaticky uzn av any i mezin arodn e Prklady ANSI { (U.S.A.), American National Standards Institute BSI { (U.K.), British Standard Institute DIN { (Nemecko), Deutsches Institut f ur Normung SCC { (Kanada), Standards Council of Canada AFNOR { (Francie), Association Francaise de Normalisation... CSNI { Cesk y normalizacn institut vseobecn e mezin arodn respektov an a uzn av an je d ano urovn severoamerick ych technologi Institute of Electrical and Electronics Engineers, IEEE profesion aln org an inzen yr u v oblasti elektroniky a elektrotechniky normy IEEE vesmes maj v yrazn y mezin arodn v yznam a dopad mj. se v yrazne zameruje i na normy bezpecnosti zn am e jsou IEEE standardy LAN (IEEE 802.xx), resp. OS (POSIX) National Institute for Standards and Technology, NIST vl adn standardizacn org an, vyd av a standardy feder aln st atn spr avy USA n astupce NBS (National Bureau of Standards) vyd av a tzv. FIPS, Federal Information Processing Standards Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 12 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 13 V yznamn e postaven U.S.A. American National Standards Institute, ANSI z astupce USA v organizaci ISO venuje se mj. i normalizacn cinnosti v oblasti bezpecnosti IT, zvl aste pak norm am bezpecnosti bankovnho sektoru Prklad oblasti de facto standard u { RFC (ISOC) RFC (Request for Comment) n azev internetovsk ych standard u, d ano historickou souvislost V pozad p usob { Internet Society, ISOC http://www.isoc.org/ 150 institucion alnch, 6000 individu alnch clen u z cca 100 zem Internet reprezentuje { Internet Activities Board, IAB rada pro internetovsk e cinnosti manazersky spravuje a rd provoz Internetu prov ad dohled nad architekturou protokol u a procedur zalozena v r. 1983, m a individu alnch 13 clen u hlavn odpovednost za v yvoj a posuzov an RFC IAB delegovala na technickou poradn komisi { IETF, Internet Engineering Task Force Konecn e rozhodnut o vyd an (prijet) RFC del a IAB Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 14 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 15

Prklad oblasti de facto standard u { OWASP Prklad oblasti de facto standard u { ISACA OWASP, The Open Web Application Security Project a worldwide free and open community focused on improving the security of application software http://www.owasp.org/ standard v yvoje bezpecn e webovsk e aplikace standard testov an bezpecn e webovsk e aplikace standard hodnocen a kriteria z aruk za bezpecnost bezpecn e webovsk e aplikace ISACA, Information Systems Audit and Control Association mezin arodn organizace auditor u v ypocetnch syst em u v r. 1996 vyd av a COBIT, The Control Objectives for Information and related Technology a set of best practices (framework) for information technology management Cl COBIT: výzkum, vývoj, podpora a zveřejňování odborně věrohodného, aktuálního a mezinárodně platného souboru obecně uznávaných cílů řízení informačních technologií pro každodenní používání manažery a auditory. Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 16 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 17 Prklad oblasti de facto standard u { ISF Firemn, propriet arn standardy ISF, Information Security Forum mezin arodn nez avisl a, neziskov a venujc se meren a rozvoji praktik v informacn bezpecnosti v r. 1996 vyd av a volne dostupn y standard (SoGP), The Standard of Good Practice { a detailed documentation of best practice for information security Cl ISF: derives from the ISO/IEC 27002 and COBIT v4.1. standards and outlines a functional information security methodology based on both research and real world experience kategorie de facto standard u obvykle standardy patentovan ych technik v yznamn y n astroj pro,,udrzen trhu"silnou spolecnost mnohdy hraj velmi silnou roli, napr. PKCS (Public-Key Cryptography Standards) publikovan y RSA Labs. Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 18 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 19

Proces normalizace ISO Odpov ednost za tvorbu norem v dlcch oblastech maj technick e v ybory, Technical Committees, TC TC si urcuje sv uj program v r amci vymezen em jeho rodicovskou organizac (ISO) s am tak, aby zadan y ukol vyresil TC d el svoji p usobnost na podv ybory, SubCommittees, SC SC del svoji p usobnost na pracovn skupiny, Working Groups, WG v pracovnch skupin ach se skutecne pracuje, v yse se jen schvaluje Evoluce standard u v r amci TC/SC/WG je pomal a na standardu se pracuje a obvykle nekolik (typicky 5) let Pro soucasn y rozvoj IT je to velmi brzdc faktor Zivotn cyklus ISO standardu n avrh nov e pracovn polozky NWI (New Work Item) a hlasov an v TC o NWI, jmenov an odpovedn eho editora s erie postupne vyd avan ych n avrh u standardu na urovni pracovn skupiny WD (Working Drafts) n avrh normy na urovni podv yboru (SC) CD (Committee Draft) a hlasov an v SC o CD (typicky po dobu 3 mesc u) n avrh mezin arodn normy DIS (Draft International Standard) a hlasov an v TC o DIS (obvykle po dobu 4{6 mesc u) konecn y n avrh mezin arodnho standardu FDIS (Final DIS) s dobou pro hlasov an 2 mesce pot e FDIS zsk av a statut mezin arodn normy Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 20 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 21 Zivotn cyklus ISO standardu ISO TR (Technical Reports) p etilet a perioda hodnocen mezin arodnho standardu Kdyz se odhal-li se vada standardu { napr. byla podcenena rychlost rozvoje technologie jsou prijm ana opatren, aby standardy byly revidov any i drve nez v petilet em hodnotcm cyklu { syst em zpr av o vad ach ve standardech (Defect Report System) Technick e zpr avy typu 1 se vyd av a tehdy, kdyz se ve v yboru nenalezla dostatecn a podpora pro vyd an standardu Rk a se v denici TR 1: navzdory opetovn e snaze nen mozn e prosadit materi al k vyd an jako r adn y standard dohoda nen mozn a, protoze n azory jednotliv ych n arodnch instituc (jednotliv ych clen u v yboru) se r uzn, standard nem uze b yt vydan y TR typu 1 je behem tr let po sv em vyd an predmetem revize, padne rozhodnut, zda bude premenena v mezin arodn standard Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 22 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 23

ISO TR (Technical Reports) ISO TR (Technical Reports Technick e zpr avy typu 2 vyd av a se v prpade, kdy standardizovan y predmet se st ale jeste z technick eho hlediska vyvj a za cas bude posouzeno, zda dohoda jiz mozn a je Rk a se v denici TR 2: predmet z ajmu normy je st ale ve st adiu rozvoje nebo existuje jin y d uvod, pro kter y nen mozn e schv alit mezin arodn standard okamzite, v budoucnu to vsak zrejme mozn e bude TR typu 2 je behem tr let po sv em vyd an predmetem revize, padne rozhodnut, zda bude premenena v mezin arodn standard Technick e zpr avy typu 3 se vyd avaj o probl emech, kter e bezne nepodl ehaj technick e standardizaci, ale urcit y n avrh je natolik v yznamn y a po form aln str ance pripraven y, ze bylo zhled ano jeho vyd an alespo n formou technick e zpr avy jako vhodn e Rk a se v denici TR 3: technick y v ybor shrom azdil r uzn e podklady, ze kter ych je norm alne publikov an mezin arodn standard TR typu 3 nen znovu posuzov ana, pokud informace v nich obsazen e nejsou shled any neplatn ymi ci neuzitecn ymi TR typu 3 je obvykle dokument metodick eho charakteru skutecnost, ze se jedn a,,pouze" o technickou zpr avu a nikoli o r adn y mezin arodn standard, vsak z vecn eho hlediska nijak nesnizuje v yznam dokumentu TR 3 je napr. ISO/IEC TR 13335 Smernice pro spr avu bezpecnosti IT Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 24 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 25 ISO/IEC/JTC1/SC 27 Security Techniques Hlavn standardy vydan e ISO/IEC/JTC1/SC 27/WG1 Orientace { standardizace generick ych metod a technik bezpecnosti IT identikace generick ych bezpecnostnch pozadavk u na IT syst emov e bezpecnostn sluzby v yvoj bezpecnostnch technik a mechanism u { kryptograck e algoritmy pro utajovac, integritn, autentizacn, podepisovac,... sluzby (ne pro aplikace) procedury vztahy mezi bezpecnostnmi komponentami v yvoj bezpecnostnch n avod u (anal yza rizik) v yvoj manazersk ych dokument u a standard u (hodnotc krit eria) V soucasnosti predevsm rodina standard u ISO/IEC 27000 vce viz http://www.iso27001security.com/html/iso27000.html doporucen jak rdit informacn bezpecnost, resit zvl ad an rizik a jak implementovat opatren v kontextu cel eho syst emu syst emu rzen informacn bezpecnosti. V současnosti celosvětové uznávaný základní standard zajišt ování informační bezpečnosti Vnitrn struktura WG1: Requirements, security services and guidelines WG2: Security techniques and mechanisms WG3: Security evaluation criteria Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 26 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 27

Rodina standard u ISO/IEC 27000, ISO/IEC 27001:2013 Information Security Management System { Requirements denuje pozadavky na funkcionalitu a vlastnosti syst emu spr avy (rzen) informacn bezpecnosti pozadavky na mozn a bezpecnostn opatren vymezuje standard ISO/IEC 27002 ISO/IEC 27001 je p uvodne britsk y standard BS 7779-2 standard je detailnm popisem pozadavk u, kter e mus ISMS splnit, v origin ale se pouzv a must a shall, pokud chce standardu vyhov et je nez avisl y na technologii, urcen y pro organizace vsech typ u, velikost a podstat, p usobcch v jak emkoli sektoru (komerce, st atn spr ava, neziskovky), kdekoli ve sv et e Rodina standard u ISO/IEC 27000, ISO/IEC 27001:2013 v dodatku standard 27001 uv ad seznam cl u opatren denovan ych v ISO/IEC 27002 ISO/IEC 27002 obsahuje n avody, jak je implementovat Povinn ym pozadavkem 27001 je porovnat opatren zvolen a pri zvl ad an rizik proti dodatku 27001, aby byla jistota, ze se na nic nezapomnelo 27001 narizuje pouzt 27002 jak zdroj n avod u pro volbu a implementaci opatren, nezakazuje pouzit i dalsch zdroj u Seznam cl u a opatren v dodatku 27001 nen ch ap an jako upln y, vycerp avajc, podle potreby lze dopl novat dals cle a opatren ISMS organizace lze certikovat na vyhov en ISO/IEC 27001 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 28 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 29 Rodina standard u ISO/IEC 27000, mphiso/iec 27002:2013 Code of practice for information security management doporucen jak navrhovat, implementovat, udrzovat a vylepsovat opatren prosazujc informacn bezpecnost, pouzv a slova may, should (m uze, mel by) p uvodne britsk y standard BS 7779, pot e standard ISO/IEC 17779, nyn standard ISO/IEC 27002:2013 jde o mezin arodn e uzn avan e nejleps praktiky rzen informacn bezpecnosti je n avodem, jak implementovat certikovateln y ISMS, extern auditor se m uze na 27002 odkazovat standard ISO/IEC 27002 je kodexem, radami pro budov an bezpecn eho syst emu, obvykl e je deklarovat vyhov en standardu, certikace vyhov en ISO/IEC 27002 se ned el a Rodina standard u ISO/IEC 27000 k 02 2016 Cerven ym or amov anm jsou indikovan e standardy, kter e jsou mj. predmetem v ykladu v r amci PV017 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 30 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 31

Rodina standardu ISO/IEC 27000 k 02 2016 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti Rodina standardu ISO/IEC 27000 k 02 2016 32 PV017 { Standardy (normy) informacn bezpecnosti PV017 { Standardy (normy) informacn bezpecnosti 33 Rodina standardu ISO/IEC 27000 k 02 2016 Rodina standardu ISO/IEC 27000 k 02 2016 Jan Staudek, FI MU Brno Jan Staudek, FI MU Brno 34 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 35

Rodina standard u ISO/IEC 27000 k 02 2016 Dals standardy vydan e ISO/IEC/JTC1/SC 27/WG1 ISO/IEC TR 15945, Specication of TTP services to support the application of digital signatures spolecn y standard s doporucenm X.843 ITU-T ISO/IEC TR 18043, System deployment a operations of intrusion detection systems { IDS technick a zpr ava s metodick ym n avodem jak zahrnout IDS do IT infrastruktury ISO/IEC TR 18044, Information security incident management technick a zpr ava s metodick ym n avodem pro spr avu reakce na bezpecnostn incident Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 36 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 37 Dals standardy vydan e ISO/IEC/JTC1/SC 27/WG1 ISO/IEC TR 18028, IT Network security spr ava a architektura st'ov e bezpecnosti, bezpecnostn br any, bezpecn y vzd alen y prstup, VPN { Virtual Private Networks ISO/IEC 9979, 1999 Procedures for registration of cryptographic algorithms Typy standard u vydan ych ISO/IEC/JTC1/SC 27/WG2 Orientace { kryptograck e a autentizacn techniky a mechanismy ISO/IEC 9796, 2000{2002, Digital signature schemes giving message recovery ISO/IEC 9797, 1999{2002, MACs, Message authentication Codes ISO/IEC 9798, 1997{2000, Entity Authentication ISO/IEC 10116, 1997, Modes of operation for n-bit block cipher algorithm ISO/IEC 10118, 1998{2000, Hash function ISO/IEC 11770, 1996{1999, Key management ISO/IEC 13888, 1997{1998, Non-repudation ISO/IEC 14888, 1998{1999, Digital signature schemes with appendix ISO/IEC 15946, Cryptographic techniques based on elliptic curves ISO/IEC 18014, 2002, Time stamping services ISO/IEC 18033, Ecryption algorithms Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 38 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 39

Standard vydan y ISO/IEC/JTC1/SC 27/WG3 Standardy ISO/TC 68 Financial Services ISO/IEC 15408 Evaluation criteria for IT security ISO/IEC 15408-1: Part 1: Introduction and general model ISO/IEC 15408-2: Part 2: Security functional requirements ISO/IEC 15408-3: Part 3: Security assurance requirements vsechny 3 c asti byly publikovan e v r. 2005 vce v samostatn e predn asce Soucasn a struktura TC 68 SC2: Security management a general banking operations { hlavn p usobiste standardizace bezpecnosti IT { WG4 Information security guidelines fo banking { WG6 Framework for IT security for nancial institutions { WG10 Biometric information security { WG11 Encryption algorithm used in banking applications { WG12 Security in retail banking { WG14 Cryptographic syntax scheme for nancial services SC4: Securities and realted nancial instruments SC6: Retail nancial services SC7: Core banking WG2: International bank account number Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 40 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 41 Evropsk e iniciativy ve standardizaci informacn bezpecnosti Zastresuj CEN a ETSI Hlavn iniciativa { CEN/ISSS, Information Society Standardization System vznik koncem 90. let, uzk a n avaznost na CEN, ETSI, CENELEC cl: zkr acen ISO{doby tvorby ISO standardu (tou je 5 let) zav ad se velmi pruzn y princip prijm an pracovnch (de facto) standard u formou v ysledn ych dokument u standardizacnch workshop u (WS) ustanovovan ych podle potreby, tzv. CEN Workshop Agreements, CWA prklady CEN/ISSS workshop u Electronics Signatures, E-Sign eauthentication Data protection and Privacy, DPP Electronic Commerce,EC,... Standard NIST, rodina SP 800, prklady (SP Special Publication) SP 800-12 : An Introduction to Computer Security: The NIST Handbook SP 800-14 : Generally Accepted Principles and Practices for Securing Information Technology Systems SP 800-27 : Engineering Principles for IT Security SP 800-30 : Risk Management Guide for Information Technology Systems SP 800-45 : Electronic Mail Security SP 800-50 : Building an Inf. Techn. Security Awareness and Training Program SP 800-63 : Electronic Authentication Guidelines SP 800-94 : Guide to Intrusion Detection and Prevention Systems (IDPS) SP 800-95 : Guidelines for Secure Web Services SP 800-100 : Information Security Handbook: A Guide for Mngrs Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 42 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 43

NIST Special Publications (SP), upln y prehled Standard ISACA, COBIT http://csrc.nist.gov/publications/pubssps.html SP 800, Computer Security (December 1990-present): NIST's primary mode of publishing computer/cyber/information security guidelines, recommendations and reference materials SP 1800, NIST Cybersecurity Practice Guides (2015-present): Complement the SP 800s; targets specic cybersecurity challenges in the public and private sectors; practical, user-friendly guides to facilitate adoption of standards-based approaches to cybersecurity SP 500, Computer Systems Technology (January 1977-present): A general IT subseries used more broadly by NIST's Information Technology Laboratory (ITL) COBIT { Control Objectives for Information and related Techn. 34 proces u, 230 rdicch n astroj u v oblastech { v dom en ach Plan and Organize jak m uze IT pomoc organizaci dos ahnout stanoven ych cl u Acquire and Implement identikace pozadavk u na IT a jejich implementace do st avajcch podnikatelsk ych proces u organizace Deliver and Support procesy umoz nujc efektivn beh syst emu Monitor and Evaluate strategie posuzov an potreb organizace, prok az an, zda st avajcc syst em st ale spl nuje cle, pro kter e byl navrzen y sirs z ab er nez ISO/IEC 27002, dopl nuj se, nekonkuruj si Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 44 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 45 Standard ISACA, COBIT, detailn eji Standard ISACA, COBIT, detailn eji Pl anov an a organizace (Plan and Organize PO) PO1 Dene a strategic IT plan PO2 Dene the information architecture PO3 Determine technological direction PO4 Dene the IT processes, organisation and relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage IT human resources PO8 Manage quality PO9 Assess and manage IT risks PO10 Manage projects Akvizice a implementace (Acquire and Implement AI) AI1 Identify automated solution. AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use AI5 Procure IT resources AI6 Manage changes AI7 Install and accredit solutions and changes Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 46 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 47

Standard ISACA, COBIT, detailn eji Standard ISACA, COBIT, detailn eji Dod avka a podpora (Deliver and Support DS) DS1 Dene and manage service levels DS2 Manage third-party service DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users DS8 Manage service desk and incidents DS9 Manage the conguration. DS10 Manage problems DS11 Manage data DS12 Manage the physical environment DS13 Manage operations Monitoring a evaluace (Monitor and Evalue ME ) ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure compliance with external requirements. ME4 Provide IT governance. Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 48 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 49 Standard ISF, SoGP Pr avn principy SoGP { Standard of Good Practice for Information Security sest klcov ych aspekt u Security management { rzen bezpecnosti Critical business applications { provozov an aplikac Computer installations { IT infrastruktura Networks { IT infrastruktura Systems development { v yvoj nov ych aplikac End user environment { prostred koncov ych uzivatel u popisy princip u a cl u, doporucen pokr yvajc implementaci pravidla, kter a tvor z aklad urcit eho pr avnho institutu, z akona, pr avnho odvetv nebo pr avnho r adu v pr avnm st ate jsou pr avu imanentn (bytostne vlastn), bez ohledu na to, zda jsou ci nejsou v yslovne vyj adrena v platn ych pr avnch norm ach jsou vcem en e spolecn a pr avu zem s prbuznou kulturou jsou z akladem pr avnho r adu pr avnho st atu mely by b yt symbolick ym a alespo n c astecn ym racion alne pojmov ym vyj adrenm pr ava prirozen eho Pr avn normy (z akony, vyhl asky,... ) mohou b yt zruseny. Pr avn principy zruseny b yt nemohou a nemohou b yt ani vyvr aceny jakoukoli interpretac. Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 50 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 51

Pr avn principy Prklady pr avnch princip u Politikou (v oblasti pr ava) se rozum standard, kter y vytycuje cl, jehoz se m a dos ahnout, zpravidla zlepsen urcit e kvality... Pr avn princip je standard, kter y se m a dodrzovat nikoli proto, ze to pom uze dos ahnout nebo zajistit nejakou ekonomickou, politickou nebo soci aln situaci, kter a se povazuje za z adouc, ale proto, ze je pozaduje spravedlnost, slusnost nebo n ejak a jin a dimenze mor alky. Nemo ultra posse obligatur, k nemozn emu nen nikdo zav az an Lex retro non agit, z akon nep usob zpetne Ignorantia legis non excusat, neznalost z akona neomlouv a Pacta sunt servanda, smlouvy se maj dodrzovat Lex posterior derogat priori, z akon pozd ejs rus z akon drv ejs Lex specialis derogat generali, speci aln uprava rus pr avn upravu obecnou Lex superior derogat inferiori, z akon vyss pr avn sly rus z akon nizs pr avn sly Nullum crimen, nulla poena sine lege, nen zlocinu, nen trestu bez z akona Ne bis in idem, ne dvakr at o tomt ez Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 52 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 53 Cesk a legislativa souvisejc s informacn bezpecnost Cesk a legislativa v oblasti informacn bezpecnosti Z akon c. 181/2014 Sb., o kybernetick e bezpecnosti ucinnost 1.1.2015 z akladn principy viz d ale Z akon c. 106/1999 Sb., o svobodn em prstupu k informacm Povinn ymi subjekty, kter e maj podle tohoto z akona povinnost poskytovat informace vztahujc se k jejich p usobnosti, jsou st atn org any, uzemn samospr avn e celky a jejich org any a verejn e instituce. Z akon c. 101/2000 Sb., o ochrane osobnch udaj u osobnm udajem jak akoliv informace t ykajc se urcen eho nebo urciteln eho subjektu udaj u. Subjekt udaj u se povazuje za urcen y nebo urciteln y, jestlize lze subjekt udaj u prmo ci neprmo identikovat zejm ena na z aklade csla, k odu nebo jednoho ci vce prvk u, specick ych pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturn nebo soci aln identitu Z akon c. 240/2000 Sb., o krizov em rzen stanovuje p usobnost a pravomoc st atnch org an u a org an u uzemnch samospr avn ych celk u a pr ava a povinnosti pr avnick ych a fyzick ych osob pri prprave na krizov e situace, kter e nesouvisej se zajist'ov anm obrany Cesk e republiky pred vnejsm napadenm Z akon c. 365/2000 Sb., o informacnch syst emech verejn e spr avy Ex. vyhl aska c. 529/2006 Sb., o pozadavcch na strukturu a obsah informacn koncepce a provozn dokumentace a o pozadavcch na rzen bezpecnosti a kvality informacnch syst em u verejn e spr avy (vyhl aska o dlouhodob em rzen informacnch syst em u verejn e spr avy) Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 54 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 55

Cesk a legislativa v oblasti informacn bezpecnosti Z akon c. 480/2004 Sb., o nekter ych sluzb ach inf. spolecnosti sluzbou informacn spolecnosti se rozum jak akoliv sluzba poskytovan a elektronick ymi prostredky na individu aln z adost uzivatele podanou elektronick ymi prostredky, poskytovan a zpravidla za uplatu; sluzba je poskytnuta elektronick ymi prostredky, pokud je odesl ana prostrednictvm ste elektronick ych komunikac a vyzvednuta uzivatelem z elektronick eho zarzen pro ukl ad an dat Z akon c. 127/2005 Sb., o elektronick ych komunikacch Z akon c. 412/2005 Sb., o ochrane utajovan ych informac a o bezpecnostn zp usobilosti Ex. narzen vl ady c. 522/2005 Sb., kter ym se stanov seznamy utajovan ych informac Ex. vyhl aska c. 523/2005 Sb., o bezpecnosti informacnch a komunikacnch syst em u a dalsch elektronick ych zarzen nakl adajcch s utajovan ymi informacemi Z akon c. 181/2014 Sbb., o kybernetick e bezpecnosti, ideje Z akon nedot yk a uzivatel u ani poskytovatel u obsahu ve sluzb ach informacn spolecnosti dotcen e org any a osoby v oblasti kybernetick e bezpecnosti jsou subjekty spravujc specick e informacn a komunikacn syst emy specick e = zarazen e do kritick ych a v yznamn ych informacnch a komunikacnch syst em u pro bezpecnost st atu a v ykon spr avy st atu Cl: zajist en bezpecn eho fungov an informacn spolecnosti CR zajisten bezpecn e realizace z akladnho pr ava na informacn sebeurcen prostrednictvm informacnch syst em u, sluzeb a st elektronick ych komunikac nezasahuje do obsahov eho fungov an informacn spolecnosti, ale pouze si klade za cl zabezpecit proti umysln ym nebo nahodil ym kybernetick ym bezpecnostnm incident um informacn kan aly, jimiz clovek realizuje sv e pr avo na informacn sebeurcen a jimiz st at vykon av a sv a nedistributivn informacn pr ava. Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 56 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 57 Z akon c. 181/2014 Sb., o kybernetick e bezpecnosti, ideje Stanovuje minim aln pozadavky na standardn zabezpecen kritick e informacn infrastruktury a v yznamn ych informacnch syst em u Zav ad podmnky spolupr ace mezi soukromopr avnm n arodnm dohledov ym pracovist em (n arodn CERT) a vl adnm CERT CERT { Computer Emergency Response Team Syst em kybernetick e bezpecnosti podle z akona zahrnuje Bezpecnostn opatren Detekce kybernetick ych bezpecnostnch ud alost Hl asen kybernetick ych bezpecnostnch incident u Syst em opatren k reakci na kybernetick e bezpecnostn incidenty Cinnost dohledov ych pracovist' (n arodn CERT a vl adn CERT). Z akon c. 181/2014 Sb., o kybernetick e bezpecnosti, ideje NBU (Národní Bezpečnostní Úřad) vyd av a podle tohoto z akona vyhl asky o kybernetick e bezpecnosti vyhl aska 316/2014 Sb., Vyhl aska o bezpecnostnch opatrench, kybernetick ych bezpecnostnch incidentech, reaktivnch opatrench a o stanoven n alezitost pod an v oblasti kybernetick e bezpecnosti (vyhláška o kybernetické bezpečnosti) stanovuje { obsah a strukturu bezpecnostn dokumentace, { obsah bezpecnostnch opatren a rozsah jejich zaveden, { typy a kategorie kybernetick ych bezpecnostnch incident u, { n alezitosti a zp usob hl asen kybernetick eho bezpecnostnho incidentu, { n alezitosti ozn amen o proveden reaktivnho opatren a jeho v ysledku a { vzor oznamov an kontaktnch udaj u a jeho formu Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 58 Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 59

Z akon c. 181/2014 Sb., o kybernetick e bezpecnosti, ideje NBU (Národní Bezpečnostní Úřad) vyd av a podle tohoto z akona vyhl asky o kybernetick e bezpecnosti vyhl aska 317/2014 Sb., Vyhl aska o v yznamn ych informacnch syst emech a jejich urcujcch krit erich stanovuje { urcujc krit eria v yznamn ych informacnch syst emech { v ycet v yznamn ych informacnch syst emech Jan Staudek, FI MU Brno PV017 { Standardy (normy) informacn bezpecnosti 60