Tonda Beneš Ochrana informace podzim 2011



Podobné dokumenty
Tonda Beneš Ochrana informace podzim 2017

BEZPEČNOST IS. Ukončení předmětu: Předmět je zakončen zkouškou sestávající z písemné a doplňkové ústní části.

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

srpen 2008 Ing. Jan Káda

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Security of Things. 6. listopadu Marian Bartl

Bezpečnost intranetových aplikací

Implementace systému ISMS

KYBERNETICKÁ A INFORMAČNÍ VÁLKA

Typy bezpečnostních incidentů

VODÍTKA HODNOCENÍ DOPADŮ

Bezepečnost IS v organizaci

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Fyzická bezpečnost. Bezpečnost informací v ČR. Ing. Oldřich Luňáček, Ph.D. oldrich.lunacek@unob.cz

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

BEZPEČNOST INFORMACÍ

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Řízení kybernetické a informační bezpečnosti

V Brně dne 10. a

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

1. KYBERNETICKÁ BEZPEČNOST

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. Některé aspekty kybernetické kriminality

Aplikovaná informatika

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Ochrana před následky kybernetických rizik

Provozování integrovaného podnikového systému. Jaroslav Šmarda

ODEMČENÉ DVEŘE PRŮZKUM UKAZUJE, ŽE TISKÁRNY ČASTO BÝVAJÍ NEZABEZPEČENÉ PROTI KYBERNETICKÝM ÚTOKŮM

Informatika / bezpečnost

Bezpečnostní politika informací v ČSSZ

Zákon o kybernetické bezpečnosti

Směrnice upravující eliminaci rizik při správě osobních údajů technicko-organizační opatření

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

CISCO CCNA I. 8. Rizika síťového narušení

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Politika bezpečnosti informací

Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o.

Technická a organizační opatření pro ochranu údajů

VÝZNAM BEZPEČNOSTI MOBILNÍCH PLATFOREM JDE RUKU V RUCE S ROSTOUCÍ POPULARITOU SMARTPHONŮ

Bezpečnost na internetu. přednáška

Tel.: (+420)

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

Koordinační středisko pro resortní zdravotnické informační systémy. Závěrečný test Základy informační bezpečnosti pro uživatele. Verze: 1.

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Systém řízení informační bezpečnosti (ISMS)

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Certifikace pro výrobu čipové karty třetí stranou

vnější profesionál vnitřní profesionál organizace opakuje podsouvá

Dalibor Kačmář

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Organizační opatření, řízení přístupu k informacím

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní politika společnosti synlab czech s.r.o.

V Brně dne a

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Odhalování a vyšetřování kybernetické kriminality

EXTRAKT z mezinárodní normy

Řízení rizik. RNDr. Igor Čermák, CSc.

Aplikovaná informatika

Template pro oznámení porušení zabezpečení osobních údajů

Kybernetická a informační bezpečnost (ale kdyby jenom to) Ing. Aleš Špidla

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Hospodářská informatika

Všeobecné podmínky systému JOSEPHINE

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

DVAKRÁT MĚŘ A JEDNOU ŘEŽ

VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Security. v českých firmách

Principy počítačů. Bezpečnost, zálohy, údržba, nákupy. Martin Urza

SECTRON s.r.o. Výstavní 2510/10, Ostrava - Mariánské Hory , sales@sectron.cz

Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL

Technologie pro budování bezpe nosti IS technická opat ení.

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

POPIS CSIRT. Státní pokladna Centrum sdílených služeb, s. p. Vlastník dokumentu: Datum poslední aktualizace:

Security. v českých firmách

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Životní cyklus rizik - identifikace.

Škodlivý kód, útok na aplikace. Ing. Miloslav Hub, Ph.D. 5. prosince 2007

Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

CYBER RISK POJIŠTĚNÍ POHLEDEM POJIŠŤOVACÍHO MAKLÉŘE

Hodnocení rizik v resortu Ministerstva obrany

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

Bezpečnost IS. Základní bezpečnostní cíle

Provozní hlediska systémového auditu v aplikacích a systémech

EXTRAKT z české technické normy

Kybernetické bezpečnostní incidenty a jejich hlášení

Transkript:

Literatura ISO17799 ITILv3 ISO27000 PFLEEGER, "Security in Computing", Prentice-Hall, 1989 JACKSON, HRUSKA, "Computer Security Reference Book", Butterworth- Heineman, 1992 RUSSELL, GANGEMI, "Computer Security Basics", O'Reilly&Associates, 1991 SCHNEIER, "Applied Cryptography", John Wiley & Sons, 1994 PŘIBYL, "Ochrana dat v informatice", scriptum ČVUT, 1993 Frequently Asked Questions About Today's Cryptography, http://www.rsasecurity.com/rsalabs/faq/index.html k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky přednášené v konkrétním semestru 1 / 7

Zcela základní pojmy Informačním systémem(is) rozumíme soubor technických prostředků, softwaru a jeho konfigurací, záznamových medií, postupů, dat a personálu, který daná organizace používá ke správě svých informací. Korektní stav IS odpovídá situaci, kdy systém je schopen v definovaném rozsahu poskytovat zajišťovat všechny požadované vlastnosti zpracovávaných informaci, či poskytovaných služeb, například: o utajení o dostupnost o integrita o nepopiratelnost o včasnost o současnost o autenticita o anonymita o pseudonymita o Uvedený výčet není v žádném případě vyčerpávající, nebo reprezentativní. Výběr služeb vždy individuální Bezpečnostní incident je stav, kdy došlo k (potenciálnímu) porušení alespoň jedné z požadovaných vlastností. Pravidla hry Vlastník IS buduje spoustu mechanismů tzv. bezpečnostních protiopatření pro zabránění vzniku incidentu Základní princip ochrany výpočetních systémů. O peníze jde až v první řadě. Chráněné objekty mají svoji cenu, pro kterou jsou chráněny. Cena může být různá pro majitele a útočníka. Ochrana není, ani přibližně, zadarmo. Princip nejsnazšího průniku. Je třeba očekávat, že útočník použije libovolný způsob průniku. Fanatismus nepřináší dobré výsledky k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky přednášené v konkrétním semestru 2 / 7

Bezpečnost je souboj mezi zdroji (čtěte penězi, znalostmi, důvtipem,..) útočníka a zdroji provozovatele systému. Kdo jich má víc, pravděpodobně zvítězí. O co se hraje Informační systém je tvořen souborem tzv. aktiv. Jejich společným cílem je poskytovat vám služby v požadované kvalitě. Mezi aktiva patří mimo jiné: o záznamová media o počítače o tiskárny o programy o konfigurace o vlastní informace o sklad spisů o napájení o komunikační linky o administrátoři o uživatelé o zálohy o provozní prostory o... Svůj soupis aktiv si každý musí provést sám. Váš útočník hledá expozici tj. místo potenciálního poškození. Zranitelností rozumíme nedostatek bezpečnostního systému, může být použit k poškození nebo zcizení informací. Př: Data o novém výrobku jsou z pohledu útočníka expozicí, když si naplánuji, že je budu svým pobočkám posílat nešifrované majlem, je to zjevná zranitelnost. Bezpečák by měl vidět samé hrozby tj. skutečnosti, které potenciálně mohou být původci bezpečnostního incidentu. Zdaleka nejstrašnější hrozbou jsou vlastní uživatelé. Kromě nich sem patří ještě: o povodně a záplavy o požáry o zloději o rozvědky o konkurence o hackeři o vandalové o nešikové s bagrem o viry a červi o závady techniky o výpadky napájení o teplota o vlhkost o vibrace o... Přehled relevantních hrozeb si musí každý sestavit sám. Někdy se tomu učeně říká model ohrožení. k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky přednášené v konkrétním semestru 3 / 7

Cíl hry Cílem překvapivě není zbavit se útočníka - prostě proto, že se to nevyplatí. Naplněním hrozby vznikne bezpečnostní incident jehož finančnímu vyjádření se říká dopad. Rozsah hrozeb spolu s pravděpodobností jejich realizace udává celkovou míru rizika. Riziko vztažené k určitému období = očekávaná ztráta. Cílem najít místo, kde se bezpečnostní opatření přestávají vyplácet. Nevyloučili jsme zcela riziko incidentu zbylo zbytkové riziko Stav, kdy vám někdo nebo něco prostřelilo bezpečnostní opatření, je nutno brát jako další z provozních režimů IS. Jak na to Požadavky na bezpečnost Je řada důvodů, proč vytvářet bezpečnostní opatření o zákonné požadavky o dosažení provozní kontinuity o obecné standardy o požadavky protistrany o resortní normy o zajištění konkurenčních výhod o ochrana obchodního tajemství o... Okruh možných řešení Pomoci může celá řada technických norem a certifikátů k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky přednášené v konkrétním semestru 4 / 7

Plán Potřebujete bezpečnostní politiku. zde se naplánuje, jak budete řešit všechny oblasti bezpečnosti, kdo je za co zodpovědný a jak to budete implementovat a provozovat. Realizace a provoz Praktické realizace, následně provoz, monitorování, aplikace změn, verifikace, auditu atd. atp. Krok stranou Bezpečnost je naprosto netriviální propletenec povětšinou velmi triviálních záležitostí. Obrázek je namalován před zhruba čtyřmi lety podle průzkumu který činil Národní Bezpečnostní Úřad ve spolupráci s časopisem DSM a společnosti PriceWaterhouseCoopers. Možné hrozby 1. přerušení - některá část systému je ztracena nebo nedosažitelná 2. zachycení - neautorizovaný subjekt získá přístup k nějakému objektu systému 3. modifikace - neautorizovaný subjekt získá možnost pozměňovat některé části systému 4. fabrikace - neautorizované vytvoření nového objektu 5.... 6. Zdroje ohrožení 1. vyšší moc (požár, povodeň, zemětřesení, blesk, ) 2. závady technického zařízení 3. neúmyslné lidské chyby 4. záměrné útoky k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky přednášené v konkrétním semestru 5 / 7

Klasifikace možných útočníků klasifikovat lze dle mnoha kriterií, zejména dle I. způsobu, jak se projeví způsobená škoda A. ztráta integrity B. ztráta dosažitelnosti C. ztráta autenticity II. druhu způsobené ztráty A. neautorizované použití služeb B. přímá finanční ztráta C. fyzické poškození, vandalismus III. role, kterou výpočetní technika hraje v tomto konání A. objekt útoku B. nástroj C. prostředí D. symbol IV. použitých prostředků A. opisování údajů B. špionáž C. vkládání falešných dat D. krádež E. odposlech F. scanování, prohledávání - kupříkladu hledání hesel zkoušením, hledání tfn. linek, které vedou k počítači, G. piggybacking, tailgating - útočník se snaží projít vstupní kontrolou zároveň s autorizavanou osobou, nebo pokračovat v započaté session H. trojské koně - programy, vykonávající skrytou funkci I. viry J. trapdoors - skryté vstupy do systému, utajené příkazy umožňující přeskočit některé části procesu K. logické bomby - části kódu spouštěné výskytem určitých okolností - čas, dosažený obrat, stav systému L. salami attack - využívání zaokrouhlovacích chyb, drobné úpravy na hranici přesnosti zpracovávaných dat M. prosakování dat N. pirátství k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky přednášené v konkrétním semestru 6 / 7

k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky přednášené v konkrétním semestru 7 / 7

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář