6. Bezpečnost IS. Osnova. Výklad



Podobné dokumenty
MFF UK Praha, 29. duben 2008

Bezpečnostní normy a standardy KS - 6

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

V Brně dne 10. a

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

ČESKÁ TECHNICKÁ NORMA

Bezpečnost IS. Základní bezpečnostní cíle

Bezepečnost IS v organizaci

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

V Brně dne a

Bezpečnostní politika společnosti synlab czech s.r.o.

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

srpen 2008 Ing. Jan Káda

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

ČESKÁ TECHNICKÁ NORMA

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Implementace systému ISMS

Systém řízení informační bezpečnosti (ISMS)

Vnitřní kontrolní systém a jeho audit

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

ČESKÁ TECHNICKÁ NORMA

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Informatika / bezpečnost

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Státní pokladna. Centrum sdílených služeb

Hodnocení rizik v resortu Ministerstva obrany

ČESKÁ TECHNICKÁ NORMA

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Gradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1.

Zdravotnická informatika z pohledu technických norem ISO a EN. RNDr. Vratislav Datel, CSc. Praha 26. dubna 2011

Management informační bezpečnosti

Řízení informační bezpečnosti a veřejná správa

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb.

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha,

Co je riziko? Řízení rizik v MHMP

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí

BEZPEČNOST IS. Ukončení předmětu: Předmět je zakončen zkouškou sestávající z písemné a doplňkové ústní části.

Příspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci.

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

WS PŘÍKLADY DOBRÉ PRAXE

Management kvality cesta k udržitelnému rozvoji cestovního ruchu. Ing. Jiří Sysel Citellus, s.r.o.

AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů

OCTAVE ÚVOD DO METODIKY OCTAVE

Řízení rizik. RNDr. Igor Čermák, CSc.

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Zákon o kybernetické bezpečnosti

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

SMĚRNICE DĚKANA Č. 4/2013

Aplikovaná informatika

POZNÁMKA Zvláštní schválení požadavků nebo dokumentů souvisejících s bezpečností smí být vyžadováno zákazníkem nebo interními procesy organizace.

Obecné nařízení o ochraně osobních údajů

Posuzování na základě rizika

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist)

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Zákon o kybernetické bezpečnosti

Co je to COBIT? metodika

MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK

Management informační bezpečnosti. V Brně dne 26. září 2013

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

MANAGEMENT Přístupy k řízení organizace

EXTRAKT z české technické normy

Zásady managementu incidentů

Certifikační prováděcí směrnice

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Bezpečnostní politika společnosti synlab czech s.r.o.

Integrovaný systém řízení

(2) Zásady bezpečnostní politiky jsou rozpracovány v návrhu bezpečnosti informačního systému

EMS - Systém environmentálního managementu. Jiří Vavřínek CENIA

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

Projekt implementace ISMS Dodatek 1, PDCA

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Případová studie. Zavedení ISMS dle standardu Mastercard

Manažerská ekonomika

Management rizika Bc. Ing. Karina Mužáková, Ph.D. BIVŠ,

Kybernetická bezpečnost

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 510 OBSAH. Předmět standardu... 1 Datum účinnosti... 2 Cíl... 3 Definice... 4 Požadavky

MEZINÁRODNÍ STANDARDY PRO PROFESNÍ PRAXI INTERNÍHO AUDITU

Kvalita SW produktů. Jiří Sochor, Jaroslav Ráček 1

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Transkript:

6. Bezpečnost IS Osnova 1. Audit, řízení bezpečnosti, kontrola ochranných opatření 2. Řízení rizik [navíc] 3. Standardy bezpečnosti IT 4. Bezpečnostní politiky, jejich návrh, tvorba a prosazování, role a základy metod analýzy rizik 5. ISMS 6. Hodnocení bezpečnosti, kritéria a procesy hodnocení Výklad 1. Audit, řízení bezpečnosti, kontrola ochranných opatření Informační systém = softwarový produkt + adekvátní hardware a prostředí Systémy zpracovávající informace jsou bází mnoha (většiny) každodenních transakcí dnešní doby. (nemůžeme převzít bezpečností zásady z klasické industriální éry a přenést je do informační éry) Platí: Každý jednotlivý bit vypadá jako kterýkoliv jiný bit Po provedení změny bitu vesměs nelze zjistit zda ke změně došlo Posloupnost bitů lze nezjistitelně nesčetněkrát kopírovat Z řízení organizace pomocí IT plyne: Zdroje informační ekonomiky nejsou tenčící se zdroje, které musí být chráněné a čerpané řízeně Utajování informací je očividně méně prospěšné než v minulosti (motor inovací) Slábne efekt geografické polohy, virtuální organizace operují bez omezení v čase po celém světě Duševní kapitál se stále významněji podílí na hodnotě/ceně organizace Safety, bezpečí stav bytí, ve kterém platí, že za definovaných podmínek nedojde ke stavu ohrožení lidského života, zdraví, hodnot a prostředí (někdo či něco nezpůsobí škodu (mnohdy se chápe se jako chránění proti náhodným událostem)). Security, bezpečnost je obecně vlastnost prvku (např. IS), který je na určité úrovni chráněn proti ztrátám nebo také stav ochrany (na určité úrovni) proti ztrátám tedy proti úmyslným škodám.v oblasti IT se bezpečnost soustředí především na ochranu činností zpracování, úschovy, distribuce a prezentace informací: Information security (informační bezpečnost) - ochrana proti úmyslným škodám, nežádoucím akcím na informačních aktivech. Pro zamezení případné víceznačné interpretace budeme v následujícím textu rozumět bezpečnost ve významu anglického Security, pokud nebude uvedeno jinak. Privacy, soukromí - je v obecném pojetí charakteristikou života jedince a jeho práva související s možností kontroly informací o sobě, o své činnosti a ochrany proti nežádoucímu rušení. Informační soukromí představuje jeho specifičtější oblast, která se vztahuje především ke zmíněné možnosti kontroly informací, jakými jsou např. osobní data či další relevantní (potenciálně citlivé) informace týkající se určitého jedince. Informační soukromí úzce souvisí se zajištěním ochrany osobních informací, pravidel pro jejich kontrolu a poskytování jiným subjektům atd. Zajištění informačního soukromí podporují bezpečnostní funkce prosazující anonymitu, pseudonymitu, nespojitelnost a nepozorovatelnost. Ochrana informačního soukromí a osobních dat sehrává důležitou roli. V současnosti je například běžnou praxí, že informace, které o nás síť ví jsou často využívány např. při rozhodování potenciálního budoucího zaměstnavatele o našem přijetí či nepřijetí na pracovní pozici nebo při rozhodování bankovního subjektu zdali nám bude poskytnuta půjčka.

Pokud se jedná o soukromí z technického úhlu pohledu, zajímají nás kromě ochrany důvěrnosti (informačního obsahu) dat následující vlastnosti, které definují různé pohledy na obecný pojem soukromí : Anonymita Pseudonymita Nespojitelnost Nepozorovatelnost Dosažení informační bezpečnosti je proces dosažení a udržení dostupnosti, důvěrnosti, integrity, autenticity, zodpovědnosti, nepopiratelnosti a spolehlivosti informací a IT služeb na přiměřené úrovni. Musí být definováno co považuji za bezpečné (např. pokud nezpracovávám důvěrné informace a pouze posílám řídící pokyny chci, aby nebyly měnitelné) Dosahujeme toho precizní specifikace a implementace bezpečností politiky Dosahování bezpečnosti kráčíc za rozvojem technologií (nekonečný proces) Mnohá bezpečnostní opatření jsou po jisté době málo (méně) účinná Bezpečnost informací budujeme důvěryhodný bezpečnostní systém pro zabezpečení aktiv (služba, soubor ) Systematicky udržujeme (zachováváme): Dostupnost - cílem je zabránit zjištění sémantického obsahu dat nepovolanými (neautorizovanými) osobami. Můžeme se o to snažit např. obecně utajením existence informací (značně obtížné), kontrolou přístupu k místům, kde se data nacházejí, maskováním mezi jinými soubory nebo změnou dat do jiné podoby, kterou nelze změnit zpět bez znalosti patřičné (tajné) informace klíče. (před ztrátou funkcionality, snížení efektivnosti) (Ztráta dostupnosti aktiva kritického pro plnění podnikatelské činnosti může snižovat výkonnost organizace) Důvěrnost - autorizovaní uživatelé by měli mít přístup k datům a službám co nejméně komplikovaný. Dobře chráněná data, co se důvěrnosti a integrity týče, která nelze použít při řádné práci, ta nám nebudou příliš platná. Dostupnost dat zaručuje, že požadovaná data jsou v požadovaném čase na požadovaném místě. (před neautorizovaným přístupem) (Ztráta důvěrnosti může vést ke ztrátě důvěry, k potížím, k právním akcím vůči organizaci) Celistvost - data bez povolení majitele (autorizované osoby) nesmí nepozorovaně změnit svůj stav (tzv. slabá integrita) nebo jej nesmí změnit vůbec (tzv. silná integrita). Povšimněme si, že pokud bude na dobré úrovni zajištěná důvěrnost, pak je zajištění integrity snazší. (integrita) (před nepatřičnou modifikací - integrita neporušení obsahu) (Ztráta integrity nepatřičná modifikace, může vést k vydání chybných rozhodnutí, k podvodu, k nesprávným akcím ) Patří sem i Zodpovědnost - za veškeré své činy a chování v systému mají uživatelé zodpovědnost vůči majiteli dat. Tato zodpovědnost nemusí být přímá (majitel nekontroluje každého uživatele osobně), ale v případě potřeby musí vždy existovat možnost zjistit, kde a kým (příp. i za jakým účelem) data v určitou dobu byla použita informací a relevantních informačních systémů v organizaci. Dále zahrnujeme zajišťování: Autenticity (pravosti, originálnosti, nefalšovanosti) Zodpovědnosti (log, pro hledání důkazů Nepopiratelnosti (nemožnost odmítnout odpovědnost za svůj čin (z logu, digitální podpis)) Spolehlivosti (bezporuchovosti) Audit - pokud existuje podezření, že současný stav IS není po bezpečností stránce v pořádku, je možné provést jeho bezpečnostní audit. Cílem auditu je upozornit na: Možné zranitelnosti v IS, které by mohli vést k jeho ohrožení

Nedostatečnost ochrany ve vztahu k novým poznatkům v oblasti bezpečnosti informačních a komunikačních technologií nebo ve vztahu k uznávaným standardům Nedodržení vlastních bezpečnostních opatření Bezpečností audit má dvě části: Formální posouzení všech materiálů bezpečností politiky Kontrola správnosti implementace ustanovené bezpečnostní politiky ISMS (Systém řízení bezpečnosti informací) musí fungovat jako součást celkového systému řízení organizace. Je to systém procesů zaměřených na ustavení, zaváděni, provozování/prosazování, monitorování, přezkoumávání, udržování a zlepšování bezpečnosti informací založený na přístupu organizace k rizikům v kontextu bezpečnosti informací. Musí být přiměřený a na míru konkrétní organizaci. Cyklický proces budování (např. každý rok) plán. Implementace, provoz a vyhodnocení (poté znovu). Toto zabezpečuje kontinuitu technického zabezpečení a pokrývá vždy nejnovější dostupné technologie. Postavený na práci s riziky (co nejpřesnější analýza, ohodnocení a následná adekvátní bezpečnosti opatření). Řízení organizace (pomocí IT) sebou přináší související rizika tj. uplatnění některých hrozeb s jistou pravděpodobností. Účastník (informačního) prostředí vlastní/používá něco, co pro něj má nepominutelnou hodnotu, toto je jeho aktivem. Aktiva lze klasifikovat na důvěrná (pouze pro vnitřní potřebu), tajná (zveřejnění i v rámci organizace by mohlo narušit zájmy organizace), přísně tajná (zveřejnění i v rámci organizace by mohlo vážně poškodit zájmy organizace) Aktivum má hodnotu i pro útočníka, který má ale protichůdný zájem vůči účastníkovi, způsobuje účastníkovi škodu. Škoda je důsledek (dopad) útoku na (hodnotu) aktiva. Útok (bezpečností incident) je realizací hrozby. Hrozba reprezentuje potenciální motivaci k útoku. Eexistuje díky zranitelnosti systému obhospodařující aktiva a díky zdrojům možností využití zranitelnosti. Zranitelnost je dána existencí zranitelných míst a existencí potenciálních útočníků. Bezpečnost - zamezení škody eliminací zranitelných míst nebo útočníků, případně snížením využitelnosti zranitelných míst pomoci bezpečnostních opatření. Provádí se hodnocení bezpečnosti pro zjištěni dané úrovně (např. CC, OWASP) Bezpečnostní opatření služba, představuje požadovanou ochranu relevantní jisté hrozbě. Pro zajištění důvěrnosti, integrity a dostupnosti, řízeni přístupů Je to nástroj, který riziko dané existencí hrozby odstraňuje nebo je alespoň snižuje. Musíme jej účinnou formou implementovat vhodnými (bezpečnostními) mechanismy Opatření řeší problém nepopiratelnosti (digitální podpis) Řeší řízení přístupu v souladu s přijatou politikou (fyzické klíče, identifikační karty, biometriky) Řeší problém důvěrnosti v souladu s přijatou politikou (šifrování, trezory, smluvní závazek) Bezpečnostní politika soubor pravidel specifikující účinný způsob uplatňování opatření (implementovaných adekvátními mechanismy) potřebných pro dosažení požadované úrovně akceptovatelných rizik. Co se chrání, proti čemu/komu (stanovuje bezpečnostní cíle) Jak se ochrana uplatňuje (způsob dosažení bezpečnostních cílů pomoci uplatňování opatření implementovaných vhodnými mechanismy)

Riziko představuje pravděpodobnost uplatnění hrozby (útoku) a potenciální výše škody způsobené útokem. Úroveň rizika = F (prb) x F' (dopad) Model úvahy: Která aktiva Rizika Úroveň Další rizika způsobena prosazením oněch bezpečnostních opaření Náklady

2. Řízení rizik Riziko je součinem pravděpodobnosti realizace hrozby (zanedbatelná, běžná, hraničící s jistotou) a dopadu dané hrozby (zanedbatelné, běžné, katastrofické). Rizika vznikají, zanikají, snižují se a zvyšují. Není to stabilní záležitost. Rizika minimalizujeme pomocí řízení rizik, což je neopomenutelná součást tvroby ITSP (IT Security Policy - Politika bezpečnosti informací) a ISMS. Reprezentují negativní dopad využití zranitelnosti (prb * dopad) Mohou plynout z cílů a řešení podnikatelských procesů Z nedokonalého vyhovění zákonným/smluvním závazkům Z úrovně kvality návrhových, implementačních a provozních procedur Mohou existovat nezávisle na naší vůli (výpadek energie...) Řízení rizik zpravidla zahrnuje následující procesy: Ohodnocení rizik - analýza (identifikace zdroje a určení velikost rizik) a vyhodnocení rizik (určení významnosti rizik porovnáním jejich velikosti zjištěné analýzou vůči předem stanoveným kritériím) 1. Charakteristika systému 2. Identifikace hrozeb 3. Identifikace zranitelnosti 4. Analýza opatření 5. Určení pravděpodobnosti 6. Analýza dopadů 7. Vyhodnocení rizik 8. Doporučení opatření 9. Dokumentace výsledků ohodnocení rizik Zvládání rizik - výběr a implementace opatření snižujících rizika, pomocí B.O. dostaneme riziko na akceptovatelnou úroveň (plné odstranění není možné nebo příliš nákladné). 1. Řeší od nejvyšších 2. Usiluje o dostatečné snížení rizika Akceptace rizik - rozhodování o přijatelnosti rizika dle stanovených kritérií (opatřením jsme snížili riziko) Informovanost o rizicích - informování všech, kteří mohou rizika ovlivnit či být zasažení Jedná se tedy o cyklický proces, který implementuje a prosazuje politiky, navrhuje a implementuje ISMS. Ohodnocení rizik se sestává z analýzy a vyhodnocení rizik. Jedná se o formální proces, který má definovaná vstupní data a musí být řádně zdokumentovaný. Nejdříve se provede orientační ohodnocení rizik a to typicky při vytváření iniciálního ITSP dokumentu. Tento krok je popsán standardem ISO/IEC TR13335-3. Následně se provede celkové ohodnocení rizik 3) jehož výsledkem je matice kde v řádcích jsou jednotlivá chráněná aktiva organizace a ve sloupcích hrozby. Prvky této matice je míra rizika (malé, velké, střední). Zvládání rizik probíhá na základě matice z předchozího kroku se rozhoduje jestli se použijí preventivní opatření pro velké rizika či pouze nápravná opatření. U těch nejmenších rizik lze riziko buďto akceptovat nebo se pouze pojistit. Opatření, které se na základě zvládání rizik přijme je dokonce standardizováno a to v ISO/IEC 27002:2005. Výsledkem zvládání rizik je dokument prohlášení o aplikovatelnosti. Tento dokument je velmi důležitý, je v podstatě jádro manuálu ISMS a auditoři tento dokument vyžadují.

3. Standardy bezpečnosti IT Standard (neboli norma, doporučení) je úmluva o technické specifikaci, nebo o jiném podobně přesně stanoveném kritériu. Standardy se dělí na de jure (schválena uznávanou institucí, ISO, IEC, ITU ) na de facto (v rámci jisté komunity, např.: RFC) a firemní (proprietární) standardy. V různých oblastech technického života existují známé standardizační de jure organizace. Zde je výčet několika z nich Standardizace čehokoliv: ISO - International Organization for Standardization Oblast elektrotechniky: IEC International Electrotechnical Commision Komunikace: ITU International Telecommunications Union V oblasti IT: ISO/IEC JTC1 tzv. Joint Technical Committee. JTC1 zřídilo společně ISO a IEC, proto ISO/IEC V oblasti bezpečnosti IT: podvýbor SC 2 výboru ISO TC 68 V oblasti IT komunikace: ITU-T (úzce spolupracuje s ISO/IEC JTC1) Dále existují speciální, evropské, standardizační organizace (opět de jure): CEN (obdoba ISO), CENELEC (obdoba IEC), ETSI (obdoba ITU). Na národní úrovni existují také de jure organizace (např. ČSNI). Nicméně v IT hrají důležitou roli především ty z USA: IEEE (elektronika, elektrotechnika), NIST, ANSI (zástupce USA v organizaci ISO, věnuje se bezpečnosti v IT a především v bankovnictví). Co se týče de facto standardů tak nejznámější jsou organizace ISOC (internet society) a IAB (internet activities board - rada pro internetové činnosti). Dobrým příkladem de facto standardů jsou RFC, které zpracovává IETF (internet engineering task force). IETF byla pověřena IABem. Posledním zajímavou de facto standardizační komunitou je OWASP (Open Web Application Security Project). Jak název napovídá vydává standardy vývoje bezpečných webových aplikací. Konkrétních standardů je samozřejmě velké množství (přehled je ve slidech 03_standardy od strany 25). Nejdůležitější asi je ISMS (Information Security Management System) standard (ISO/IEC 27001:2005). Krom výše uvedených standardů jsou důležité i ty z kategorie firemních, příkladem je PKCS (public key cryptography standards), který je publikovaný firmou RSA Labs. Standardy Kryptografie (kryptografické a autentizační techniky a mechanismy) ISO/IEC 9796, 2000-2002 Digital signature schemes ISO/IEC 10118, 1998-2000 Hash function ISO/IEC 11770, 1996-1999 Key management ISO/IEC 18014, 2002, Time stamping service ISO/IEC 18033 Ecryption algorithms

4. Bezpečnostní politika Abychom zamezili realizaci bezpečnostního rizika, tak zavádíme opatření. Jedná se o soubor pravidel, který specifikuje způsob uplatnění bezpečnostních opatření potřebné pro dosažení požadované úrovně akceptovatelných rizik. Jinými slovy, bezpečnostní politika říká co se chrání (cíle) proti čemu a jak se ochrana provádí (způsob dosažení cíle) tj. jak zajistit požadovanou úroveň bezpečnosti informací. První krok při budování ISMS! Schválena vedením, jedná se o iterativní proces a musí odrážet ohodnocení rizik Pravidelně přezkoumávána a aktualizována Detailnost závisí na cílové oblasti, respektive charakteru a strategii organizace Musí být důvěryhodná Musí platit že cena opatření je menší než výše případné škody. Stěžejním pojmem je opatření. Typické opatření je kombinací technologie, chování a procedury, např.: antivirový program + pravidelné aktualizace + vyškolení personálu pro bezpečnou práci s emailovými přílohami. Nejlepší praktiky, pro volbu opatření je standard ISO 27002. Pokud je riziko nízké (zanedbatelná pravděpodobnost a dopad), tak se pravděpodobně pouze pojistíme. Při vysokém riziku (katastrofický dopad hraničící s jistotou) vytvoříme plán, abychom takové riziko eliminovali. BP lze dále zúžit: Jedním zúžením je Politika bezpečnosti informací (ITSP - IT Security Policy), která se obvykle zavádí v přirozeném jazyce a chrání informační aktiva. Stanovuje se obvykle na 5-10 let a je nezávislá na konkrétním IT vybavení. Zúžením ITSP je BP systému zpracování informací. Tu definuje ISO/IEC 27000 - Plán zvládání rizik a určuje způsob zabezpečení dat v dané organizaci. Organizování bezpečnosti informací v organizaci (řízení bezpečnosti) ISO 27000 je rodina standardů pro bezpečnosti informací. Bezpečnostní politika požadovaná standardem ISO/IEC 27002 je popisem na vysoké úrovni abstrakce. ISO/IEC 27002 je standard, který dává cca 130 nástrojů (opatření) pro řízení bezpečnosti informací. Jako vstup k řízení bezpečnosti informací je vyžadováno následující: Vypracovaná BP Management na všech úrovních prosazuje BP Má být implementován měřící systém V rámci řízení bezpečnosti v organizaci se chápou následující role: Nejvyšší management Výkonný ředitel Řídící výbor (bezpečnosti informací) Bezpečnostní architekt CISO Chief of Information Security Officer Lokální administrátoři systémů Řídící výbor (jmenovaný nejvyšším managementem) má za úkol zajistit požadovanou úroveň bezpečnosti informací (posuzování a schvalování BP, kontrolovat zda ISMS je řádně integrovaný do procesů organizace). Řídící výbor bezpečnosti informací v organizaci zasedá 2-4krát ročně a závěry zasedání výboru projednává top management.

Plánování zachování kontinuity podnikání Je definován BCP (Business Continuity Plan) tedy co dělat po útoku (bezpečnostním incidentu). Jak udržet kontinuitu Zvládnutí rizika jenž způsobilo havárii Redukce doby nutné pro obnovu Minimalizace rizik pro rizika obnovovacího procesu Může se stát kdykoliv a dělají se kritická rozhodnutí Výstupem: plán činnosti (stav nouze) a plán obnovy (postup po obnově) 3-fázový průběh reakce na útok Nastupují týmy první reakce (ambulantní zásah, informují tým pro vyřešení) Tým pro řešení incidentu (24x7, uvádějí IT do provozu, provádějí posouzení důsledků) Tým pro obnovu (dlouhodobější termíny) Fáze havárie Krize Nouzový režim Obnova Vracení do původního stavu

5. ISMS = Systém Řízení Bezpečnosti Informací Celková politika bezpečnosti informací organizace Součást celkového systému řízení organizace jedná se o plán zvládání rizik organizace Specifikace: co a jak, kdy, za kolik (splnění cíle ve třech dimenzích) Reprezentuje páčí o informace ISO 27001 jak navrhnout ISMS a co má ISMS dělat ISO 27002 která bezpečnostní opatření může ISMS obsahovat (toto jsou dobré techniky, ale můžeme mít svoje) Důkazem věrohodnosti ISMS je jeho certifikace Návrh a implementace ISMS je problém řízení (ISMS přináší změny a tudíž něco (mnoho) nového do pracovních zvyklostí)), ne technologický problém Účelem je redukce a zvládání rizik Fáze PLAN: (návrh) Definice oblasti ISMS Definici politiky bezpečnosti informací Definici systematického přístupu k ohodnocení rizik (na základě zákonných a smluvních závazků, charakteristik procesů, organizační struktury, lokalit, aktiv, použitých technologií) Identifikace a vyhodnocení možností (variant) jak zvládat rizika Příprava dokumentu: Prohlášení o aplikovatelnosti Vrcholový management autorizuje zavedení ISMS Fáze DO: (implementace) Formulace plánu zvládaní rizik

Dokumenty: Implementace plánu zvládání rizik a plánovaných opatření Školení Implementace procedur pro řízení provozu ISMS Instalace postupů a opatření pro rychlou detekci a reakci na bezpečnostní incidenty (BCP) a pro monitorování Fáze CHECK: (kontrola) Monitorování, ohodnocování, testování, audit činností řízených ISMS Fáze ACT: (inovace = analýza požadavků na ISMS a následné vylepšení) Politiky Procedury Návody Zprávy Průběžné vylepšování ISMS

6. Hodnocení bezpečnosti Hodnocení bezpečnosti se provádí, aby se zjistila dosažená úroveň bezpečnosti. K hodnocení bezpečnosti je využíván standard Common Criteria (ISO/IEC 15408) a kritéria OWASP (Open Web Application Security Project). Common Criteria K hodnocením se využívá hodnotících kritérií což je obecně seznam podmínek které vyvíjený/kupovaný produkt nebo systém má být schopný (musí) plnit. Common Criteria poskytují framework, který umožňuje, aby uživatel specifikoval požadavky na bezpečnost produktu, výrobce specifikoval vlastnosti produktu a nezávislý hodnotitel posoudil zda výrobek odpovídá požadavkům. Historicky se namísto Common Criteria v Evropě používali ITSEC (IT Security Evaluation Criteria) a v USA TCSEC (Trusted Computer Security Evaluation Criteria). Tento standard se dělí do 3 částí: Part 1: Introduction and general model Part 2: Security functional requirements Part 3: Security assurance requirements Přínosy hodnocení produktu jsou: Provedení hodnocení může otevřít cestu na nové trhy (státní zpráva, zdravotnictví, armáda) Výsledky hodnocení bývají dobrý reklamní nástroj Hodnocení může odstranit starost, zda výrobek obstojí na trhu Problémy hodnocení: Jakákoliv změna PH (předmět hodnocení, další označení k TOE viz. dále) hodnocení znehodnocuje až anuluje Uživatel, který není expertem v hodnocení musí porozumět správně zárukám, které jsou ve výsledcích vysloveny Hodnocení provádí hodnotitel a po provedeném hodnocení vydává certifikační autorita na základě hodnotící zprávy certifikát. Certifikační autority bývají vládní agentury (NIST) nebo licencované komerční organizace (tak se to dělá v EU). Metodika hodnocení je dvojího druhu: Investigativní - produktově/systémově orientované hodnocení, kde se zkoumají vlastnosti daného produktu. Toto měření je těžko opakovatelné, je to individuální pro každý produkt. Auditní postup - procesně orientované, kde se zkoumá dokumentace a procesy vývoje. Je to sice upřednostňovaná forma, ale pro koncového uživatele méně užitečná. Hlavním dokumentem CC je takzvaný Protection Profile (PP). Je typicky vytváření uživatelem či nějakou uživatelskou komunitou a identifikuje požadavky na bezpečnost pro jisté prostředí. Výrobce následně může zvolit, že bude vyrábět zařízení, které vyhovuje konkrétnímu PP. Další zákazníci mají pak na výběr výrobky pro různé PP. Dalším dokumentem CC je Security Target (ST) a specifikuje bezpečnostní funkce poskytované produktem. Jak CC používají: Zadavatelé vývoje - Jako specifikace bezpečnostních požadavků na TOE (Target of Evaluation - produkt) PP. Tedy generické požadavky na bezpečnostní rysy produktu. Vývojáři - Pomocí dokumentu ST definují bezpečnostní vlastnosti produktu. Hodnotitelé - Používají PP a ST jako měřítko míry, jestli TOE vyhovuje dané bezpečnosti. Zákazníci - Vyhledávají PP, který jim vyhovuje a použijí ho pro specifikaci objednávky či

výběrového řízení. Uživatelské sdružení, resorty - Definují PP CC dále definuje takzvané EAL Evaluation Assurance Level tedy úroveň splnění požadavků na záruku bezpečnosti. EAL0 - Nevyhovující EAL1 - Funkčně otestovaný TOE EAL2 - Strukturovaně otestovaný TOE EAL3 - Metodicky testovaný a kontrolovaný TOE EAL4 - Metodicky navržený, testovaný a přezkoumaný TOE EAL5 - Semiformálně navržený a testovaný TOE EAL6 - Semiformálně navržený se semiformálně ověřeným návrhem a testovaný TOE EAL7 - Formálně navržený s formálně ověřeným návrhem a testovaný TOE OWASP Open Web Application Security Project má být nástrojem pro měření úrovně bezpečnosti webových aplikací. Bezpečnostní kritéria podle OWASP se dělí na základní kritéria a rozšiřující kritéria (která zaručují vyšší stupeň úroveň ochrany). Dále se každé kritérium ohodnocuje podle úroveň záruk za bezpečnost a to do těchto kategorií: Vysoká záruka - dané bezpečnostní opatření byly prokázané manuální kontrolou zdrojového kódu aplikace Střední záruka - dané bezpečnostní opatření byly prokázané manuální kontrolou funkcionality dané aplikace Nízká záruka - dané bezpečnostní opatření byly prokázané automatizovaným testováním kódu nebo aplikace Velmi nízká záruka - dané bezpečnostní opatření byly prokázané analýzou návrhu aplikace Žádná záruka - aplikace nebyla nijak analyzována Celá aplikace se pak ohodnotí podle toho, jak kritéria vyhovují. Závěr http://statnice.dqd.cz/mgr-szz:in-ins:5-ins Slidy k PV017

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář