Koncept informacn bezpecnosti II

Podobné dokumenty
B azov y fenom en pri zajist'ov an bezpecnosti { riziko

Rzen informacn bezpecnosti v organizaci

Rzen informacn bezpecnosti v organizaci

Projekt implementace ISMS Dodatek 1, PDCA

Prklad dokumentov e z akladny ISMS

Koncept informacn bezpecnosti

Koncept informacn bezpecnosti

Projekt implementace ISMS

GPDR, General Data Protection Regulation

Aplikacn bezpecnost. Informacn bezpecnost z pohledu aplikacnch syst em u. PV 017 Bezpecnost informacnch technologi

Rzen reakc na bezpecnostn incidenty

Aplikacn bezpecnost. PV 017 Bezpecnost informacnch technologi. Jan Staudek Verze : podzim 2017

Distribuovan e algoritmy

Projekt implementace ISMS

Prklady opatren, zranitelnost a hrozeb

Politika informacn bezpecnosti

Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,...

Uvod, celkov y prehled problematiky

Rzen rizik. PV 017 Bezpecnost informacnch technologi. Jan Staudek Verze : podzim 2018

Uvod, celkov y prehled problematiky

Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,...

Krit eria hodnocen informacn bezpecnosti

Projekt implementace ISMS, Dodatek 2, Pozn amky k projektov emu rzen

N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS

Sekven cn soubory. PV 062 Organizace soubor u. Jan Staudek Verze : jaro 2018

projektu implementace ISMS

Krit eria hodnocen informacn bezpecnosti, dodatek

Politika informacn bezpecnosti, Dodatek

N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS

Vl akna. PB 152 Operacn syst emy. Jan ÐStaudek Verze : jaro 2015

Anatomie informacn bezpecnosti

ISMS { Syst em rzen informacn bezpecnosti

Bezepečnost IS v organizaci

ISMS { Syst em rzen informacn bezpecnosti

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Projekt implementace ISMS Dodatek 4, Prklad politiky ISMS

Politika informacn bezpecnosti, Dodatek

Podsyst em vstupu a v ystupu

Operacn syst emy { prehled

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Obnova transakc po v ypadku

Pl anu zachov an kontinuity podnik an,

Pl anu zachov an kontinuity podnik an,

Operacn syst emy { prehled

Vl akna. Proces a vl akna. PB 152 Operacn syst emy. Resen editoru pomoc vl aken. Koncept sekvencnho procesu m uze b yt neefektivn

V Brně dne 10. a

Poctacov e syst emy { prehled

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Hasov an (hashing) na vn ejsch pam etech

Prepn an, switching. Propojovac probl em. PV 169 Z aklady prenosu dat. Prepnac, prepnan a st' Metody prepn an

Spr ava hlavn pam eti

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

ISO/IEC 27002:2013. PV 017 Bezpecnost IT. ISO/IEC 27002:2013, Oddly kategori bezpecnosti. ISO/IEC 27002:2013, Popis kategori bezpecnosti

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

V Brně dne a

Spr ava hlavn pam eti

Soubor, souborov e organizace

PV 017 Bezpecnost IT

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT

Standardy (normy) a legislativa informacn bezpecnosti

ČESKÁ TECHNICKÁ NORMA

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Podsyst em vstupu a v ystupu

Procesy. PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017

Bezpečnostní politika společnosti synlab czech s.r.o.

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Projektové řízení a rizika v projektech

Volba v udce, Leader Election

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Procesy. Uvodem k proces um. PB 152 Operacn syst emy. Program a proces. Uvodem k proces um

Volba v udce, Leader Election

Informa ní bezpe nost I Management bezpe nosti informa ních systém - ISMS. michal.slama@opava.cz

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Bezpečnostní aspekty informačních a komunikačních systémů KS2

GENDEROVĚ PŘÁTELSKÝ ÚŘAD SLANÝ PODKLAD K E-LEARNINGOVÉMU KURZU

Standardy (normy) a legislativa informacn bezpecnosti

Kybernetická bezpečnost

Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT

Systém řízení informační bezpečnosti (ISMS)

Informatika / bezpečnost

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Distribuovan e prostred, cas a stav v distribuovan em prostred

Distribuovan e prostred, cas a stav v distribuovan em prostred

OCTAVE ÚVOD DO METODIKY OCTAVE

ANECT, SOCA a bezpečnost aplikací

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Pl anov an. PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Management informační bezpečnosti

Obnova transakc po v ypadku

Virtu aln pam et' PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017

Sign aly. Data a sign aly. PV 169 Z aklady prenosu dat. Sign al, elektromagnetick y sign al. (Elektromagnetick y) sign al

Typologie, funkcn skladba a architektury OS, prklady z Windows, Unix, Linux, MAC OSx

Standardy a definice pojmů bezpečnosti informací

Transkript:

B azov y fenom en pri zajist'ov an bezpecnosti { riziko Koncept informacn bezpecnosti II PV 017 Rzen informacn bezpecnosti Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 018 Kdyz existuje potenci aln utocnk, kter y je schopn y dky zranitelnosti jist eho informacnho aktiva narusit n ekterou z bezpecnostnch vlastnost aktiva (CIA), pak je toto aktivum vystaveno hrozb e pravd epodobnost uplatn en hrozby (tj. utoku) a potencion aln v yse skody zp usoben e tmto utokem predstavuje riziko riziko se vyjadruje jednak v pravdepodobnostnch pojmech (s jakou pravdepodobnost se hrozba uplatn) a jednak v pojmech charakterizujcch dopad hrozby (velikost skody) Generick e kombinovan e vyj adren urovne rizika urove n rizika = F (pravdepodobnost utoku) F(dopad utoku) Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 1 B azov y fenom en pri zajist'ov an bezpecnosti { riziko Z akladem urcen urovn e je odhad z avaznosti (,,seri oznosti") hrozby, tj. potenci alu, ze utocnk vyuzije zranitelnost aktiva ci skupiny aktiv a provede utok, tj. ze se hrozba se uplatn, realizuje do uvahy se bere jak dopad relevantnho utoku, tak i pravd epodobnost realizace/uplatn en hrozby ( utoku) velmi v yznamn e riziko se stav na rove n velk emu dopadu a velk e pravd epodobnosti v yskytu relevantnho utoku nev yznamn e riziko se stav na rove n mal emu dopadu a mal e pravd epodobnosti v yskytu relevantnho utoku B azov y fenom en pri zajist'ov an bezpecnosti { riziko rizika se zvl adaj volbou a uplatn enm vhodn ych opatren abychom riziko zvl adli, tj. eliminovali ho nebo snzili jeho urove n volbou vhodn eho opatren, musme ho ohodnotit, tj. identikovat, pot e analyzovat a vyhodnotit (urcit jeho urove n) vynakl ad an velk ych n aklad u na zaveden opatren chr ancch aktiva prevenc utok u pri nev yznamn ych rizicch nen ospravedlniteln e Proces ohodnocen rizik usnadn pouzit tabulky rizik aktiv implementujc relaci mezi aktivy (r adky tabulky) a faktory urcujcmi rizika (sloupce) faktory: (1. sloupec obsahuje id aktiv) hrozby, zranitelnosti, id rizika, osoba odpovedn a za zvl ad an rizika, v yse mozn e skody, pravdepodobnost utoku,,... Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 3

B azov y fenom en pri zajist'ov an bezpecnosti { riziko B azov y fenom en pri zajist'ov an bezpecnosti { riziko Tabulku rizik aktiv vypl nujeme sloupec po sloupci nejprve vyplnme seznam aktiv (1.sloupec) organizace by si mela udrzovat registr aktiv pot e pro kazd e aktivum nalezneme pro ne relevantn hrozby a po t e nalezneme zranitelnosti, kter e jednotliv e hrozby akcentuj typick e hrozby a zranitelnosti pro mal e a stredn rmy jsou na mnoha zdrojch katalogizov any Zvl adn rizik pro velk e organizace obvykle res outsourcovan e specializovan a rma nebo m a takov a organizace sv uj vlastn odbor pro resen rizik. Pouzvaj se specializovan e n astroje zalozen e na znalostnm inzen yrstv, znalostnch datab azch,... Pro mal e rmy drah e a zdlouhav e resen. Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 4 Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 5 B azov y fenom en pri zajist'ov an bezpecnosti { riziko B azov y fenom en pri zajist'ov an bezpecnosti { riziko Jak y rozsah ohodnocen rizik se d a zvl adnout manu alne? Necht' pro kazd e aktivum nalezneme 10 hrozeb, necht' kazd a vyuzv a 5 zranitelnost. To vypad a zvl adnutelne. Necht' ale organizace m a 50 aktiv. Zvl adat 500 rizik pro malou organizaci s 50 zamestnanci je presprlis Aktiva vsak ignorovat nelze. Tato metodologie je dobr ym kompromisem mezi rychl ym ohodnocenm rizik a systematick ym a dostatecne detailnm ohodnocenm umoz nujcm velmi presne identikovat potenci aln bezpecnostn probl em Tm se snadn eji dosahuje cle ohodnocen rizik { odhalit potenci aln probl em drve nez nastane. Better safe than sorry Lze se vsak soustredit na d ulezit e hrozby a zranitelnosti Napr. v pr umeru 5 hrozeb na aktivum se zranitelnostmi d av a 500 rizik, coz se jiz d a i v mal e rme manazersky zvl adnout Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 6 Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 7

Prklad odvozen z avaznosti, urovn e rizika riziko = F (pravd epodobnost) F(dopad) vse ve vhodn em sk alov an, nikdy v absolutnch mr ach, napr. pravdepodobnostn charakter rizika: 1, (L, Low), zanedbateln y v yskyt utoku, jednou za dek adu let, (M, Medium), bezn y v yskyt utoku, jednou rocne 3, (H, High), v yskyt utoku hranicc s jistotou, kazd y den dopad odpovdajcho utoku: 1, (L) zanedbateln y / akceptovateln y, v destk ach tisc u Kc, (M) bezn y, ve statisicch Kc 3, (H) katastrock y, v milionech Kc riziko, resp. v yznamnost rizika: resp. tabulkou (L) zanedbateln e riziko, (souciny = 1,) pravdep./dopad L M H (M) bezn e riziko, (souciny = 3,4) L L L M (H) katastrock e riziko, (souciny = 6,9) M L M H H M H H Prklad odvozen z avaznosti, urovn e rizika vyj adren v yznamu rizika prkladem ve v ysi skod / dek adu: (L) zanedbateln e riziko, stovky tisc Kc / dek adu (M) bezn e riziko, jednotky mili on u Kc / dek adu (H) katastrock e riziko, destky a vce mili on u Kc / dek adu prklad z aver u pro zvl ad an rizik: (L) zanedbateln e riziko je akceptovateln e riziko, skody nevad obchodnmu modelu, lze je prp. osetrit pojistenm (M) bezn e riziko clem je (bezpecnostnmi) opatrenmi riziko eliminovat nebo alespo n snzit na zanedbateln e riziko snzenm pravdepodobnosti utoku (H) katastrock e riziko je neakceptovateln e riziko, clem je preventivne bezpecnostnmi opatrenmi riziko eliminovat nebo alespo n je zmenit na bezn e nebo na zanedbateln e riziko Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 8 Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 9 Bezpecnostn opatren prijm ame/zav adme/prosazujeme (bezpecnostn) opatren, kter a dopad a/nebo pravd epodobnosti uplatn en hrozeb (rizika) omezuj na akceptovatelnou hodnotu Pro katastrock a rizika m a b yt vypracovan y pl an realizace opatren eliminujcch tato rizika nebo alespo n v pevne dan em casov em horizontu redukujcch tato rizika na bezn a nebo na zanedbateln a rizika Pro bezn a rizika m a b yt urcena odpovednost na urovni konkr etnch osob/rol za uplat nov an stanoven ych opatren eliminujcch tato rizika nebo redukujcch tato rizika na zanedbateln a rizika Zanedbateln a rizika maj b yt zvl adnuteln a (eliminovan a) rutinnmi provoznmi procedurami nebo maj b yt vedome prohl asen a za zbytkov a, tj. akceptovateln a rizika Bezpecnostn mechanismy (bezpecnostn) opatren musme ucinnou formou implementovat vhodn ymi (bezpecnostnmi) mechanismy mechanismy administrativnho, technick eho, logick eho,... charakteru opatren resc probl em nepopiratelnosti { digit aln podpis mechanismus = asymetrick a kryptograe opatren resc rzen prstupu v souladu s prijatou politikou rzen prstupu mechanismus = fyzick e klce, idenkacn karty, biometriky,... opatren resc probl em d uvernosti v souladu s prijatou politikou zajisten d uvernosti mechanismus = sifrov an, trezory, smluvn z avazek (NDA),... Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 10 Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 11

Bezpecnostn politika Bezpecnostn politika Politika r zen pr stupu, politika zajisten duv ernosti,... pr klady soucast bezpecnostn politiky, resp. politiky informacn bezpecnosti X Bezpecnostn politika zavad ej c pe ci o bezpecnost informac v organizaci rozhodnut m veden m organizace nekolikastrankov y dokument, prokazatelne schvalen y veden m organizace vymezuj c chran enou oblast a zakladn bezpecnostn c le. Obvykle nazvy { bezpecnostn politika, resp. celkova / korporatn bezpecnostn politka,... X Bezpecnostn politika stanovuj c uplatnov an konkretn ch opatren v konkretn ch systemech v chran ene oblasti je duv erny obsazny dokument. Obvykle nazvy { plan zvlad an rizik, resp. bezpecnostn politka systemu XXX, systemov a bezpecnostn politika X soubor pravidel speci kuj c u cinny zpusob uplatnov an opatren (implementovanych adekvatn mi mechanismy) potrebnych pro dosazen pozadovane urovn e akceptovatelnych rizik Bezpecnostn politika (BP) r ka X co se chran, proti c emu/komu { stanovuje bezpecnostn c le X jak se ochrana uplatnuje { urcuje zpusob dosazen bezpecnostn ch c lu pomoc uplatnov an opatren implementovanych vhodnymi mechanismy Jan Staudek, FI MU Brno zen informacn PV017, R bezpecnosti, Koncept informacn bezpecnosti II 1 Jan Staudek, FI MU Brno Duv eryhodn a bezpecnostn politika Detailnost bezpecnostn politiky zavis na chran ene oblasti, ve ktere je politika uplatnovan a zen informacn PV017, R bezpecnosti, Koncept informacn bezpecnosti II 13 Duv eryhodn a bezpecnostn politika Duv eryhodnost je,,pevnym bodem" tvor c m zaklad bezpecnosti informac,,dejte mi pevny bod ve vesmı ru a ja pohnu celou Zemı.\ Archimed es, O zakonech paky Jestlize se dodrzovan m bezpecnostn politiky prokazatelne dosahne pozadovane urovn e ochrany aktiv, je bezpecnostn politika duv eryhodna jak vypracovat bezpecnostn politiku, aby byla duv eryhodna? podm nka nutna (nikoli vsak postacuj c ) pro vypracovan duv eryhodne BP: 1. musı me zna t a ume t stanovit bezpec nostnı cı le. musı me zna t a ume t zvolit a implementovat adekva tnı opatr enı Jan Staudek, FI MU Brno zen informacn PV017, R bezpecnosti, Koncept informacn bezpecnosti II 14 duv eryhodnost, tj.,,m t moznost duv er ovat", predstavuje zaklad veskere informacn bezpecnosti, ve vsech jej ch aspektech Jan Staudek, FI MU Brno zen informacn PV017, R bezpecnosti, Koncept informacn bezpecnosti II 15

D uv era/d uv eryhodnost, jej predpoklady a z aruka D uv eryhodn e bezpecnostn politiky jednoznacne stanovuj/popisuj stavy syst emu spr avne zvl adaj reakce na bezpecnostn incidenty podle jednoznacne stanoven ych pozadavk u na bezpecnost D uv eryhodn a bezpecnostn opatren (funkce, sluzby) prosazuj d uveryhodnou politiku jsou implementov any spr avne Za dosazenou urove n d uv eryhodnosti lze vyslovit (d at) z aruku akceptovateln a forma vysloven z aruky { auditn zpr ava vypracovan a d uveryhodnou tret stranou pragmaticky nejvyss forma vysloven z aruky { certik at vydan y respektovanou (prp. legislativne autorizovanou) autoritou certik at { dokument, kter y prokazuje nejakou skutecnost... D uv era/d uv eryhodnost, jej predpoklady a z aruka Z aruka (za bezpecnost) z aruku lze d at jen za to, co je r adne specikov ano { specikujeme pozadavky, bezpecnostn cle, bezpecnostn opatren { čím jsou specifikace přesnější, tím vyšší záruku lze vyslovit z aruku lze d at jen za to, co m a systematicky vypracov an n avrh { n avrh { urcen jak splnit specikace { čím jsou návrhy přesnější, jednoznačnější a (semi-)formálně ověřitelnější, tím vyšší záruku lze vyslovit z aruku lze d at jen za to, co je adekv atne implementov ano { Programy, technologick e syst emy,..., vse, co realizuje to, co bylo specikov ano a navrzeno { čím přesněji implementace odpovídají specifikacím a návrhu, tím vyšší záruku lze vyslovit Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 16 Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 17 Modelov y prklad bezpecnostn politiky Modelov y prklad bezpecnostn politiky zaveden a v yukov a bezpecnostn politika nepovoluje podvod { ops an dom ac ulohy (plagi at) at' jiz s vedomm nebo i bez vedom autora origin alu politikou stanoven y bezpecn y stav (bezpecnostn cl) { nikdo nevlastn kopii dom ac ulohy jin eho studenta studenti si uchov avaj sv e dom ac pr ace na skolnm poctaci Alice soubor se svou dom ac ulohou neoznac jako chr anen y proti cten jinou osobou Bob ulohu opse Kdo se choval v rozporu s bezpecnostn politikou? Alice?? Bob?? oba? Odpov ed { bezpecnostn politiku nedodrzel pouze Bob politika zakazuje opisov an dom acch uloh Bob opisoval syst em se dostal do jin eho nez bezpecn eho stavu, Bob vlastn kopii Aliciny ulohy Alice si svoji dom ac ulohu nechr anila proti cten To ale bezpecnostn politika to nepozadovala Alice nijak nenarusila denovanou bezpecnostn politiku Pokud by politika student um predepisovala povinnost chr anit sv e dom ac ulohy pred ops anm, pak by Alice bezpecnostn politiku porusila Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 18 Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 19

Vybran e m yty a nekter a dals fakta Vybran e m yty o n ekter ych bezpecnostnch n astrojch Nepopiratelnost (Non-repudiability) zajist pouzit digit alnch podpis u Hrozba kr adeze identity (Identity Theft) ve svete budovan em na b azi IT je a bude cm d al vce bude zdrojem nejv yznamejsch rizik N ekter a dals fakta o charakteru nastupujcch hrozeb Men se charakter utok u veden ych na IT { Dos ahlo se racion aln zvl adnut ochran proti fyzick ym utok um (ztr ata energie, propojen, dat... ) { Jakz takz se postupne zvl adaj ochrany proti syntaktick ym utok um (buer overow, command injection, protokolov e dry,... ) { Zacn a rychl y n ar ust s emantick ych utok u ( utok u clen ych na to, jak lid e ch apou obsah) Slozitost skladby IT n astroj u exponenci alne roste Men se zranitelnost aplikac po prevodu do st'ov eho prostred,... Hrozba s emantick ych utok u V yznamn e riziko dky,,prost'ov an"sv eta Lid e maj tendenci verit tomu co ctou na potvrzov an verohodnosti,,nen cas" lid e jsou casto obetmi chybn ych/falsovan ych statistik, legend a podvod u Podfuk se s velkou pravd epodobnost rozsr st'ov ym prostredm extr emn e rychle Komunikacn m edia se pouzvaj pro sren verohodn ych stupidnost jiz po celou vecnost Soucasn e- a blzko-budouc poctacov e ste spusten takov ych utok u usnad nuj a zpr avy diseminuj extr emne rychle digit aln podpisy, autentizace, integritn opatren... sren podfuk u nezabr an { s emantick e utoky jsou vedeny na HCI, nejm ene bezpecn e rozhran Internetu Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 0 Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 1 Hrozba s emantick ych utok u, Pouze amat er utoc na poctace a software Profesion al utoc na lidi ochrana proti s emantick ym utok um mus b yt clen a na soci aln resen, ne na matematicko-logick a (a technick a) resen Nastupuje fenom en kybernetick eho prostoru, je nutn e fenom en informacn bezpecnosti rozsrit na fenom en kybernetick e bezpecnosti Ke konceptu kybernetick eho prostoru a kybernetick e bezpecnosti se v uvodu jeste vr atme Principy e-comm usnad nujc devastujc podvody Snadnost automatizace proces u stejn a automatizace, kter a cinn e-comm efektivnejs nez klasick y byznys, zefektiv nuje i prov aden podvod u podvod vyzadujc vynalozen destek minut casu v paprov em syst emu lze snadno prov est,,na jedno kliknut" resp. lze snadno jej periodicky opakovat principem 4 7 singul arn podvod s nzkou skodou ignorovateln y v paprov em syst emu m uze b yt hrozbou s velk ym rizikem v e-comm syst emu Izolovanost jurisdikce v mstech zdroje a cle utoku Geograe v elektronick em svete nehraje z adnou roli Utocnk nemus b yt fyzicky blzko syst emu, na kter y utoc. Utocit m uze ze zeme, { kter a,,nevyd av a zlocince", { kter a nem a adekv atn policejn apar at, { kter a nem a potrebn e pr avn z azem vhodn e ke sth an,... Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 3

Principy e-comm usnad nujc devastujc podvody, Rychlost sren,,prost'ovan ym sv etem" padelatel paprov ych penez monet arn syst em nezdevastuje { sirok a diseminace padelatelsk eho n astroje je nere aln a, { rychl e sren padelk u je obtzn e zpr ava jak podv est siroce pouzvan y e-comm syst em,,diseminovan a Internetem" (prp. s pripojen ym adekv atnm softwarov ym n astrojem) umozn,,si vhodne kliknout"statisc um lid behem nekolika dn { znalost jak podv est zskal 1 clovek, utocit mohou statisce lid D uv eryhodnost nepopiratelnosti, co je to digit aln podpis? Predpoklad mnoha soucasn ych pr avnch norem: D uveryhodnost digit alnho podpisu je alespo n takov a jako d uveryhodnost rukopisn eho podpisu Spl nuje digit aln podpis tento predpoklad? Form alne pouzit y matematick y (kryptologick y) z aklad je vyhovujc S emanticka aktu digit alnho podpisu predpokladu nevyhovuje Predpoklad soucasn ych pr avnch norem: Alicin podpis dokumentu indikuje odsouhlasen jeho obsahu Alic D uveryhodnost podpisu se zesiluje podpisem u not are Z digit alnho podpisu Alice nem uze soudce odvodit, ze Alice dokument vid ela Alice v z adn em prpade nepoctala podpis = dokument P Kmod n, v ypocet Alicina podpisu,,dokumentu"(kter eho???) delal jej poctac Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 4 Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 5 D uv eryhodnost nepopiratelnosti, co je to digit aln podpis?, v ypocet Alicina podpisu,,dokumentu"d elal jej poctac Alice mus mt d uveru v to, ze jej aplikacn syst em podpisuje dokument, kter y j prezentuje (probl em trojsk ych ko n u) Alice mus mt d uveru, ze v jejm poctaci nikdo neodchyt av a jej PK { uchov an PK v bezpecn em modulu (karta) neres probl em podvrzen falesn eho dokumentu trojsk ym konem M a-li b yt d uveryhodn y Alicin podpis dokumentu, mus b yt d uv eryhodn y Alicin poctac podpisujc dokument Nelze se spol ehat pouze na matematiku pro dosazen bezpecnosti vysok e riziko predstavuje d uveryhodnost pouzit eho hardw./softw. Digit aln podpis Alice vypovd a pouze o tom, ze v dobe podpisov an byl pouzit y Alicin PK Digit aln podpis nic nerk a o tom, ze Alice podepsala dokument, kter y videla pri podpisov an Zad an pro budoucno { jak zajistit, ze Alicin poctac bude nezfalsovateln y (tamperproof ) Hrozba enormnho n ar ustu slozitosti a rozsahu Enorm e nar ust a slozitost vnitrnch algoritm u (j adra) OS pocty instrukc spotrebovan ych ve Windows pri Zasl an zpr avy mezi procesy: 6K { 10 K podle pouzit e metody Vyvtoren procesu: 3M Vytvoren vl akna: 100K Vytvoren souboru: 60K Vytvoren semaforu: 10K { 30K Nahr an DLL knihovny: 3M Obsluha prerusen/v yjimky: 100K { M Prstup do syst emov e datab aze Registry: 0K... Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 6 Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 7

Proc se zav ad syst em rzen informacn bezpecnosti Syst em rzen informacn bezpecnosti, ISMS Ctyri hlavn d uvody, proc organizace mus zajist'ov an informacn bezpecnosti manazersky rdit Urcuje tak pro organizaci z avazn a strategie, vl ada, matersk a organizace, spr avn rada,... rozhodla, ze v kontextu vseobecn ych podnikatelsk ych rizik je nutn e informacn bezpecnost spravovat (rdit) l epe Je nutn e, aby z akaznci/dodavatel e organizaci d uverovali, je potreba z akaznk um ci dodavatel um demonstrovat, ze organizace pouzv a ty nejleps praktiky rzen informacn bezpecnosti existuje sance zskat konkurencn v yhodu Vyzaduj to z akonn e predpisy person aln soukrom, ochrana dat, nespr avn e pouzv an poctace Je nutn e vylepsit vnitrn efektivnost rzen IT Pro efektivn rzen InSec mus organizace aplikovat adekv atn syst em manazersk eho resen Information Security Management System, ISMS souc ast celkov eho syst emu rzen organizace cl: na z aklade pozn ani podnikatelsk ych rizik vybudov an, implementace, provozov an, monitorov an, prezkoum av an, udrzov an a vylepsov an InSec pripome nme pojem InSec, informacn bezpecnost: zabezpecen d uvernosti, integrity a dostupnosti informacnch aktiv skladba: organizacn struktura, politiky, pl anovac cinnosti, odpovednosti, praktiky (obvykl e metody), procedury, procesy, zdroje Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 8 Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 9 Syst em rzen informacn bezpecnosti, ISMS Syst em rzen informacn bezpecnosti, ISMS Hardwarov a / softwarov a,,pultov a"resen individu alnch probl em u informacn bezpecnosti jsou nedostatecn a Rychle se mnoz st ale komplexnejs, propracovanejs a glob alnejs hrozby pro informacn bezpecnost dky rozvoji technologi Roste pocet pozadavk u na vyhoven regulacnm opatrenm v oblasti zpracov an informac a zachov av an soukrom Resen: v organizaci mus fungovat, jako souc ast celkov eho syst emu rzen organizace, syst em rzen informacn bezpecnosti, ISMS syst em proces u zameren y na ustaven, zav aden, provozov an, prosazov an, monitorov an, prezkoum av an, udrzov an a zlepsov an informacn bezpecnosti zalozen y na prstupu organizace k rizik um v kontextu informacn bezpecnosti ISMS reprezentuje ucelen y strukturovan y prstup k rzen InSec Navrhuje se tak, aby se postaral o efektivn interakci tr b azov ych komponent implementace InSec procesy (procedury) technologie chov an uzi vatel u N avrh a implementace ISMS mus vych azet z potreb a cl u, bezpecnostnch pozadavk u, organizacnch proces u, velikosti a struktury organizce nejde o jednor azov e, vsepokr yvajc resen ISMS mus b yt sk alovan y podle potreb organizace Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 30 Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 31

Syst em rzen informacn bezpecnosti, ISMS Syst em rzen informacn bezpecnosti mus b yt prim eren y a sit y na mru konkr etn organizaci Politiky, procesy, procedury ISMS mus odr azet styl a kulturu organizace Prijat e procesy a procedury do ISMS mus odr azet v ysledky ohodnocen rizik. I kdyz nekter a rizika jsou generick a pro vce organizac, jejich osetren b yv a vhodn e ust na mru konkr etnmu prostred organizace Politik am, proces um, procedur am ISMS mus organizace rozumet, nejl epe se jim porozum podlenm se na jejich v yvoji Politiky, procesy, procedury mus b yt aktu aln, hrozby bezpecnosti informac nar ustaj soucasne s rozsirov anm a inovacemi IT organizace Soucasn a,,top"technologie budov an ISMS je denovan a standardem ISO/IEC 7001:013 Ekonomick y pohled { fakta Vybudovat si vlastn t ym zajist'ujc a prosazujc informacn bezpecnost je n akladn y a dlouhodob y proces. Aplikace strukturovan ych inzen yrsk ych postup u pri zabezpecov an IT se proto cm d al sreji uplat nuje jako samostatn y byznys. Na trhu outsourcingu informacn bezpecnosti popt avka prevysuje kvalitn nabdku, kupovat si informacn zabezpecov an jako sluzbu proto nen levn e. Mnoho rem a organizac si proto zabezpecov an d el a, v lepsm prpad e amat ersky vlastnmi silami, citem, v horsm prpad e myln e predpokl ad a, ze ochranu jejich zdroj u zajist v yrobce dodan eho software a hardware (a nebo p anb uh). Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 3 Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 33 Tri cesty k zajist en informacn bezpecnosti Pro obhospodarov an citliv ych aktiv existuj 3 moznosti: A. Vytvorit v organizacn strukture alespo n na manazersk e urovni roli bezpecnostnho manazera a informacn bezpecnost zajistit outsourcingem pod jeho rzenm. B. Vytvorit v organizacn strukture bezpecnostn infrastrukturu a t ym schopn y plne prosazovat informacn bezpecnost sv ymi silami. C. Nechat si bezpecnost IT zajist'ovat mnohdy i velmi iniciativne vnitrnmi silami p usobcmi bez systematicky rzen eho veden vhodnou politikou, casto majoritne motivovan ymi snahou prok azat sv e vlastn dokonalosti.!!! The road to hell is paved with good intentions!!! V enov an bezpecnosti IT pouze tolik energie, kolik je nutn e pro v yber,,bezpecn eho" software, cestu do pekel jen zkr at. Nic jin eho se tm nedos ahne. Epiloque uvah zajist'ov an informacn bezpecnosti Z pohledu rzen organizace pomoc IT pesimismus nen na mst e Informacn bezpecnost v organizaci v yrazn e podpor politika informacn bezpecnosti a syst em rzen informacn bezpecnosti r adne vypracovan a a systematicky prosazovan a politika, politika s kvalitou odpovdajc v ysi potenci alnch skod politika periodicky auditovan a z hlediska jejho dodrzov an a ucinnosti politika periodicky upres novan a podle v ysledk u auditu politika vypracovan a v uzk e n avaznosti na ostatn politiky organizace tak, aby byla zarucen a adekv atn kontinuita plnen cl u organizace i pri selh an nekter ych ochran informacn bezpecnosti Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 34 Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 35

Rekapitulace { co d elat pro zajist en InfSec Ohodnocen rizik mus se zn at akceptovateln a rizika musi se zn at kter e hrozby predstavuj neakceptovateln a rizika proti takov ym hrozb am se mus organizace br anit aplikac vhodn ych opatren Clem ohodnocen rizik je denovat opatren chr anc informacn aktiva pred zn am ymi hrozbami Opatren bud'to hrozby preventivne eliminuj nebo snizuj zranitelnost aktiv nebo zamezuj prstupu utocnk um nebo um detekovat napaden aktiva a obnovit jeho stav pred utokem Rekapitulace { co d elat pro zajist en InfSec Anal yza infrastruktury aby bylo mozn e udelat hodnocen rizik, je treba analyzovat informacn syst emy zahrnut e do ochran, odhalit v nich zraniteln a msta a potenci aln utocnky je nutn e odhalit zranitelnosti vyuziteln e zn am ymi hrozbami je vhodn e pouzvat IDS (syst emy detekce pr uniku) pro odhalov an utok u, ke kter ym doch az v re aln em case je vhodn e detekovat dosud nezn am e utoky, tzv.,,zero day" utoky, tj, prsl. aktivity oznacovat jako,,divn y"nebo,,neobvykl e" efektivn je monitorov an server u a kritick ych infrastruktur, kontrolovat logy rewall u a kritick ych aplikac,... odhalen zranitelnost patr mezi prvn kroky pri hled an rizik Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 36 Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 37 Rekapitulace { co d elat pro zajist en InfSec Rozpocet zabezpecov an vzdy je determinovan y profesnm (byznys) modelem organizace resit rozpocet z roku na rok nen prlis moudr e reaktivn resen bezpecnosti je chybn e, proaktivn je spr avn e Silnou roli hraj politika, procedury reakc na bezpecnostn incidenty DRP, Disaster Response Plan, havarijn pl an { co delat po katastrofe Jan Staudek, FI MU Brno PV017, Rzen informacn bezpecnosti, Koncept informacn bezpecnosti II 38

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář