====== N-INS 6 Bezpečnost IS ====== ===== Zadání ===== audit, řízení bezpečnosti, kontrola ochranných opatření. Bezpečnostní politiky, jejich návrh, tvorba a prosazování, role a základy metod analýzy rizik. Hodnocení bezpečnosti, kritéria a procesy hodnocení. Standardy bezpečnosti IT a kryptografie. ===== O této otázce ===== Otázka je po pojmenovaná Bezpečnost IS. Uvedené podookruhy ji zcela zjevně zužují na to, co se probírá v předmětu PV017 Bezpečnost IT a vypracování této otázky plně vychází z daného předmětu. V dříve vypracovaných otázkách (někým jiným) se objevují i pojmy Identifikace a autentizace či zmiňovaná PKI a řízení přístupu což již není aktuální - zmíněné je součástí jiné otázky Aplikovaná kryptografie. Tato wiki stránka je seznam toho nejdůležitějšího, co se v této oblasti vyskytuje. Pokud s problematikou Bezepečnosti IS nemáte žádné zkušenosti, tak silně doporučuji prohlédnout slajdy k předmětu a hlouběji prostudovat materiály odkazované ze stránek doc. Staudka (odkazy níže). ===== Vypracování ===== Dosažení informační bezpečnosti je proces //dosažení a udržení důvěrnosti, integrity, dostupnosti, odpovědnosti, autenticity, spolehlivosti informací a IT služeb na přiměřené úrovni//((01_uvod1.pdf, str.10)). ==== Slovník používaných pojmov ==== Aktíva - chránené informácie. Sú dôverne, tajné, prísne tajné Účastník - používa aktíva Hrozba - potenciálna motivácia k útoku Zraniteľnosť - daná existenciu zraniteľných miest a potencionálnych útočníkov Bezpečnostné opatrenie - služba, predstavuje požadovanú ochranu Bezpečnosť - zamezenie škody elimináciou zraniteľných miest alebo útočníkov ==== Audit ==== Kritické skúmanie opierajúce sa o odporúčané normy a techniky. Skúma sa efektivita, súlad s cieľmi, dodržiavanie právnych a zmluvných požiadavok. V bezpečnosti sa využívajú dva druhy: * manuálne - interview, analýza aplikácie a prístupových práv * automatizované - pomocou tzv. CAAT nástrojov (hocijaký nástroj/program schopný generovať audit danej veci) ==== Standardy bezpečnosti IT ==== ((slajdy 03_standardy))Standard (neboli norma, doporučení) je úmluva o technické specifikaci, nebo o jiném podobně přesně stanoveném kritériu. Standardy se dělí na de iure (schválena uznávanou institucí) na de facto (v rámci jisté komunity, např.: RFC) a firemní (proprietární) standardy. V různých oblastech technického života existují známé standardizační de iure organizace. Zde je výčet několika z nich: * Standardizace čehokoliv: ISO - International Organization for Standardization. ISO má niekoľko schvaľovacích stupňov, po piatich rokoch je vždy revízia. * Oblast elektrotechniky: IEC International Electrotechnical Commision * Komunikace: ITU International Telecommunications Union * V oblasti IT: ISO/IEC JTC1 tzv. Joint Technical Committee. JTC1 zřídilo společně ISO a IEC, proto ISO/IEC :-) * V oblasti bezpečnosti IT: podvýbor SC 2 výboru ISO TC 68 * V oblasti IT komunikace: ITU-T (úzce spolupracuje s ISO/IEC JTC1) Dále existují speciální, evropské, standardizační organizace (opět de iure): CEN (obdoba ISO), CENELEC (obdoba IEC), ETSI (obdoba ITU). Na národní úrovni existují také de iure organizace (např. ČSNI). Nicméně v IT hrají důležitou roli především ty z USA: IEEE (elektronika, elektrotechnika), NIST, ANSI (zástupce USA v organizaci ISO, věnuje se bezpečnosti v IT a především v bankovnictví). Co se týče De Facto standardů tak nejznámější jsou organizace ISOC (internet society) a IAB (internet activities board - rada pro internetové činnosti). Dobrým příkladem De Facto standardů jsou RFC, které zpracovává IETF (internet engineering task force). IETF byla pověřena IABem. Posledním zajímavou De Facto standardizační komunitou je OWASP (Open Web Application Security Project). Jak název napovídá vydává standardy vývoje bezpečných webových aplikací. Konkrétních standardů je samozřejmě velké množství (přehled je ve slidech 03_standardy od strany 25). Nejdůležitější asi je ISMS (Information Security Management System) standard (ISO/IEC 27001:2005). Krom výše uvedených standardů jsou důležité i ty z kategorie firemních, příkladem je PKCS (public key cryptography standards), který je publikovaný firmou RSA Labs. === Standardy kryptografie === - Digital Signature - Hash Function - Encryption algorithms ==== Rizika ==== Riziko je součinem pravděpodobnosti realizace //hrozby// (zanedbatelná, běžná, hraničící s jistotou) a dopadu dané hrozby (zanedbatelné, běžné, katastrofické). Rizika minimalizujeme pomocí //řízení rizik//, což je neopomenutelná součást tvroby ITSP (IT Security Policy - Politika bezpečnosti informací) a ISMS. Řízení rizik je čtyřfázové: * ohodnocení rizik - analýza a vyhodnocení rizik * zvládání rizik - výběr a implementace opatření snižujících rizika * akceptace rizik - rozhodování o přijatelnosti rizika * informovanost o rizicích - informování všech, kteří mohou být rizikem zasaženi Zbytek této kapitoly se zaměřuje na důležité aspekty některých těchto fází. **Ohodnocení rizik** se sestává z analýzy a vyhodnocení rizik. Jedná se o formální proces, který má definovaná vstupní data a musí být řádně zdokumentovaný. Nejdříve se provede orientační ohodnocení rizik a to typicky při vytváření iniciálního ITSP dokumentu. Tento krok je popsán standardem ISO/IEC TR13335-3. Následně se provede celkové ohodnocení rizik ((Celkový postup ohodnocení rizik je v souboru 05_rizeni_rizik.pdf strana 11)) jehož výsledkem je matice kde v řádcích jsou jednotlivá chráněná //aktiva// organizace a ve sloupcích //hrozby//. Prvky této matice je míra rizika (malé, velké, střední). **Zvládání rizik** Na základě matice z předchozího kroku se rozhoduje jestli se použijí //preventivní opatření// pro velké rizika či pouze //nápravná opatření//. U těch nejmenších rizik lze riziko buďto akceptovat nebo se pouze pojistit. //Opatření//, které se na základě zvládání rizik přijme je dokonce standardizováno a to v ISO/IEC 27002:2005. Výsledkem zvládání rizik je dokumnet //prohlášení o aplikovatelnosti//. Tento dokument je velmi důležitý, je v podstatě jádro manuálu ISMS a auditoři tento dokument vyžadují. ==== Bezpečnostní politika ==== Abychom zamezili realizaci bezpečnostního rizika((riziko != hrozba)) tak zavádíme //opatření//. Soubor pravidel, který specifikuje jak tyto //opatření// budou aplikována se nazývá //Bezpečnostní politika//. Jinými slovy, bezpečnostní politika říká co se chrání (cíle) proti čemu a jak se ochrana provádí (způsob dosažení cíle). **Politika** Je zakázáno opisovat domácí úkoly ať s vědomím či nevědomím autora originálu. **Cíl** Nikdo nevlastní kopii DÚ jiného studenta **Porušení politiky** Alice si neochrání svůj DÚ na sdíleném disku ve škole. Bob úlohu opíše. Kdo se choval v rozporu s bezpečnostní politikou? Bob. Politika totiž nepožaduje, aby DÚ byly chráněny před opsáním, pouze vyžaduje, aby úkoly nebyly opisovány. Musí platit že cena opatření je menší než výše případné škody. Stěžejním pojmem je //opatření//. Typické opatření je kombinací technologie, chování a procedury, např.: antivirový program + pravidelné aktualizace + vyškolení personálu pro bezpečnou práci s emailovými přílohami. Nejlepší praktiky, pro volbu opatření je standard ISO 27002. Pokud je riziko nízké (zanedbatelná pravděpodobnost a dopad), tak se pravděpodobně pouze pojistíme. Při vysokém riziku (katastrofický dopad hraničící s jistotou) vytvoříme plán, abychom takové riziko eliminovali. Iné používané politiky: politika riadenia prístupu, politika zálohovania, politika čistého stolu, politika využívania sieťových služieb, politika práce z domova ==== Politika bezpečnosti informací (ITSP)==== BP lze dále zúžit. Jedním zúžením je **Politika bezpečnosti informací** (ITSP - IT Security Policy), která se obvykle se zavádí v přirozeném jazyce a chrání //informační aktiva//. Ide o prvý krok budovania ISMS. Stanovuje se obvykle na 5-10 let a je nezávislá na konkrétním IT vybavení. ITSP obsahuje * hodnotenie rizík (4 fáze opísane vyššie) * ciele opatrení * prehlásenie o aplikovateľnosti (špecifikácia vhodných opatrení) * klasifikáciu informácií * plán zachovania kontinuity - čo robiť po útoku. 4 fáze: kríza, núdzový režim, obnova, vrátenie sa do normalného provozu Zúžením ITSP je **BP systému zpracování informací**. Tu definuje ISO/IEC 27000 - Plán zvládání rizik a určuje způsob zabezpečení dat v dané organizaci. ==== Organizování bezpečnosti informací v organizaci (řízení bezpečnosti) - ISMS ==== ISMS je buď nadradené politike bezpečnosti informácií (ITSP), alebo je jej súčasťou. ISO/IEC 27002 je standard, který dává nejlepší praktiky/tipy bezpečnosti, udáva cca 130 nástrojů (opatření) pro řízení bezpečnosti informací. Jako vstup k řízení bezpečnosti informací je vyžadováno následující: * vypracovaná BP * management na všech úrovních prosazuje BP * má být implementován měřící systém ISO/IEC 27001 štandard udáva, ako správne navrhnúť a robiť ISMS. Voči nemu sa ISMS certifikuje. V rámci řízení bezpečnosti v organizaci se chápou následující role: * Nejvyšší management * Výkonný ředitel * Řídící výbor (bezpečnosti informací) * Bezpečnostní architekt * CISO Chief of Information Security Officer * lokální administrátoři systémů Řídící výbor (jmenovaný nejvyšším managementem) má za úkol zajistit požadovanou úroveň bezpečnosti informací (posuzování a schvalování BP, kontrolovat zda ISMS je řádně integrovaný do procesů organizace). Řídící výbor bezpečnosti informací v organizaci zasedá 2-4krát ročně a závěry zasedání výboru projednává top management. (Information Security Management System) ISMS je systém procesů zaměřený na přístup organizace k Rizikům a musí být "šitý" na míru konkrétní organizaci. ISO/IEC 27001:2005. ISMS sa riadi modelom PDCA: Plan, do, check, act (lepšie opísané v .pdf dokumente http://statnice.dqd.cz/_media/mgr-szz:in-ins:6.pdf) Dokumentácia ISMS sa delí na 4 vrstvy, a to na: dokumentácia politiky, dokumentácia procedúry, pracovné inštrukcie, správy/logy ==== Hodnocení bezpečnosti ==== Hodnocení bezpečnosti se provádí, aby se zjistila dosažená //úroveň bezpečnosti//. K hodnocení bezpečnosti je využíván standard //Common Criteria// (ISO/IEC 15408) a kritéria OWASP (Open Web Application Security Project). === Common Criteria === K hodnocením se využívá hodnotících kritérií což je obecně seznam podmínek které vyvíjený/kupovaný produkt nebo systém má být schopný (musí) plnit. Common Criteria poskytují framework, který umožňuje, aby uživatel specifikoval požadavky na bezpečnost produktu, výrobce specifikoval vlastnosti produktu a nezávislý hodnotitel posoudil zda výrobek odpovídá požadavkům. Historicky se namísto Common Criteria v Evropě používali ITSEC (IT Security Evaluation Criteria) a v USA TCSEC (Trusted Computer Security Evaluation Criteria). Tento standard se dělí do 3 částí: * Part 1: Introduction and general model * Part 2: Security functional requirements * Part 3: Security assurance requirements Přínosy hodnocení produktu jsou: * Provedení hodnocení může otevřít cestu na nové trhy (státní zpráva, zdravotnictví, armáda) * Výsledky hodnocení bývají dobrý reklamní nástroj * Hodnocení může odstranit starost, zda výrobek obstojí na trhu Problémy hodnocení: * Jakákoliv změna PH (předmět hodnocení, další označení k TOE - viz dále) hodnocení znehodnocuje až anuluje * Uživatel, který není expertem v hodnocení musí porozumět správně zárukám, které jsou ve výsledcích vysloveny Hodnocení provádí //hodnotitel// a po provedeném hodnocení vydává //certifikační autorita// na základě //hodnotící zprávy// //certifikát//. Certifikační autority bývají vládní agentury (NIST) nebo licencované komerční organizace (tak se to dělá v EU). //Metodika hodnocení// je dvojího druhu * Investigativní - produktově/systémově orientované hodnocení, kde se zkoumají vlastnosti daného produktu. Toto měření je těžko opakovatelné, je to individuální pro každý produkt * Auditní postup - procesně orientované, kde se zkoumá dokumentace a procesy vývoje. Je to sice upřednostňovaná forma, ale pro koncového uživatele méně užitečná. Hlavním dokumentem CC je takzvaný //Protection Profile// (PP). Je typicky vytváření uživatelem či nějakou uživatelskou komunitou a identifikuje požadavky na bezpečnost pro jisté prostředí. Výrobce následně může zvolit, že bude vyráběž zařízení, které vyhovuje konkrétnímu PP. Další zákazníci mají pak na výběr výrobky pro různé PP. Další dokument CC je //Security Target// (ST) a specifikuje bezpečnostní funkce poskytované produktem. Jak CC používají: * **Zadavatelé vývoje** Jako specifikace bezpečnostních požadavků na TOE (//Target of Evaluation// - produkt) PP. Tedy generické požadavky na bezpečnostní rysy produktu. * **Vývojáři** Pomocí dokumentu ST definují bezpečnostní vlastnosti produktu * **Hodnotitelé** Používají PP a ST jako měřítko míry, jestli TOE vyhovuje dané bezpečnosti * **Zákazníci** Vyhledávají PP, který jim vyhovuje a použijí ho pro specifikaci objednávky či výběrového řízení * **Uživatelské sdružení, resorty** Definují PP CC dále definuje takzvané EAL //Evaluation Assurance Level// tedy úroveň splnění požadavků na záruku bezpečnosti. * EAL0 - Nevyhovující * EAL1 - Funkčně otestovaný TOE * EAL2 - Strukturovaně otestovaný TOE * EAL3 - Metodicky testovaný a kontrolovaný TOE * EAL4 - Metodicky navržený, testovaný a přezkoumaný TOE * EAL5 - Semiformálně navržený a testovaný TOE * EAL6 - Semiformálně navržený se semiformálně ověřeným návrhem a testovaný TOE * EAL7 - Formálně navržený s formálně ověřeným návrhem a testovaný TOE === OWASP === //The Open Web Application Security Project// má být nástrojem pro měření úrovně bezpečnosti webových aplikací. Bezpečnostní kritéria podle OWASP se dělí na //základní kritéria// a //rozšiřující kritéria// (která zaručují vyšší stupeň úroveň ochrany). Dále se každé kritérium ohodnocuje podle úroveň záruk za bezpečnost a to do těchto kategorií: * Vysoká záruka - dané bezpečnostní opatření byly prokázané //manuální kontrolou zdrojového kódu aplikace// * Střední záruka - dané bezpečnostní opatření byly prokázané //manuální kontrolou funkcionality dané aplikace// * Nízká záruka - dané bezpečnostní opatření byly prokázané //automatizovaným testováním kódu nebo aplikace// * Velmi nízká záruka - dané bezpečnostní opatření byly prokázané //analýzou návrhu aplikace// * Žádná - aplikace nebyla nijak analyzována Celá aplikace se pak ohodnotí podle toho jak kritéria vyhovují. ==== Standardy Kryptografie ==== Seznam kryptografických standardů je ve slidech 03_standardy strana 32. Mezi důležité je třeba zmínit: * ISO/IEC 10118 Hash Function * ISO/IEC 18033 Encryption Algorithms ===== Předměty ===== [[https://is.muni.cz/auth/predmet/fi/podzim2011/PV017|FI:PV017]] Bezpečnost Informačních Technologií. doc. Ing. Jan Staudek, CSc. ===== Zdroje ===== [[http://www.fi.muni.cz/usr/staudek/vyuka/security/PV017.xhtml|Rozcestník pro materiály k předmětu PV017]] [[http://fi.muny.cz/statni-zkouska-magisterska-aplikovana-informatika-szmap/| FI MUNY]] ===== Přílohy ===== {{:mgr-szz:in-ins:6.pdf|}} -- rozšíření některých témat a soukromé zpracování, vycházelo se z této wiki na přelomu roku 2013/2014. Nekonzultováno s kantory. ===== Vypracoval ===== Filip Nguyen (nguyen.filip@mail.muni.cz), hotovo, správnost (nikoliv úplnost) zkontrolována doc. Staudkem ~~DISCUSSION~~