====== IN-POS 9. Informační bezpečnost ======

===== Zadání =====

  * Principy řízení bezpečnosti v organizaci, řízení rizik,
  * politika informační bezpečnosti,
  * systém řízení informační bezpečnosti,
  * hodnocení úrovně informační bezpečnosti.

  * PV080, PV017

===== Vypracování =====

==== Principy řízení bezpečnosti v organizaci ====

<box 90% red|Bezpečnost (Security)>
Vlastnost prvku (např. IS), který je na určité úrovni chráněn proti  ztrátám nebo také stav ochrany (na určité úrovni) proti ztrátám.
</box>
<box 90% red|Bezpečnost (Security)>
Ochránění proti úmyslným škodám na aktivech.
</box>


  * **Aktiva**: data, zdroje,... (s hodnotou)
  * **Zranitelnost** (systému)
    * slabina využitelná ke způsobení škod/ztrát organizaci útokem
    * s útočníkem vzniká **hrozba**
  * **Útok**: realizace hrozby
    * výsledek **úspěšných** nebo **neúspěšný**
  * **Riziko**: pravděpodobnost útoku (uplatnění hrozby)

  * Řízení bezpečnosti musí v organizaci fungovat jako součást celkového systému řízení organizace.
  * Systém řízení bezpečnosti musí být přiměřený a šitý na míru konkrétní organizaci (politiky a procesy musí odrážet styl a kulturu organizace, přijaté politiky a procesy musí odrážet výsledky ohodnocení rizik).
  * Technologie budování systému řízení bezpečnosti je definována standardy.


==== Řízení rizik ====

= minimalizace rizik

<note tip>
Generické principy pro řízení projektů. V kontextu informační bezpečnosti:

Identifikace potřeb organizace
  * z pohledu zajištění informační bezpečnosti
  * z pohledu vytvoření účinného (efektivního) ISMS
</note>

Procesy:

  - **Ustanovení kontextu**
  - **Ohodnocení rizik**:
    * identifikace
    * analýza (určení velikosti rizik)
    * vyhodnocení rizik
  - **Zvládání rizik**: výběr a implementace opatření snižujících rizika
  - **Akceptace rizik**: rozhodování o přijatelnosti rizika
  - **Informovanost o rizicích**: informování všech, kteří mohou být rizikem zasaženi
  - **Monitorování a přezkoumávání rizik a procesu řízení rizik**



== 1. Analýza a vyhodnocení rizik ==

  * Zvážit, co všechno by mělo být chráněno.
  * Vyhodnotit, jaké hrozby hrozí ochraňovaným hodnotám.
    * na základě empirických poznatků o problémech, jiných útocích na podobné hodnoty
  * Chybná analýza způsobí chybně navržená bezpečnostní opatření.
  * Častěji spíše odhad rizik, než skutečná analýza.


  * **kvantitativní**
    * ➕ velmi srozumitelný výstup (nejčastěji v $$$)
  * **kvalitativní**
    * diskrétní stupnice (ne $$$)
    * ➕ jednodušší, automatizovatelný postup
    * ➖ méně srozumitelné výsledky

<box 90% blue|Annual Loss Expectancy (ALE)>
  * **SLE**: Single Loss Exposure
  * **ARO**: Annualized Rate of Occurence

    ALE = SLE x ARO
</box>

<box 90% blue|Business Process Analysis (BPA)>
  * Širší pojetí rizik, nejen IT.
  * výstup:
    * mapa procesů a jejich popisy
    * tabulka rizik a kontrol (kvalitativně)
    * doporučení
</box>

<box 90% blue|CRAMM>
  * 1985 – Vláda UK – CCTA Risk Analysis and Management Method
  * Strukturovaný přístup ve třech fázích:
    * Identifikace a ocenění hodnot.
    * Odhad hrozeb a zranitelností hodnot.
    * Výběr vhodných protiopatření.
  * Analýza vcelku složitá, používá se zvláštní software a je zde velká časová náročnost, potřeba školených specialistů.
</box>


<box 90% red|Klasifikace útnočníků>
  * **Třída 0 (script kiddies)**
    * útočníci bez dostatku znalostí o systému
    * využití běžně dostupného vybavení
    * metoda pokus-omyl
  * **Třída 1 (chytří nezasvěcení útočníci)**
    * inteligentní útočníci bez dostatku znalosti o systému
    * využití cenově běžně dostupného vybavení
    * obvykle útoky na známé bezpečnostní slabiny
  * **Třída 1.5**
    * inteligentní útočníci se základními znalostmi o systému
    * využití cenově dostupných zařízení
    * např. univerzitní laboratoře
  * **Třída 2 (zasvěcení insideři**
    * zkušení jedinci nebo týmy s technickými vědomostmi o systému
    * využití sofistikovaného vybavení
  * **Třída 3 (majetné organizace)**
    * kvalifikované týmy
    * využití běžně nedostupného vybavení
    * možnost provádění detailní analýzy systému a návrh komplexních útoků
    * př. vládní organizace (např. NSA)
</box>


== 2. Zvládání rizik ==

  * Řešíme, zda použít:
    * preventivní řešení
    * nápravná řešení
    * případně akceptovat riziko, nebo se pouze pojistit


=== Zajištění bezpečnosti ===


  * Zajištění bezpečnosti je proces, nikoliv stav či cíl.


  * **Bezpečnostní opatření**: omezují rizika
    * odstranění není možné nebo dostupné
  * **Bezpečnostní mechanizmy**: implementace bezpečnostních opatření
  * **Bezpečnostní politika**: specifikace způsobu uplatňování bezpečnostních opatření.
    * CO a JAK mají opatření dosáhnout
    * Zahrnuje požadavky, pravidla a postupy, určující způsob ochrany a zacházení s ochraňovanými hodnotami.



== Specifikace bezpečnostní politiky a architektury ==

  * Co a jak mají dosáhnout ochranná opatření.
  * Cíl – minimalizace (kontrola) rizik.
  * Strategie – jak dosáhnout cíle – použití bezpečnostních funkcí
    * Zahrnuje požadavky, pravidla a postupy, určující způsob ochrany a zacházení s ochraňovanými hodnotami.
  * Většinou psána normálním jazykem, lze ale použít i nějaký druh formalismu.

  * **Celková bezpečnostní politika**
    * Určitá míra nezávislosti na použitých IT.
    * Citlivá data, zodpovědnosti, základ infrastruktury.
    * Horizont nad 5 let.
  * **Systémová bezpečnostní politika**
    * Zohledňuje použité IT, konkretizace CBP.
    * Horizont obvykle cca 2-3 roky.
  * Další specifické politiky: provozní, personální, intranetová,...



==== Politika informační bezpečnosti ====

  * **ITSP =  IT Security Policy**
  * = dokumentovaný souhrn bezpečnostních zásad, pravidel, směrnic, předpisů pro ochranu informačních aktiv.

  * zavedena obvykle v přirozeném jazyce
  * definuje:
    * bezpečné používání IT v rámci organizace
    * třídu (sílu) útočníků, vůči kterým se informace zabezpečují
  * stanovuje:
    * koncepci informační bezpečnosti v horizontu 5-10 let
    * co jsou citlivá informační aktiva
    * bezpečnostní infrastrukturu organizace z pohledu informační bezpečnosti
  * obsahuje:
    * hodnocení rizik
    * cíle opatření
    * prohlášení o aplikovatelnosti (specifikace vhodných opatření)
    * klasifikace informací
    * plán zachování kontinuity
  * nezávislá na konkrétně použitých IT

  * Vybrané bezpečnostní zásady:
    * separace odpovědností
    * dublování autorizace vysoce citlivých systémů


<box 90% red|Informační bezpečnost>

Soubor technologií, standardů, politik a manažerských praktik pro zajištění bezpečnosti informací.

Informace je bezpečná, pokud je:
  * přístupná pouze oprávněným subjektům
  * modifikovatelná pouze oprávněnými subjekty a
  * do stanovené doby dostupná oprávněným subjektům

= je zajištěna:
  * důvěrnost
  * integrita
  * dostupnost
</box>



<box 90% red|BP systému zpracování informací>
  * zúžení ITSP
  * definována normou ISO/IEC 27000
  * plán zvládání rizik
  * určuje způsob zabezpečení dat v dané organizaci
</box>

==== Systém řízení informační bezpečnosti ====

= (Information Security Management System) ISMS je systém procesů  zaměřený na přístup organizace k Rizikům a musí být „šitý“ na míru konkrétní organizaci.

<box 90% red|Řízení informační bezpečnosti>
Proces posuzování každého z informačních aktiv organizace a potřebné průběžné zajišťování jejich ochrany.
</box>

  * součást systému procesů podporujících plnění cílů organizace
  * podmnožina procesů pro řízení IT
  * orientace na ochranu a zabezpečení informačních aktiv organizace


  - systematické posuzování vlastností systémů, technologií a médií používaných pro informační aktiva
  - odhadování nákladů vyvolaných narušením informační bezpečnosti
  - vývoj a nasazování protiopatření vůči (známým) hrozbám

  * Politika Informační Bezpečnosti -- co a proti čemu bránit
  * Politika ISMS -- jak navrhovat, vyvíjet, provozovat a hodnotit procesy plnící politiku Informační Bezpečnosti


  * Bázová myšlenka: Plan-Do-Check-Act


  * předpoklady ISMS:
    * vypracovaná BP
    * management prosazuje BP na všech úrovních
    * je implementován měřící systém

  * role v rámci ISMS:
    * Nejvyšší management
    * Výkonný ředitel
    * Řídící výbor (bezpečnosti informací)
      * posuzování a schvalování BP
      * kontrola činnosti ISMS
    * Bezpečnostní architekt
    * CISO Chief of Information Security Officer
    * lokální administrátoři systémů

  * normy:
    * ISO/IEC 27002: praktiky/tipy pro řízení informační bezpečnosti
    * ISO/IEC 27001: udává, jak navrhnout a vytvořit ISMS

  * dokumentace ISMS má 4 části:
    * dokumentácia politiky
    * dokumentácia procedúry
    * pracovní instrukce
    * správy/logy

==== Hodnocení úrovně informační bezpečnosti ====

Hodnocení bezpečnosti se provádí, aby se zjistila dosažená úroveň bezpečnosti. 

=== Common Criteria (Společná kriteria) ===

  * Definuje framework, který umožňuje, aby:
    * uživatel specifikoval požadavky na bezpečnost produktu
    * výrobce specifikoval vlastnosit produktu
    * nezávislý hodnotitel posoudil, zda výrobek odpovídá požadavkům
      * následně vydá certifikát
      * certifikační autority: **vládní agentury** nebo **licencované komerční organizace**

  * **Předmět hodnocení (Target of Evaluation, TOE)**
    * produkt nebo systém (nebo jeho část), který je předmětem  hodnocení
  * **Specifikace bezpečnosti (Security Target, ST)**
    * cílová kombinace komponent spojených s konkrétním produktem nebo systémem
  * **Profil bezpečnosti (Protection Profile, PP)**
    * implementačně nezávislá skupina bezpečn. požadavků určité skupiny TOE

  * ➕ usnadnění nasazení a používání bezpečnostních systémů (jednodušší srovnání)
  * ➕ usnadnění specifikace požadavků
  * ➕ ujasnění požadavků na návrh a vývoj
  * ➖ jakákoliv změna TOE znehodnotí/anuluje hodnocení
  * ➖ uživatel musí správně porozumět zárukám produktu

  * Metody hodnocení:
    * **Investigativní**
      * produktově/systémově orientováno
      * ➖ těžko opakovatelné (individuální pro každý produkt)
    * **Auditní**
      * procesně orientovaný
      * ➖ pro koncového uživatele méně přímosné


  * **Evaluation Assurance Level (EAL)**:
    * EAL0 - Nevyhovující
    * EAL1 - Funkčně otestovaný TOE
    * EAL2 - Strukturovaně otestovaný TOE
    * EAL3 - Metodicky testovaný a kontrolovaný TOE
    * EAL4 - Metodicky navržený, testovaný a přezkoumaný TOE
    * EAL5 - Semiformálně navržený a testovaný TOE
    * EAL6 - Semiformálně navržený se semiformálně ověřeným návrhem a testovaný TOE
    * EAL7 - Formálně navržený s formálně ověřeným návrhem a testovaný TOE

=== OWASP ===

= The Open Web Application Security Project

  * nástroj pro měření úrovně bezpečnosti webových aplikací
  * kritéria
    * základní
    * rozšiřující (zaručení vyšší stupně ochrany)

  * Kategorie jednotlivých kriterií:
    * **Vysoká záruka**
      * dané bezpečnostní opatření byly prokázané manuální kontrolou zdrojového kódu aplikace
    * **Střední záruka**
      * dané bezpečnostní opatření byly prokázané manuální kontrolou funkcionality dané aplikace
    * **Nízká záruka**
      * dané bezpečnostní opatření byly prokázané automatizovaným testováním kódu nebo aplikace
    * **Velmi nízká záruka**
      * dané bezpečnostní opatření byly prokázané analýzou návrhu aplikace
    * **Žádná**
      * aplikace nebyla nijak analyzována

  * Celá aplikace se pak ohodnotí podle toho jak kritéria vyhovují.

=== Bezpečnostní audit ===

  * Kontrola, zda byly bezpečnostní procedury definovány správně.
  * Detekce neošetřených bezpečnostních děr, zranitelností nepokrytých adekvátními bezpečnostními opatřeními.

  * Prováděn nezávislou autoritou.

===== Zdroje =====

  * slidy pv080
  * http://statnice.dqd.cz/mgr-szz:in-bit:7-bit
  * http://statnice.dqd.cz/mgr-szz:in-ins:6-ins