Audit, řízení bezpečnosti, kontrola ochranných opatření. Bezpečnostní politiky, jejich návrh, tvorba a prosazování, role a základy metod analýzy rizik.

• Aktivum – něco, co má neopominutelnou hodnotu
• Škoda – důsledek útoku na aktiva nebo na hodnotu aktiv, může být zanedbatelná, akceptovatelná, významná, katastrofická,…
• Útok – bezpečnostní incident, realizace hrozby
• Hrozba – potenciální motivace k útoku, existuje díky zranitelnosti systému, který pracuje s aktivy, a díky existenci útočníků
• Riziko – pravděpodobnost výskytu útoku (tedy pravděpodobnost realizace hrozby), potenciální dopad určuje závažnost rizika (pravděpodobnost * dopad): zanedbatelné, akceptovatelné, významné, katastrofické,…
• Zranitelnost – daná existencí zranitelných míst a existencí potenciálních útočníků
• Zranitelné místo – slabina v návrhu, implementaci, provozu,… systému, který pracuje s aktivy
• Bezpečnost – zamezení škodám eliminací zranitelných míst nebo útočníků pomocí bezpečnostních opatření
• Opatření – bezpečnostní služba (opatření) relevantní jisté hrozbě, která riziko dané existencí této hrozby, odstraňuje nebo alespoň snižuje, cena musí být menší než výše případné škody (např ISO 27002)
  • Technická, řídící, provozní
  • jiné dělení: preventivní (řízení přístupu), detekční (audit, detekce virů…)
• Mechanismus – metoda/technologie zajišťení ochrany, například kryptografie, ACL, digitální podpisy apod., ale také procedury nebo chování

Bezpečnostní audit je nezávislé posouzení stavu bezpečnosti v organizaci. Cíle a rozsah auditu mohou být různé. Audit posuzuje, zda procesy a opatření definované v bezpečnostní politice jsou správně implementovány a používány. Upozorňuje na možné zranitelnosti systému, které by mohly vést k ohrožení (= existence hrozeb). Také upozorňuje na nedostatečnost ochrany ve vztahu k novým poznatkům v oblasti bezpečnosti informačních a komunikačních technologií ve vztahu k uznávaným standardům.

Audit bezpečnostních politik (opatření) má dvě části:

1. formální posouzení materiálů bezpečnostní politiky,
2. kontrola správnosti implementace stanovené bezpečnostní politikou.

Audit ISMS

• např podle ISO/IEC 27007
• Organizace by měla pravidelně kontrolovat, přezkoumávat zda má řádně instalovány a provozovány implementace bezpečnostních standardů, politik, předpisů formou auditu.
• Metody:
  • Vyšetřování (analýza objektů, procesů, mechanismů) - cílené, všeobecné, detailní
  • Test(provoz testovaného objektu za daných cvičných podmínek) - např test zálohování
    • Whitebox - znám vnitřní strukturu
    • Blackbox - neznám strukturu, test z venku
    • Greybox - kombinace
  • Interview (rozhovory s jednotlivci) - všeobecné, cílené, detailní
• Příprava auditu - výsledky posledních auditů, seznámení se systémem, vyžádání materiálů od správců …
• Vypracování plánu auditu - oblast zkoumání, jakou procedurou, jaké budou výstupy,
• Výstup auditu - typicky rozděleno do závažností (např velmi závažné = narušení bezpečnosti, doporučeno okamžitě odstranit)

Řízení bezpečnosti musí v organizaci fungovat jako součást celkového systému řízení organizace. Systém řízení bezpečnosti musí být přiměřený a šitý na míru konkrétní organizaci (politiky a procesy musí odrážet styl a kulturu organizace, přijaté politiky a procesy musí odrážet výsledky ohodnocení rizik). Technologie budování systému řízení bezpečnosti je definována standardy.

Ohodnocení rizik –> zvládnutí rizik –> implementace a prosazení politiky –> návrh a implementace ISMS (Information Security Management System).

ISO/IEC 27002 je standard, který dává cca 130 nástrojů (opatření) pro řízení bezpečnosti informací. Jako vstup k řízení bezpečnosti informací je vyžadováno následující:

• vypracovaná BP
• management na všech úrovních prosazuje BP
• má být implementován měřící systém

ISMS je systém procesů, které zajišťují ustavení, zavádění, provozování/prosazování, monitorování, přezkoumávání, udržování a zlepšování bezpečnosti informací.

* Analýza rizik (co)
* Bezpečnostní politika (jak)
* Kritéria hodnocení (jaký systém)
* Interní a externí audit

TODO (nevím přesně k čemu se tahle podotázka vztahuje)

Bezpečnostní politika (BP) je soubor pravidel specifikující účinný způsob uplatňování opatření (implementované adekvátními mechanismy) potřebný pro dosažení požadované úrovně akceptovatelných rizik.
BP říká:

• co se chrání, proti čemu/komu – bezpečnostní cíle
• jak se ochrana uplatňuje – způsob dosažení bezpečnostních cílů

Detailnost BP závisí na cílové oblasti, ve které je politika uplatňovaná. Bezpečnostní politika je důvěryhodná, pokud se jejím dodržováním prokazatelně dosáhne požadované úrovně ochrany aktiv. Důvěryhodná BP musí jednoznačně stanovovat/popisovat stavy systému a správně zvládat reakce na bezpečnostní incidenty podle jednoznačně stanovených požadavků na bezpečnost.
Na úroveń důvěryhodnosti lze dát záruku (audit, certifikace od CA). Ale jen jestli je dobře specifikována, navržena a implementována.

Stěžejním pojmem je opatření. Typické opatření je kombinací technologie, chování a procedury, např.: antivirový program + pravidelné aktualizace + vyškolení personálu pro bezpečnou práci s emailovými přílohami. Nejlepší praktiky, pro volbu opatření je standard ISO 27002. Pokud je riziko nízké (zanedbatelná pravděpodobnost a dopad), tak se pravděpodobně pouze pojistíme. Při vysokém riziku (katastrofický dopad hraničící s jistotou) vytvoříme plán, abychom takové riziko eliminovali.

Perfektní bezpečnost je dosažen absolutní eliminací všech rizik. Často jsou známá teoretická řešení, která jsou prakticky nepoužitelná.

BP lze dále zúžit. Jedním zúžením je Politika bezpečnosti informací (ITSP - IT Security Policy), která se obvykle se zavádí v přirozeném jazyce a chrání informační aktiva. Stanovuje se obvykle na 5-10 let a je nezávislá na konkrétním IT vybavení. Zúžením ITSP je BP systému zpracování informací. Tu definuje ISO/IEC 27000 - Plán zvládání rizik a určuje způsob zabezpečení dat v dané organizaci.

Návrh a tvorba BP je iterativní proces. Finální verze musí odrážet výsledek ohodnocení rizik. BP musí respektovat charakteristiky činností, lokalit a aktiv organizace a technologií pro zpracování informací. BP definuje systém stanovení cílů a strategií řízení organizace a rizik. Stanovuje kritéria pro evaluaci rizik a strukturu procesu hodnocení rizik. BP musí být schválena vedením organizace, pravidelně přezkoumávána, případně podle potřeby aktualizována.

Deklarace politiky je krátký dokument, který odpovídá na otázky:

• pro koho je politika závazná
• vymezení oblasti působnosti politiky
• co tato politika chrání
• důvod, proč se zavádí (vyjádření podstaty hrozeb,…)

Následuje určení metodiky řízení rizik, kritérií pro hodnocení rizik, struktury procesu hodnocení rizik a stanovení zodpovědnosti.
Dále musejí být identifikovány požadavky na soubory opatření, které zajišťují vyhovění politice:

• plán reakcí na incidenty
• plán zachování činností
• plán zálohování dat
• ochrana před viry
• politika řízení přístupu, hlášení bezpečnostních incidentů,…

Odhad ceny vybudování systému pro řízení bezpečnosti (ISMS – Information Security Management System), hodnocení a kvantifikace potenciálních zisků, návrh plánu implementace a stanovení odpovědnosti za implementaci.

Prosazování bezpečnostní politiky je cyklický proces, který se skládá z následujících kroků:

• posouzení vstupních vlivů, vypracování Deklarace politiky
• provedení ohodnocení rizik – analýza rizik a vyhodnocení rizik s cílem dosažení:
  • vyrovnanosti časových a finančních nákladů na ochrany a provoz
  • potřebné přesnosti při odhadech rizik
  • potřebných vědomostí pro volbu opatření pro zvládnutí rizik, to je pro vypracování Prohlášení o aplikovatelnosti opatření
• vypracování projektu politiky – zvládnutí rizik rozhodnutím o použitých opatřeních, připravení Plánu zvládnutí rizik (detailní politika bezpečnosti systému)
• implementace a prosazení politiky, návrh a implementace ISMS
• plnění činnosti organizace pod kuratelou prosazené politiky a ISMS
• vyhodnocování adekvátnosti politiky
• ohodnocení rizik (bod 2) a běží nové kolo životního cyklu péče o bezpečnost (informací)

V rámci řízení bezpečnosti v organizaci jsou chápány následující role:

• Správní rada
• nejvyšší management
• výkonný management
• řídící výbor (pokud není ustaven, tak samostatný bezpečnostní architekt)
• CISO (Chief of Information Security Officer)
• lokální správci, administrátoři systémů, auditoři

Správní rada požaduje soulad strategií organizace (pomocí auditní zprávy)
Výkonný management definuje procesy nutné k projení bezpečnosti informací a cílů organizace. zajišťuje odpovědnosti při řízení rizik.

Řídící výbor je ustanovený nejvyšším managementem organizace z členů napříč funkční strukturou organizace. Řídící výbor přezkoumává a podporuje strategie bezpečnosti informací a usiluje o integraci, zajišťuje, aby management podporoval integraci bezpečnosti do strategií organizace. Stanovuje cíle bezpečnosti informací, posuzuje a schvaluje bezpečnostní politiku, vymezuje oblast působení ISMS. V podstatě je to dohlížecí orgán.

CISO je většinou jmenován řídícím výborem. Vytváří bezpečnostní politiku (společně s řídícím výborem), určuje její cíle a strategie a stanovuje oblast působení. Instruuje řídící výbor o aktuálních hrozbách, zranitelnostech a adekvátních krocích k jejich eliminaci. Provádí iniciální posouzení rizik, identifikuje změny rizik a zajišťuje odpovídající reakce. Zajišťuje, že vrcholový management a řídící výbor odsouhlasuje rizika a přístup organizace k řízení rizik, plán zvládání rizik a nutnou úroveň záruky za bezpečnost. Pro jednotlivé cíle vybírá opatření a kontroluje, aby tyto cíle byly implementací opatření dosaženy. Vypracovává zprávy o bezpečnostních incidentech a řídí reakce na ně, včetně prokázání jejich příčin a určení a zajištění adekvátních opravných a/nebo preventivních akcí. Informuje řídící výbor o postupu implementace ISMS, o incidentech, problémech a bezpečnostních záležitostech.

Lokální správci odpovídají za identifikaci hrozeb a hodnocení rizik v systémech, které spravují, například systémy, sítě, areály,… Odpovídají za implementaci vybraných opatření, testování plánů zachování činností (obnova sítě, udržování činnosti v areálu,…).

Uživatelé IT musí znát a dodržovat politiku bezpečnosti informací v organizaci.

Analýza rizik je jeden z procesů řízení rizik. Jako řízení rizik jsou označovány procesy vedoucí k redukci rizik na akceptovatelnou úroveň. Cílem je ideálně plně eliminovat všechna rizik, racionálně pak snížit rizika na přijatelnou úroveň. Toho je možné dosáhnout snížením pravděpodobnosti uplatnění hrozeb pomocí opatření, která omezují dostupnost zranitelných míst, snižují počet útočníků a podobně.

Řízení rizik např (ISO/IEC 27005) zpravidla zahrnuje tyto procesy:

• ohodnocení rizik (risk assessment)
  • analýza rizik (risk analysis)
  • vyhodnocení rizik (risk evaluation)
• zvládání rizik (risk mitigation) – výběr a implementace opatření snižující rizika
• akceptace rizik (risk acceptance) – rozhodování o přijatelnosti rizik dle stanovených kritérií
• informování o rizicích (risk communication) – sdělení informace všem, kdo mohou rizika ovlivnit nebo být jimi ovlivněni

Ohodnocení rizik je systematické zkoumání aktiv, hrozeb, možných útočníků. Jedná se o formální přesně definovaný proces. Existují nástroje pro vedení procesu ohodnocování rizik, například CRAMM. Cílem je dosáhnout vyrovnanosti časových a finančních nákladů na ochrany a provoz, potřebné přesnosti při odhadech rizik a potřebných vědomostí pro volbu opatření pro zvládnutí rizik. Výstupem bývá tabulka s aktivy, hrozbami a mírami rizika (malé, velké, střední,…).

Prvním krokem je orientační ohodnocení rizik. Typicky je to součástí tvorby Deklarace politiky. Výsledkem je rozhodnutí o volbě jedné z metodologií ohodnocení rizik (elementární, neformální, detailní).

Elementární ohodnocení rizik je převzetí opatření na základě analogie podobných systémů a ze všeobecných standardů.

Neformální ohodnocení rizik je ohodnocení rizik na základě znalostí jednotlivců – odborníků na bezpečnost (interních nebo externích) bez použití standardních strukturovaných metod a nástrojů.

Detailní (formální) ohodnocení rizik je ohodnocení standardními strukturovanými metodami a nástroji ve všech fázích (identifikace aktiv, identifikace zranitelných míst,…).

Kombinované ohodnocení rizik kombinace předchozích přístupů, jak kde je to nutné (včetně ekonomických hledisek).

Forma analýzy rizik je buď kvantitativní nebo kvalitativní. Kvantitativní analýza rizik je založena na součinech pravděpodobností útoků a numerických výší škod. Výsledky jsou bezprostředně použitelné pro analýzu přínosů doporučených opatření. Znalosti pravděpodobností jsou vesměs nepřesné a hodnocení výše škod je často subjektivní. Kvalitativní analýza rizik využívá škály odhadovaných potenciálních škod a odhadovaných frekvencí výskytů útoků. Nepoužívá numerické vyjádření pravděpodobností nebo výší škod, získají se tak hodnoty rizik, které určí oblasti, které by měly mít prioritu při řešení rizik. Výsledky jsou vesměs nepoužitelné pro analýzu přínosů doporučených opatření.

Základní kroky procesu ohodnocení rizik:

1. charakteristika systému
2. identifikace hrozeb
3. identifikace zranitelností
4. analýza opatření – sem patří bezpečnostní politika (definuje opatření)
5. určení pravděpodobnosti
6. analýza dopadů
7. vyhodnocení rizik
8. doporučení opatření, prohlášení o aplikovatelnosti
9. dokumentování výsledků ohodnocení rizik

Usilování o dostatečné snížení rizik za nejmenší možnou cenu. Preventivní opatření se přijímají většinou pro velká rizika, pro menší rizika pouze nápravná opatření. U nejmenších rizik je možné riziko prostě akceptovat nebo se proti němu pojistit. Výstup je implementace opatření.

• Posledni slidy PA018 - pár slidů o analýze rizik
• Materiály k PV017 - Bezpečnost IT (Staudek)
• Leccos je k nalezení ve zpracované 6. otázce oboru INS
• https://is.muni.cz/auth/el/1433/podzim2012/PV080/um/PV080_2012_L9.pdf

Filip Nguyen (převzato ze 6. otázky oboru INS)
Ondra Mokoš
Dopňění k auditu: Marcel Poul