Obsah

IN-POS 9. Informační bezpečnost

Zadání

Vypracování

Principy řízení bezpečnosti v organizaci

Bezpečnost (Security)

Vlastnost prvku (např. IS), který je na určité úrovni chráněn proti ztrátám nebo také stav ochrany (na určité úrovni) proti ztrátám.

Bezpečnost (Security)

Ochránění proti úmyslným škodám na aktivech.

Řízení rizik

= minimalizace rizik

Generické principy pro řízení projektů. V kontextu informační bezpečnosti:

Identifikace potřeb organizace

  • z pohledu zajištění informační bezpečnosti
  • z pohledu vytvoření účinného (efektivního) ISMS

Procesy:

  1. Ustanovení kontextu
  2. Ohodnocení rizik:
    • identifikace
    • analýza (určení velikosti rizik)
    • vyhodnocení rizik
  3. Zvládání rizik: výběr a implementace opatření snižujících rizika
  4. Akceptace rizik: rozhodování o přijatelnosti rizika
  5. Informovanost o rizicích: informování všech, kteří mohou být rizikem zasaženi
  6. Monitorování a přezkoumávání rizik a procesu řízení rizik
1. Analýza a vyhodnocení rizik

Annual Loss Expectancy (ALE)

  • SLE: Single Loss Exposure
  • ARO: Annualized Rate of Occurence
  ALE = SLE x ARO 

Business Process Analysis (BPA)

  • Širší pojetí rizik, nejen IT.
  • výstup:
    • mapa procesů a jejich popisy
    • tabulka rizik a kontrol (kvalitativně)
    • doporučení

CRAMM

  • 1985 – Vláda UK – CCTA Risk Analysis and Management Method
  • Strukturovaný přístup ve třech fázích:
    • Identifikace a ocenění hodnot.
    • Odhad hrozeb a zranitelností hodnot.
    • Výběr vhodných protiopatření.
  • Analýza vcelku složitá, používá se zvláštní software a je zde velká časová náročnost, potřeba školených specialistů.

Klasifikace útnočníků

  • Třída 0 (script kiddies)
    • útočníci bez dostatku znalostí o systému
    • využití běžně dostupného vybavení
    • metoda pokus-omyl
  • Třída 1 (chytří nezasvěcení útočníci)
    • inteligentní útočníci bez dostatku znalosti o systému
    • využití cenově běžně dostupného vybavení
    • obvykle útoky na známé bezpečnostní slabiny
  • Třída 1.5
    • inteligentní útočníci se základními znalostmi o systému
    • využití cenově dostupných zařízení
    • např. univerzitní laboratoře
  • Třída 2 (zasvěcení insideři
    • zkušení jedinci nebo týmy s technickými vědomostmi o systému
    • využití sofistikovaného vybavení
  • Třída 3 (majetné organizace)
    • kvalifikované týmy
    • využití běžně nedostupného vybavení
    • možnost provádění detailní analýzy systému a návrh komplexních útoků
    • př. vládní organizace (např. NSA)
2. Zvládání rizik

Zajištění bezpečnosti

Specifikace bezpečnostní politiky a architektury

Politika informační bezpečnosti

Informační bezpečnost

Soubor technologií, standardů, politik a manažerských praktik pro zajištění bezpečnosti informací.

Informace je bezpečná, pokud je:

  • přístupná pouze oprávněným subjektům
  • modifikovatelná pouze oprávněnými subjekty a
  • do stanovené doby dostupná oprávněným subjektům

= je zajištěna:

  • důvěrnost
  • integrita
  • dostupnost

BP systému zpracování informací

  • zúžení ITSP
  • definována normou ISO/IEC 27000
  • plán zvládání rizik
  • určuje způsob zabezpečení dat v dané organizaci

Systém řízení informační bezpečnosti

= (Information Security Management System) ISMS je systém procesů zaměřený na přístup organizace k Rizikům a musí být „šitý“ na míru konkrétní organizaci.

Řízení informační bezpečnosti

Proces posuzování každého z informačních aktiv organizace a potřebné průběžné zajišťování jejich ochrany.
  1. systematické posuzování vlastností systémů, technologií a médií používaných pro informační aktiva
  2. odhadování nákladů vyvolaných narušením informační bezpečnosti
  3. vývoj a nasazování protiopatření vůči (známým) hrozbám

Hodnocení úrovně informační bezpečnosti

Hodnocení bezpečnosti se provádí, aby se zjistila dosažená úroveň bezpečnosti.

Common Criteria (Společná kriteria)

OWASP

= The Open Web Application Security Project

Bezpečnostní audit

Zdroje