IN-POS 9. Informační bezpečnost

Zadání

  • Principy řízení bezpečnosti v organizaci, řízení rizik,
  • politika informační bezpečnosti,
  • systém řízení informační bezpečnosti,
  • hodnocení úrovně informační bezpečnosti.
  • PV080, PV017

Vypracování

Principy řízení bezpečnosti v organizaci

Bezpečnost (Security)

Vlastnost prvku (např. IS), který je na určité úrovni chráněn proti ztrátám nebo také stav ochrany (na určité úrovni) proti ztrátám.

Bezpečnost (Security)

Ochránění proti úmyslným škodám na aktivech.
  • Aktiva: data, zdroje,… (s hodnotou)
  • Zranitelnost (systému)
    • slabina využitelná ke způsobení škod/ztrát organizaci útokem
    • s útočníkem vzniká hrozba
  • Útok: realizace hrozby
    • výsledek úspěšných nebo neúspěšný
  • Riziko: pravděpodobnost útoku (uplatnění hrozby)
  • Řízení bezpečnosti musí v organizaci fungovat jako součást celkového systému řízení organizace.
  • Systém řízení bezpečnosti musí být přiměřený a šitý na míru konkrétní organizaci (politiky a procesy musí odrážet styl a kulturu organizace, přijaté politiky a procesy musí odrážet výsledky ohodnocení rizik).
  • Technologie budování systému řízení bezpečnosti je definována standardy.

Řízení rizik

= minimalizace rizik

Generické principy pro řízení projektů. V kontextu informační bezpečnosti:

Identifikace potřeb organizace

  • z pohledu zajištění informační bezpečnosti
  • z pohledu vytvoření účinného (efektivního) ISMS

Procesy:

  1. Ustanovení kontextu
  2. Ohodnocení rizik:
    • identifikace
    • analýza (určení velikosti rizik)
    • vyhodnocení rizik
  3. Zvládání rizik: výběr a implementace opatření snižujících rizika
  4. Akceptace rizik: rozhodování o přijatelnosti rizika
  5. Informovanost o rizicích: informování všech, kteří mohou být rizikem zasaženi
  6. Monitorování a přezkoumávání rizik a procesu řízení rizik
1. Analýza a vyhodnocení rizik
  • Zvážit, co všechno by mělo být chráněno.
  • Vyhodnotit, jaké hrozby hrozí ochraňovaným hodnotám.
    • na základě empirických poznatků o problémech, jiných útocích na podobné hodnoty
  • Chybná analýza způsobí chybně navržená bezpečnostní opatření.
  • Častěji spíše odhad rizik, než skutečná analýza.
  • kvantitativní
    • ➕ velmi srozumitelný výstup (nejčastěji v $$$)
  • kvalitativní
    • diskrétní stupnice (ne $$$)
    • ➕ jednodušší, automatizovatelný postup
    • ➖ méně srozumitelné výsledky

Annual Loss Expectancy (ALE)

  • SLE: Single Loss Exposure
  • ARO: Annualized Rate of Occurence
  ALE = SLE x ARO 

Business Process Analysis (BPA)

  • Širší pojetí rizik, nejen IT.
  • výstup:
    • mapa procesů a jejich popisy
    • tabulka rizik a kontrol (kvalitativně)
    • doporučení

CRAMM

  • 1985 – Vláda UK – CCTA Risk Analysis and Management Method
  • Strukturovaný přístup ve třech fázích:
    • Identifikace a ocenění hodnot.
    • Odhad hrozeb a zranitelností hodnot.
    • Výběr vhodných protiopatření.
  • Analýza vcelku složitá, používá se zvláštní software a je zde velká časová náročnost, potřeba školených specialistů.

Klasifikace útnočníků

  • Třída 0 (script kiddies)
    • útočníci bez dostatku znalostí o systému
    • využití běžně dostupného vybavení
    • metoda pokus-omyl
  • Třída 1 (chytří nezasvěcení útočníci)
    • inteligentní útočníci bez dostatku znalosti o systému
    • využití cenově běžně dostupného vybavení
    • obvykle útoky na známé bezpečnostní slabiny
  • Třída 1.5
    • inteligentní útočníci se základními znalostmi o systému
    • využití cenově dostupných zařízení
    • např. univerzitní laboratoře
  • Třída 2 (zasvěcení insideři
    • zkušení jedinci nebo týmy s technickými vědomostmi o systému
    • využití sofistikovaného vybavení
  • Třída 3 (majetné organizace)
    • kvalifikované týmy
    • využití běžně nedostupného vybavení
    • možnost provádění detailní analýzy systému a návrh komplexních útoků
    • př. vládní organizace (např. NSA)
2. Zvládání rizik
  • Řešíme, zda použít:
    • preventivní řešení
    • nápravná řešení
    • případně akceptovat riziko, nebo se pouze pojistit

Zajištění bezpečnosti

  • Zajištění bezpečnosti je proces, nikoliv stav či cíl.
  • Bezpečnostní opatření: omezují rizika
    • odstranění není možné nebo dostupné
  • Bezpečnostní mechanizmy: implementace bezpečnostních opatření
  • Bezpečnostní politika: specifikace způsobu uplatňování bezpečnostních opatření.
    • CO a JAK mají opatření dosáhnout
    • Zahrnuje požadavky, pravidla a postupy, určující způsob ochrany a zacházení s ochraňovanými hodnotami.
Specifikace bezpečnostní politiky a architektury
  • Co a jak mají dosáhnout ochranná opatření.
  • Cíl – minimalizace (kontrola) rizik.
  • Strategie – jak dosáhnout cíle – použití bezpečnostních funkcí
    • Zahrnuje požadavky, pravidla a postupy, určující způsob ochrany a zacházení s ochraňovanými hodnotami.
  • Většinou psána normálním jazykem, lze ale použít i nějaký druh formalismu.
  • Celková bezpečnostní politika
    • Určitá míra nezávislosti na použitých IT.
    • Citlivá data, zodpovědnosti, základ infrastruktury.
    • Horizont nad 5 let.
  • Systémová bezpečnostní politika
    • Zohledňuje použité IT, konkretizace CBP.
    • Horizont obvykle cca 2-3 roky.
  • Další specifické politiky: provozní, personální, intranetová,…

Politika informační bezpečnosti

  • ITSP = IT Security Policy
  • = dokumentovaný souhrn bezpečnostních zásad, pravidel, směrnic, předpisů pro ochranu informačních aktiv.
  • zavedena obvykle v přirozeném jazyce
  • definuje:
    • bezpečné používání IT v rámci organizace
    • třídu (sílu) útočníků, vůči kterým se informace zabezpečují
  • stanovuje:
    • koncepci informační bezpečnosti v horizontu 5-10 let
    • co jsou citlivá informační aktiva
    • bezpečnostní infrastrukturu organizace z pohledu informační bezpečnosti
  • obsahuje:
    • hodnocení rizik
    • cíle opatření
    • prohlášení o aplikovatelnosti (specifikace vhodných opatření)
    • klasifikace informací
    • plán zachování kontinuity
  • nezávislá na konkrétně použitých IT
  • Vybrané bezpečnostní zásady:
    • separace odpovědností
    • dublování autorizace vysoce citlivých systémů

Informační bezpečnost

Soubor technologií, standardů, politik a manažerských praktik pro zajištění bezpečnosti informací.

Informace je bezpečná, pokud je:

  • přístupná pouze oprávněným subjektům
  • modifikovatelná pouze oprávněnými subjekty a
  • do stanovené doby dostupná oprávněným subjektům

= je zajištěna:

  • důvěrnost
  • integrita
  • dostupnost

BP systému zpracování informací

  • zúžení ITSP
  • definována normou ISO/IEC 27000
  • plán zvládání rizik
  • určuje způsob zabezpečení dat v dané organizaci

Systém řízení informační bezpečnosti

= (Information Security Management System) ISMS je systém procesů zaměřený na přístup organizace k Rizikům a musí být „šitý“ na míru konkrétní organizaci.

Řízení informační bezpečnosti

Proces posuzování každého z informačních aktiv organizace a potřebné průběžné zajišťování jejich ochrany.
  • součást systému procesů podporujících plnění cílů organizace
  • podmnožina procesů pro řízení IT
  • orientace na ochranu a zabezpečení informačních aktiv organizace
  1. systematické posuzování vlastností systémů, technologií a médií používaných pro informační aktiva
  2. odhadování nákladů vyvolaných narušením informační bezpečnosti
  3. vývoj a nasazování protiopatření vůči (známým) hrozbám
  • Politika Informační Bezpečnosti – co a proti čemu bránit
  • Politika ISMS – jak navrhovat, vyvíjet, provozovat a hodnotit procesy plnící politiku Informační Bezpečnosti
  • Bázová myšlenka: Plan-Do-Check-Act
  • předpoklady ISMS:
    • vypracovaná BP
    • management prosazuje BP na všech úrovních
    • je implementován měřící systém
  • role v rámci ISMS:
    • Nejvyšší management
    • Výkonný ředitel
    • Řídící výbor (bezpečnosti informací)
      • posuzování a schvalování BP
      • kontrola činnosti ISMS
    • Bezpečnostní architekt
    • CISO Chief of Information Security Officer
    • lokální administrátoři systémů
  • normy:
    • ISO/IEC 27002: praktiky/tipy pro řízení informační bezpečnosti
    • ISO/IEC 27001: udává, jak navrhnout a vytvořit ISMS
  • dokumentace ISMS má 4 části:
    • dokumentácia politiky
    • dokumentácia procedúry
    • pracovní instrukce
    • správy/logy

Hodnocení úrovně informační bezpečnosti

Hodnocení bezpečnosti se provádí, aby se zjistila dosažená úroveň bezpečnosti.

Common Criteria (Společná kriteria)

  • Definuje framework, který umožňuje, aby:
    • uživatel specifikoval požadavky na bezpečnost produktu
    • výrobce specifikoval vlastnosit produktu
    • nezávislý hodnotitel posoudil, zda výrobek odpovídá požadavkům
      • následně vydá certifikát
      • certifikační autority: vládní agentury nebo licencované komerční organizace
  • Předmět hodnocení (Target of Evaluation, TOE)
    • produkt nebo systém (nebo jeho část), který je předmětem hodnocení
  • Specifikace bezpečnosti (Security Target, ST)
    • cílová kombinace komponent spojených s konkrétním produktem nebo systémem
  • Profil bezpečnosti (Protection Profile, PP)
    • implementačně nezávislá skupina bezpečn. požadavků určité skupiny TOE
  • ➕ usnadnění nasazení a používání bezpečnostních systémů (jednodušší srovnání)
  • ➕ usnadnění specifikace požadavků
  • ➕ ujasnění požadavků na návrh a vývoj
  • ➖ jakákoliv změna TOE znehodnotí/anuluje hodnocení
  • ➖ uživatel musí správně porozumět zárukám produktu
  • Metody hodnocení:
    • Investigativní
      • produktově/systémově orientováno
      • ➖ těžko opakovatelné (individuální pro každý produkt)
    • Auditní
      • procesně orientovaný
      • ➖ pro koncového uživatele méně přímosné
  • Evaluation Assurance Level (EAL):
    • EAL0 - Nevyhovující
    • EAL1 - Funkčně otestovaný TOE
    • EAL2 - Strukturovaně otestovaný TOE
    • EAL3 - Metodicky testovaný a kontrolovaný TOE
    • EAL4 - Metodicky navržený, testovaný a přezkoumaný TOE
    • EAL5 - Semiformálně navržený a testovaný TOE
    • EAL6 - Semiformálně navržený se semiformálně ověřeným návrhem a testovaný TOE
    • EAL7 - Formálně navržený s formálně ověřeným návrhem a testovaný TOE

OWASP

= The Open Web Application Security Project

  • nástroj pro měření úrovně bezpečnosti webových aplikací
  • kritéria
    • základní
    • rozšiřující (zaručení vyšší stupně ochrany)
  • Kategorie jednotlivých kriterií:
    • Vysoká záruka
      • dané bezpečnostní opatření byly prokázané manuální kontrolou zdrojového kódu aplikace
    • Střední záruka
      • dané bezpečnostní opatření byly prokázané manuální kontrolou funkcionality dané aplikace
    • Nízká záruka
      • dané bezpečnostní opatření byly prokázané automatizovaným testováním kódu nebo aplikace
    • Velmi nízká záruka
      • dané bezpečnostní opatření byly prokázané analýzou návrhu aplikace
    • Žádná
      • aplikace nebyla nijak analyzována
  • Celá aplikace se pak ohodnotí podle toho jak kritéria vyhovují.

Bezpečnostní audit

  • Kontrola, zda byly bezpečnostní procedury definovány správně.
  • Detekce neošetřených bezpečnostních děr, zranitelností nepokrytých adekvátními bezpečnostními opatřeními.
  • Prováděn nezávislou autoritou.

Zdroje

mgr-szz/in-pos/9-pos.txt · Poslední úprava: 2020/04/12 16:56 (upraveno mimo DokuWiki)
Nahoru
CC Attribution-Noncommercial-Share Alike 4.0 International
chimeric.de = chi`s home Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0