IN-POS 9. Informační bezpečnost

• Principy řízení bezpečnosti v organizaci, řízení rizik,
• politika informační bezpečnosti,
• systém řízení informační bezpečnosti,
• hodnocení úrovně informační bezpečnosti.

• PV080, PV017

• Aktiva: data, zdroje,… (s hodnotou)
• Zranitelnost (systému)
  • slabina využitelná ke způsobení škod/ztrát organizaci útokem
  • s útočníkem vzniká hrozba
• Útok: realizace hrozby
  • výsledek úspěšných nebo neúspěšný
• Riziko: pravděpodobnost útoku (uplatnění hrozby)

• Řízení bezpečnosti musí v organizaci fungovat jako součást celkového systému řízení organizace.
• Systém řízení bezpečnosti musí být přiměřený a šitý na míru konkrétní organizaci (politiky a procesy musí odrážet styl a kulturu organizace, přijaté politiky a procesy musí odrážet výsledky ohodnocení rizik).
• Technologie budování systému řízení bezpečnosti je definována standardy.

= minimalizace rizik

Procesy:

1. Ustanovení kontextu
2. Ohodnocení rizik:
   • identifikace
   • analýza (určení velikosti rizik)
   • vyhodnocení rizik
3. Zvládání rizik: výběr a implementace opatření snižujících rizika
4. Akceptace rizik: rozhodování o přijatelnosti rizika
5. Informovanost o rizicích: informování všech, kteří mohou být rizikem zasaženi
6. Monitorování a přezkoumávání rizik a procesu řízení rizik

• Zvážit, co všechno by mělo být chráněno.
• Vyhodnotit, jaké hrozby hrozí ochraňovaným hodnotám.
  • na základě empirických poznatků o problémech, jiných útocích na podobné hodnoty
• Chybná analýza způsobí chybně navržená bezpečnostní opatření.
• Častěji spíše odhad rizik, než skutečná analýza.

• kvantitativní
  • ➕ velmi srozumitelný výstup (nejčastěji v $$$)
• kvalitativní
  • diskrétní stupnice (ne $$$)
  • ➕ jednodušší, automatizovatelný postup
  • ➖ méně srozumitelné výsledky

  ALE = SLE x ARO 

• Řešíme, zda použít:
  • preventivní řešení
  • nápravná řešení
  • případně akceptovat riziko, nebo se pouze pojistit

• Zajištění bezpečnosti je proces, nikoliv stav či cíl.

• Bezpečnostní opatření: omezují rizika
  • odstranění není možné nebo dostupné
• Bezpečnostní mechanizmy: implementace bezpečnostních opatření
• Bezpečnostní politika: specifikace způsobu uplatňování bezpečnostních opatření.
  • CO a JAK mají opatření dosáhnout
  • Zahrnuje požadavky, pravidla a postupy, určující způsob ochrany a zacházení s ochraňovanými hodnotami.

• Co a jak mají dosáhnout ochranná opatření.
• Cíl – minimalizace (kontrola) rizik.
• Strategie – jak dosáhnout cíle – použití bezpečnostních funkcí
  • Zahrnuje požadavky, pravidla a postupy, určující způsob ochrany a zacházení s ochraňovanými hodnotami.
• Většinou psána normálním jazykem, lze ale použít i nějaký druh formalismu.

• Celková bezpečnostní politika
  • Určitá míra nezávislosti na použitých IT.
  • Citlivá data, zodpovědnosti, základ infrastruktury.
  • Horizont nad 5 let.
• Systémová bezpečnostní politika
  • Zohledňuje použité IT, konkretizace CBP.
  • Horizont obvykle cca 2-3 roky.
• Další specifické politiky: provozní, personální, intranetová,…

• ITSP = IT Security Policy
• = dokumentovaný souhrn bezpečnostních zásad, pravidel, směrnic, předpisů pro ochranu informačních aktiv.

• zavedena obvykle v přirozeném jazyce
• definuje:
  • bezpečné používání IT v rámci organizace
  • třídu (sílu) útočníků, vůči kterým se informace zabezpečují
• stanovuje:
  • koncepci informační bezpečnosti v horizontu 5-10 let
  • co jsou citlivá informační aktiva
  • bezpečnostní infrastrukturu organizace z pohledu informační bezpečnosti
• obsahuje:
  • hodnocení rizik
  • cíle opatření
  • prohlášení o aplikovatelnosti (specifikace vhodných opatření)
  • klasifikace informací
  • plán zachování kontinuity
• nezávislá na konkrétně použitých IT

• Vybrané bezpečnostní zásady:
  • separace odpovědností
  • dublování autorizace vysoce citlivých systémů

= (Information Security Management System) ISMS je systém procesů zaměřený na přístup organizace k Rizikům a musí být „šitý“ na míru konkrétní organizaci.

• součást systému procesů podporujících plnění cílů organizace
• podmnožina procesů pro řízení IT
• orientace na ochranu a zabezpečení informačních aktiv organizace

1. systematické posuzování vlastností systémů, technologií a médií používaných pro informační aktiva
2. odhadování nákladů vyvolaných narušením informační bezpečnosti
3. vývoj a nasazování protiopatření vůči (známým) hrozbám

• Politika Informační Bezpečnosti – co a proti čemu bránit
• Politika ISMS – jak navrhovat, vyvíjet, provozovat a hodnotit procesy plnící politiku Informační Bezpečnosti

• Bázová myšlenka: Plan-Do-Check-Act

• předpoklady ISMS:
  • vypracovaná BP
  • management prosazuje BP na všech úrovních
  • je implementován měřící systém

• role v rámci ISMS:
  • Nejvyšší management
  • Výkonný ředitel
  • Řídící výbor (bezpečnosti informací)
    • posuzování a schvalování BP
    • kontrola činnosti ISMS
  • Bezpečnostní architekt
  • CISO Chief of Information Security Officer
  • lokální administrátoři systémů

• normy:
  • ISO/IEC 27002: praktiky/tipy pro řízení informační bezpečnosti
  • ISO/IEC 27001: udává, jak navrhnout a vytvořit ISMS

• dokumentace ISMS má 4 části:
  • dokumentácia politiky
  • dokumentácia procedúry
  • pracovní instrukce
  • správy/logy

Hodnocení bezpečnosti se provádí, aby se zjistila dosažená úroveň bezpečnosti.

• Definuje framework, který umožňuje, aby:
  • uživatel specifikoval požadavky na bezpečnost produktu
  • výrobce specifikoval vlastnosit produktu
  • nezávislý hodnotitel posoudil, zda výrobek odpovídá požadavkům
    • následně vydá certifikát
    • certifikační autority: vládní agentury nebo licencované komerční organizace

• Předmět hodnocení (Target of Evaluation, TOE)
  • produkt nebo systém (nebo jeho část), který je předmětem hodnocení
• Specifikace bezpečnosti (Security Target, ST)
  • cílová kombinace komponent spojených s konkrétním produktem nebo systémem
• Profil bezpečnosti (Protection Profile, PP)
  • implementačně nezávislá skupina bezpečn. požadavků určité skupiny TOE

• ➕ usnadnění nasazení a používání bezpečnostních systémů (jednodušší srovnání)
• ➕ usnadnění specifikace požadavků
• ➕ ujasnění požadavků na návrh a vývoj
• ➖ jakákoliv změna TOE znehodnotí/anuluje hodnocení
• ➖ uživatel musí správně porozumět zárukám produktu

• Metody hodnocení:
  • Investigativní
    • produktově/systémově orientováno
    • ➖ těžko opakovatelné (individuální pro každý produkt)
  • Auditní
    • procesně orientovaný
    • ➖ pro koncového uživatele méně přímosné

• Evaluation Assurance Level (EAL):
  • EAL0 - Nevyhovující
  • EAL1 - Funkčně otestovaný TOE
  • EAL2 - Strukturovaně otestovaný TOE
  • EAL3 - Metodicky testovaný a kontrolovaný TOE
  • EAL4 - Metodicky navržený, testovaný a přezkoumaný TOE
  • EAL5 - Semiformálně navržený a testovaný TOE
  • EAL6 - Semiformálně navržený se semiformálně ověřeným návrhem a testovaný TOE
  • EAL7 - Formálně navržený s formálně ověřeným návrhem a testovaný TOE

= The Open Web Application Security Project

• nástroj pro měření úrovně bezpečnosti webových aplikací
• kritéria
  • základní
  • rozšiřující (zaručení vyšší stupně ochrany)

• Kategorie jednotlivých kriterií:
  • Vysoká záruka
    • dané bezpečnostní opatření byly prokázané manuální kontrolou zdrojového kódu aplikace
  • Střední záruka
    • dané bezpečnostní opatření byly prokázané manuální kontrolou funkcionality dané aplikace
  • Nízká záruka
    • dané bezpečnostní opatření byly prokázané automatizovaným testováním kódu nebo aplikace
  • Velmi nízká záruka
    • dané bezpečnostní opatření byly prokázané analýzou návrhu aplikace
  • Žádná
    • aplikace nebyla nijak analyzována

• Celá aplikace se pak ohodnotí podle toho jak kritéria vyhovují.

• Kontrola, zda byly bezpečnostní procedury definovány správně.
• Detekce neošetřených bezpečnostních děr, zranitelností nepokrytých adekvátními bezpečnostními opatřeními.

• Prováděn nezávislou autoritou.

• slidy pv080
• http://statnice.dqd.cz/mgr-szz:in-bit:7-bit
• http://statnice.dqd.cz/mgr-szz:in-ins:6-ins