Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
mgr-szz:in-pos:9-pos [2019/06/10 16:52] lachmanfrantisek zadání |
mgr-szz:in-pos:9-pos [2019/06/19 20:07] lachmanfrantisek |
||
---|---|---|---|
Řádek 11: | Řádek 11: | ||
===== Vypracování ===== | ===== Vypracování ===== | ||
+ | |||
+ | ==== Principy řízení bezpečnosti v organizaci ==== | ||
+ | |||
+ | <box 90% red|Bezpečnost> | ||
+ | Vlastnost prvku (např. IS), který je na určité úrovni chráněn proti ztrátám nebo také stav ochrany (na určité úrovni) proti ztrátám. | ||
+ | </box> | ||
+ | |||
+ | - Prevence | ||
+ | - Detekce | ||
+ | - Reakce | ||
+ | |||
+ | * **Aktiva**: data, zdroje,... (s hodnotou) | ||
+ | * **Zranitelnost** (systému) | ||
+ | * s útočníkem vzniká **hrozba** | ||
+ | * **Útok**: realizace hrozby | ||
+ | * výsledek **úspěšných** nebo **neúspěšný** | ||
+ | * **Riziko**: pravděpodobnost útoku (uplatnění hrozby) | ||
+ | |||
+ | Řízení bezpečnosti musí v organizaci fungovat jako součást celkového systému řízení organizace. Systém řízení bezpečnosti musí být přiměřený a šitý na míru konkrétní organizaci (politiky a procesy musí odrážet styl a kulturu organizace, přijaté politiky a procesy musí odrážet výsledky ohodnocení rizik). Technologie budování systému řízení bezpečnosti je definována standardy. | ||
+ | |||
+ | |||
+ | ==== Řízení rizik ==== | ||
+ | |||
+ | = minimalizace rizik | ||
+ | |||
+ | 4 fáze: | ||
+ | |||
+ | - **Ohodnocení rizik**: analýza a vyhodnocení | ||
+ | - **Zvládání rizik**: výběr a implementace opatření snižujících rizika | ||
+ | - **Akceptace rizik**: rozhodování o přijatelnosti rizika | ||
+ | - **Informovanost o rizicích**: informování všech, kteří mohou být rizikem zasaženi | ||
+ | |||
+ | |||
+ | |||
+ | == 1. Analýza a vyhodnocení rizik == | ||
+ | |||
+ | * Zvážit, co všechno by mělo být chráněno. | ||
+ | * Vyhodnotit, jaké hrozby hrozí ochraňovaným hodnotám. | ||
+ | * na základě empirických poznatků o problémech, jiných útocích na podobné hodnoty | ||
+ | * Chybná analýza způsobí chybně navržená bezpečnostní opatření. | ||
+ | * Častěji spíše odhad rizik, než skutečná analýza. | ||
+ | |||
+ | |||
+ | * **kvantitativní** | ||
+ | * ➕ velmi srozumitelný výstup (nejčastěji v $$$) | ||
+ | * **kvalitativní** | ||
+ | * diskrétní stupnice (ne $$$) | ||
+ | * ➕ jednodušší, automatizovatelný postup | ||
+ | * ➖ méně srozumitelné výsledky | ||
+ | |||
+ | <box 90% blue|Annual Loss Expectancy (ALE)> | ||
+ | * **SLE**: Single Loss Exposure | ||
+ | * **ARO**: Annualized Rate of Occurence | ||
+ | |||
+ | ALE = SLE x ARO | ||
+ | </box> | ||
+ | |||
+ | <box 90% blue|Business Process Analysis (BPA)> | ||
+ | * Širší pojetí rizik, nejen IT. | ||
+ | * výstup: | ||
+ | * mapa procesů a jejich popisy | ||
+ | * tabulka rizik a kontrol (kvalitativně) | ||
+ | * doporučení | ||
+ | </box> | ||
+ | |||
+ | <box 90% blue|CRAMM> | ||
+ | * 1985 – Vláda UK – Risk Analysis and Management Method | ||
+ | * Strukturovaný přístup ve třech fázích: | ||
+ | * Identifikace a ocenění hodnot. | ||
+ | * Odhad hrozeb a zranitelností hodnot. | ||
+ | * Výběr vhodných protiopatření. | ||
+ | * Analýza vcelku složitá, používá se zvláštní software a je zde velká časová náročnost, potřeba školených specialistů. | ||
+ | </box> | ||
+ | |||
+ | |||
+ | <box 90% red|Klasifikace útnočníků> | ||
+ | * **Třída 0 (script kiddies)** | ||
+ | * útočníci bez dostatku znalostí o systému | ||
+ | * využití běžně dostupného vybavení | ||
+ | * metoda pokus-omyl | ||
+ | * **Třída 1 (chytří nezasvěcení útočníci)** | ||
+ | * inteligentní útočníci bez dostatku znalosti o systému | ||
+ | * využití cenově běžně dostupného vybavení | ||
+ | * obvykle útoky na známé bezpečnostní slabiny | ||
+ | * **Třída 1.5** | ||
+ | * inteligentní útočníci se základními znalostmi o systému | ||
+ | * využití cenově dostupných zařízení | ||
+ | * např. univerzitní laboratoře | ||
+ | * **Třída 2 (zasvěcení insideři** | ||
+ | * zkušení jedinci nebo týmy s technickými vědomostmi o systému | ||
+ | * využití sofistikovaného vybavení | ||
+ | * **Třída 3 (majetné organizace)** | ||
+ | * kvalifikované týmy | ||
+ | * využití běžně nedostupného vybavení | ||
+ | * možnost provádění detailní analýzy systému a návrh komplexních útoků | ||
+ | * př. vládní organizace (např. NSA) | ||
+ | </box> | ||
+ | |||
+ | |||
+ | == 2. Zvládání rizik == | ||
+ | |||
+ | * Řešíme, zda použít: | ||
+ | * preventivní řešení | ||
+ | * nápravná řešení | ||
+ | * případně akceptovat riziko, nebo se pouze pojistit | ||
+ | |||
+ | |||
+ | === Zajištění bezpečnosti === | ||
+ | |||
+ | |||
+ | * Zajištění bezpečnosti je proces, nikoliv stav či cíl. | ||
+ | |||
+ | |||
+ | * **Bezpečnostní opatření**: omezují rizika | ||
+ | * odstranění není možné nebo dostupné | ||
+ | * **Bezpečnostní mechanizmy**: implementace bezpečnostních opatření | ||
+ | * **Bezpečnostní politika**: specifikace způsobu uplatňování bezpečnostních opatření. | ||
+ | * CO a JAK mají opatření dosáhnout | ||
+ | * Zahrnuje požadavky, pravidla a postupy, určující způsob ochrany a zacházení s ochraňovanými hodnotami. | ||
+ | |||
+ | |||
+ | |||
+ | == Specifikace bezpečnostní politiky a architektury == | ||
+ | |||
+ | * Co a jak mají dosáhnout ochranná opatření. | ||
+ | * Cíl – minimalizace (kontrola) rizik. | ||
+ | * Strategie – jak dosáhnout cíle – použití bezpečnostních funkcí | ||
+ | * Zahrnuje požadavky, pravidla a postupy, určující způsob ochrany a zacházení s ochraňovanými hodnotami. | ||
+ | * Většinou psána normálním jazykem, lze ale použít i nějaký druh formalismu. | ||
+ | |||
+ | * **Celková bezpečnostní politika** | ||
+ | * Určitá míra nezávislosti na použitých IT. | ||
+ | * Citlivá data, zodpovědnosti, základ infrastruktury. | ||
+ | * Horizont nad 5 let. | ||
+ | * **Systémová bezpečnostní politika** | ||
+ | * Zohledňuje použité IT, konkretizace CBP. | ||
+ | * Horizont obvykle cca 2-3 roky. | ||
+ | * Další specifické politiky: provozní, personální, intranetová,... | ||
+ | |||
+ | |||
+ | ==== Politika informační bezpečnosti ==== | ||
+ | |||
+ | * **ITSP = IT Security Policy** | ||
+ | * Zavedena obvykle v přirozeném jazyce. | ||
+ | * Horizont cca 5-10 let. | ||
+ | * ochrana **informačních aktiv** | ||
+ | |||
+ | |||
+ | <box 90% red|Informační bezpečnost> | ||
+ | Soubor technologií, standardů, politik a manažerských praktik pro zajištění bezpečnosti informací. | ||
+ | |||
+ | Informace je bezpečná, pokud je: | ||
+ | * přístupná pouze oprávněným subjektům | ||
+ | * modifikovatelná pouze oprávněnými subjekty a | ||
+ | * do stanovené doby dostupná oprávněným subjektům | ||
+ | |||
+ | = je zajištěna: | ||
+ | * důvěrnost | ||
+ | * integrita | ||
+ | * dostupnost | ||
+ | </box> | ||
+ | |||
+ | |||
+ | * Obsahuje: | ||
+ | * hodnocení rizik | ||
+ | * cíle opatření | ||
+ | * prohlášení o aplikovatelnosti (specifikace vhodných opatření) | ||
+ | * klasifikace informací | ||
+ | * plán zachování kontinuity | ||
+ | |||
+ | <box 90% red|BP systému zpracování informací> | ||
+ | * zúžení ITSP | ||
+ | * definována normou ISO/IEC 27000 | ||
+ | * plán zvládání rizik | ||
+ | * určuje způsob zabezpečení dat v dané organizaci | ||
+ | </box> | ||
+ | |||
+ | ==== Systém řízení informační bezpečnosti ==== | ||
+ | |||
+ | = (Information Security Management System) ISMS je systém procesů zaměřený na přístup organizace k Rizikům a musí být „šitý“ na míru konkrétní organizaci. | ||
+ | |||
+ | |||
+ | <box 90% red|Řízení informační bezpečnosti> | ||
+ | Proces posuzování každého z informačních aktiv organizace a potřebné průběžné zajišťování jejich ochrany. | ||
+ | </box> | ||
+ | |||
+ | * nadřazené, nebo součástí ITSP | ||
+ | * předpoklady ISMS: | ||
+ | * vypracovaná BP | ||
+ | * management prosazuje BP na všech úrovních | ||
+ | * je implementován měřící systém | ||
+ | |||
+ | * role v rámci ISMS: | ||
+ | * Nejvyšší management | ||
+ | * Výkonný ředitel | ||
+ | * Řídící výbor (bezpečnosti informací) | ||
+ | * posuzování a schvalování BP | ||
+ | * kontrola činnosti ISMS | ||
+ | * Bezpečnostní architekt | ||
+ | * CISO Chief of Information Security Officer | ||
+ | * lokální administrátoři systémů | ||
+ | |||
+ | * normy: | ||
+ | * ISO/IEC 27002: praktiky/tipy pro řízení informační bezpečnosti | ||
+ | * ISO/IEC 27001: udává, jak navrhnout a vytvořit ISMS | ||
+ | |||
+ | * dokumentace ISMS má 4 části: | ||
+ | * dokumentácia politiky | ||
+ | * dokumentácia procedúry | ||
+ | * pracovní instrukce | ||
+ | * správy/logy | ||
+ | |||
+ | ==== Hodnocení úrovně informační bezpečnosti ==== | ||
+ | |||
+ | Hodnocení bezpečnosti se provádí, aby se zjistila dosažená úroveň bezpečnosti. | ||
+ | |||
+ | === Common Criteria (Společná kriteria) === | ||
+ | |||
+ | * Definuje framework, který umožňuje, aby: | ||
+ | * uživatel specifikoval požadavky na bezpečnost produktu | ||
+ | * výrobce specifikoval vlastnosit produktu | ||
+ | * nezávislý hodnotitel posoudil, zda výrobek odpovídá požadavkům | ||
+ | * následně vydá certifikát | ||
+ | * certifikační autority: **vládní agentury** nebo **licencované komerční organizace** | ||
+ | |||
+ | * **Předmět hodnocení (Target of Evaluation, TOE)** | ||
+ | * produkt nebo systém (nebo jeho část), který je předmětem hodnocení | ||
+ | * **Specifikace bezpečnosti (Security Target, ST)** | ||
+ | * cílová kombinace komponent spojených s konkrétním produktem nebo systémem | ||
+ | * **Profil bezpečnosti (Protection Profile, PP)** | ||
+ | * implementačně nezávislá skupina bezpečn. požadavků určité skupiny TOE | ||
+ | |||
+ | * ➕ usnadnění nasazení a používání bezpečnostních systémů (jednodušší srovnání) | ||
+ | * ➕ usnadnění specifikace požadavků | ||
+ | * ➕ ujasnění požadavků na návrh a vývoj | ||
+ | * ➖ jakákoliv změna TOE znehodnotí/anuluje hodnocení | ||
+ | * ➖ uživatel musí správně porozumět zárukám produktu | ||
+ | |||
+ | * Metody hodnocení: | ||
+ | * **Investigativní** | ||
+ | * produktově/systémově orientováno | ||
+ | * ➖ těžko opakovatelné (individuální pro každý produkt) | ||
+ | * **Auditní** | ||
+ | * procesně orientovaný | ||
+ | * ➖ pro koncového uživatele méně přímosné | ||
+ | |||
+ | |||
+ | * **Evaluation Assurance Level (EAL)**: | ||
+ | * EAL0 - Nevyhovující | ||
+ | * EAL1 - Funkčně otestovaný TOE | ||
+ | * EAL2 - Strukturovaně otestovaný TOE | ||
+ | * EAL3 - Metodicky testovaný a kontrolovaný TOE | ||
+ | * EAL4 - Metodicky navržený, testovaný a přezkoumaný TOE | ||
+ | * EAL5 - Semiformálně navržený a testovaný TOE | ||
+ | * EAL6 - Semiformálně navržený se semiformálně ověřeným návrhem a testovaný TOE | ||
+ | * EAL7 - Formálně navržený s formálně ověřeným návrhem a testovaný TOE | ||
+ | |||
+ | === OWASP === | ||
+ | |||
+ | = The Open Web Application Security Project | ||
+ | |||
+ | * nástroj pro měření úrovně bezpečnosti webových aplikací | ||
+ | * kritéria | ||
+ | * základní | ||
+ | * rozšiřující (zaručení vyšší stupně ochrany) | ||
+ | |||
+ | * Kategorie jednotlivých kriterií: | ||
+ | * **Vysoká záruka** | ||
+ | * dané bezpečnostní opatření byly prokázané manuální kontrolou zdrojového kódu aplikace | ||
+ | * **Střední záruka** | ||
+ | * dané bezpečnostní opatření byly prokázané manuální kontrolou funkcionality dané aplikace | ||
+ | * **Nízká záruka** | ||
+ | * dané bezpečnostní opatření byly prokázané automatizovaným testováním kódu nebo aplikace | ||
+ | * **Velmi nízká záruka** | ||
+ | * dané bezpečnostní opatření byly prokázané analýzou návrhu aplikace | ||
+ | * **Žádná** | ||
+ | * aplikace nebyla nijak analyzována | ||
+ | |||
+ | * Celá aplikace se pak ohodnotí podle toho jak kritéria vyhovují. | ||
+ | ===== Zdroje ===== | ||
+ | |||
+ | * slidy pv080 | ||
+ | * http://statnice.dqd.cz/mgr-szz:in-bit:7-bit | ||
+ | * http://statnice.dqd.cz/mgr-szz:in-ins:6-ins |