hledat
Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
|
mgr-szz:in-pos:9-pos [2019/06/19 21:20] lachmanfrantisek |
mgr-szz:in-pos:9-pos [2020/04/12 16:56] |
||
|---|---|---|---|
| Řádek 1: | Řádek 1: | ||
| - | ====== IN-POS 9. Informační bezpečnost ====== | ||
| - | ===== Zadání ===== | ||
| - | |||
| - | * Principy řízení bezpečnosti v organizaci, řízení rizik, | ||
| - | * politika informační bezpečnosti, | ||
| - | * systém řízení informační bezpečnosti, | ||
| - | * hodnocení úrovně informační bezpečnosti. | ||
| - | |||
| - | * PV080, PV017 | ||
| - | |||
| - | ===== Vypracování ===== | ||
| - | |||
| - | ==== Principy řízení bezpečnosti v organizaci ==== | ||
| - | |||
| - | <box 90% red|Bezpečnost (Security)> | ||
| - | Vlastnost prvku (např. IS), který je na určité úrovni chráněn proti ztrátám nebo také stav ochrany (na určité úrovni) proti ztrátám. | ||
| - | </box> | ||
| - | <box 90% red|Bezpečnost (Security)> | ||
| - | Ochránění proti úmyslným škodám na aktivech. | ||
| - | </box> | ||
| - | |||
| - | |||
| - | * **Aktiva**: data, zdroje,... (s hodnotou) | ||
| - | * **Zranitelnost** (systému) | ||
| - | * slabina využitelná ke způsobení škod/ztrát organizaci útokem | ||
| - | * s útočníkem vzniká **hrozba** | ||
| - | * **Útok**: realizace hrozby | ||
| - | * výsledek **úspěšných** nebo **neúspěšný** | ||
| - | * **Riziko**: pravděpodobnost útoku (uplatnění hrozby) | ||
| - | |||
| - | * Řízení bezpečnosti musí v organizaci fungovat jako součást celkového systému řízení organizace. | ||
| - | * Systém řízení bezpečnosti musí být přiměřený a šitý na míru konkrétní organizaci (politiky a procesy musí odrážet styl a kulturu organizace, přijaté politiky a procesy musí odrážet výsledky ohodnocení rizik). | ||
| - | * Technologie budování systému řízení bezpečnosti je definována standardy. | ||
| - | |||
| - | |||
| - | ==== Řízení rizik ==== | ||
| - | |||
| - | = minimalizace rizik | ||
| - | |||
| - | <note tip> | ||
| - | Generické principy pro řízení projektů. V kontextu informační bezpečnosti: | ||
| - | |||
| - | Identifikace potřeb organizace | ||
| - | * z pohledu zajištění informační bezpečnosti | ||
| - | * z pohledu vytvoření účinného (efektivního) ISMS | ||
| - | </note> | ||
| - | |||
| - | Procesy: | ||
| - | |||
| - | - **Ustanovení kontextu** | ||
| - | - **Ohodnocení rizik**: | ||
| - | * identifikace | ||
| - | * analýza (určení velikosti rizik) | ||
| - | * vyhodnocení rizik | ||
| - | - **Zvládání rizik**: výběr a implementace opatření snižujících rizika | ||
| - | - **Akceptace rizik**: rozhodování o přijatelnosti rizika | ||
| - | - **Informovanost o rizicích**: informování všech, kteří mohou být rizikem zasaženi | ||
| - | - **Monitorování a přezkoumávání rizik a procesu řízení rizik** | ||
| - | |||
| - | |||
| - | |||
| - | == 1. Analýza a vyhodnocení rizik == | ||
| - | |||
| - | * Zvážit, co všechno by mělo být chráněno. | ||
| - | * Vyhodnotit, jaké hrozby hrozí ochraňovaným hodnotám. | ||
| - | * na základě empirických poznatků o problémech, jiných útocích na podobné hodnoty | ||
| - | * Chybná analýza způsobí chybně navržená bezpečnostní opatření. | ||
| - | * Častěji spíše odhad rizik, než skutečná analýza. | ||
| - | |||
| - | |||
| - | * **kvantitativní** | ||
| - | * ➕ velmi srozumitelný výstup (nejčastěji v $$$) | ||
| - | * **kvalitativní** | ||
| - | * diskrétní stupnice (ne $$$) | ||
| - | * ➕ jednodušší, automatizovatelný postup | ||
| - | * ➖ méně srozumitelné výsledky | ||
| - | |||
| - | <box 90% blue|Annual Loss Expectancy (ALE)> | ||
| - | * **SLE**: Single Loss Exposure | ||
| - | * **ARO**: Annualized Rate of Occurence | ||
| - | |||
| - | ALE = SLE x ARO | ||
| - | </box> | ||
| - | |||
| - | <box 90% blue|Business Process Analysis (BPA)> | ||
| - | * Širší pojetí rizik, nejen IT. | ||
| - | * výstup: | ||
| - | * mapa procesů a jejich popisy | ||
| - | * tabulka rizik a kontrol (kvalitativně) | ||
| - | * doporučení | ||
| - | </box> | ||
| - | |||
| - | <box 90% blue|CRAMM> | ||
| - | * 1985 – Vláda UK – CCTA Risk Analysis and Management Method | ||
| - | * Strukturovaný přístup ve třech fázích: | ||
| - | * Identifikace a ocenění hodnot. | ||
| - | * Odhad hrozeb a zranitelností hodnot. | ||
| - | * Výběr vhodných protiopatření. | ||
| - | * Analýza vcelku složitá, používá se zvláštní software a je zde velká časová náročnost, potřeba školených specialistů. | ||
| - | </box> | ||
| - | |||
| - | |||
| - | <box 90% red|Klasifikace útnočníků> | ||
| - | * **Třída 0 (script kiddies)** | ||
| - | * útočníci bez dostatku znalostí o systému | ||
| - | * využití běžně dostupného vybavení | ||
| - | * metoda pokus-omyl | ||
| - | * **Třída 1 (chytří nezasvěcení útočníci)** | ||
| - | * inteligentní útočníci bez dostatku znalosti o systému | ||
| - | * využití cenově běžně dostupného vybavení | ||
| - | * obvykle útoky na známé bezpečnostní slabiny | ||
| - | * **Třída 1.5** | ||
| - | * inteligentní útočníci se základními znalostmi o systému | ||
| - | * využití cenově dostupných zařízení | ||
| - | * např. univerzitní laboratoře | ||
| - | * **Třída 2 (zasvěcení insideři** | ||
| - | * zkušení jedinci nebo týmy s technickými vědomostmi o systému | ||
| - | * využití sofistikovaného vybavení | ||
| - | * **Třída 3 (majetné organizace)** | ||
| - | * kvalifikované týmy | ||
| - | * využití běžně nedostupného vybavení | ||
| - | * možnost provádění detailní analýzy systému a návrh komplexních útoků | ||
| - | * př. vládní organizace (např. NSA) | ||
| - | </box> | ||
| - | |||
| - | |||
| - | == 2. Zvládání rizik == | ||
| - | |||
| - | * Řešíme, zda použít: | ||
| - | * preventivní řešení | ||
| - | * nápravná řešení | ||
| - | * případně akceptovat riziko, nebo se pouze pojistit | ||
| - | |||
| - | |||
| - | === Zajištění bezpečnosti === | ||
| - | |||
| - | |||
| - | * Zajištění bezpečnosti je proces, nikoliv stav či cíl. | ||
| - | |||
| - | |||
| - | * **Bezpečnostní opatření**: omezují rizika | ||
| - | * odstranění není možné nebo dostupné | ||
| - | * **Bezpečnostní mechanizmy**: implementace bezpečnostních opatření | ||
| - | * **Bezpečnostní politika**: specifikace způsobu uplatňování bezpečnostních opatření. | ||
| - | * CO a JAK mají opatření dosáhnout | ||
| - | * Zahrnuje požadavky, pravidla a postupy, určující způsob ochrany a zacházení s ochraňovanými hodnotami. | ||
| - | |||
| - | |||
| - | |||
| - | == Specifikace bezpečnostní politiky a architektury == | ||
| - | |||
| - | * Co a jak mají dosáhnout ochranná opatření. | ||
| - | * Cíl – minimalizace (kontrola) rizik. | ||
| - | * Strategie – jak dosáhnout cíle – použití bezpečnostních funkcí | ||
| - | * Zahrnuje požadavky, pravidla a postupy, určující způsob ochrany a zacházení s ochraňovanými hodnotami. | ||
| - | * Většinou psána normálním jazykem, lze ale použít i nějaký druh formalismu. | ||
| - | |||
| - | * **Celková bezpečnostní politika** | ||
| - | * Určitá míra nezávislosti na použitých IT. | ||
| - | * Citlivá data, zodpovědnosti, základ infrastruktury. | ||
| - | * Horizont nad 5 let. | ||
| - | * **Systémová bezpečnostní politika** | ||
| - | * Zohledňuje použité IT, konkretizace CBP. | ||
| - | * Horizont obvykle cca 2-3 roky. | ||
| - | * Další specifické politiky: provozní, personální, intranetová,... | ||
| - | |||
| - | |||
| - | |||
| - | ==== Politika informační bezpečnosti ==== | ||
| - | |||
| - | * **ITSP = IT Security Policy** | ||
| - | * = dokumentovaný souhrn bezpečnostních zásad, pravidel, směrnic, předpisů pro ochranu informačních aktiv. | ||
| - | |||
| - | * zavedena obvykle v přirozeném jazyce | ||
| - | * definuje: | ||
| - | * bezpečné používání IT v rámci organizace | ||
| - | * třídu (sílu) útočníků, vůči kterým se informace zabezpečují | ||
| - | * stanovuje: | ||
| - | * koncepci informační bezpečnosti v horizontu 5-10 let | ||
| - | * co jsou citlivá informační aktiva | ||
| - | * bezpečnostní infrastrukturu organizace z pohledu informační bezpečnosti | ||
| - | * obsahuje: | ||
| - | * hodnocení rizik | ||
| - | * cíle opatření | ||
| - | * prohlášení o aplikovatelnosti (specifikace vhodných opatření) | ||
| - | * klasifikace informací | ||
| - | * plán zachování kontinuity | ||
| - | * nezávislá na konkrétně použitých IT | ||
| - | |||
| - | * Vybrané bezpečnostní zásady: | ||
| - | * separace odpovědností | ||
| - | * dublování autorizace vysoce citlivých systémů | ||
| - | |||
| - | |||
| - | <box 90% red|Informační bezpečnost> | ||
| - | |||
| - | Soubor technologií, standardů, politik a manažerských praktik pro zajištění bezpečnosti informací. | ||
| - | |||
| - | Informace je bezpečná, pokud je: | ||
| - | * přístupná pouze oprávněným subjektům | ||
| - | * modifikovatelná pouze oprávněnými subjekty a | ||
| - | * do stanovené doby dostupná oprávněným subjektům | ||
| - | |||
| - | = je zajištěna: | ||
| - | * důvěrnost | ||
| - | * integrita | ||
| - | * dostupnost | ||
| - | </box> | ||
| - | |||
| - | |||
| - | |||
| - | <box 90% red|BP systému zpracování informací> | ||
| - | * zúžení ITSP | ||
| - | * definována normou ISO/IEC 27000 | ||
| - | * plán zvládání rizik | ||
| - | * určuje způsob zabezpečení dat v dané organizaci | ||
| - | </box> | ||
| - | |||
| - | ==== Systém řízení informační bezpečnosti ==== | ||
| - | |||
| - | = (Information Security Management System) ISMS je systém procesů zaměřený na přístup organizace k Rizikům a musí být „šitý“ na míru konkrétní organizaci. | ||
| - | |||
| - | <box 90% red|Řízení informační bezpečnosti> | ||
| - | Proces posuzování každého z informačních aktiv organizace a potřebné průběžné zajišťování jejich ochrany. | ||
| - | </box> | ||
| - | |||
| - | * součást systému procesů podporujících plnění cílů organizace | ||
| - | * podmnožina procesů pro řízení IT | ||
| - | * orientace na ochranu a zabezpečení informačních aktiv organizace | ||
| - | |||
| - | |||
| - | - systematické posuzování vlastností systémů, technologií a médií používaných pro informační aktiva | ||
| - | - odhadování nákladů vyvolaných narušením informační bezpečnosti | ||
| - | - vývoj a nasazování protiopatření vůči (známým) hrozbám | ||
| - | |||
| - | * Politika Informační Bezpečnosti -- co a proti čemu bránit | ||
| - | * Politika ISMS -- jak navrhovat, vyvíjet, provozovat a hodnot procesy plnící politiku Informační Bezpečnosti | ||
| - | |||
| - | |||
| - | * Bázová myšlenka: Plan-Do-Check-Act | ||
| - | |||
| - | |||
| - | * předpoklady ISMS: | ||
| - | * vypracovaná BP | ||
| - | * management prosazuje BP na všech úrovních | ||
| - | * je implementován měřící systém | ||
| - | |||
| - | * role v rámci ISMS: | ||
| - | * Nejvyšší management | ||
| - | * Výkonný ředitel | ||
| - | * Řídící výbor (bezpečnosti informací) | ||
| - | * posuzování a schvalování BP | ||
| - | * kontrola činnosti ISMS | ||
| - | * Bezpečnostní architekt | ||
| - | * CISO Chief of Information Security Officer | ||
| - | * lokální administrátoři systémů | ||
| - | |||
| - | * normy: | ||
| - | * ISO/IEC 27002: praktiky/tipy pro řízení informační bezpečnosti | ||
| - | * ISO/IEC 27001: udává, jak navrhnout a vytvořit ISMS | ||
| - | |||
| - | * dokumentace ISMS má 4 části: | ||
| - | * dokumentácia politiky | ||
| - | * dokumentácia procedúry | ||
| - | * pracovní instrukce | ||
| - | * správy/logy | ||
| - | |||
| - | ==== Hodnocení úrovně informační bezpečnosti ==== | ||
| - | |||
| - | Hodnocení bezpečnosti se provádí, aby se zjistila dosažená úroveň bezpečnosti. | ||
| - | |||
| - | === Common Criteria (Společná kriteria) === | ||
| - | |||
| - | * Definuje framework, který umožňuje, aby: | ||
| - | * uživatel specifikoval požadavky na bezpečnost produktu | ||
| - | * výrobce specifikoval vlastnosit produktu | ||
| - | * nezávislý hodnotitel posoudil, zda výrobek odpovídá požadavkům | ||
| - | * následně vydá certifikát | ||
| - | * certifikační autority: **vládní agentury** nebo **licencované komerční organizace** | ||
| - | |||
| - | * **Předmět hodnocení (Target of Evaluation, TOE)** | ||
| - | * produkt nebo systém (nebo jeho část), který je předmětem hodnocení | ||
| - | * **Specifikace bezpečnosti (Security Target, ST)** | ||
| - | * cílová kombinace komponent spojených s konkrétním produktem nebo systémem | ||
| - | * **Profil bezpečnosti (Protection Profile, PP)** | ||
| - | * implementačně nezávislá skupina bezpečn. požadavků určité skupiny TOE | ||
| - | |||
| - | * ➕ usnadnění nasazení a používání bezpečnostních systémů (jednodušší srovnání) | ||
| - | * ➕ usnadnění specifikace požadavků | ||
| - | * ➕ ujasnění požadavků na návrh a vývoj | ||
| - | * ➖ jakákoliv změna TOE znehodnotí/anuluje hodnocení | ||
| - | * ➖ uživatel musí správně porozumět zárukám produktu | ||
| - | |||
| - | * Metody hodnocení: | ||
| - | * **Investigativní** | ||
| - | * produktově/systémově orientováno | ||
| - | * ➖ těžko opakovatelné (individuální pro každý produkt) | ||
| - | * **Auditní** | ||
| - | * procesně orientovaný | ||
| - | * ➖ pro koncového uživatele méně přímosné | ||
| - | |||
| - | |||
| - | * **Evaluation Assurance Level (EAL)**: | ||
| - | * EAL0 - Nevyhovující | ||
| - | * EAL1 - Funkčně otestovaný TOE | ||
| - | * EAL2 - Strukturovaně otestovaný TOE | ||
| - | * EAL3 - Metodicky testovaný a kontrolovaný TOE | ||
| - | * EAL4 - Metodicky navržený, testovaný a přezkoumaný TOE | ||
| - | * EAL5 - Semiformálně navržený a testovaný TOE | ||
| - | * EAL6 - Semiformálně navržený se semiformálně ověřeným návrhem a testovaný TOE | ||
| - | * EAL7 - Formálně navržený s formálně ověřeným návrhem a testovaný TOE | ||
| - | |||
| - | === OWASP === | ||
| - | |||
| - | = The Open Web Application Security Project | ||
| - | |||
| - | * nástroj pro měření úrovně bezpečnosti webových aplikací | ||
| - | * kritéria | ||
| - | * základní | ||
| - | * rozšiřující (zaručení vyšší stupně ochrany) | ||
| - | |||
| - | * Kategorie jednotlivých kriterií: | ||
| - | * **Vysoká záruka** | ||
| - | * dané bezpečnostní opatření byly prokázané manuální kontrolou zdrojového kódu aplikace | ||
| - | * **Střední záruka** | ||
| - | * dané bezpečnostní opatření byly prokázané manuální kontrolou funkcionality dané aplikace | ||
| - | * **Nízká záruka** | ||
| - | * dané bezpečnostní opatření byly prokázané automatizovaným testováním kódu nebo aplikace | ||
| - | * **Velmi nízká záruka** | ||
| - | * dané bezpečnostní opatření byly prokázané analýzou návrhu aplikace | ||
| - | * **Žádná** | ||
| - | * aplikace nebyla nijak analyzována | ||
| - | |||
| - | * Celá aplikace se pak ohodnotí podle toho jak kritéria vyhovují. | ||
| - | |||
| - | === Bezpečnostní audit === | ||
| - | |||
| - | * Kontrola, zda byly bezpečnostní procedury definovány správně. | ||
| - | * Detekce neošetřených bezpečnostních děr, zranitelností nepokrytých adekvátními bezpečnostními opatřeními. | ||
| - | |||
| - | * Prováděn nezávislou autoritou. | ||
| - | |||
| - | ===== Zdroje ===== | ||
| - | |||
| - | * slidy pv080 | ||
| - | * http://statnice.dqd.cz/mgr-szz:in-bit:7-bit | ||
| - | * http://statnice.dqd.cz/mgr-szz:in-ins:6-ins | ||
