hledat
Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
|
mgr-szz:in-pos:9-pos [2019/06/10 16:59] lachmanfrantisek odkazy na obdobné otázky |
mgr-szz:in-pos:9-pos [2020/04/12 16:56] (aktuální) |
||
|---|---|---|---|
| Řádek 12: | Řádek 12: | ||
| ===== Vypracování ===== | ===== Vypracování ===== | ||
| - | viz: | + | ==== Principy řízení bezpečnosti v organizaci ==== |
| + | |||
| + | <box 90% red|Bezpečnost (Security)> | ||
| + | Vlastnost prvku (např. IS), který je na určité úrovni chráněn proti ztrátám nebo také stav ochrany (na určité úrovni) proti ztrátám. | ||
| + | </box> | ||
| + | <box 90% red|Bezpečnost (Security)> | ||
| + | Ochránění proti úmyslným škodám na aktivech. | ||
| + | </box> | ||
| + | |||
| + | |||
| + | * **Aktiva**: data, zdroje,... (s hodnotou) | ||
| + | * **Zranitelnost** (systému) | ||
| + | * slabina využitelná ke způsobení škod/ztrát organizaci útokem | ||
| + | * s útočníkem vzniká **hrozba** | ||
| + | * **Útok**: realizace hrozby | ||
| + | * výsledek **úspěšných** nebo **neúspěšný** | ||
| + | * **Riziko**: pravděpodobnost útoku (uplatnění hrozby) | ||
| + | |||
| + | * Řízení bezpečnosti musí v organizaci fungovat jako součást celkového systému řízení organizace. | ||
| + | * Systém řízení bezpečnosti musí být přiměřený a šitý na míru konkrétní organizaci (politiky a procesy musí odrážet styl a kulturu organizace, přijaté politiky a procesy musí odrážet výsledky ohodnocení rizik). | ||
| + | * Technologie budování systému řízení bezpečnosti je definována standardy. | ||
| + | |||
| + | |||
| + | ==== Řízení rizik ==== | ||
| + | |||
| + | = minimalizace rizik | ||
| + | |||
| + | <note tip> | ||
| + | Generické principy pro řízení projektů. V kontextu informační bezpečnosti: | ||
| + | |||
| + | Identifikace potřeb organizace | ||
| + | * z pohledu zajištění informační bezpečnosti | ||
| + | * z pohledu vytvoření účinného (efektivního) ISMS | ||
| + | </note> | ||
| + | |||
| + | Procesy: | ||
| + | |||
| + | - **Ustanovení kontextu** | ||
| + | - **Ohodnocení rizik**: | ||
| + | * identifikace | ||
| + | * analýza (určení velikosti rizik) | ||
| + | * vyhodnocení rizik | ||
| + | - **Zvládání rizik**: výběr a implementace opatření snižujících rizika | ||
| + | - **Akceptace rizik**: rozhodování o přijatelnosti rizika | ||
| + | - **Informovanost o rizicích**: informování všech, kteří mohou být rizikem zasaženi | ||
| + | - **Monitorování a přezkoumávání rizik a procesu řízení rizik** | ||
| + | |||
| + | |||
| + | |||
| + | == 1. Analýza a vyhodnocení rizik == | ||
| + | |||
| + | * Zvážit, co všechno by mělo být chráněno. | ||
| + | * Vyhodnotit, jaké hrozby hrozí ochraňovaným hodnotám. | ||
| + | * na základě empirických poznatků o problémech, jiných útocích na podobné hodnoty | ||
| + | * Chybná analýza způsobí chybně navržená bezpečnostní opatření. | ||
| + | * Častěji spíše odhad rizik, než skutečná analýza. | ||
| + | |||
| + | |||
| + | * **kvantitativní** | ||
| + | * ➕ velmi srozumitelný výstup (nejčastěji v $$$) | ||
| + | * **kvalitativní** | ||
| + | * diskrétní stupnice (ne $$$) | ||
| + | * ➕ jednodušší, automatizovatelný postup | ||
| + | * ➖ méně srozumitelné výsledky | ||
| + | |||
| + | <box 90% blue|Annual Loss Expectancy (ALE)> | ||
| + | * **SLE**: Single Loss Exposure | ||
| + | * **ARO**: Annualized Rate of Occurence | ||
| + | |||
| + | ALE = SLE x ARO | ||
| + | </box> | ||
| + | |||
| + | <box 90% blue|Business Process Analysis (BPA)> | ||
| + | * Širší pojetí rizik, nejen IT. | ||
| + | * výstup: | ||
| + | * mapa procesů a jejich popisy | ||
| + | * tabulka rizik a kontrol (kvalitativně) | ||
| + | * doporučení | ||
| + | </box> | ||
| + | |||
| + | <box 90% blue|CRAMM> | ||
| + | * 1985 – Vláda UK – CCTA Risk Analysis and Management Method | ||
| + | * Strukturovaný přístup ve třech fázích: | ||
| + | * Identifikace a ocenění hodnot. | ||
| + | * Odhad hrozeb a zranitelností hodnot. | ||
| + | * Výběr vhodných protiopatření. | ||
| + | * Analýza vcelku složitá, používá se zvláštní software a je zde velká časová náročnost, potřeba školených specialistů. | ||
| + | </box> | ||
| + | |||
| + | |||
| + | <box 90% red|Klasifikace útnočníků> | ||
| + | * **Třída 0 (script kiddies)** | ||
| + | * útočníci bez dostatku znalostí o systému | ||
| + | * využití běžně dostupného vybavení | ||
| + | * metoda pokus-omyl | ||
| + | * **Třída 1 (chytří nezasvěcení útočníci)** | ||
| + | * inteligentní útočníci bez dostatku znalosti o systému | ||
| + | * využití cenově běžně dostupného vybavení | ||
| + | * obvykle útoky na známé bezpečnostní slabiny | ||
| + | * **Třída 1.5** | ||
| + | * inteligentní útočníci se základními znalostmi o systému | ||
| + | * využití cenově dostupných zařízení | ||
| + | * např. univerzitní laboratoře | ||
| + | * **Třída 2 (zasvěcení insideři** | ||
| + | * zkušení jedinci nebo týmy s technickými vědomostmi o systému | ||
| + | * využití sofistikovaného vybavení | ||
| + | * **Třída 3 (majetné organizace)** | ||
| + | * kvalifikované týmy | ||
| + | * využití běžně nedostupného vybavení | ||
| + | * možnost provádění detailní analýzy systému a návrh komplexních útoků | ||
| + | * př. vládní organizace (např. NSA) | ||
| + | </box> | ||
| + | |||
| + | |||
| + | == 2. Zvládání rizik == | ||
| + | |||
| + | * Řešíme, zda použít: | ||
| + | * preventivní řešení | ||
| + | * nápravná řešení | ||
| + | * případně akceptovat riziko, nebo se pouze pojistit | ||
| + | |||
| + | |||
| + | === Zajištění bezpečnosti === | ||
| + | |||
| + | |||
| + | * Zajištění bezpečnosti je proces, nikoliv stav či cíl. | ||
| + | |||
| + | |||
| + | * **Bezpečnostní opatření**: omezují rizika | ||
| + | * odstranění není možné nebo dostupné | ||
| + | * **Bezpečnostní mechanizmy**: implementace bezpečnostních opatření | ||
| + | * **Bezpečnostní politika**: specifikace způsobu uplatňování bezpečnostních opatření. | ||
| + | * CO a JAK mají opatření dosáhnout | ||
| + | * Zahrnuje požadavky, pravidla a postupy, určující způsob ochrany a zacházení s ochraňovanými hodnotami. | ||
| + | |||
| + | |||
| + | |||
| + | == Specifikace bezpečnostní politiky a architektury == | ||
| + | |||
| + | * Co a jak mají dosáhnout ochranná opatření. | ||
| + | * Cíl – minimalizace (kontrola) rizik. | ||
| + | * Strategie – jak dosáhnout cíle – použití bezpečnostních funkcí | ||
| + | * Zahrnuje požadavky, pravidla a postupy, určující způsob ochrany a zacházení s ochraňovanými hodnotami. | ||
| + | * Většinou psána normálním jazykem, lze ale použít i nějaký druh formalismu. | ||
| + | |||
| + | * **Celková bezpečnostní politika** | ||
| + | * Určitá míra nezávislosti na použitých IT. | ||
| + | * Citlivá data, zodpovědnosti, základ infrastruktury. | ||
| + | * Horizont nad 5 let. | ||
| + | * **Systémová bezpečnostní politika** | ||
| + | * Zohledňuje použité IT, konkretizace CBP. | ||
| + | * Horizont obvykle cca 2-3 roky. | ||
| + | * Další specifické politiky: provozní, personální, intranetová,... | ||
| + | |||
| + | |||
| + | |||
| + | ==== Politika informační bezpečnosti ==== | ||
| + | |||
| + | * **ITSP = IT Security Policy** | ||
| + | * = dokumentovaný souhrn bezpečnostních zásad, pravidel, směrnic, předpisů pro ochranu informačních aktiv. | ||
| + | |||
| + | * zavedena obvykle v přirozeném jazyce | ||
| + | * definuje: | ||
| + | * bezpečné používání IT v rámci organizace | ||
| + | * třídu (sílu) útočníků, vůči kterým se informace zabezpečují | ||
| + | * stanovuje: | ||
| + | * koncepci informační bezpečnosti v horizontu 5-10 let | ||
| + | * co jsou citlivá informační aktiva | ||
| + | * bezpečnostní infrastrukturu organizace z pohledu informační bezpečnosti | ||
| + | * obsahuje: | ||
| + | * hodnocení rizik | ||
| + | * cíle opatření | ||
| + | * prohlášení o aplikovatelnosti (specifikace vhodných opatření) | ||
| + | * klasifikace informací | ||
| + | * plán zachování kontinuity | ||
| + | * nezávislá na konkrétně použitých IT | ||
| + | |||
| + | * Vybrané bezpečnostní zásady: | ||
| + | * separace odpovědností | ||
| + | * dublování autorizace vysoce citlivých systémů | ||
| + | |||
| + | |||
| + | <box 90% red|Informační bezpečnost> | ||
| + | |||
| + | Soubor technologií, standardů, politik a manažerských praktik pro zajištění bezpečnosti informací. | ||
| + | |||
| + | Informace je bezpečná, pokud je: | ||
| + | * přístupná pouze oprávněným subjektům | ||
| + | * modifikovatelná pouze oprávněnými subjekty a | ||
| + | * do stanovené doby dostupná oprávněným subjektům | ||
| + | |||
| + | = je zajištěna: | ||
| + | * důvěrnost | ||
| + | * integrita | ||
| + | * dostupnost | ||
| + | </box> | ||
| + | |||
| + | |||
| + | |||
| + | <box 90% red|BP systému zpracování informací> | ||
| + | * zúžení ITSP | ||
| + | * definována normou ISO/IEC 27000 | ||
| + | * plán zvládání rizik | ||
| + | * určuje způsob zabezpečení dat v dané organizaci | ||
| + | </box> | ||
| + | |||
| + | ==== Systém řízení informační bezpečnosti ==== | ||
| + | |||
| + | = (Information Security Management System) ISMS je systém procesů zaměřený na přístup organizace k Rizikům a musí být „šitý“ na míru konkrétní organizaci. | ||
| + | |||
| + | <box 90% red|Řízení informační bezpečnosti> | ||
| + | Proces posuzování každého z informačních aktiv organizace a potřebné průběžné zajišťování jejich ochrany. | ||
| + | </box> | ||
| + | |||
| + | * součást systému procesů podporujících plnění cílů organizace | ||
| + | * podmnožina procesů pro řízení IT | ||
| + | * orientace na ochranu a zabezpečení informačních aktiv organizace | ||
| + | |||
| + | |||
| + | - systematické posuzování vlastností systémů, technologií a médií používaných pro informační aktiva | ||
| + | - odhadování nákladů vyvolaných narušením informační bezpečnosti | ||
| + | - vývoj a nasazování protiopatření vůči (známým) hrozbám | ||
| + | |||
| + | * Politika Informační Bezpečnosti -- co a proti čemu bránit | ||
| + | * Politika ISMS -- jak navrhovat, vyvíjet, provozovat a hodnotit procesy plnící politiku Informační Bezpečnosti | ||
| + | |||
| + | |||
| + | * Bázová myšlenka: Plan-Do-Check-Act | ||
| + | |||
| + | |||
| + | * předpoklady ISMS: | ||
| + | * vypracovaná BP | ||
| + | * management prosazuje BP na všech úrovních | ||
| + | * je implementován měřící systém | ||
| + | |||
| + | * role v rámci ISMS: | ||
| + | * Nejvyšší management | ||
| + | * Výkonný ředitel | ||
| + | * Řídící výbor (bezpečnosti informací) | ||
| + | * posuzování a schvalování BP | ||
| + | * kontrola činnosti ISMS | ||
| + | * Bezpečnostní architekt | ||
| + | * CISO Chief of Information Security Officer | ||
| + | * lokální administrátoři systémů | ||
| + | |||
| + | * normy: | ||
| + | * ISO/IEC 27002: praktiky/tipy pro řízení informační bezpečnosti | ||
| + | * ISO/IEC 27001: udává, jak navrhnout a vytvořit ISMS | ||
| + | |||
| + | * dokumentace ISMS má 4 části: | ||
| + | * dokumentácia politiky | ||
| + | * dokumentácia procedúry | ||
| + | * pracovní instrukce | ||
| + | * správy/logy | ||
| + | |||
| + | ==== Hodnocení úrovně informační bezpečnosti ==== | ||
| + | |||
| + | Hodnocení bezpečnosti se provádí, aby se zjistila dosažená úroveň bezpečnosti. | ||
| + | |||
| + | === Common Criteria (Společná kriteria) === | ||
| + | |||
| + | * Definuje framework, který umožňuje, aby: | ||
| + | * uživatel specifikoval požadavky na bezpečnost produktu | ||
| + | * výrobce specifikoval vlastnosit produktu | ||
| + | * nezávislý hodnotitel posoudil, zda výrobek odpovídá požadavkům | ||
| + | * následně vydá certifikát | ||
| + | * certifikační autority: **vládní agentury** nebo **licencované komerční organizace** | ||
| + | |||
| + | * **Předmět hodnocení (Target of Evaluation, TOE)** | ||
| + | * produkt nebo systém (nebo jeho část), který je předmětem hodnocení | ||
| + | * **Specifikace bezpečnosti (Security Target, ST)** | ||
| + | * cílová kombinace komponent spojených s konkrétním produktem nebo systémem | ||
| + | * **Profil bezpečnosti (Protection Profile, PP)** | ||
| + | * implementačně nezávislá skupina bezpečn. požadavků určité skupiny TOE | ||
| + | |||
| + | * ➕ usnadnění nasazení a používání bezpečnostních systémů (jednodušší srovnání) | ||
| + | * ➕ usnadnění specifikace požadavků | ||
| + | * ➕ ujasnění požadavků na návrh a vývoj | ||
| + | * ➖ jakákoliv změna TOE znehodnotí/anuluje hodnocení | ||
| + | * ➖ uživatel musí správně porozumět zárukám produktu | ||
| + | |||
| + | * Metody hodnocení: | ||
| + | * **Investigativní** | ||
| + | * produktově/systémově orientováno | ||
| + | * ➖ těžko opakovatelné (individuální pro každý produkt) | ||
| + | * **Auditní** | ||
| + | * procesně orientovaný | ||
| + | * ➖ pro koncového uživatele méně přímosné | ||
| + | |||
| + | |||
| + | * **Evaluation Assurance Level (EAL)**: | ||
| + | * EAL0 - Nevyhovující | ||
| + | * EAL1 - Funkčně otestovaný TOE | ||
| + | * EAL2 - Strukturovaně otestovaný TOE | ||
| + | * EAL3 - Metodicky testovaný a kontrolovaný TOE | ||
| + | * EAL4 - Metodicky navržený, testovaný a přezkoumaný TOE | ||
| + | * EAL5 - Semiformálně navržený a testovaný TOE | ||
| + | * EAL6 - Semiformálně navržený se semiformálně ověřeným návrhem a testovaný TOE | ||
| + | * EAL7 - Formálně navržený s formálně ověřeným návrhem a testovaný TOE | ||
| + | |||
| + | === OWASP === | ||
| + | |||
| + | = The Open Web Application Security Project | ||
| + | |||
| + | * nástroj pro měření úrovně bezpečnosti webových aplikací | ||
| + | * kritéria | ||
| + | * základní | ||
| + | * rozšiřující (zaručení vyšší stupně ochrany) | ||
| + | |||
| + | * Kategorie jednotlivých kriterií: | ||
| + | * **Vysoká záruka** | ||
| + | * dané bezpečnostní opatření byly prokázané manuální kontrolou zdrojového kódu aplikace | ||
| + | * **Střední záruka** | ||
| + | * dané bezpečnostní opatření byly prokázané manuální kontrolou funkcionality dané aplikace | ||
| + | * **Nízká záruka** | ||
| + | * dané bezpečnostní opatření byly prokázané automatizovaným testováním kódu nebo aplikace | ||
| + | * **Velmi nízká záruka** | ||
| + | * dané bezpečnostní opatření byly prokázané analýzou návrhu aplikace | ||
| + | * **Žádná** | ||
| + | * aplikace nebyla nijak analyzována | ||
| + | |||
| + | * Celá aplikace se pak ohodnotí podle toho jak kritéria vyhovují. | ||
| + | |||
| + | === Bezpečnostní audit === | ||
| + | |||
| + | * Kontrola, zda byly bezpečnostní procedury definovány správně. | ||
| + | * Detekce neošetřených bezpečnostních děr, zranitelností nepokrytých adekvátními bezpečnostními opatřeními. | ||
| + | |||
| + | * Prováděn nezávislou autoritou. | ||
| + | |||
| + | ===== Zdroje ===== | ||
| + | |||
| + | * slidy pv080 | ||
| * http://statnice.dqd.cz/mgr-szz:in-bit:7-bit | * http://statnice.dqd.cz/mgr-szz:in-bit:7-bit | ||
| * http://statnice.dqd.cz/mgr-szz:in-ins:6-ins | * http://statnice.dqd.cz/mgr-szz:in-ins:6-ins | ||
