Bezpe nostní audit e-business ení

Vysoká kola ekonomická v Praze Fakulta informatiky a statistiky Katedra informa ních technologií

Student

: Veronika torková

Vedoucí bakalá ské práce

: Ing. Jan Karas

Recenzent bakalá ské práce

: Ing. Jind ich Hlavá

TÉMA BAKALÁ SKÉ PRÁCE

Bezpe nostní audit e-business

ení

rok : 2004


ení

Prohlá ení

Prohla uji, e jsem bakalá skou práci na téma „Bezpe nostní audit e-business ení“ vypracovala samostatn a pou ila jen pramen , které cituji a uvádím v seznamu literatury.

V Praze 29.4.2004

…...………………….. podpis

2


ení

Cht la bych touto cestou pod kovat vedoucímu práce Ing. Janu Karasovi za cenné rady a podporu.

3


ení

1 ABSTRAKT Tato studie se zabývá bezpe nostním auditem e-business ení. Jejím cílem je uvést tená e do tohoto komplexního tématu.Téma je postupn p edstavováno ve ty ech hlavních vzájemn souvisejících ástech, kterými jsou: význam bezpe nosti pro e-business ení, analýza rizik a bezpe nostní audit, automatizované nástroje bezpe nostního auditu, mezinárodní standardy pro informa ní bezpe nost a výb r z eské legislativy vztahující se k informa ní bezpe nosti. Úvodní kapitola p edstavuje pojetí e-business, základní komponenty e-business ení a význam bezpe nosti v prost edí elektronického podnikání. Následuje bezpe nostní audit, který se skládá ze dvou hlavních ástí. První je analýza rizik, která poskytuje vstupní informace pro uskute ní bezpe nostního auditu, p edev ím po adovaný rozsah v jakém má být bezpe nostní audit proveden. Audit sám o sob je pojat v této studii jako jednorázový audit, který provede d kladné zhodnocení úrovn zabezpe ení v organizaci, realizující e-business ení. Zvlá tní d raz le í na auditu web aplikací a server , proto e ten je pova ován autorkou za hlavní rozdíl mezi klasickým bezpe nostním auditem a bezpe nostním auditem e-business ení. Proto e bezpe nostní audit tohoto typu není myslitelný bez nasazení automatizovaných nástroj , v nuje se dal í kapitola stru nému p ehledu n kterých automatizovaných program . Software je len n podle základních komponent e-business ení, vymezených v úvodní kapitole studie. Záv re ná kapitola je nována p ehledu mezinárodních standard a eských právních norem, které souvisí s informa ní bezpe ností. D vodem výb ru je po adavek, e v pr hu auditu by m l také být prozkoumána shoda s t mito normami a standardy.

4


ení

2 ABSTRACT The purpose of this paper is to provide the introduction to a security audit conducted in the specific environment of e-business solutions. The aim is to describe the complex view of such an issue as the security audit surely is. The guidance contained in this paper is organized into four main interconected chapters, gradually introducing the topic to a reader. These are: importance of e-business security, risk analysis and security audit itself, automated auditing tools, international standards and introduction into Czech law concerning the information security. Starting with the introduction of the e-business solution, e-business components and specific requirements for the security being ensured in this environment, it then continues with the security audit. The audit itself consists of two steps – the risk analysis, which is a fundamental starting point for a security audit because of providing a scope which should be taken by a security audit. The audit itself is then understood in this paper as a one-off audit which undertakes a thorough assessment of the security level in an enterprise conducting e-business solution. The special focus lies at the web-application and web-servers security because this is understood by the author to be the most important difference between a classic IT security audit and e-business security audit. As the security audit conducted in an e-business environment would not be possible without utilization of automated software tools, provides the following chapter a brief overview of auditing software. This is organized into areas corresponding with the fundamental e-business components, as introduced in the initial chapter. The international standards and national legislation compliance assessment is conducted within the security audit, therefore the elementary standards and Czech acts of law are introduced in the concluding chapter.

5


ení

3 OBSAH 1

Abstrakt .................................................................................................................................. 4

2

Abstract................................................................................................................................... 5

3

Obsah....................................................................................................................................... 6 3.1

Seznam tabulek................................................................................................................ 7

3.2

Seznam obrázk ............................................................................................................... 7

4

Úvod......................................................................................................................................... 8

5

E-business

6

5.1

Co je e-business

5.2

Komponenty e-business

5.3

Význam bezpe nosti v e-business ................................................................................. 14

ení................................................................................................... 10 ení ...................................................................................... 12

5.3.1

Základní po adavky bezpe nosti e-business

5.3.2

Nástroje bezpe nosti e-business ...................................................................................17

ení........................................................17

Bezpe nostní audit ............................................................................................................... 19 6.1

Analýza a ízení rizik..................................................................................................... 19

6.1.1

Metodiky pro analýzu a ízení rizik...............................................................................23

6.1.1.1

Metodika CRAMM..............................................................................................23

6.1.1.2

Dal í metodiky ....................................................................................................25

6.2

7

ení a význam e-bezpe nosti ......................................................................... 10

Bezpe nostní audit......................................................................................................... 26

6.2.1

Postup p i realizaci BA ................................................................................................28

6.2.2

Výstup BA ....................................................................................................................34

6.2.3

Bezpe nostní audit web aplikací a server ....................................................................35

Nástroje pro automatizovaný bezpe nostní audit............................................................. 39 7.1

Audit opera ních systém .............................................................................................. 39

7.1.1

AuditPro (MS Windows)...............................................................................................39

7.1.2

SMB Auditing Tool (NetBIOS)......................................................................................40

7.1.3

Sunbelt Network Security Inspector..............................................................................40

7.1.4

AuditPro (Unix) ...........................................................................................................41

7.2

Audit web server a aplikací ......................................................................................... 41

7.2.1

Nixu.............................................................................................................................41

7.2.2

IISSecurityAudit...........................................................................................................42

7.2.3

AppScann.....................................................................................................................43

7.3

Databázový audit ........................................................................................................... 44

7.3.1

ApexSQL Log...............................................................................................................44

7.3.2

Pervasive AuditMaster .................................................................................................44

7.3.3

AppDetectiveTM ............................................................................................................45

6

Bezpe nostní audit e-business 7.4

8

ení

Audit sít a komunika ních kanál ................................................................................ 46

7.4.1

Retina Network Scanner...............................................................................................46

7.4.2

SAINT Scanning Engine...............................................................................................46

Standardy a právní po adavky........................................................................................... 48 8.1

ISO/IEC 17799 Code of Practice for Information Security Management..................... 48

8.2

BS 7799 Information Security Management Standard .................................................. 49

8.3

ISO/IEC 15408 Common Criteria for IT Security Evaluation .................................... 50

8.4

ISO/IEC 13335 Guidelines for the Management of IT Security ................................... 52

8.5

eské právní normy vztahující se k informa ní bezpe nosti......................................... 52

8.5.1

Obecná právní úprava ochrany osob a obchodního tajemství .......................................53

8.5.2

Zákon .101/2000 Sb. o ochran osobních údaj ..........................................................53

8.5.3

Zákon .227/2000 Sb. o elektronickém podpisu.............................................................54

9

Záv r ..................................................................................................................................... 56

10

Literatura.............................................................................................................................. 57

11

Terminologický slovník ....................................................................................................... 60

12

ílohy ................................................................................................................................... 62

3.1 SEZNAM TABULEK Tab. 1 Po et nahlá ených bezpe nostních událostí........................................................................ 15 Tab. 2 Po et nahlá ených bezpe nostních nedostatk ................................................................... 16

3.2 SEZNAM OBRÁZK Obr. 1 Zapojení komponent e-business

ení ............................................................................... 12

Obr. 2 Postup analýzy a ízení rizik ............................................................................................... 20 Obr. 3 P íklad zaznamenání záv

z analýzy souladu s ISO/IEC 17799:2000 (CRAMM)......... 24

Obr. 4 Grafický výstup analýzy dopad na innost organizace ..................................................... 24 Obr. 5 Schéma zavád ní e-business

ení a vstup bezpe nostního auditu.................................... 27

Obr. 6 Jednotlivé kroky bezpe nostního auditu ............................................................................ 34

7


ení

4 ÚVOD Rozvoj Internetu nabral za posledních n kolik let a neuv itelné tempo. Kdo by si p ed pár lety edstavoval, e se tato komunika ní cesta a médium v jednom infiltruje zásadním zp sobem do ivota ka dého z nás. e se nap . v tehdej í dob v R dostane z univerzitních a výzkumných center do domácností, z drahé zále itosti pro firmy se stane tém automatický po adavek v ech ivatel kabelových televizí apod.Stejn jak Internet p il ot es splasknutí „dot-com“ ílenství na konci 90. let minulého století, stejn tak nyní elí nebezpe í, které zde bylo od doby vzniku prvních po íta ových systém a sítí, které ale narostlo stejn tak, jako se Internet roz il. Tím je internetová bezpe nost, spí by se cht lo íci nebezpe nost. Na e závislost na Internetu a technologickém rozvoji se stále zv uje. Nedostate nost zabezpe ení starých i nových technologií a zárove na e neznalost t chto hrozeb a jejich mo ných d sledk , které se u mnoho let projevují, nyní jen nabývají na objemu a mocnosti. asto jim nev nujeme dostate nou pozornost a tak se vytvá í ideální prost edí pro zasazení „smrtelného úderu“ - a z pouhé neznalosti nebo úmysln - jakémukoliv po íta ovému systému z libovolného místa na sv . Otázka, která se nabízí, je, komu by takový úder u kodil nejvíce? Firmám podnikajícím na Internetu, nám jako to jejich zákazník m a b ným u ivatel m, vládám, výzkumným a vzd lávacím centr m, armádám? Nebo spí e v em, kdo vyu ívají tuto komunika ní superdálnici? Odpov není jednoduchá a její hledání není prvoplánovým cílem této studie, by je touto situací významn ovlivn na. Zde se budeme zabývat zp soby ochrany firem a organizací podnikajících na Internetu v rámci tzv. B2B nebo B2C komerce p ed podobným ne ádoucím útokem na po íta ové systémy, které zaji ují jejich podnikatelskou innost. Roz ení, pom rn snadná, levná a zárove ve svém principu nebezpe ná implementace Internetu do podnikových aktivit umo nila mnoha firmám vstoupit na celosv tový, globální – tedy vzájemn propojený – trh. Zp sobem ochrany myslíme zaji ní bezpe nosti pomocí revize systém p ipojených do Internetu, které umo ují takový druh obchodní innosti. Revizí systému, tedy hloubkovou kontrolou, z hlediska bezpe nosti budeme rozum t bezpe nostní audit. V této studii se budeme novat p edev ím jednorázovému bezpe nostnímu auditu na jednom lánku celého systému tvo ícího e-business ení, tak jak je vymezen dále v textu. Systémový bezpe nostní audit, resp. ný bezpe nostní audit, zde chápeme jako integrální sou ást bezpe nostních opat ení uplat ovaných v organizaci, které poskytují data pro jednorázový bezpe nostní audit. tená jist chápe, e zde pojednáme o tématu komplexním, jen v sob zahrnuje mnoho oblastí s nimi se postupn seznámíme. Pro ujasn ní výchozí pozice si na za átku vymezíme, co chápeme v této studii, ale vlastn i obecn , co je vnímáno odbornou ve ejností, jako e-business ení. Jakou roli v n m hrají jednotlivé komponenty z hlediska technologického a jaká je úloha „ebezpe nosti“. Na tuto kapitolu navazuje analýza rizik, která identifikuje aktiva e-business vy adující ochranu. Pro kvalitní zabezpe ení je v dy nutné v t, co máme chránit, aby tato ochrana byla smysluplná a ne samoú elná. Analýza rizik nám proto osv tlí, jak zjistit, která aktiva vy adují ochranu, do jaké míry, jaká rizika mohou hrozit, kdo resp. co je p edstavuje a jak dále ke zji ným skute nostem p istupovat. Bezpe nostní audit, který následuje po analýze rizik, provede kontrolu nad získanými daty v souladu s technickými po adavky, s po adavky mezinárodních standard a právní úpravy zaji ování informa ní bezpe nosti. Zam íme se p edev ím na specifické stránky e-business ení, které dodávají prvek odli nosti od klasického bezpe nostního auditu informa ního systému. Audit sám o sob by byl nemyslitelný, z asových a technických d vod , bez nasazení automatizovaných auditních nástroj . Proto se následn zam íme na stru ný p ehled aplikací. Ty jsou schopny za pomoci srovnání se seznamy známých bezpe nostních nedostatk jednotlivých komponent e-business ení, p ípadn s vyu itím heuristických analýz a um lé inteligence, rychle a efektivn ov it a zkontrolovat úrove zabezpe ení a aktuálnost ochranných mechanism systému. Auditní nástroje jsou rozd leny do skupin podle jednotlivých ástí e-business ení. 8


ení

Záv re ná kapitola v novaná mezinárodním standard m vyzdvihuje význam jejich zapojení v pr hu auditu. Ty nabývají stále v í d le itosti, proto e standardy jsou vhodným nezávislým ítkem pro kontrolu souladu bezpe nostních politik a procedur, zavedených ve firm . Zárove dodávají po adovanou objektivitu celému bezpe nostnímu auditu, kdy auditor, resp. tým auditor , e op ít sv j záv re ný výrok nejen o své vlastní odborné znalosti, ale i o know-how expert z oboru, kte í se na p íprav standard podíleli. Legislativní po adavky si budeme demonstrovat na vybraných zákonech R, jmenovit na zákonu o ochran osobních údaj a zákonu o elektronickém podpisu. Mezi cíle této studie a hlavní p edpokládané p ínosy k danému tématu pat í: •

úvod do problematiky bezpe nostního auditu e-business

•

srovnání klasického bezpe nostního auditu a e-bezpe nostního auditu,

•

poskytnutí p ehledu n kterých d le itých mezinárodních standard a jejich zam ení,

•

stru ný vý et sou asných automatizovaných auditních nástroj , které mohou být vyu ity v pr hu bezpe nostního auditu.

ení v ir ích souvislostech,

9


5 E-BUSINESS

ení

ENÍ A VÝZNAM E-BEZPE NOSTI

E-business ení je pojmem sou asného obchodního sv ta sklo ovaným „ve v ech pádech“. Je prosazováno jak v pr myslových odv tvích, tak i v oblasti poskytování slu eb. E-business se prakticky stal synonymem pokrokového smý lení a správné tr ní orientace firemních management . Samoz ejm se nabízí otázka: Pro ? V sou asné dob se odhaduje, e tr by B2C se pohybují mezi 1% a 2 % celkových maloobchodní tr eb (v roce 2002 tvo ily ve Spojených státech finan ní p íjem ve vý i 93 mld. $, tedy se podílely na maloobchodu p ibli 1,5%1). Tedy mezi d vody zjevn pat í nap . dopln ní stávajících trh , mo nost zvý ení tr eb a tím i zisku, které podle p edpoklad mají velký potenciál k r stu, oslovení budoucích zákazník , které by bez Internetu bylo jen t ko realizovatelné, nenasycený trh, resp. trh dopl ující klasický prodej. Proto e firma, která neroste je odsouzena k zániku. Pro vedení firem tedy potenciální ínosy e-business ení zní jako „rajská hudba“. Jak velké jsou pak mo nosti B2B, které p edcházelo samotnému B2C? Podle odhad 2 byly v roce 2003 p inejmen ím desetkrát v í ne B2C. Z tohoto d vodu a dal ích, jako jsou: globálnost trhu, místa, kde i nevelké firmy mají anci na finan zajímavý úsp ch, p edpovídané úspory náklad atd., je ji n kolik let elektronický obchod atraktivní a p ímo vybízí k zamy lení, jestli má firma stat stranou a jen p ihlí et, a nebo se odvá vrhnout do sv ta obchodu, který tém nezná mezí. P esto e elektronický obchod, tak jak je dále vymezen (vým na informací, transakce a operace realizované pomocí po íta ových sítí a v elektronickém formátu), existuje v této podob ji tém ty icet let (na platform EDI), o samotném e-businessu se za alo hovo it a s masivním nasazováním Internetu jako to komunika ní platformy. Mo nosti globálního trhu, který e-business otevírá v em ú astník m, rostou s ka dým dnem, stejn tak se zvy uje dosah Internetu a po et jeho u ivatel . Internet zde hraje roli základního komunika ního média, jen svými pozitivy – roz eností a relativn nízkými implementa ními náklady – umo uje rychlé a p ijatelné propojení mezi obchodními partnery. Samoz ejm vyvstává na mysli my lenka o bezpe nosti e-business ení, postaveném na zapojení internetových technologií. Prvotním impulsem pro zkoumání bezpe nosti v rámci elektronického obchodu je toti vým na informací mezi objekty zapojenými do e-business ení. Implementace Internetu, jako komunika ní platformy, sebou p iná í rizika, stejn významná jako jsou pozitiva, o kterých se zmíníme v podkapitole Význam bezpe nosti v e-business.

5.1 CO JE E-BUSINESS

ENÍ

Pod pojem e-business je mo né obecn zahrnout jak p ímý obchod mezi firmami a kone nými spot ebiteli (B2C – Business-To-Consumer), tak mezi firmami samotnými (B2B – Business-ToBusiness), kdy zákazníky, resp. spot ebiteli produkt jsou firmy. Hlavní rozdíly mezi B2B a B2C lze nap . spat ovat v •

objemech nákup /prodej /transakcí,

•

finan ní hodnot t chto obchod nebo

•

pom rn pevn stanovených po adavcích na v asné doru ení, p esnost.

Dále v textu budeme pojem e-business pou ívat ve smyslu zast elektronický obchod.

1

[KOZ]

2

[LEE]

ujícího pojmu pro B2C a B2B

10


ení

Pokud chceme charakterizovat e-business, je vhodné pou ít vymezení pomocí aktivit, které pod tento pojem spadají. Mezi klí ové aktivity pat í: •

elektronická tr vertikální)

(z ízená prodejci, zprost edkovateli nebo nákup ími; horizontální a

o vznikla na základ stejné architektury pou ité pro B2C, ale mají jiný obsah (pr myslové zbo í, slu by firmám), o velké mno ství vertikálních e-tr (tak nazývaných burzy, proto e ve v ípad se obchod ú astní velké mno ství prodejc a kupujících),

in

o velké nákupní firmy budují svá vlastní e-tr , aby mohly manipulovat se svými nabídkami a mohly propojit nákupní proces se svými virtuáln internalizovanými e-tr ti; •

on-line podnikové aplikace (ERP systémy);

•

elektronické systémy pro ízení nákup o tyto systémy podporují management vnitrofiremních nákup a jejich integraci s externími e-tr ti;

•

vývoj a p echod od EDI platformy na Internet o zabezpe ené extranety jsou stále populárn náklady jsou podstatn ni í;

•

í – jejich implementa ní a provozní

systémy ízení dodavatelských et zc o hlavním d vodem pro spolupráci tohoto typu je sni ování kapacit, inventá efektivní sdílení informací mezi sp ízn nými stranami,

a

o velké maloobchodní firmy zp ístup ují dodavatel m své datové sklady p es privátní elektronické centrály/centra na Internetu, o umo ují dodávky zbo í/materiálu „práv v as“ (JIT – just-in-time); •

sdílené databáze a virtuální organizace o prodejci mohou s velkou p esností sledovat chování on-line zákazník a ukládat tyto informace do databází, o vzrostla popularita získávání informací z t chto databází pro ízení vztah se zákazníky, tzv. datamining. Takto získané informace umo ují snadn ji a rychleji identifikovat potenciální zákazníky, nákupní zvyklosti stávajících zákazníku a podle toho nap . upravit prodejní strategii;

•

obchod mezi agenty-kupci a agenty-prodejci (agent based commerce) o pro sní ení transak ního zatí ení mezi nákupními a prodejními agenty se stále zvy uje nasazení softwarových agent , které vedou k dal ímu vývojovému stupni elektronického obchodu;

3

•

integrace XML standard s EDI platformou a softwarovými agenty;

•

online katalogy zbo í a slu eb;

•

virtuální vzd lávání a kurzy atd.3.

[LEE]

11


ení

Souhrnn m eme e-business ení chápat jako technologické a aplika ní ení, které umo ní firm realizovat alespo jednu z vý e uvedených aktivit. P íkladem m e být propojení firemního ERP systému s externím nákupním systémem dodavatelské firmy pro zaji ní automatizovaných objednávek zbo í na sklad.

5.2 KOMPONENTY E-BUSINESS

ENÍ

Zavád ní a provozování e-business ení zahrnuje integraci aplikací p esahující hranice organizace/firmy, nap . mezi obchodními partnery, zp ístupn ní slu eb a produkt p es webové rozhraní pro koncové u ivatele a mnoho dal ího. Realizace slo itých obchodních proces pak vy aduje ucelenou integraci a spolupráci velkého po tu r zných aplikací4. Jednu z mo ností technologické podpory t chto aplikací a podnikových proces , zaji ovanou základními komponentami e-business ení, schématicky zobrazuje následující obrázek. Router Firma 2 LAN Firma 1 - LAN DMZ

PC 1

PC 2

PC n

Aplikacni server Databazovy server

Firewall Databaze

Web server

Internet

IDS Sun Solaris server

Windows server

Firewall

Firewall

DMZ

IDS

Web server

PC 1

PC 2

Databázový server

Aplikacni servery

PC n

Router

IDS Databáze

Linux server

Sun Solaris Server

Obr. 1 Zapojení komponent e-business

ení

Firma 1 p edstavuje malou a st ední firmu, která má e-business ení zapojené v rámci místní sít (LAN). Pro p ístup zam stnanc m k aplika nímu serveru a dále do databáze vyu ívá tzv. silné klienty (fat clients) nebo integra ní brokery. Celá sí se nachází v DMZ (DeMilitarized Zone), p ístup k e-business komponentám zven í prochází p es zabezpe ený firewall. Firma 2 je velkou firmou, která má celé e-business ení umíst né na r zných místech (nap . aby se zajistila stability systému p i výpadcích dodávky elektrického proudu) v DMZ (tj. webové a aplika ní servery, databázové servery, mail servery atd.). Komunikace mezi interní sítí LAN a DMZ se uskute uje p es bezpe nou firewall, stejn jako jsou p es firewall a router (logické nebo fyzické prvky sítí) sm rována ve kerá data, jak ven, tak i dovnit systému. 4

[FEU2]

12


ení

V rámci obou ení se vyskytuje systém detekce pr niku (IDS – Intrusion Detection System), který sleduje d ní v rámci systému (resp. subsystém ), zda-li nejsou poru ovaná nastavená pravidla a v p ípad zji ní neobvyklé aktivity doká e varovat správu systém . E-business

ení se skládá z

1) aplika ní architektury a 2) technické infrastruktury Technická architektura je asto základním faktorem determinujícím úsp ch nebo selhání ebusiness ení. B , p i návrhu e-business systému, se projektuje aplika ní architektura a technická infrastruktura s ohledem na po adavky na •

dostupnost,

•

robustnost/odolnost,

•

výkon,

•

bezpe nost,

•

transak ní integritu,

•

spolehlivost,

• •

kálovatelnost a otev enost systému.

Jimi se pak ídí výb r konkrétních ení. Revize jednotlivých prvk systému, které utvá ejí ebusiness ení, jsou sou ástí bezpe nostního auditu. Proto si zde popí eme podrobn ji základní komponenty a nej ast ji nasazovaná ení. Opera ní systém Výb r opera ního systému má významný vliv p i designu e-business OS toti ovlivní celou dal í aplika ní architekturu.

ení. Volba konkrétního

Z velkého mno ství dostupných OS, z nich mnohé mají vícemén marginální význam, jsou nej ast ji nasazované OS typu Unix/Linux nebo MS Windows, p íp. OS/400 od IBM . Jako reprezentanty OS typu Unix/Linux m eme uvést •

Unix – Sun Solaris, HP-UX, IBM AIX,

•

Linux – RedHat, Suse.

Webové a aplika ní servery Webové a aplika ní servery jsou jedním ze základních komunika ních prost edk firem se zákazníky – nap . informují, zprost edkují objednávky, dodávky produkt (pokud jde o zbo í a slu by v elektronické form ), elektronické platby a jejich prost ednictvím je zaji ována podpora zákazník . Web server je „tvá í“ e-business ení, tedy tím, co u ivatel vidí. Jeho úkolem je zprost edkovat enos dat mezi klientským browserem a aplika ním/databázovým serverem. Je vstupní bránou do celého systému, tedy padne-li pod p ímým útokem web server, je vysoká pravd podobnost, e se hacker dostane dál do systému bez v ích problém . Aplika ní server obsahuje aplikace, které zaji ují p íslu né slu by u ivatel m, je zde implementována business logika (nap . akceptace objednávek, realizace on-line plateb atd.), a na této úrovni se sestavuje prezenta ní vrstva, dále zobrazovaná web serverem. Poskytuje základní strukturu, která podporuje pot ebné technologie (J2EE, .NET). Zárove zaji uje komunika ní kanály pro integraci s interními systémy (nap . databázové servery). Pro u ivatele zdánliv 13

Bezpe nostní audit e-business neviditelná vrstva e-business ení, ale díky tomu, e obsahuje celou logiku roli p i zaji ování funk nosti systému.

ení

ení hraje velkou

Sou asn nasazované webové a aplika ní servery, tedy „2 v1“ ení, p edstavují dva servery ící na obou nejroz en ích platformách (Unix/Linux nebo MS Windows). Server Apache (v zných distribucích má podporu v ech hlavních OS – tedy Unix, Linux i Windows). Server IIS je pouze pro MS Windows. Jako reprezentanty si m eme uvést: •

Apache Tomcat, Oracle Application Server 9i, Sun One Application Server 7 (zam eno na EAI), WebSphere (IBM), BEA WebLogic, iPlanet (Sun) - v ude je frameworkem J2EE.

•

IIS v.6 – od verze 6 je hlavním frameworkem .NET.

Databázové servery Databáze jsou pam tí e-business – uchovávají data o zbo í, obchodních transakcích (nap . objednávkách, dodávkách a platbách), zákaznících (jejich nákupní historie), klientech (jim poskytovaných slu eb), zam stnancích firmy, obchodních partnerech (dodavatelé, odb ratelé) atd. Výb r vhodného databázové ení je dal ím faktorem ovliv ujícím výkon celého e-business ení – rychlost zpracování dotaz nad databází m e mít kritický význam p i volb konkrétního databázového systému. Producent je op t více, zde si uvedeme nejvýznamn í zástupce. •

Oracle, IBM DB2 (nejv

•

Informix, Sybase, SAP DB (st ední) - v e pro MS Windows i Unix,

•

MS SQL server (ve v ech kategoriích) - jen pro MS Windows.

í) – pro Unix i MS Windows,

Sít a komunika ní kanály Sít tvo í páte e-business ení, proto e zaji ují fyzický p enos dat. Krom samotných hardware prvk (jako jsou kabely, huby, switche atd.) zde hrají významnou roli logické prvky firewally, routery, proxy servery, brány (gateways). Tyto logické prvky se podstatn podílejí na zaji ování bezpe nosti, proto je kontrola sítí ned litelnou sou ástí kvalitního bezpe nostního auditu.

5.3 VÝZNAM BEZPE

NOSTI V E-BUSINESS

Vzr stající závislost na informacích, informa ních systémech a komunikacích, které doru ují tyto informace; rozsah a náklady sou asných stejn jako budoucích investic do informací; a potenciál technologií dramaticky m nit organizace a obchodní praktiky, vytvá í nové p íle itosti pro firmy a sni uje náklady5. V ude je ov em nutné brát v úvahu bezpe nost, resp. její dopad na zavád ná ení. Bezpe nost je nyní pokládána nejen za konkuren ní výhodu e-business ení, ale zárove je otázkou d ry obchodních partner a zákazník v danou firmu. Cílem informa ní bezpe nosti je ochrana zájm t ch, kte í se spoléhají na informace, a zabezpe ení informa ních systém a komunikací, které doru ují informace, p ed po kozením plynoucím ze selhání dostupnosti, utajení a integrity. Organizace proto musí ohodnotit rizika pro informa ní systém. Ta musí být uva ována v kontextu mo ných hrozeb pro organizaci, pravd podobnosti jejich uskute ní a dopad jejich realizace6. E-business nabízí nesmírné mo nosti, které má p ed sebou tém ka dá firma. Pokud se rozhodne pro pomyslnou cestu sv tem e-businessu, nesmí zapomenout, e krom nápadu, dob e naplánované cesty (firemní strategie a plánu), rozvr ení zdroj (plánování výrobních/pracovních 5

[DOU1]

6

[DOU1]

14


ení

zdroj ), pot ebuje i zaji ní co nejv ího mo ného a p itom efektivního stupn bezpe nosti. Pot ebuje mít velmi dobrou p edstavu o rizicích, která jí na cest hrozí a jejich d sledcích (plán ízení rizik) a také mít v záloze ení pro p ípad havárie (plán pro ení nouzových situací), ale edev ím dob e zpracované postupy, aby k bezpe nostním událostem, jak v d sledku vn ích, tak i vnit ních událostí nedocházelo (bezpe nostní politiku).7 Proto, kdykoliv mluvíme o e-business ení, je nutné uva ovat bezpe nost (transakcí, p enosu dat, komunikace, propojených IS atd.) jako základní kámen, prakticky jeden z nejd le it ích prvk , bez kterého není úsp ný e-business myslitelný. Pokud je bezpe nost ohro ena, v závislosti na intenzit ohro ení existuje pravd podobnost korelující s mírou rizika, e bude po kozeno dobré jméno firmy, b ný provoz nutný pro zaji ní chodu firmy, nebo existence podniku na trhu v bec. íve byla bezpe nost managementem firem asto vnímána jako vynucený náklad, který prodra oval celkový provoz firmy. Dnes je v inou prozíravých firem chápána jako neodmyslitelná sou ást ízení firmy, která m e zvý it ance na dosa ení úsp chu, dokonce m e znamenat i konkuren ní výhodu. Pro firmu, která vsadila na e-business ení, jsou informace, které si vym uje se svými obchodními partnery, zákazníky, orgány státní správy atd., jedním z nejd le it ích aktiv. Ty se spoléhají na bezpe nou vzájemnou komunikaci, která se zakládá na d e podlo ené spolehlivými komunika ními prost edky, bezpe nými komunika ními cestami, funk ními aplikacemi, zabezpe enými databázemi a zodpov dným jednáním zapojených ú astník ebusinessu. Jak jsme ji uvedli, práv proto e Internet je v sou asné dob nej ast ji vyu ívanou komunika ní platformou e-business ení, nelze bezpe nost IS a komunikaci p es Internet pova ovat za dostate zabezpe enou. Toto si m eme demostrovat na jednoduchém p íkladu: v okam iku, kdy je zpráva vyslána z relativního bezpe í firemní sít , je v základní form nechrán na a tedy odchytitelná a itelná ve v ech bodech, kterými prochází, ne dosáhne svého cíle. I v p ípad , e je chrán na nap . za ifrováním, není mo né zajistit, e nebude odchycena a e ifrovací algoritmus nebude prolomen a obsah zprávy zji n a zneu it proti firemním zájm m. V poslední dob se zárove z eteln ukazuje, e zatímco po et u ivatel p ipojených k Internetu nar stá, stejn jako slo itost technologií, pov domí u ivatel o bezpe nostních rizicích se zvy uje eobecn zanedbateln . Podle statistik CERT/CC nar stá po et bezpe nostních událostí od roku 1998 n kdy a o více jak sto procent ro . A p itom se zmi ují pouze o takových, které byly nahlá ené. Zajímavé je, e princip, na kterém drtivá v ina sou asných (a pravd podobn i budoucích) útok funguje, se p íli nem ní a vyu ívá stále stejných chybných krok u ivatel systém a systémových, aplika ních a bezpe nostních chyb, které nejsou dostate o et eny a as odstran ny. Následující tabulky shrnují n které údaje: Rok

1995

1996

1997

1998

1999

2000

2001

2002

2003

Po et

2.412

2.573

2.134

3.734

9.859

21.756

52.658

82.094

137.529

Tab. 1 Po et nahlá ených bezpe nostních událostí8

7

Jist není bez zajímavosti, e (podle odhadu Gartner Group) p vodci 70% bezpe nostních událostí, které bu zp sobí firm nep íjemnosti nebo dokonce finan ní ztráty, jsou vnit ní u ivatelé po íta ového systému, tedy nej ast ji zam stnanci firmy. 8

http://www.cert.org/stats/ - Number of incidents reported

15


ení

Rok

1995

1996

1997

1998

1999

2000

2001

2002

2003

Po et

171

345

311

262

417

1.090

2.437

4.129

3.784

Tab. 2 Po et nahlá ených bezpe nostních nedostatk

9

Pro je otázka bezpe nosti v e-business tak d le itá? Po adavek na zaji z principu samotných základních inností e-businessu:

ní bezpe nosti vyplývá

•

z efektivní vzájemné vým ny zpráv,

•

z realizace transakcí a operací,

•

ze vzdálených p ístup do databází a systém smluvn zavázaných t etích stran.

Z toho vyplývá, e bezpe nost je pro e-business nezbytn nutnou podmínkou dobrého chodu firmy. Za nejd le it í m eme pova ovat •

ochranu komunika ních cest,

•

zaji

•

ochranu p ijatých, zpracovaných a ulo ených informací,

•

chrán ný a odstín ný p ístup jen do ur itých ástí systému pro r zné skupiny u ivatel ,

•

autentizaci a autorizaci u ivatel oprávn ných pro vstup a práci v systému.

ní integrity zpráv a nepopiratelnosti u in ných transakcí/operací,

Podle Smejkala a Raise bezpe nost IS chápeme jako souhrn bezpe nosti automatizované i neautomatizované ásti IS. V této studii se zabýváme p evá automatizovanou ástí IS, pro úplnost uvedeme v echny slo ky bezpe nosti IS, jak je auto i zmi ují. Bezpe nost IS organizace sestává z následujících ástí:

9

•

personální bezpe nosti – jedná se o soubor opat ení, jeho cílem je, povolit p ístup k ur itým informacím a k nakládání s nimi pouze pov ené osob ; sou ástí by m la zárove ochrana této osoby,

•

administrativní bezpe nosti – jedná se o soubor opat ení, jeho cílem je ochrana t chto informací ji p i jejich tvorb , p íjmu, zpracování, evidenci, p eprav , ukládání, vy azování, skartaci a archivaci, p ípadn i jiné manipulaci,

•

objektové bezpe nosti – jedná se o soubor opat ení, jeho cílem je zabránit nepovolané osob v p ístupu do objekt nebo prostor, nebo zabránit po kození, znehodnocení, zni ení nebo ohro ení informací a systému,

•

hardwarové bezpe nosti – jedná se o soubor opat ení, která mají zabránit úmyslnému i neúmyslnému fyzickému po kození, zni ení nebo zcizení technických prost edk zaji ujících chod systému,

•

softwarové bezpe nosti – jedná se o soubor opat ení, která mají zabránit úmyslnému i neúmyslnému po kození, zni ení nebo zcizení softwarového vybavení (tj. programových prost edk ), které zaji uje funk nost systému,

•

datové bezpe nosti – jedná se o soubor opat ení, která mají zajistit integritu dat a chránit je p ed nepovolanými u ivateli,

http://www.cert.org/stats/ - Vulnerabilities reported

16

Bezpe nostní audit e-business •

ení

komunika ní bezpe nosti – jedná se o soubor opat ení, která mají zajistit ochranu komunika ních kanál (nejen cest do Internetu, ale i soukromých datových sítí (VPN), telefonních, faxových linek apod.)10.

Rozdíl mezi bezpe ností klasického IS a e-business bezpe ností je, e první z nich se zam uje na to, co je uvnit organizace a p edev ím na ochranu firemních aktiv – dat v maximální mo né mí e. Oproti tomu je cílem e-business bezpe nost navázat, vyu ívat a udr et kontakt s ostatními astníky trhu, samoz ejm v nejvý e bezpe né mí e, p es dostupné a zabezpe ené komunika ní prost edky. Otázkou, která se nabízí, je, kdy se má za ít o bezpe nosti uva ovat a z eho vycházet. Pokud chce firma obstát v náro ném konkuren ním prost edí a dostát svým povinnostem a závazk m, které jí vyplývají nap . ze zákona (firma nakládá s utajovanými skute nostmi), musí být bezpe nost (slovn formulována a vyjád ena v bezpe nostní politice) bezpodmíne sou ástí firemní strategie. Za výchozí bod, který m e být dobrým startem nastavení kvalitní bezpe nostní politiky, je vhodné a mezinárodními standardy doporu ované vyu ít analýzu rizik. Té se budeme novat v následující kapitole. 5.3.1

Základní po adavky bezpe nosti e-business

ení

které prvky bezpe nosti klasického IS jsou mnohonásobn výrazn í, uva ují-li se v kontextu e-business. Jejich význam nar stá s rostoucím mno stvím rizik. Samotné výdaje na bezpe nost by ov em m ly být v rovnováze s hodnotou firemních aktiv, které mají být chrán ny. Tím se budeme zabývat dále v ásti v nované analýze rizik. Za základní prvky bezpe nosti e-business lze z obecného hlediska pova ovat: •

identifikaci (rozpoznání entity systémem, na základ ur itého identifikátoru, který je spojen s ur itou osobou, reprezentuje jeho identitu) a autentizaci (ov ení proklamované identity subjektu),

•

autorizaci,

•

integritu dat obsa ených v systému a integritu systém samotných,

•

rnost (stupe utajení, informace je dostupná pouze u ivatel m s povoleným a oprávn ným p ístupem) a dostupnost (v inou 24 hodin 7 dní v týdnu),

•

nepopiratelnost provedených operací/transakcí (non-repudiation – musí být zaji prost edky o potvrzení provedení ur ité operace),

•

pravidelné záplatování komponent (server , aplikací, databází atd.),

•

zabezpe ený a ádn nastavený p ístup u ivatel (osob i systém ) ke komponentám,

•

nastavenou politiku nakládání s daty v systémech a dal í.

5.3.2

né

Nástroje bezpe nosti e-business

Z povahy e-business vyplývá, e hlavní d raz p i zkoumání e-bezpe nosti le í na komunika ních kanálech mezi zú astn nými stranami, firemních sítích a aplika ních serverech – to v e v závislosti na pou itém e-business modelu. Bezpe nostní po adavky lze té odvodit z trend , které se v poslední dob v B2B objevují. Za hlavní reprezentanty t chto zm n je mo né pova ovat stále ast í implementace webových slu eb (web services), datovou a aplika ní integraci.

10

[SME]

17


ení

Nástroje pro zaji ní e-business bezpe nosti a vý e uvedených po adavk m eme podle Bassanesové a Titteringtona11 rozd lit do ty ech kategorií podle oblastí e-bezpe nosti, kterou mají podporovat. D líme je na: •

nástroje p ístupové bezpe nosti – ízení u ivatelské autentizace a autorizace, ivatelské identifikace (v etn vyu ívání tzv. smart cards, identifikace na základ biometrických m ení a heslo/PIN generujících klí ), ízení u ivatelských skupin a práv jim p id lených,

•

nástroje komunika ní bezpe nosti – ifrování zpráv a virtuální soukromé sít , tzv. VPNs (Virtual Private Networks),

•

nástroje obsahové bezpe nosti – filtrování obsahu s cílem sní it ne ádoucí obsah webových stránek, soubor , databází a komunikace; za ifrované databáze a souborových prostor ; virová detekce,

•

nástroje správy bezpe nosti – zhodnocení bezpe nosti; detekce pr niku; ohodnocení zranitelných míst systému; podpora pro vývoj a zavád ní bezpe nostních politik.

Záv r V této kapitole jsme se seznámili se sou asným pojetím e-business ení, p íklady n kterých aktivit, které spadají do oblasti e-business (nap . e-tr , sdílení databází atd.). Dále jsme identifikovali základní komponenty, které jsou nezbytn nutné pro vytvo ení a provozování ebusiness ení a uvedli jsme si p íklady nej ast ji nasazovaných systém . Zárove jsme vymezili základní po adavky na zaji ování e-bezpe nosti, jako jsou nap . integrita dat, ízení p ístupu ke komponentám a autorizace u ivatel e-business ení. Na záv r jsme obecn vymezili nástroje pro zaji ování po adavk e-bezpe nosti.

11

[BASS]

18


ení

6 BEZPE NOSTNÍ AUDIT Velká ást bezpe nostních nedostatk je v eobecn dob e známá. Informace o nich jsou ve ejn dostupné a jejich aktualizace se provádí prakticky denn na webových stránkách sv tových institucí, které se zabývají po íta ovou bezpe ností (viz nap . CERT/CC12, SANS13). P esto nejsou tyto bezpe nostní problémy ve v in p ípad v as nebo v bec odstran ny. D vody bývají r zné: vysoké pracovní vytí ení (n kdy a p etí ení) správc systém , sí ových administrátor a pracovník IT odd lení, kte í se sna í it denní provozní problémy systému a as na údr bu, pravidelnou kontrolu a patchování (záplatování bezpe nostních d r systém ) jim nezbývá. Nebo se po ítá s tím, e se firm bezpe nostní událost (napadení systému zven í, zneu ití u ivatelských práv zam stnanci firmy atd.) p ihodit nem e. Takovéto “d vody” bývají ve v in p ípad práv p inou nejr zn ích bezpe nostních událostí. Cílem správn a kvalitn provedeného bezpe nostního auditu je poskytnou p ehled nechrán ných a zranitelných míst systému a ohodnotit míru jejich nebezpe nosti pro celé e-business ení. Bezpe nostnímu auditu p edchází, pokud ji nebyla zpracována d íve, analýza a ohodnocení rizik. Jejím cílem je ur it aktiva a jejich hodnotu, na které se auditor zam í. Následný bezpe nostní audit ur í problematická místa systému, stanoví jejich prioritu a doporu í v souladu s nejlep ími praktikami a mezinárodními standardy vhodné ení. Tak usnadní jejich opravu a správu a zárove má preventivní charakter. Je nutné zd raznit, e jednorázový bezpe nostní audit se zásadn li í od b ného systémového auditu – p edev ím svým rozsahem a náro ností, jak na as, zdroje a odborné znalosti. Zatímco systémový audit by m l být rutinní zále itostí ka dodenního provozu systému, jednorázový audit se v inou koná v d sledku n jaké události, nebo pokud má zadavatel podez ení na mo ný bezpe nostní problém a vy ené stanovisko k n mu má být nezávislé. V inou je provád n externími odborníky na bezpe nost. Podrobn se tomuto rozdílu v nujeme je v samotné podkapitole této ásti. V této kapitole se je detailn zmíníme o jednotlivých fázích auditu a na co se zam uje audit webových aplikací a server . D vod pro výb r auditu web aplikací jako názorné ukázky je ten, e audit této ásti e-business ení pova uji za hlavní odli nost mezi klasickým bezpe nostním auditem ICT a bezpe nostním auditem e-business ení.

6.1 ANALÝZA A

ÍZENÍ RIZIK

Analýza a ízení rizik jsou vstupním p edpokladem pro kvalitní bezpe nostní politiku, schopnou reagovat na reálnou situaci, tím zprost edkovan jsou také p edpokladem pro kvalitní bezpe nostní audit. Dob e zpracovaná analýza rizik pom e nastavit vhodná bezpe ností opat ení, která jsou zárove p ijatelná z hlediska náklad na n nutn vynalo ených. Firma musí zvá it, která aktiva je nezbytné p ísn chránit a která svou hodnotou nevyrovnají náklady na bezpe nostní opat ení spojená s jejich ochranou. Pokud chce firma dosáhnout stanovených a asto i legislativou vy adovaných cíl v oblasti bezpe nosti, musí v novat bezpe nosti pozornost neustále. V p ípad , e tomu tak není, m e dojít k bezpe nostní události, která s sebou nese vysokou pravd podobnost ohro ení chodu celé firmy.

12

http://www.cert.org/nav/index_red.html - sekce Vulnerability Notes Database

13

http://www.sans.org/alerts/index.php

19


ení

Pokud v organizaci neexistuje funk ní bezpe nostní politika s platností pro celou firmu (nejen nap . pro u ivatelské stanice), je vhodné za ít práv analýzou rizik, která doká e poskytnout podklady pro vhodn zam enou bezpe nostní politiku. Aktiva

Hrozby

Zranitelná místa

Analýza rizik

Rizika

Protiopatrení

Rízení rizik

Implementace

Audit

Obr. 2 Postup analýzy a ízení rizik

Analýza rizik je jedním z po adavk BS 7799, který je p edpokladem nasazení co nejvhodn opat ení, tak aby korespondovala s pot ebami organizace14.

ích

Analýza rizik (risk analysis = RA) zahrnuje identifikaci a ohodnocení •

míry rizik, vypo ítaných na základ známých hodnot aktiv,

•

míry hrozeb a

•

zranitelných míst daných aktiv15.

Analýza rizik se podle Crafta zabývá esti základními ástmi. Hodnocením •

firemních aktiv,

•

zranitelných míst,

•

hrozeb,

•

dopad ,

•

pravd podobnosti uskute

•

bezpe nostních opat ení16.

ní se t chto hrozeb,

Mezi základní rizika/hrozby, která je nutné vzít v úvahu b hem analýzy, mohou pat it následující: •

ztráta, po kození nebo odmítnutí p ístupu ke klí ovým slu bám infrastruktury;

14

[INS1]

15

[CHI97]

16

[CRA]

20


ení

•

selhání nebo nefunk nost zprost edkovatel , distributor nebo dal ích t etích stran, které mají kritický význam pro chod e-business ení;

•

ztráta nebo po kození klí ových informací;

•

ztráta d ry u ivatel a tím mo ná ztráta obchodu v d sledku nedostate ného testování a nevýkonných aplikací;

•

sabotá , vydírání nebo obchodní pioná ;

•

úmyslná infiltrace nebo útok na systémy kritického významu17.

Postup analýzy rizik je následující: •

identifikace – ocen ní aktiv

•

identifikace hrozeb a pravd podobnosti jejich reálného výskytu

•

návrh pat

ných protiopat ení.

Tento proces si probereme podrobn ji. Výsledkem resp. cílem RA je poskytnout doporu ení, která maximalizují ochranu utajení, integrity a dostupnosti a zárove zajistí funk nost a dostupnost systému. Na RA by m ly spolupracovat v echny organiza ní úrovn a jednotky firmy, proto e jejich p ípadné opomenutí by mohlo vést k zavedení nákladných a neefektivních bezpe nostních opat eních. Základní otázky, které by m ly b hem analýzy padnout pat í následující: •

Co je nutné chránit?

•

Kdo a co p edstavuje hrozby a zranitelná místa systému?

•

Jaké jsou d sledky/následky pokud dojde k po kození nebo ztrát ?

•

Co je hodnotou pro organizaci?

•

Co lze ud lat proto, aby byla minimalizována mo nost vystavení firmy ztrát nebo po kození?

Odpov di na tyto otázky lze získat postupn , probíráním jednotlivých krok RA. T mi jsou

17

•

stanovení rozsahu – poskytuje analytik m p ehled toho, co bude v RA obsa eno a co nikoliv. Ur uje, co je t eba chránit, do jaké úrovn podrobnosti a jaká je citlivost chrán ných aktiv. Také identifikuje systémy a aplikace, které budou zahrnuty v RA. P i ur ování rozsahu by se nem lo zapomenout na budoucí tená e záv re né zprávy a doporu ení (senior management, IT odd lení nebo certifika ní autorita). Zárove p esn vymezený rozsah ur uje typ analýzy, zda-li se bude interní, externí nebo provedena jako z obou pozic.

•

sb r dat – zahrnuje sb r politik a procedur, které jsou k danému okam iku ve firm platné a ur ení t ch, které chybí nebo nejsou zdokumentovány. Jeho sou ástí je diskuze s klí ovými zam stnanci a vyhodnocení zji ných zku eností, co m e napomoci p i identifikaci aktiv a chyb jící nebo zastaralé dokumentace. Systémy a aplikace ur ené v edchozím kroku jsou konkrétn vyjmenovány a ve keré odpovídající informace o aktuálním stavu t chto systém shromá ny.

•

analýza politik a procedur – její sou ástí je posouzení a analýza existujících firemních politik a procedur za ú elem zvá ení míry souladu v rámci organizaci. Zdroji, které mohou být pou ity jako základní m ítko, jsou n které mezinárodní standardy a p ípadn ,

[KEE]

21


ení

pokud se to na organizaci vztahuje, také právní p edpisy státu, ve kterém má sídlo, týkající se po adavk na bezpe nost IS. Jako p íklad mezinárodních standard lze uvést – ISO 17799 (p vodní BS 7799), ISO 15408, ISO 13335. Z právních p edpis platných v R je mo né/vhodné vyu ít nap . zákon o ochran osobních údaj . 101/2000 Sb. i zákon o elektronickém podpisu . 227/2000 Sb. Tato ást je pom rn rozsáhlá a má zásadní vliv na následný bezpe nostní audit. Proto se zmíníme o jednotlivých standardech, oblastech bezpe nosti, které pokrývají a jejich po adavcích na zaji ování bezpe nosti v organizacích, ale také o n kterých ástech eských právních p edpis v samostatné kapitole. Výstupem této ásti je popis t ch oblastí, které nejsou v souladu s bezpe nostními po adavky s ohledem na konkrétní odv tví a typ organizace. •

analýza zranitelných míst/bezpe nostních nedostatk – cílem je zhodnotit informace, které byly získány sb rem dat a analýzou politik, a otestovat je za ú elem zji ní sou asné míry expozice systému, zda-li v daném okam iku platná bezpe nostní opat ení jsou dostate ná ve smyslu zaji ní pot ebného utajení, integrity nebo dostupnosti systém . Výsledky analýz r zných nástroj musí být ov eny z d vodu zaji ní jejich spolehlivosti a vyvarování se ochran oblastí, které ve skute nosti neexistují.

•

analýza hrozeb – hrozbou rozumíme cokoliv, co p isp je k úmyslnému po kození, zni ení nebo p eru ení jakékoliv slu by nebo p edm tu, mající ur itou hodnotu. Hrozby se lí na zap in né osobami a zp sobené jinak, ne lov kem. Hrozby je nutné vnímat ve vztahu k prost edí organizace a jak na ni budou p sobit. Vysoký stupe se p adí t m hrozbám, které mají vysoký potenciál uskute ní se a motivaci (hlavn u hrozeb ze strany osob). Cílem analýzy hrozeb je tyto hrozby rozpoznat a klasifikovat je, podel typu vodce a jejich záva nosti.

•

korelace a ohodnocení p ijatelnosti rizik – jedním ze záv re ných úkol analýzy rizik je zhodnocení existujících politik a procedur, procedur a ochranných prvk , zda-li jsou dostate né ve smyslu zji ných rizik. Pokud organizace nemá ádné bezpe nostní opat ení, je mo né usuzovat, e zde také s vysokou pravd podobností jsou zranitelná místa. M lo by být provedeno p ezkoumání existujících a plánovaných opat ení, aby se ur ilo, zda d íve známé a zji né hrozby a rizika byly omezeny. Úkolem analytika není ur it, jaká rizika jsou pro organizaci p ijatelná. Jeho úkolem je pou ít zji ní RA tak, aby pomohl organizaci stanovit, jaká míra rizika je pro ni p ijatelná. Výsledky jsou základem pro výb r vhodných bezpe nostních krok a odstran ní takových opat ení, která nejsou dostate efektivní.

V souhrnu m eme íci, e analýza rizik je proces, který by m l být pravideln opakován, proto e rizika i hrozby se m ní a pro firmu je nutné mít stále k dispozici kvalitní podklady pro efektivní ízení rizik. ízení rizik (risk management = RM) zahrnuje identifikaci, výb r a p ijetí protiopat ení, vychází ze zji ní analýzy rizik. Protiopat ení jsou podlo ena •

zji

•

snahou sní it tato rizika na p ijatelnou míru18.

nou mírou rizika, které hrozí aktiv m a

ízení rizik není statickou inností. Stejn jako se rizika m ní a vyvíjí v ase, je nutné strategii ízení upravovat. Je nezbytné zva ovat, jak se hrozby m ní, aby strategie ízení rizik neztratila schopnost pru reagovat na zm ny. Nutnost reagovat rychle, aby byla zaji na dostupnost systému, v p ípad e-business v maximální mí e, tj. 24 hodin denn 7 dní v týdnu, vyplývá z povahy e-business ení.

18

[CHI97]

22

Bezpe nostní audit e-business 6.1.1

ení

Metodiky pro analýzu a ízení rizik

Analýza rizik je pom rn komplexním úkolem – pouhé mezinárodní standardy vy adují solidní znalost slo ek rizika. Z tohoto, ale i dal ích zjevných d vod , nelze provést analýzu rizik s po adovanou kvalitou bez hlubokých odborných znalostí a zárove bez vyu ití nástroj , které mohou n které rutinní kroky urychlit a vyhodnotit zadané charakteristiky na základ srovnání se standardy platnými v daném odv tví. Takovým vhodným nástrojem m e být i kvalitní, mezinárodn uznávaná metodika. Proto si zde p edstavíme jednu metodiku, a nástroj zárove , která je v sou asné dob asto vyu ívána specialisty na odhadování a hodnocení rizika, týkající ho se informa ních systém . D vodem výb ru byl fakt, e je sou ástí certifika ního procesu podle britského standardu BS 7799 Information Security Management Standard, který je základem mezinárodní normy ISO/IEC 17799 Code of Practice for Information Security Management. 6.1.1.1

Metodika CRAMM

Metodika CRAMM (CCTA Risk Analysis and Management Method) byla vyvinuta britskou vládní agenturou CCTA (Central Computer and Telecomunications Agency) v roce 1985, za elem poskytnout ministerstv m metodiku pro revize bezpe nosti informa ních systém . CRAMM pro la b hem poslední doby velkými zm nami a je nyní komer ním nástrojem, který distribuuje britská firma Insight Consulting19. CRAMM je prakticky realizována v automatizovaném nástroji (softwaru) stejného jména, který pomocí dotazování se na kvalitativní charakteristiky a pomocí strukturovaných odpov dí, doká e vyhodnotit míru a kvalitu rizik, kterým daná firma musí elit. Sou asná verze je 5. Hodnoty aktiv (nehmotných aktiv – dat, programového vybavení, licencí – a hmotných aktiv) jsou odvozeny z dopad pr niku do systému resp. po kození d ryhodnosti, integrity, dostupnosti a nepopiratelnosti – tj., jak jsem si ji d íve uvedli, obecn p ijatých princip informa ní bezpe nosti. Tazatelé na základ zji ných skute ností vypracují nejhor í scéná e a sestaví mo né d sledky nedostupnosti dat nebo jejich zni ení, zve ejn ní, modifikace. Definovaná záva nost t chto sledk se porovnává s p íslu nými sm rnicemi, které jsou implementovány v CRAMM, tak aby se odvodil odhadovaný stupe rizika (na stupnici od 1 do 10). Následují dva dal í klí ové prvky analýzy a t mi jsou •

stanovení míry ohro ení a

•

zranitelnosti organizace.

Jak ji bylo eno, jedním z klí ových po adavk na úsp nou implementaci kvalitních bezpe nostních opat ení je ú inná analýza rizik. Metodika CRAMM je sou ástí certifika ního procesu podle BS 7799, o kterém se budeme zmi ovat v kapitole Standardy a metodiky, a je hodnocena jako cenný nástroj, který významn pomáhá p i certifikaci systém /organizací podle mezinárodních standard 20. Na základ výstup z analýzy, CRAMM vytvo í soubor takových systémových opat ení, které jsou pova ovány za nezbytn nutné pro kvalitní ízení identifikovaných i potenciálních rizik. Mezi silné vlastnosti metodiky CRAMM pat í efektivní podpora p i uspo ádání opat ení tím, e jim p adí ur itý stupe priority.

19

http://www.insight.co.uk

20

[MAY1]

23


Obr. 3 P íklad zaznamenání záv

ení

z analýzy souladu s ISO/IEC 17799:2000 (CRAMM)21

Obr. 4 Grafický výstup analýzy dopad na innost organizace22

21

[RAC]

22

[RAC]

24

Bezpe nostní audit e-business 6.1.1.2

ení

Dal í metodiky

Metodika CRAMM je samoz ejm pouze jednou z mnoha, které je mo né vyu ít pro analýzu rizika v informa ních systémech. Jako dal í p íklady si m eme uvést: •

Defense-In-Depth – qualitative risk analysis (http://www.silkroad.com/papers/pdf/archives/defense-in-depth-revisited-original.pdf)

•

GRA – graphical risk analysis (http://downloads.securityfocus.com/library/OH070302.pdf)

•

VAR methodology (http://www.gloriamundi.org/picsresources/jjjr.pdf)

•

MAGERIT methodology (http://www.csi.map.es/csi/pdf/MAGERIT_ingles.pdf)

•

COBRA – Consultative, Objective and Bi-functional Risk Analysis (http://www.securityrisk-analysis.com/introcob.htm)

•

CERT OCTAVE® – Operationally Critical Threat, Asset and Vulnerability EvaluationSM (http://www.cert.org/)

25


6.2 BEZPE

ení

NOSTNÍ AUDIT

Prvotním východiskem pro zkoumání bezpe nosti v rámci e-business ení je poskytování a ijímání informací zkoumanými objekty. Audit se zabývá tím, jak dob e jsou nastavena bezpe nostní opat ení, aby byla umo na efektivní a p itom chrán ná vým na informací. Bezpe nosti se zde v nuje pozornost ve smyslu ochrany základních obecn uznávaných po adavk informa ní bezpe nosti na: dostupnost, integritu, utajení, nepopiratelnost a pr kaznost provedených operací. Bezpe nostní audit je proto hloubkovou kontrolou, která se zabývá revizí opat ení (bezpe nostní politiky, nastavení systém atd.), zda-li jsou v souladu s mito v eobecn platnými zásadami. Weber definuje bezpe nostní audit informa ního systému jako proces, jeho obsahem je sb r a ohodnocení d kaz za ú elem zji ní/ur ení, zda-li bezpe nostní opat ení informa ního systému pomáhají udr ovat integritu dat, umo ují organizaci efektivn dosahovat svých cíl a efektivn vyu ívat zdroje23. Bezpe nostní audit má vést ke kompetentnímu a nezávislému zhodnocení interních kontrol informa ního systému a tím napomoci organizaci lépe dosáhnout cíl v oblasti bezpe nosti – dostupnosti, integrity a utajení – a zárove cíl vnit ní kontroly, podporujících firemní procesy – spolehlivosti, souladu, ú innosti a výkonnosti vnit ního auditu. Bezpe nostní audit je •

východiskem - pokud v organizaci neexistuje funk ní bezpe nostní politika, pak je nevyhnuteln nutné vyjít p i úvahách o zaji ní bezpe nosti z ur itého popisu stavu systému; pro jeho zji ní je vhodné za ít auditem, jeho cílem je poskytnout podrobné informace pot ebné pro stanovení vhodné bezpe nostní politiky;

•

sou ástí - kontrolním prvkem a hodnocením bezpe nostní politiky;

•

neodmyslitelným informa ním zdrojem pro efektivní ízení rizik organizace;

•

základem pro stabilní bezpe nost, jako to jednoho ze základních kamen , na kterých lze stav t úsp né e-business ení;

•

sou ástí plánu udr itelného rozvoje firmy.

Bezpe nostní audit m e být áste ný (provádí se kontrola jednotlivých komponent) a celkový (kontrola celého prost edí, v etn organiza ního zaji ní a havarijních plán ). V rámci bezpe nostního auditu se posuzuje nejen technická stránka bezpe nosti, ale také soulad celkového firemního pojetí bezpe nosti s nejd le it ími bezpe nostními standardy, nap . s ISO/IEC 17799, i ISO/IEC 13355, a tzv. nejlep ími praktikami (best practices). O t chto se zmíníme v dal í kapitole. Sleduje se mimo jiné zda-li byla provedena analýza rizik, jestli ve firm existuje bezpe nostní politika, její sou ástí má být nap . i plán rychlé obnovy (recovery planning), nebo zaji ní pokra ování obchodní innosti firmy (business continuity planning). Sou ástí bezpe nostního auditu jsou krom kontroly jednotlivý subsystém také tzv. penetra ní testy. Bezpe nostní audit se v inou, podle zku eností konzulta ních firem, asto uskute ní a po vzniku bezpe nostní události, kdy je pot eba zjistit rozsah kody na systémech a zda-li byla odstran na v echna “zadní dví ka” pro návrat úto níka. Vhodn í je proto za adit bezpe nostní audit ji do fáze testování e-business ení, p ed jeho samotným spu ním a tím zajistit co nejv í odolnost, proti mo nému pr niku.

23

[DOU2]

26

Bezpe nostní audit e-business Bezpecnostní audit

Analýza rizik

Plánování ebiz re ení

Analýza

Návrh ebiz re ení

Vývoj a implementace

Obr. 5 Schéma zavád ní e-business

Testování komponent

ení

Systémové audity

Spu tení

Provoz a údr ba ebiz re ení

ení a vstup bezpe nostního auditu

Bezpe nostní audit samoz ejm není zázra ným lékem, který vy í v echny “nemoci” firmy. U jen z toho d vodu, e bezpe nost je proces nikoliv stav a je pot eba trvale udr ovat bezpe nostní opat ení, která ji zaji ují, v nejaktuáln ím mo ném stavu. Bezpe nostní audit je proto v lep ím ípad p edev ím prevencí, která m e výrazn sní it pravd podobnost vzniku bezpe nostní události, v hor ím p ípad je “lé ebným” postupem, jak uvést systémy co nejrychleji do vodního stavu, kdy ov em chyby budou odhaleny a opraveny, a zárove m e urychlit stanovení rozsahu a p iny kod. Pokud nebyl ve firm , která provozuje e-business ení, nikdy proveden bezpe nostní audit, je velmi pravd podobné, e existuje mnoho zranitelných míst a neo et ených chyb systém , aplikací a komunika ních cest. Ty pak vá ným zp sobem ohro ují celkovou bezpe nost e-business, proto e, jak lze voln parafrázovat známý výrok, ”systém je tak bezpe ný, jak bezpe ný je jeho nejslab í prvek”. Proto by se m l bezpe nostní audit provést okam it . Pokud firma teprve plánuje zahájení e-business ení, pak p ed samotným spu ním, jak je nazna eno na obr. 3. Samoz ejm , e takovýto jednorázový audit je v na em turbulentním sv naprosto nedosta ující a je nutné provád t pravidelné kontroly, nejlépe za asistence externích odborník na bezpe nost, aby se zajistila nezávislost hodnocení. Pova uji za d le ité podrobn ji vymezit rozdíl mezi jednorázovým auditem a b ným systémovým auditem, o kterých padla zmínka v úvodu této kapitoly. Jednorázový celkový bezpe nostní audit je, ve smyslu rozsahu a náro nosti, jak je zde uva ováno, zam en na e-business ení celkov , na jednotlivé ásti a vazby mezi nimi, na mo né dopady jednotlivých problémových míst. Bere v úvahu výstupy analýzy rizik a po adavky ízení rizik, sleduje soulad firemní bezpe nostní kultury se zásadami, které byly formulovány v mezinárodních standardech, a té s legislativními po adavky státu, kde se firma nachází, tj. má své sídlo24. Navrhuje ení, která mají pomoci odstranit zji né problémy a p edev ím je realizován za pomoci externích specialist . D vodem je po adavek na nezávislé a objektivní hodnocení a také vysoká odborná znalost problematiky, kterou nemusí spl ovat ani jinak zdatní pracovníci IT odd lení firmy. Systémovým bezpe nostním auditem oproti tomu je mín na funkcionalita systém (opera ních systém , databází, aplikací atd.), která umo uje zaznamenávat klí ové stavy (logování do systému, práce s kitickými soubory/záznamy atd.) b hem provozu. P em se zárove vyzna uje vysokou mírou odolnosti proti zni ení i pozm ní po ízených záznam , a lze o n m hovo it jako o jakési “ erné sk ce” systému25. Podle normy ISO/IEC 15408-2 Common Criteria by m l “systémový audit zahrnovat rozpoznávání, zaznamenávání, ukládání a analýzu informací souvisejících s aktivitami relevantními z hlediska bezpe nosti systému”26. Výsledné auditní záznamy pak mohou být pou ity ke stanovení, kdy nastaly dané události, které mají vliv na bezpe nost systému a který ivatel za n nese odpov dnost, nebo jestli byly zap in ny úto níkem vn organizace. 24

Tento bod sám o sob by stál za samostatné zpracování, pro

25

[MIK]

26

[MIK]

zde není bohu el prostor.

27


ení

Mezi hlavní úkoly systémového auditu pat í zaznamenávání bezpe nostních incident , pokus o ekro ení stanovených p ístupových práv, ale i sledování n kterých události, p i kterých nedochází k poru ení definovaných práv a nastavené firemní politiky – nap . provedení n kterých nevratných operací, hromadná manipulace s daty, mazání dat atd. Je tedy sou ástí ka dodenního provozu systém a tzv. auditní logy, soubory s ulo enými auditními záznamy, by m ly být pravideln kontrolovány systémovými a sí ovými administrátory. Z praktického hlediska je subsystém systémového auditu povinnou sou ástí v ech systém a aplikací certifikovaných nap . pro stupe 4 EAL (Evaluation Assurance Level) podle ISO/IEC 15408 – co je p ípad v iny komer ních opera ních systém (MS Windows, Sun Solaris, HPUX apod.), ale také ady databázových systém (Oracle, Sybase, Informix).27 Otázkou z stává, zda-li jsou tyto subsystémy skute vyu ívány pro vnit ní kontrolu. Pokud není spu n a správn nakonfigurován takovýto subsystém, ani sebelep í certifikát neochrání celý systém p ed napadením i zneu itím. Systémový bezpe nostní audit m eme pova ovat za jeden ze zdroj , který m e být podn tem pro rozsáhlý jednorázový bezpe nostní audit, nap . jsou podkladem pro d vodné podez ení na nekorektní chování u ivatel systému. Záznamy systémového auditu pak poslou í jako vodítko i dohledávání stop a p vodc bezpe nostní události. Nadále se budeme zabývat pouze jednorázovým bezpe nostním auditem a systémový bezpe nostní audit budeme chápat jako jeden z velmi d le itých informa ních zdroj v rámci jednorázového auditu. 6.2.1

Postup p i realizaci BA

E-business ení je distribuovaný systém, proto by m l BA probíhat na jednotlivých ástech (u jednotlivých partner zapojených do e-business ení) jako celková kontrola a audit. Toto berme jako teoretický p edpoklad, který je v praxi jen t ko splnitelný. Pro jednoduchost budeme v této studii uva ovat o auditu jedné strany e-business ení. Sou innost partnerské firmy ostatn není úpln jednodu e realizovatelná, proto e by bylo pot eba otestovat ka dý lánek et zce e-business ení, tedy ka dou firmu/organizaci, která je zapojena, v tom p ípad by bylo mo né hovo it o kompletním auditu. Otázkou samoz ejm z stává, zda-li by bylo n co takového v lidských silách a v silách techniky (z d vod finan ních a asových náklad , náro nosti organizace a komplexnosti podobného úkolu). Základem bezpe nostního auditu jsou organiza ní aspekty, které pomohou ur itým zp sobem vymezit po adavky na audit. •

systémové po adavky – zde auditor klade obecné otázky na systémové po adavky o musí být systémy dostupné na bázi 24x7, tj. má e-business ení u ivatele z celého sv ta a nedostupnost by mohla zásadn ohrozit chod celé organizace? (nap . dostupnost Clearingového centra pro mezinárodní zú tování mezi bankami) o jaké jsou p ístupové po adavky? (je p ístup k dat m omezen pouze pro management? mohou zákazníci/obchodní partne i vstupovat do jakékoliv ásti systému?) o kolik u ivatel pr

rn pou ívá systém v dob nejv

í zát e?

o jak velké mno ství dat je ulo eno a jak citlivá jsou tato data (zde je mo né vyu ít poznatky z analýzy rizik)? o jak citlivý je systém sám o sob ?

27

[MIK]

28


ení

o jsou zde/existují právní po adavky na uchovávání dat po ur itou dobu? existují právní po adavky na ochranu dat p ed zneu itím a vet elci? •

zkoumání fyzické bezpe nosti, tzn. auditor by m l zkoumat, kde se systém nachází o nap . uchovávání webových, aplika ních a databázových server v zabezpe ené místnosti, s klimatizací, kam má p ístup pouze velmi úzký okruh oprávn ných osob (zam stnanc ) a tento p ístup je kontrolován nap . te kou identifika ních karet; o pro systémy kritického významu a s vysokými po adavky na dostupnost (99,99% doby) je d le ité ujistit se, e je celý systém duplikován a lokalizován na jiném míst ne je sídlo firmy, pro p ípad ivelné pohromy (nap . po áru; povodn , jak se nedávno ukázalo i v R) nebo i teroristického útoku, který nelze dnes úpln vylou it; o pokud je e-business ení zaji ováno externí firmou a technické zázemí se nachází mimo sídlo firmy, m lo by být zaji ováno spolehlivou firmou, m la by existovat zálo ní ení nap . poskytovatele p ipojení k Internetu; o

•

le ité je zkontrolovat, zda-li je celá e-business architektura (hardware i software) duplikována, data jsou zde replikována a pravideln zálohována, infrastruktura zaji na (firewally, routery, huby atd.)

procedury, role a odpov dnosti – úlohou auditora je zjistit, jestli jsou zavedené procedury, jestli jsou zapsané a také se podle nich postupuje. D le ité je ujistit se, zda-li jsou auditing (ve smyslu systémového bezpe nostního auditu) a sledování systému efektivn vyu ívány. o jsou zavedené procedury, které mají zajistit, e jsou auditní logy systémové innosti pravideln kontrolovány a jsou sledovány p íznaky nekalých úmysl (nap . opakované neúsp né pokusy o p ihlá ení do systému)? Kdo se jimi zabývá a jak asto? Jsou tyto procedury efektivní? o jsou ve firm pravidla o nastavení, povinné délce, kombinaci znak , period obm ny p ístupových hesel (t ko uhodnutelná hesla)? o jsou ve firm postupy, které ur ují, jak jednat v p ípad výskytu virové nákazy systému – mají být nap . zastaveny v echny po tovní servery, p ípadn také echny webové servery? o kdo má být v podobném p ípad uskute ná rozhodnutí?

•

informován, kdo ponese zodpov dnost za

identifikace, autentizace a p ístup – schopný auditor by m l v novat pozornost nejen fyzickým linkám do systému (hardwaru), ale také logickým cestám o z kterých sítí je mo né vstoupit do systému a jakým zp sobem? Existuje VPN povolující vstup do místní sít z jiného místa ne budovy firmy? Je mo né vstupovat do ur itých ástí systému p es web? o u ka dého logického p ístupového bodu by m l auditor zkontrolovat, zda-li jsou nasazeny dostate né prost edky pro identifikaci a autentizaci u ivatelských skupin; o tam, kde není vhodné p íli asto m nit u ivatelská hesla a p itom data, ke kterým se p istupuje, jsou pova ována za velmi citlivá, existuje je jiný dodate ný prost edek autentizace u ivatele (PIN, SSL klí )?

29


ení

o jsou pou ívány dal í prost edky pro zaji ní nepopiratelnosti provedených operací (digitální podpisy, asová známka ud lovaná certifikovaným serverem)? •

le ité je v novat pozornost u ivatelským ú m/p ihla ování a sezením (sessions) – kontrola p ihla ování/hesel by m la být pozorn plánovaná a provád ná; o dochází k odhlá ení u ivatele po ur ité dob ne innosti v systému? jsou staré ivatelské ú ty pravideln mazány? existuje pe livá kontrola toho, kdo m e zalo it nového u ivatele a jaká mu m e p id lit práva v systému? o jsou hesla pravideln m na? nutí systém u ivatele, aby nepou ívali hesla, která jednou byla nasazena? jsou hesla t ko uhodnutelná? je mo né m nit ístupová hesla p es internet? 28

Dal í ástí auditu je revize technických prost edk , tedy infrastruktury e-business ení. Zde si uvedeme základní, obecn platné kroky, které v následující ásti demonstrujeme na bezpe nostním auditu webových aplikací. Dobrým vodítkem pro hledání konkrétních bezpe nostních d r m e být nap . databáze NIST ICAT Metabase29. ICAT je ve ejn dostupná databáze zranitelných míst a odhalení (Common Vulnerabilities and Exposures – CVE). Umo uje vyhledávat bezpe nostní nedostatky podle jména producenta, ísla verze a dal ích parametr softwaru. U vyhledaného nedostatku ICAT poskytuje iroké spektrum informací o jeho vlastnostech (rozsah potenciálního útoku a kody) a uvádí k n mu odkazy na informace o záplatách z ve ejn p ístupných zdroj 30. V rámci kontroly technických prost edk následující oblasti: •

a infrastruktury by se m l auditor zam it na

po adavky infrastruktury – bezpe nost e-business ne bezpe nost intranetového IS.

ení vy aduje zásadn rozdílná

ení

o pokud se v e-business ení vyu ívá extranetové propojení mezi systémy jednotlivých obchodních partner , pak je nutné p i auditu ov it, zda-li jsou odd leny jednotlivé ásti interních systém a extranetu a p ístupová práva id lena podle toho, do jaké skupiny u ivatel spadá; o architektura extranetu m e obsahovat tzv. demilitarizovanou zónu (DMZ), kde jsou umíst ny interní systémy a data, a ke které je zaji n p ístup pro zam stnance skrz vnit ní firewall. Externí firewall by pak m l zp ístupnit pouze které systémy pro externí u ivatele a v p ípad nap . B2B také vybraným obchodním partner m; o velmi d le ité je zkontrolovat, zda-li nejsou v n kterém míst extranetu otev ená tzv. “zadní dví ka” do firemního intranetu – jako p íklad uve me povolení slu by FTP na extranetovém web serveru, která m e být následn zneu ita pro získání ístupu do intranetu; o u intranetu je nutné zkontrolovat, zda je umo n p ístup pouze pro autorizované ivatele (nap . v p ípad , e se mobilní zam stnanci p ihla ují do intranetu skrz VPN); o autentiza ní a bezpe nostní prvky musí být implementovány na r zných úrovních architektury – takováto opat ení mohou zahrnovat nap . pou ívání firewallu,

28

[JOH1]

29

http://icat.nist.gov

30

[NIS1]

30


ení

proxy server , soukromých datových sítí na sí ové úrovni. Na databázové úrovni je mo né omezit p ístup k jednotlivým databázovým server m, databázím, tabulkám, sloupc m i pohled m a omezit mo né operace nad databázemi nap . pouze na vyhledávání, za vyu ití databázového zabezpe ení pro u ivatele z ur itých skupin nebo p ímo jednotlivým u ivatel m. Je mo né vyu ít autentizace databázového stroje nebo opera ního systému pro identifikaci u ivatel (nap . pomocí SQL serveru). Na úrovni opera ního systému je vhodné omezit p ístup k jednotlivým soubor m, adresá m, a povolit jen n které innosti se soubory. Na úrovni webového serveru je dále mo né omezit u ivatele a skupiny p i p ístupu ur itých webových stránek, virtuálním adresá m, skriptovacím prvk m atd. o je nutné, aby auditor znal d sledky pou ití t chto r zných metod a bezpe nostních opat ení, aby byl schopen zajistit, e jsou vhodn a p im en daným po adavk m vyu ívány; o musí být zkontrolováno, jestli integrita dat na webových stránkách z stane nezm na – toto zahrnuje strukturalizaci transakcí v rámci databáze, jestli je mo né nedokon enou transakci zru it, a nebo ji m e u ivatel dokon it, kdy se stránka znovu na te. U velmi citlivých transakcí (nap . zadávání platebních íkaz pro banku, placení zbo í na Internetu platební kartou), je vy adována implementace tzn. frontování zpráv (Message Queuing) nebo jiného transakci zaji ujícího mechanismu; o zárove je vhodné b hem auditu navrhnout techniky, pokud ji nejsou implementovány, které zabrání nedostupnosti stránek v d sledku tzv. odmítnutí slu by (denial–of–service) – bu kv li p etí ení stránky b nými u ivateli a nebo jak dopad úmysln vedeného útoku. ením m e být pe livé plánování kapacity (pro období nejv í zát e) nebo vyu itím rezervního hardwaru (nap . RAID technologie m e být pou ita pro zaji ní v p ípad selhání disku, aby se zajistil plynulý chod systémových server ); o vyrovnání zát e – toto ení m e znamenat zapojení n kolika webových server dohromady (tzv. Web farms) a sdílení zát e mezi nimi, nebo m e zahrnovat d lení dat do r zných databází nebo databázových server , v závislosti za tom, kde je úzké místo celého ení. V závislosti na citlivosti dat m e být vhodné rozd lit data tak, aby r zní obchodní partne i nem li p ístup k informacím, týkajícím se jejich konkurent , a aby se zákazníci nedostali k informacím, které mají mít k dispozici pouze zam stnanci; o pro p ípady, kdy je web “shozen”, m e auditor navrhnout zlep ení v oblasti zálohovací/archivovací strategie a dále detailn pro et it plán pro p ípad havárie systému. •

31

konfigurace webového serveru (server ) – p i kontrole pou ívání soubor , adresá a databázové bezpe nosti na web serveru, je nezbytné zvá it mnoho dal ích aspekt konfigurace serveru samotného. D vodem je, e samotná instalace a konfigurace je jedním z nej ast ích a nejv ích zdroj etných bezpe nostních mezer. Proto je nutné hem auditu ov it, zda-li administrátor web serveru udr uje server v aktuálním stavu aplikováním záplat, které jsou k dispozici na Internetu ( asto na stánkách samotných producent t chto softwarových produkt ). U ite né je také vyu ívat SANS Top 2031 stránky, kde je zd razn no 20 nejzáva ích internetových bezpe nostních problém (10 pro Microsoft a 10 pro Unix), kterým by m la být stále v nována pozornost.

http://www.sans.org/top20/

31


ení

o je nutné, aby web server nefungoval jako superu ivatel (nebo root), proto e takové nastavení by mohlo poskytnout ne ekaná privilegia u ivatel m serveru; o velké mno ství slu eb dostupných na web serveru by m lo mýt omezeno na minimum – takovými mohou být nap . mail (SMTP), FTP, Telnet, netstat/systat, DNS apod. Také podpora CGI a ASP by m la být vypnuta (p edev ím v místech, kde není explicitn nutná pro chod aplikace); o je dobré zkontrolovat v echny porty a ty, které nejsou pot ebné, na web serveru zav ít. B nou metodou hackování je toti ur ení povolených port na web serveru (port scanning) a pomocí na Internetu dostupných utilit získat p ístup do serveru. To m e vést k hlub ímu proniknutí do celé infrastruktury e-business ení; o staré a nedostate bezpe né skripty (cgi/asp) by m ly být odstran ny, cgi eklada e dokonce i z bin-adresá ; o

lo by být mo né omezit p ístup ke konkrétním adresá m na specifických po íta ích v rámci Internetu (ur eno podle IP adresy nebo DNS jména). Pokud je takovéto omezení adekvátní, m lo by být v pr hu auditu ov eno;

o obecným pravidlem pro konfiguraci a instalaci web serveru je poskytnou pouze minimáln mo ný p ístup a slu by u ivatel m a vypnout nebo smazat ve keré slu by, které nejsou pou ívány; o samoz ejmostí je adekvátní spu ní/zakázání skriptování, zaji ní, e .exe soubory a dal í klí ové soubory nejsou nikomu, kdo nav tíví web server, dostupné, pouze pokud je to nutné. P ejmenování klí ových soubor , klí ových ivatelských ú (nap . administrátorský ú et k databázi by m l být zm n tak, aby se nedal jeho název snadno uhodnout a heslo by m lo být známé pouze kolika málo odpov dným osobám); •

vývoj web aplikací – bezpe nostní auditor by m l v novat velkou pozornost zp sobu vývoje aplikací, které jsou pou ívány v rámci e-business ení. Mnoho s bezpe ností souvisejících problém je áste spojeno s chybami (bugy), které vznikly b hem vývoje softwaru a nebyly v as odstran ny. o nej ast í chybou, která vznikne b hem kódování pro webovou stránku, je povolení nahrávat soubory do stránky a p itom neomezit typy vhodných soubor (nap . povolit jen .doc, .gif, .jpg, nebo .txt soubory) . Tím je umo no hackerovi, aby nahrál .exe nebo jiné nebezpe né soubory. Programáto i by si tohoto m li být dob e v domi. o následující otázky by m ly vyvstat b hem bezpe nostního auditu: jsou si vývojá i, databázoví a sí oví administráto i v domi rizika, které plyne z bezpe nostních d r? Udr ují své znalosti na aktuální úrovni nap . pomocí r zných kolení, sledování specializovaných web stránek, mail-list apod.? Jsou zavedeny a dodr ovány standardy pro kódování, jsou vyvinuty b né postupy pro zacházení s chybami? Jsou plány a kód ádn revidovány za ú elem odstran ní bezpe nostních d r p ed samotným testováním? Zahrnují testovací postupy také testování bezpe nostních problém ? Je zdrojový kód efektivn ízen tak, aby se chyby op tovn nevyskytovaly tím, e se rozmístí patný kód? Zaznamenává kód echny po adované innosti (IP adresu, ze které se u ivatel p ihla uje, neúsp né pokusy o p ihlá ení, nebo záznamy databázových transakcí)?

•

antivirový software

32


ení

o má organizace dobrou bezpe nostní politiku ohledn antivirových opat ení a vhodný antivirový program? Tato politika by m la zajistit, e na v ech po íta ích, které jsou p ipojeny do sít , je nainstalován, je aktivní a je pravideln aktualizován antivirový program. Pokud je v systému n kdy antivir vypnut, je nutné celý systém d kladn zkontrolovat antivirem p edtím, ne je op t p ipojen do sít 32. o souborové a webové servery, stejn jako kterýkoliv hardware p ipojený do sít , by ly mít nainstalovány antivirový program. o v p ípad , e organizace nemá antivirovou politiku, m l by auditor její zavedení razn doporu it. Zárove by m l upozornit, e nejen systémy od Microsoftu jsou napadnutelné po íta ovými viry. •

konfigurace browser o auditor by se m l ujistit, e v echny prohlí e v rámci organizace, jsou nastaveny tak, e respektují firemní politiku týkající se stahovatelného/spustitelného obsahu web stránek; o dopady povolení ActiveX prvk a skriptování by m ly být d kladn zvá eny, proto e tyto technologie p edstavují zna né nebezpe í tím, e umo ní sta enému obsahu stránek navázat kontakt s opera ním systémem na klientském po íta i33;

Dal í ástí celkového bezpe nostního auditu mohou také být penetra ní testy, tzn. testy simulující pr nik do systému, jak zevnit , tak zven í. Samoz ejm , je nezbytné konzultovat plánované testy s odpov dným managementem. Testy lze d lit do dvou skupin, na testování se znalostí systému a testy s nulovou znalostí systému: •

testování se znalostí systému – toto je útok na systém zevnit . Analytik jej provádí, jako by z pozice zam stnance, který má základní p ístupová práva a privilegia v systému, a který má zárove p ístup k informacím, týkajících se systém fungujících v rámci ebusiness ení a sí ové topologie, a zárove zná základní procesy fungování firmy.

•

testování s nulovou znalostí – obvykle se provádí jako útok zven í, kdy analytik nemá ádné p edcházející informace o tom, jaké systémy tvo í testované e-business ení. Tím simuluje ohro ení systému ze strany hackera34.

Tyto testy, p edev ím testy s nulovou znalostí, se provád jí za pomoci automatizovaných auditních nástroj . Jedná se o software, který pom e, asto velmi rychle, odhalit velké mno ství bezpe nostních d r, které by, v p ípad zneu ití, mohly zásadním zp sobem ohrozit chod celého e-business ení. Proto e pova uji automatizované auditní nástroje za zásadní prvek bezpe nostního auditu, budeme se jim v novat v následující kapitole. Následující schéma názorn shrnuje jednotlivé kroky bezpe nostního auditu.

32

Je toti astým jevem, e programáto i vypínají na svých pracovních stanicích antivirový program, aby nezpomaloval chod po íta e. 33

[JOH2]

34

[BAY]

33


8 Doporu ení vhodných ení

ení

1 Definování zranitelných míst

7 Set íd ní zji ných bezpe nostních nedostatk

2 Zvá ení po adavk odv tví

Souhrn fází bezpe nostního auditu 3 Prov rka zavedených firemních politik

6 Provedení penetra ních test

5 Kontrola aktuálního zabezpe ení, zam ení se na vnit ní audit

4 Srovnání s bezpe nostními standardy

Obr. 6 Jednotlivé kroky bezpe nostního auditu 35

6.2.2

Výstup BA

Jak jsme uvedli na za átku, bezpe nostní audit má p esn íci, které a jak záva né jsou bezpe nostní nedostatky. Jeho cílem je ur it, jak velká pozornost by m la být zji ným problém m v nována a jak jsou tyto nedostatky obecn nebezpe né (zji no v porovnání s mezinárodní standardy, seznamy známých zranitelných míst systém , aplikací (viz ICAT NIST)) a jaké mohou mít d sledky pro organizaci. K tomu se vyu ijí podklady z analýzy rizik, kde je míra nebezpe nosti pro organizaci stanovena. Konkrétní nedostatky a zranitelná místa je vhodné odstup ovat, p adit jim prioritu, podle míry rizika, kterou p edstavují pro organizaci, jak intern tak extern . Stupn by pak m ly záviset na mí e záva nosti a odhalení systému. V p ípad auditu e-business ení bude pravd podobn nejv í váha p ikládána výsledk m penetra ních test . Bezpe nostní audit zárove navrhuje mo ná vhodná ení na odstran ní zji ných problematických míst, která nemusí nutn znamenat dal í investice do zabezpe ení/hardwaru/softwaru. asto sta í nap .

35

•

vyu ít a správn nastavit kontrolní a ochranné mechanismy, které jsou implementovány ji od výrobc ;

•

pravideln aktualizovat systémy, jejich záplaty (patches) jsou publikovány producenty komponent/systém ;

[MEL]

34

Bezpe nostní audit e-business •

zm nit výchozí nastavení ú atd.

ení

, zp ísnit po adavky na u ivatelská hesla (password policy)

Výstup auditu shrnuje, co bylo testováno. Jsou v n m vymezeny opera ní systémy, provozované databáze, aplika ní a webové servery, popsána topologie sít a stroje, které byly p edm tem testu. Zárove obsahuje p esný popis u in ných krok , provedených test , vý et odhalených problém a nedostatk a vyjmenovává zji ní u in ná auditorem. Jsou p ipojena doporu ení (nap . zavedení auditního nástroje pro detekci pr nik do systému – Intrusion Detection System) s azeným stupn m priority a podrobným popisem. Hlavními p ínosy bezpe nostního auditu by m lo obecn být •

odhalení zranitelných míst a potenciálních hrozeb,

•

zvý ení bezpe nosti a odolnosti e-business

•

doporu ení vhodných ení a opat ení p ímo na míru konkrétnímu e-business resp. organizaci a jejím pot ebám,

•

je základem pro zlep ení, resp. zavedení kvalitní bezpe nostní politiky firmy.

6.2.3

ení, ení,

Bezpe nostní audit web aplikací a server

V této ásti se na ukázku zam íme je jednou a podrobn ji na bezpe nostní audit web aplikací a server . D vod je jednoduchý – b hem auditu jim je v nována nejv í pozornost, proto e jsou ivotn d le itou ástí a vstupní bránou k dal ím komponentám infrastruktury e-business ení. Pokud není web server dostate zabezpe en, m e zneu ití jeho nedostatk umo nit postup úto níkovi hloub ji do systému. Zárove je “tvá í” systému, která z pravidla jako jediná ást je viditelná zven í. Dal ími komponentami e-business ení se nebudeme zabývat z d vodu limitovaného rozsahu této studie, která nem e pokrýt ka dou z nich do té míry podrobnosti, kterou by si jist zasluhovaly. Zárove je d le ité zd raznit, e bezpe nostní audit web server a aplikací je p edev ím nejd le it ím prvkem, který odli uje tento typ auditu od klasického bezpe nostního auditu. Kontrolní seznam36 auditu webových aplikací37 by m l mimo jiné obsahovat: •

Zaji

ní u ivatelských po adavk , aby obsahovaly nebo zaji ovaly:

o identifikaci aktiv (vychází z analýzy rizik); o

el za jakým bude aplikace pou ívána;

o identifikace u ivatel . jejich rolí a práv (autorizace a autentizace); o právní a obchodní otázky – podpora pro nepopiratelnost provedených akcí, auditní záznam, digitální podpisy a silné ifrování. •

Pou ívání Javy – auditor by m l zjistit nap ., zda o existuje kód, který ukládá u ivatelské autentiza ní informace uvnit session prom nné; o

ídy dostupné virtuálním stroj m jsou omezené;

36

Kontrolním seznamem rozumíme dokument, který obsahuje vý ty obvyklých bezpe nostních problém a oblastí, které se na kontrolovaném objektu vyskytují. Slou í k tomu, aby b hem auditu nedo lo k opomenutí jakého známého (a zásadního) problémového místa. 37

[KRI]

35


ení

o u r zných citlivých Java komponent (beans) mají pouze administráto i p ístup k omezeným metodám o jsou ádn definována u ivatelská práva; o rozsah metod a polí je co nejvíc, jak je to mo né, omezen; o neexistuje zp tná reference na interní pole (arrays), která obsahují citlivá data. •

Pou ívání CGI – v p ípad , e .cgi programy jsou pou ívány pro vytvá ení nebo otevírání soubor , je nutné v novat pozornost následujícímu: o kód o et ující chyby je schopen varovat u ivatele v p ípad , e soubor ve skute nosti není soubor, nem e být otev en nebo vytvo en, ji existuje, vy aduje jiná povolení/práva; o zaji ní, e soubory nejsou zapsány ve ve ejn p ístupných adresá ích, ve kterých lze íst a do nich i psát; o zaji

ní omezení souborových práv na maximální mo nou míru;

o zaji ní, e spu né skripty pou ívají práva u ivatele, který je spustil a ne práva ID u ivatele (userid) http procesu. •

Kontrola nebezpe ných HTML tag obsa ených ve web-klientovských po adavcích – auditor by se m l ujistit, e: o existuje postup, kterým web-vývojá i zajistí, e dynamicky generované stránky neobsahují ne ádoucí tagy; o

e je zde postup pro web-vývojá e, jak omezit prom nné pouze na ty znaky, které jsou explicitn povolené a tyto prom nné jsou kontrolovány b hem generování výstupní stránky;

o se vývojá i podle uvedených postup skute •

ídí.

Minimalizace nebezpe ného obsahu – v této ásti by se m l auditor ujistit, e: o je pevn dán soubor znak pro ka dou vygenerovanou stránku; o existuje postup, jak ur it speciální znaky a jak je vyfiltrovat (nap . <, >, &, “ “, “, mezera a tabulátor, nový ádek, %, ! atd.); o dynamický výstup je v dy p ekódován; o na výstupní stran je implementováno filtrování dynamického obsahu; o existuje postup pro pe livé p ezkoumání cookies, které jsou p ijímány a filtra ní techniky jsou pou ity k ov ení, e v nich není nebezpe ný obsah;

e

o kódování je aplikováno také na URL adresy a HTML stránky. •

Testování aplikace o testování aplikací na bezpe nostní nedostatky pomocí aplika ních skener jako nap . AppScann (Sanctum), Retina (eEye) nebo Web Inspect (SPI Dynamics).

•

Zaji o

•

ní soukromí lo by být zaji no, e aplikace zachází s osobními daty tak, jak je po adováno právními p edpisy daného státu (nap . v R podle zákona o ochran osobních údaj – viz dále).

Dokumentace

36


ení

o systém by m l být ádn zdokumentován. Dokumentace by m la zahrnovat: nastavení serveru a aplikace, povolení zdroj , jaké jsou citlivé zdroje, jak správn provád t operace a zm ny. •

Anonymní p ístup o

•

echny ásti funkcionality by m ly pou ívat ádnou autentizaci spí e ne anonymní autentizaci;

GET, POST a ifrování o metoda GET by nem la být pou ívána pro posílání citlivých dat, proto e informace je zaznamenána v b itelném textu, i kdy je pou ito SSL. SSL za ifruje data pouze pro p enos, nikoliv na míst doru ení. o pokud je pou ívána metoda POST, HTTP t lo není obsa eno v záznamu. Nicmén metoda POST stále posílá data jako itelný text, proto je nezbytné pou ít ifrování. o citlivá data by m la být na aplika ní úrovni ifrována

•

Kontrola vstupních dat o vývojá i by m li pln zvá it dopady p icházejících/vstupních dat ve smyslu URL adres, metod, cookies, HTTP hlavi ek a datových polí; o takový postup by m l být ádn otestován ve smyslu následujícího: jestli e je URL zm na, m e klient vstoupit do session jiného u ivatele? o aplikace byla m la být otestována tak, aby vstupní datová pole nemohla zp sobit ete ení bufferu (buffer overflow) nebo cokoliv p ipisovat k SQL p íkazu (a tak nap . spustit kód na SQL serveru).

•

Zapomenuté HTML komentá e v kódu o

•

ádné citlivé informace by nem ly být obsa eny v HTML komentá ích, které jsou ponechány v kódu klientských skript .

Chybová hlá ení o chybová hlá ení by nem la prozrazovat citlivé informace (nap . fyzické cesty, nebo architekturu platformy), které by mohly být pou ity k uskute ní útoku proti systému/organizaci; o

•

la by prob hnout kontrola chybových hlá ení spojených s konfigurací serveru a jak s nimi nakládá aplikace. Pod IIS by m la být vybrána mo nost zobrazení obecné chyby namísto zaslání detailní ASP chybové zprávy na klienta (jak je implicitn nastaveno) .

C/C++ o proto e C/C++ nedoká e samo o sob o et it p ete ení bufferu, závisí na programátorech, aby implementovali zabezpe ení proti této chyb . dal ím problémem jsou tzv. et zcové útoky (string attacks). Proto je nutné ujistit se, e byly provedeny ádné revize kódu, aby se ur ily nebezpe né praktiky a zji né problémy byly opraveny; o testování s úmyslem najít nebezpe né konstrukce za pou ití nástroj jako L0pht´s SLINT; o je nutné ov it, zda-li byla zkontrolována platnost v ech vstupních argument ; o nem lo by být pou íváno volání system(), shell(), popone a exec*p; 37

Bezpe nostní audit e-business o •

ení

echny funkce by m ly vracet správné hodnoty.

SSL o je nutné ujistit se, e pro ifrování in-transit prvk je pou ívána SLL.

•

Logy o logy by m ly být udr ovány a e informace v nich zaznamenávané by m ly být ite né, nap . jsou dostate podrobné.

Tento vý et potenciálních problém , které je nutné prov it b hem bezpe nostního auditu, samoz ejm není kompletní. Ani ve své podstat být nem e – nové bezpe nostní chyby jsou stále objevovány. S rychlým vývojem technologií vznikají netu ené bezpe nostní díry a problémy. Zále í na administrátorech, vývojá ích a programátorech, jak zodpov dný postoj zaujmou k vývoji, testování a provozu web aplikací a server . Jak bylo v jednom bodu uvedeno, je doporu eno vyu ít p i tak náro né innosti, jakou bezpe nostní audit bez pochyby je, automatizované auditní nástroje, které na základ testování proti známým bezpe nostním chybám ípadn za vyu ití heuristických postup , rychle a efektivn zkontrolují bezpe nostní stav aplikace, serveru, opera ního systému atd. O t chto programech bude pojednáno v následující kapitole. Záv r V této kapitole jsme se podrobn ji seznámili s analýzou rizik – jednotlivými kroky a jejich obsahem. Také jsme si p edstavili metodiku pro analýzu rizik CRAMM, která je sou ástí certifika ního procesu podle standardu BS 7799. V ásti v nované bezpe nostnímu auditu jsme si pro li kontrolní okruhy, které by m ly být zahrnuty v rámci auditu e-business ení – auditní po adavky na firemní politiku zabezpe ení systému, zabezpe ení technické infrastruktury, penetra ní testy. Zmínili jsme se o p ínosech, které by m l bezpe nostní audit poskytnout auditované firm . Jako názornou ukázku jsme si uvedli p íklad kontrolního seznamu, který by m l figurovat p i auditu webové aplikace.

38


ení

7 NÁSTROJE PRO AUTOMATIZOVANÝ BEZPE NOSTNÍ AUDIT Bezpe nostní audit e-business ení, jak vyplývá z uvedených skute ností, je zále itostí velmi komplexní a náro nou, vy aduje hluboké odborné znalosti auditované oblasti, proto v inou audit provádí tým specializovaných analytik . Audit je komplikovaný i z toho d vodu, e v ina dat a informací, které jsou sou ástí auditního procesu je v elektronické form , e jeho p edm tem jsou, krom jiných, technické a programové prost edky systém , které nelze reáln zkontrolovat bez pou ití speciálního softwaru. Proto se v této ásti budeme v novat nástroj m, které podporují automatizované provedení bezpe nostního auditu. Hodnota t chto nástroj vzniká v rukou analytik , kte í jejich výsledky zhodnotí a p edev ím navrhují p íslu ná bezpe nostní opat ení, jak systémy nov /lépe nakonfigurovat a jaká mají být in na opat ení nutná k zaji ní vy ího stupn bezpe nosti. Auditních nástroj existuje celá ada, proto jsou zde vybráni zástupci pro ka dou komponentu ebusiness ení. Je z ejmé, e se jedná pouze o nepatrný zlomek mo ných softwarových prost edk , které lze b hem bezpe nostního auditu vyu ít, a e existují dal í, které mohou nabídnout op t jiné kvality.38

7.1 AUDIT OPERA

NÍCH SYSTÉM

ina opera ních systém má v sob standardn implementován ur ité auditní charakteristiky, které umo ují sledování d ní v rámci provozu systém . To umo ují auditní záznamy po izované nap . v rámci MS Windows Event Viewer (Prohlí událostí), nebo lastlog v Unixu pro kontrolu sledování posledního p ihlá ení u ivatele, a dal ích utilit. Generování auditních záznam je asto automaticky nastaveno p i instalaci systému. My si zde uvedeme auditní nástroje od jiných výrobc , ne jsou producenti samotných OS. 7.1.1

AuditPro (MS Windows)

AuditPro pro OS Windows obsahuje více jak 85 pro Windows specifických kontrol. Hlavní edností je podrobná a obsáhlá ohla ovací schopnost. Sou asn s Audit Central Console, centralizovaným kontrolním softwarem, umo uje provád t audity na jakémkoliv Windows serveru v rámci celé organizace.39 Zam uje se na známá zranitelná místa a patnou konfiguraci Windows. Kontroluje záplatování systému, jestli jsou disky NTFS formátované, jaká práva byla p id lena ke kritickým adresá m, jaké sí ové slu by b í, jací u ivatelé jsou p ihlá eni do systému atd. Hlásí pouze taková zranitelná místa, která skute existují, bez potenciálních mo ných. Ke zpráv je p ipojen Apendix, který poskytuje seznam softwaru instalovaného v systému, seznam COM port , sí ové karty, modemy atd. Prov rky AuditPro zahrnují: • Obecnou informaci (verze opera ního systému, instala ní adresá OS, velikost RAM, typ procesoru), • Fyzickou bezpe nost (screensavery, Windows platformy, bezpe nostní klí e registr ),

38

39

Poznámka: Ve keré informace uvád né v této kapitole jsem erpala z materiál poskytovaných producenty chto auditních nástroj na Internetu, tak jak se odkazuji na jednotlivé web stránky. Ukázka auditní zprávy AuditPro pro Windows je dána k dispozici v p ílohách.

39

Bezpe nostní audit e-business • • • • • • • • •

ení

Bezpe nost OS (revize servisních balí a záplat (servis packs a patches), alternativní opera ní systémy, formát systému soubor na discích, startup programy, metoda aktualizace Windows, auditní politiku), Bezpe nost sít (sdílení a povolení, otev ené TCP/IP porty, seznam slu eb), ivatelskou bezpe nost (seznam u ivatel a skupin, politiku hesel a zamykání ú , dodate né registry, bezpe nostní klí e), Souborová/adresá ová práva (kontroluje p ístupový seznam k u ivatelem vybraným slo kám a soubor m), Bezpe nost IIS (bezpe nostní klí e registr , rodi ovské cesty (parent paths), povolení ístupu k soubor m), Internetovou bezpe nost (nastavení zón v Internet Exploreru, makra v balíku Office, modemy), Záznamy událostí (event logs – hlá ení ze záznam bezpe nostních událostí, zprávy ze záznam aplika ních událostí), Virovou kontrolu (skenuje systém ohledn deseti nejnebezpe ích vir ), zné informace (COM porty, sí ové adaptéry, instalovaný software).40

Jako dal í auditní nástroje pro MS Windows si m eme uvést: 7.1.2

SMB Auditing Tool (NetBIOS)

SMB auditní nástroj slou í ke kontrole nastavení hesel v MS Windows. Umo uje otestovat jejich odolnost proti zneu ití chyby timeout architektury ve Windows 2000/XP a tak výraznému urychlení uhodnutí hesla (hackerem). B hem spu ní velkého souboru s hesly proti Windows 2000/XP je schopen otestovat cca 1200 login /s. To znamená, e je doká e vyzkou et anglický slovník o 53.000 slovech proti serveru za dobu pod jednu minutu. Podporuje SMB p es NetBIOS a nativní SMB p es TCP port 445. 7.1.3

Sunbelt Network Security Inspector41

Auditní nástroj pro MS Windows 95/98/ME/NT/2000/20030XP. Obsahuje: •

aktualizovanou databázi bezpe nostních nedostatk , odpovídá standardnímu schématu CVE (Common Vulnerabilities and Exposures),

•

provádí analýzu jak celé domény, tak jednotlivých stroj ,

•

podává zprávy – pro management, o stavu sít , souhrny zranitelných míst, seznamy bezpe nostních d r na jednotlivých strojích, atd..

Databáze bezpe nostních nedostatk jsou pravideln aktualizovány a tak u ivatel m poskytuje podrobné informace o konkrétních nedostatcích (název, popis, ení, míra rizika, související webové odkazy, identifika ní íslo CVE atd.).

40

http://www.nii.co.in/software/apwin.html

41

http://www.sunbelt-software.com/product.cfm?id=987

40


ení

AuditPro (Unix)

Navazuje na tradici auditních nástroj jako jsou COPS a SARA, b hem auditu se zam uje edev ím na patnou konfiguraci a známky kompromitování systému. AuditPro for Unix se pou ívá na platformách Sun Solaris, IBM AIX a Linux. Kontroly obsa ené v AuditPro pro Unix: •

integrita u ivatel a skupin,

•

kontrola práv p ístupu k soubor m,

•

konfigura ní kontroly pro FTP, SMTP a HTTP,

•

kontroly Cron a at,

•

kontroly otev ených port ,

• • •

ící sí ové slu by, otev ené soubory, ící procesy (se azené podle CPU a pou ívání pam ti),

•

záplaty (patches) aplikované na opera ní systém,

•

seznam instalovaného softwaru,

•

seznam hardwaru jak je vid n opera ním systémem,

• •

ivatelé p ihlá ení do systému, kontrola innosti b ných administrátorských nástroj (root-kits).42

7.2 AUDIT WEB SERVER

A APLIKACÍ

Web server m, web aplikacím a jejich bezpe nosti se v e-business p ikládá nejv í d le itost. vod je prostý – pokud jsou (budou) napadnutelné resp. ohrozitelné, je snadné vyu ít t chto nedostatk k zahájení útoku proti celé infrastruktu e e-business ení. To znamená dál na aplika ní servery, databázové servery atd., jsou tedy kritickou slo kou celého systému. 7.2.1

Nixu

Jedná se o modulární produkt. Konkrétní moduly a po adavky pot ebné k auditu jsou ohodnoceny edem, aby se zajistila co nejv í efektivnost podniknutých krok . Nixu zahrnuje analýzu, testovací a auditní moduly, které je mo né vzájemn kombinovat a parametrizovat podle unikátních vlastností ka dého systému. Hodnotí aktuální úrove zabezpe ení hardwarových a softwarových prvk . Obsahují detailní zprávy s kompletní technickou analýzou, p azenou prioritou, zji nými skute nostmi a doporu eními. Mezi moduly pat í: •

Analýza sít z Internetu o zahrnuje externí skenování sítí za ú elem zhodnotit úrove jejich zabezpe ení. Vyu ívá celou paletu nástroj pro identifikaci bezpe nostních problém , které jsou “viditelné” z Internetu. Tato analýza v sob zahrnuje kontrolu konfigurace router a dal ích sí ových prvk .

•

42

Analýza sít ze sít

http://www.nii.co.in/software/apunix.html

41


ení

o sestává z p ipojování se k síti z n kolika interních bod s cílem ohodnotit úrove ochrany proti útok m zevnit organizace. Také m e zahrnovat otestování konfigurace router a dal ích sí ových prvk . •

Penetra ní testy o testují zranitelná místa z pozice internetového úto níka a potenciální problémy jsou aktivn ozkou eny za ú elem zji ní, jestli by nemohly být úsp zneu ity k získání p ístupu do systému. V p ípad , e se poda í získat p ístup k p edem ur enému systému, zranitelná místa jsou nahlá ena spole s návrhem na vhodné ení. Test také m í technické a administrativní schopnosti organizace detekce pr niku do systému.

•

Testy odmítnutí slu by (DoS) o otestuje simulovaným útokem typu DoS dostupnost systému. Pomocí modifikovaných IP paket nebo vysokého objemu dat zjistí odolnost systému. Výsledná zji ní pomohou navrhnout dostupnou kapacitu.

•

Audit bezpe nosti serveru o auditní test, který zkou í bezpe nost konfigurace server z hlediska p ístupových práv, hesel, systémových log a bezpe nostních záplat. Cílem je zjistit jak jsou servery ohrozitelné vnit ními útoky a jak moc bezpe nostní systém závisí na ochran firewallem.

•

Audit bezpe nosti aplikací o

•

zné testy hodnotí, jak je chrán na d rnost, integrita, a dostupnost dat a tak jak zachází aplikace s autentizací, autorizací, chybami a sledováním session. Cílem je najít taková zranitelná místa, které jsou zneu itelná kýmkoliv, kdo má webový prohlí a právo pou ívat aplikaci.

Audit firewall a soukromých datových sítí (VPNs) o ov í konfiguraci a implementaci firewall , jako to základních komponent zabezpe ení propojených sítí a soukromých datových sítí, které zprost edkují provoz mezi firewallem a vzdálenými u ivateli. Doká e zjistit, zda-li opera ní prost edí spl uje bezpe nostní a funk ní po adavky.

Podrobné informace na http://www.nixu.com/security/audit/ 7.2.2

IISSecurityAudit

Auditní nástroj od firmy LokBox.net je zam en na konfiguraci Windows Server, zji uje edev ím bezpe nostní nedostatky, které hacke i zneu ívají skrze Internet Information Server (IIS) od Microsoftu. Upozor uje na obecn známé zranitelnosti systému a doporu uje, jak nastavit web server, aby byl co nejodoln í proti napadením zven í. Kontroluje bezpe nostní nedostatky jako jsou RDS, ODBC Shell Access, Internet Printing, IIS AppMappings. Navíc upozor uje na kterých DoS p íkaz , které by m ly být odstran ny. •

43

RDS – IIS je zranitelný v i útoku skrze “vzdálených datových slu eb” (Remote Data Services – RDS). Ty umo ují spustit programy, prohlí et soubory a p istupovat k dat m v databázovém serveru.43

http://www.lokbox.net/IISSecurityAudit/Vulnerabilities/RDS.htm

42


ení

•

ODBC Shell Access – IIS je zranitelný v i útoku vedenému p es Jet Database Engine, který umo uje spou t programy na IIS serveru. Jet Engine je back-endem databáze Access.44

•

Tisk p es Internet (Internet Printing) – OS Windows od verze 2000 má implementován prvek, který umo uje u ivatel m p ipojovat se k tiskárnám, které jsou sdílené serverem, es Internet. Je známé, e d ív í verze tohoto prvku byly zranitelné na útok p ete ením bufferu (buffer overflow attack) a tím umo nil hackerovi spustit kód na serveru. IISSecurityAudit upozorní v p ípad , e server má n jaké stránky, na kterých je povoleno mapování tiskáren (.printer mapping).45

•

APP Mappings – IIS obsahuje zna né mno ství dll knihoven, které roz ují funkcionalitu serveru (nap . asp.dll, která je volána poka dé, kdy u ivatel vstoupí na .asp stránku). Tyto knihovny jsou ISAPI (Internet Server API) aplikace, z nich n které mohou být zdrojem mnoha bezpe nostních d r. IISSecurityAudit kontroluje v echny webstránky na serveru, zda-li je na nich odstran no mapování aplikací: .htr, .idc, .stm, .ida, .idq, .shtml a .shm.46

•

DoS p íkazy (DoS Commands) – audit upozor uje na programy, které m e úto ník zneu ít za ú elem sta ení a instalace hackovacích program na server. Mezi n pat í cmd.exe, command.exe, tftp.exe, ftp.exe.47

Dal í informace na http://www.lokbox.net/IISSecurityAudit. 7.2.3

AppScann

AppScan DE (developer edition) od firmy Sanctum poskytuje snadný a automatizovaný zp sob pr né kontroly webových stránek, zda-li v sob neobsahují bezpe nostní nedostatky. Tím podporuje rychlý vývoj bezpe ných, kvalitních web aplikací v rámci .NET nebo Java vývojových prost edí. M e být pou it samostatn nebo jako integrovaný nástroj (ve form projektu) ve Visual Studio.NET resp. jako nativní plugin pro WebSphere Application Developer Studio, Eclipse a Jbuilder. To lze vyu ít b hem testování aplikace ji p i jejím vývoji. Ke ka dému bezpe nostními testu poskytuje AppScann podrobné informace – nahlásí nejzáva í nedostatky, kde se p esn nacházejí, jak jim porozum t a jak je opravit. Pro ka dý projekt je mo né nastavit, v kolika úrovních má AppScan vyhledávat bezpe nostní nedostatky.48 AppScann AE (Audit Edition) urychluje hodnocení a analýzu, ov uje aplika ní bezpe nost. Nabízí: •

esné zhodnocení bezpe nosti (Accurate security Assesment) o testuje novou a existující infrastrukturu v etn XML/SOAP aplikací a prost edí o

ídící prvky jsou parametrizovatelné, aby testování bylo p esné a efektivní

o obsahuje rozsáhlý popis testovaných nedostatk : ASVs, CWVs, útoky na XML/WebServices, testování zaji ní soukromí •

analýzu souladu (Compliance Analysis & Reporting)

44

http://www.lokbox.net/IISSecurityAudit/Vulnerabilities/ODBCShellAccess.htm

45

http://www.lokbox.net/IISSecurityAudit/Vulnerabilities/InternetPrinting.htm

46

http://www.lokbox.net/IISSecurityAudit/Vulnerabilities/AppMappings.htm

47

http://www.lokbox.net/IISSecurityAudit/Vulnerabilities/DOSCommands.htm

48

[SANC]

43


ení

o vestav né testování a hlá ení souladu o parametrizovatelné ablony umo ují testování firemních bezpe nostních praktik v reálném ase o generování mnohonásobných zpráv o souladu z jediného ohodnocení aplikace •

sdílení výsledk (Intelligent Results Communication) o pln automatizované analýza výsledk , umo uje p esnou interpretaci o obsahuje XML základy pro mobilní vým nu dat a analýz o Delta a trendová analýza poskytují pln srovnatelné výsledky, které umo ují porovnání souladu v ase.49

7.3 DATABÁZOVÝ AUDIT V e-business nejde pouze o vým ny informací, velmi podstatnou ástí celého obchodního cyklu je také zpracování a uchovávání získaných informací. Proto firma pot ebuje v t co, kdy, kde a jak se d je s jejími daty a zárove , kdo je p vodcem t chto operací. Pro audit databází existuje iroká paleta auditních nástroj , jak od samotných producent databázových systém jako je FGA od Oracle (Verze 9i a vy í) nebo od firem, které mají ve svém portfoliu bezpe nostních auditních nástroj takové, které se specializují na databáze. 7.3.1

ApexSQL Log

Jedná se o SQL databázový auditní nástroj, který analyzuje transak ní log SQL Serveru za ú elem zobrazení informací o datech a strukturálních zm nách. D sledkem tení transak ního logu, je e nenar stají re ijní náklady na databázi a je mo né auditovat zm ny, které se vyskytly i p ed okam ikem instalace nástroje. •

Podporuje export do XML a do tzv. ivých log (live logs).

•

Doká e pasivn auditovat zálohy transak ních log , které byly vlo eny, aktualizovány (oba p ed i po) nebo smazány z ka dé tabulky v databázi.

•

Nabízí filtrování, t íd ní a seskupování dat z log ; pohled na historii zm n v ádku; audituje bez naru ení zálohy mnohonásobných transak ních log nebo soubor s „ ivými logy“.

• 7.3.2

te databázové zálo ní soubory a zpracovává je do informací v itelné form .50 Pervasive AuditMaster

Pervasive AM poskytuje kompletní monitorování databáze a lad ní databázové úrovn aplikací vytvo ených nad databází. Tím napomáhá rychlé a p esné diagnóze problém . Také usnad uje harmonizaci postup pomocí prosazování nejlep ích praktik a udr ování detailních auditních stop a záznam . •

Umo uje nastavit pravidla pro upozor ování na podez elé transakce (nap . u ivatelé adili práva sami sob ), podle pot eb pracovi a v souladu s firemními politikami.

•

Sleduje a hlásí ve kerou aktivitu v SQL databázi, bez ohledu na zdroj nebo aplikaci.

49

http://www.sanctuminc.com/solutions/appscanaud/features/index.html

50

http://www.pcworlddownload.com/development-tools/sql/apexsql-log.htm

44


ení

•

Audituje v echna data a operace.

•

Ohla uje zm ny v reálném ase nebo je ukládá jako auditní záznam.

•

Je schopen obnovit integritu databáze k p esn stanovenému okam iku v ase skrz odvolání transakcí (transaction undo).51

7.3.3

AppDetectiveTM

AppDetective je sí ový nástroj pro posouzení zranitelných míst, který hodnotí sílu bezpe nosti aplikací v rámci sít . Vybaven bezpe nostní metodologií spole s rozsáhlou znalostní databází bezpe nostních nedostatk aplikace lokalizuje, otestuje, nahlásí a pom e s opravou bezpe nostních d r a patných konfigurací. V sou asné dob podporuje: Oracle, Sybase, IBM DB2, Microsoft SQL Server. AppDetective bezpe nostní skener pro Oracle lokalizuje a hodnotí odolnost zabezpe ení databázových aplikací v rámci sít za pou ití penetra ních test a technik bezpe nostního auditu. Automatizovan provádí penetra ní testy, kontroluje náklady v oblasti prevence pr niku do systému tím, e udr uje ádn nakonfigurovanou a zabezpe enou databázi, je schopen okam it provést test „s nulovou znalostí“, bez pot eby získávání povolení, dodate né konfigurace databázových spojení nebo instalování soubor na cílových serverech; p ipraví zprávy o zji ných bezpe nostních dírách, tak aby bylo mo né je p ímo sd lovat (nap . managementu firmy). Oracle opera ní módy (Oracle Modes of Operation) •

Objevování – systematický p ístup k vyhledávání databází a databázových komponent ve firemní síti. Zakládá se na vlo ení rozsahu IP adres, ze kterých následn lokalizuje a inventarizuje ve keré databázové komponenty v daném pásmu. Výsledkem jsou ísla verzí a jména ka dé nalezené komponenty.

•

Pen test – hloubkový bezpe nostní test, který realizuje sérii test za ú elem identifikovat, jak by mohl vet elec nebo neautorizovaný u ivatel získat p ístup do systému. Tyto testy simulují, jak by mohl vet elec zneu ít nezabezpe ená místa, tak aby se „vloupal“ do systému zven í.

•

Bezpe nostní audit – hloubková zkou ka interních konfigurací a potenciálních bezpe nostních d r v databázích. Vy aduje p ístup do databáze jako platný u ivatel, aby mohl ov it interní konfigura ní nastavení. Zárove zkoumá, jak by mohl neautorizovaný ivatel získat v í práva nebo obejít bezpe nostní kontroly a mechanismy databáze zevnit .

Kategorie Bezpe nostního auditu nabízí kontrolu •

ístupových práv (týká se vnit ní bezpe nostní politiky dané aplikace – p ístupové kontroly mohou být patn nastaveny, proto je pot eba je zkontrolovat a ov it).

•

Integrity aplikace (integrita je stav, kdy je aplikace autentická – nap . instalace „Trojského kon “ v systému poru ila jeho integritu. Systém si m e zachovat integritu nap . zaji ním auditních log proti smazání nebo modifikaci úto níkem).

•

Identifikace u ivatel /kontroly hesel (mechanismy a kontrolní prvky pro procesy jako je tvorba hesla a vypr ení platnosti ú tu).

•

Integrity opera ního systému (zaji uje, e nastavení opera ního systému nebylo zm neautorizovaným u ivatelem).

51

no

http://www.pervasive.com/auditMaster/

45


ení

Klí ové prvky AppDetective pro Oracle jsou: objevování a inventarizace; neru ivé penetra ní testy a bezpe nostní audit; distribuovaná podniková architektura; stále aktualizovaná znalostní báze aplika ní bezpe nosti; dopl ková a kompatibilní bezpe nostní ení. Více informací na http://www.appsecinc.com/products/appdetective/.

7.4 AUDIT SÍT

A KOMUNIKA NÍCH KANÁL

Sít zprost edkují vým nu dat a informací mezi zú astn nými stranami e-business ení. Jeliko není mo né provést „audit Internetu“ samotného, zam uje se bezpe nostní audit na kontrolu vnit ní konfigurace a zabezpe ení sítí v rámci dané organizace. 7.4.1

Retina Network Scanner

Retina sí ový skener od firmy eEye je obecn uznáván pro svou rychlost, snadnou pou itelnost, neru ivé a pokro ilé skenovací schopnosti, které vyu ívají technologie um lé inteligence (AI). hem auditu ur í známé bezpe nostní nedostatky a napomáhá s p azováním priority t m hrozbám, které by m ly být minimalizovány. Retina umo uje zapojení interních politik a standard pou ívaných v rámci organizace. V rámci distribuovaných sítí je podporováno skenování za pomoci n kolikanásobných Retina stroj , kontrolovaných p es webové rozhraní. Po skon ení skenu je dodána obsáhlá zpráva, která podrobn vysv tluje v echny v systému otestované bezpe nostní problémy a navrhne vhodná ení (nap . sta ení p íslu ných patch nebo vyu ití Retina automatické schopnosti opravit nevhodné konfigurace). V distribuovaných firemních prost edích, jakým je e-business ení, m e být Retina nasazena s REM (Remote Enterprise Management), aby byl vytvo en odolný firemní systém pro ízení hodnocení a minimalizaci bezpe nostních nedostatk . Retina vyu ívá schopností CHAM (Common Hacking Attack Methods), technologie zalo ené na um lé inteligenci (AI). Díky tomu doká e provést kontrolu zakázkového softwaru, specializovaných aplikací a zastaralých program , které v sob mohou skrývat mnoho neznámých bezpe nostních d r. CHAM by vyvinut, aby simuloval chování hackera a prov il bezpe nost ech takto vyvinutých aplikací. V p ípad , e je CHAM funk nost spu na, Retina na sebe bere dv role: nejd íve provede b nou, skrytou kontrolu a zjistí v echny známé nedostatky. Poté se epne do CHAM módu a otestuje slabá místa sít v neobvyklých aplikacích nebo upravených programech. hem tohoto testu jsou zkontrolována v echna sí ová za ízení a jejich vzájemná komunikace po síti. Ta je následn podrobena kontrole pomocí simulovaný útok na vybrané protokoly (nap . HTTP, FTP, SMTP, POP3 atd.). Krom toho je proveden audit p ete ení bufferu. 7.4.2

SAINT Scanning Engine52

SAINT – Security Administrator´s Integrated Network Tool je dal ím nástrojem pro vyhledávání zranitelných míst sít . Je vyu íván pro neru ivé detekování bezpe nostních nedostatk na vzdálených místech, které mohou být cílem útoku, v etn server , pracovních stanic, sí ových za ízení. Zárove zji uje informace o opera ních systémech a otev ených portech. Grafické ivatelské rozhraní (implementované do web prohlí e) zaji uje p ístup k SAINT data management, konfiguraci skenu, asovému rozvrhu spou ní skenu a analýze dat. Zprávy o dokon eném skenu je mo né vygenerovat a ulo it. V pr

52

hu skenu SAINT

http://www.saintcorporation.com/products/saint_engine.html

46


ení

•

zkontroluje ka dý „ ivý“ systém na síti ohledn TCP a UDP slu eb

•

pro ka dou b ící slu bu spustí soubor test vytvo ených za ú elem detekovat cokoliv, co by mohlo pomoci úto níkovi p i získání neautorizovaného p ístupu, vytvo it odmítnutí slu by (DoS) nebo získat citlivé informace o síti.

Kdy jsou bezpe nostní nedostatky detekovány, SAINT rozd lí výsledky do n kolika kategorií, aby bylo mo né vybrat ty, které mají pro u ivatele nejv í hodnotu. Bezpe nostní problémy lze seskupit podle záva nosti, typu nebo po tu výskytu. Zárove tento sí ový skener doká e poskytnout informace o konkrétním hostiteli (host) nebo skupin hostitel a popsat zp soby, jak opravit problémy, kde získat informace o nejnov ích bezpe nostních záplatách atd. Záv r V této kapitole jsme se seznámili s jednotlivými auditními nástroji pro základní komponenty ebusiness ení. V ina t chto nástroj poskytuje zna podobnou funkcionalitu v rámci dané oblasti, li í se nap . vyu itím technologie um lé inteligence, i po tem implementovaných modul .

47


ení

8 STANDARDY A PRÁVNÍ PO ADAVKY Dobré standardy jsou jako dobré zákony. Bezpe nostní audit se zabývá krom zkoumání technického stavu systém a jejich nedostatk , také kontrolou firemních bezpe nostních politik. Naskýtá se proto otázka, na základ eho m e auditor vyslovit sv j výrok o dostate nosti i nedostate nosti bezpe nostních opat ení, politik, procedur, které jsou ve firm zavedené. Jeho úsudek a zku enosti by mohly být pova ovány za nedosta ující a málo objektivní. Proto se b hem auditu vyu ívá mezinárodních standard , které jsou v oblasti informa ní bezpe nosti celosv tov uznávány. Ty nabízí pevné vodítko jak postupovat, které stránky bezpe nosti pova ovat za podstatné a které prvky mohou signalizovat hlub í problém ne jak by se na první pohled mohlo zdát (nap . nedostate vy kolení zam stnanci v oblasti bezpe nosti, nefungující bezpe nostní politika, neexistence havarijního plánu atd.). Tyto standardy jsou tedy pou ívány b hem bezpe nostního auditu jako metriky pro zkoumání bezpe nostní politiky firem, úrovn bezpe nostních opat ení a celkového stavu bezpe nosti auditované firmy/organizace v bec. V této ásti se budeme zabývat aktuálními standardy, které jsou v oblasti managementu informa ní bezpe nosti nejroz en í. Mezi n pat í: BS 7799 Information Security Management resp. ISO/IEC 17799 Code of Practice for Information Security Management, ISO/IEC 15408 Common Criteria for IT Security Evaluation a ISO/IEC TR 13335 Guidelines for the Management of IT Security. Zárove se zmíníme o právních po adavcích, které jsou kladeny eským právním ádem (nejen) na e-business formu podnikání (resp. elektronický obchod). Nebo bezpe nostní audit by m l také ov it soulad firemních postup s legislativními po adavky, které se na firemní innost vztahují. Proto e se v nujeme bezpe nostnímu auditu e-business ení, budeme se v novat dv ma zákon m: .101/2000 Sb. o ochran osobních údaj a .227/2000 Sb. o elektronickém podpisu. D vod pro jejich výb r je jednoduchý - nap . ze zákona o ochran osobních údaj , vyplývá, e ka dý zpracovatel osobních údaj je povinen zajistit ochranu t chto údaj p ed zneu itím, zni ením apod. Zákon o elektronickém podpisu poskytuje právní podporu základním prvk m informa ní bezpe nosti a to autentizaci, identifikaci a nepopiratelnosti. Ka dým vý e uvedeným standardem a zákonem se budeme zabývat v p im ené mí e a ve smyslu souladu s tématem této studie, proto e problematika standard a právních norem je sama o sob velmi obsáhlá a jist by stála za zpracování v samostatné práci.

8.1 ISO/IEC 17799 CODE MANAGEMENT

OF

PRACTICE

FOR

INFORMATION SECURITY

ISO/IEC 17799 Soubor postup pro ízení informa ní bezpe nosti je kodex, který nabízí sm rnice a nezávazné instrukce pro management informa ní bezpe nosti, a který obsahuje sou asné nejlep í praktiky (best practices) v oblasti informa ní bezpe nosti. Poskytuje obecný popis oblastí, které jsou v sou asné dob pova ovány za d le ité v kontextu zavád ní nebo udr ování informa ní bezpe nosti. Podle Národního standardiza ního institutu (NIST) USA53 by l být tento standard podpo en technickou metodikou, aby mohl být efektivn vyu it pro revizi bezpe nosti. Standard bývá ozna ován jako výchozí bod vytvo ení pro organizaci specifického vodítka v oblasti zaji ování bezpe nosti, tj. ve smyslu na míru itého. Vodítkem je z toho d vodu, e ne echny prvky v n m obsa ené jsou pou itelné pro konkrétní organizaci a naopak m ou být vy adována taková opat ení, která ve standardu uvedena nejsou. Cílem standardu není íci, jak se 53

http://www.nist.gov

48

Bezpe nostní audit e-business má co d lat, ale spí formulovat obecn platné zásady v nejr zn organizace. Dokument se stru

zalo ení bezpe nostní politiky organizace

•

organiza ní bezpe nostní infrastrukturu

•

klasifikace a kontrola aktiv

•

personální bezpe nost

•

fyzickou bezpe nost

•

komunika ní a opera ní management

•

kontrola p ístupu

•

vývoj a údr ba systém

•

ích oblastech bezpe nosti

zam uje na následující oblasti:

•

•

ení

ízení kontinuity podnikatelských inností a soulad s po adavky.

ISO/IEC 17799 neposkytuje definitivní nebo konkrétní materiál k jakémukoliv bezpe nostnímu tématu – nabízí obecné sm rnice. P edkládá vrcholovému managementu p ehled témat týkajících se informa ní bezpe nosti, který m e napomoci pochopení základním problém m v daných oblastech.54 eský p eklad standardu zajistila firma RAC (Risk Analysis Consultants), http://www.rac.cz, a byl p ijat jako norma SN ISO/IEC 17799. Dal í podrobné informace ke standardu (originálu) jsou k dispozici na http://www.iso17799.com/.

8.2 BS 7799 INFORMATION SECURITY MANAGEMENT STANDARD Výchozím dokumentem a podn tem pro ISO/IEC 17799 byl britský standard BS 7799 Standard ízení informa ní bezpe nosti (dále té ISMS), který se postupn dostal za hranice Velké Británie a jeho první ást byla p ijata v roce 2000 jako mezinárodní standard ISO/IEC 17799. K jeho roz ení p isp la i skute nost, e se zam uje na bezpe nost informa ního systému v nej ir ím mo ném smyslu, nejen na úrovni bezpe nosti informa ních technologií. P edev ím zd raz uje nutnost p ijetí bezpe nosti v emi zam stnanci – od adových pracovník po vrcholový management – jako to základního prvku firemní kultury a tedy jako jeden z nutných p edpoklad napln ní strategických plán firmy. K tomuto standardu se vá e i certifika ní ízení, b hem kterého je ov ován soulad pojetí informa ní bezpe nosti v certifikované firm s po adavky standardu. BS 7799-1 Code of Practice for Information Security Management je sbírkou zásad pro ízení bezpe nosti v organizaci. Pou ívá se jako referen ní dokument pro zam stnance zodpov dné za vývoj, implementaci a udr ování informa ní bezpe nosti. BS 7799-2 Specification for Information Security Management Systems je doprovodným seznamem bezpe nostních opat ení. Tato ást není sou ástí ISO/IEC 17799, ale je specifikací ISMS a m e být vyu ita jako základ pro autorizovanou certifikaci.55

54

[NIS2]

55

[HLA1]

49


ení

Podle BS 7799 mezi kritické aspekty dobré firemní bezpe nostní politiky pat í: •

management zam ený na bezpe nost – vedení firmy vnímá nutnost dobré úrovn bezpe nosti a pln ji podporuje;

•

jasn definované pravomoci pro bezpe nostní aspekty ve firm ;

•

efektivní vnit ní audit zam ený na informa ní bezpe nost v ir ím m ítku, nejen na bezpe nost ICT, jak se asto d je;

•

detailní porozum ní povinnostem, které vyplývají z po adavku na naprostou bezpe nost a jejich sdílení mezi odd leními firmy, vedením, technickými pracovníky, u ivateli, zákazníky a t etími stranami, a jak má být toto rozd lení odpov dnosti adresováno ve smlouvách, popisech pracovních pozic a dal ích dokumentech;

•

pochopení a p ijetí hodnoty informace pro organizaci;

•

le itost o kvalitního náboru nových zam stnanc , o pov domí o bezpe nosti, o

kolení a

o bezpe nost zlep ujících politik, jako základních ástí firemní kultury56. SANS doporu uje vyu ít standard p i bezpe nostním auditu. Poskytuje k n mu kontrolní seznam, který podpo í práci auditora tak, aby byl zaji n soulad se standardem. Výb r z tohoto kontrolního seznamu je dán k dispozici na konci této studie v rámci p íloh.

8.3 ISO/IEC 15408 COMMON CRITERIA FOR IT SECURITY EVALUATION ISO/IEC 15408 V eobecná kritéria pro hodnocení IT bezpe nosti (dále jen CC) byla vytvo ena za elem usnadnit hodnocení bezpe nosti produkt a systém informa ních technologií (IT). Jsou výsledkem mezinárodního úsilí (Evropského spole enství, USA a Kanady), definovat metodiku hodnocení IT bezpe nosti, která by byla uznávána jak zákazníky, tak i poskytovateli t chto produkt na celém sv . Filosofie CC je taková, e se tento standard sna í posunout stav bezpe nosti skrz podporu pro r zné ú astníky trhu IT bezpe nosti. A to tak, e zákazníci mohou vytvá et tzv. profily po adované ochrany (Protection Profiles), ve kterých formulují své pot eby a tím p sobí na producenty, aby dostáli po adavk m vyplývajícím z definovaných profil . Tím, e ijmou výzvu zákazník , se podle CC, otevírá producent m mo nost získat konkuren ní výhodu a vstoupit na dosud neobsazený trh. Obecn eno, záruka bezpe nosti po adovaná zákazníkem, p itom m e plynout z r zných zdroj – m e být dána výrobcem/poskytovatelem slu by; zákazník si systém m e otestovat sám, nebo se m e spolehnout na objektivní ohodnocení nezávislou institucí. Proto jsou hodnotící kritéria m ítkem – pro zákazníky, jako to hodnocení systému, pro producenty záruka bezpe ných produkt nebo systému a základ pro specifikaci bezpe nostních po adavk . CC jsou u ite ným pr vodcem

56

•

pro vývoj produkt a systém s IT bezpe nostními funkcemi a

•

pro nákup komer ních produkt a systém s IT bezpe nostními funkcemi.

[MAY]

50


ení

CC poskytují garanci na základ hodnocení, tj. aktivního zkoumání, IT produktu/systému, e spl uje kritéria. Takovéto hodnocení je vydáváno tzv. expertními hodnotiteli (Expert Evaluators). Tato certifikace poskytuje solidní základ pro d ru v produkt a jeho bezpe nostní prvky. CC se skládá ze t í ástí57: 1. ást – Úvod a obecný model - definuje obecné pojmy a principy hodnocení IT bezpe nosti a p edstavuje obecný model hodnocení. Tato ást zárove obsahuje postupy pro vyjad ování cíl bezpe nosti IT, pro výb r a definování po adavk na bezpe nost IT, pro psaní vysokoúrov ových specifikací na produkty a systémy. Navíc ke ka dé ásti CC poskytuje její vyu itelnost/pou itelnost pro ka dou z cílových skupin. 2. ást – Po adavky na funk nost bezpe nosti - ustanovuje soubor bezpe nostních funk ních komponent jako standardní zp sob vyjád ení bezpe nostních po adavk na IT produkty a systémy. Katalog je organizován do t íd, rodin a komponent. 3. ást – Po adavky na záruky bezpe nosti - tato ást p edkládá katalog zavedených soubor hodnotících slo ek, které mohou být pou ity jako sm rodatný zp sob vyjád ení hodnotících po adavk na IT produkty a systémy. T etí ást má op t stejnou strukturu stejných t íd, rodin a komponent. Zárove podává sedm úrovní záruky (Evaluation Assurance Levels – EALs), které jsou nadefinovány jako balí ky component, které tvo í CC kálu pro hodnocení ryhodnosti v bezpe nost IT produkt a systém . Zú astn né strany, které by m ly mít zájem na certifikaci, jsou: Zákazníci – CC hodnocení spl ují p ání a pot eby zákazník , proto e ta jsou základním d vodem a ospravedln ním pro proces hodnocení. Výsledky pomohou v rozhodování, jestli ohodnocený produkt/systém napl uje jejich bezpe nostní pot eby. CC poskytuje strukturu nezávislou na implementaci, tedy Profily ochrany (Protection Profiles - PP), ve kterých jsou vyjád eny jejich speciální po adavky na bezpe nostní opat ení IT. Producenti a prodejci produkt – producenti pot ebují pochopit, jak PP fungují, proto e srovnání s nimi je jedním z nejlep ích zp sob , jak zajistit, e produkt vyhovuje po adavk m zákazníka. Ti, kte í vy adují CC certifikaci, pot ebují pochopit p ístup CC a jaký postup hodnocení je od nich vy adován. Hodnotitelé a kontrolo i – CC model poskytuje odd lení rolí hodnotitele a toho, kdo vydává certifikát. Certifikáty jsou ud lovány na základ národního plánu hodnocení, který je realizován v nezávislých hodnotících st ediscích (testovací laborato e). Akredito i – jsou autoritou, která má zplnomocn ní ov it dosa ení po adavk bezpe nostního standardu za pou ití CC. Akredito i musí porozum t, jak mohou být EAL pou ity, jako to objektivní m ítko sni ování rizika, p i aplikování na kritické bezpe nostní funkce v IT systémech.58 hem auditu m e být standard vyu it pro kontrolu, zda jsou ve firm nasazeny certifikované produkty (hw i sw), tedy takové, které spl ují v eobecné po adavky na bezpe nost. Pou ití takových produkt m e zna ným zp sobem pomoci sní it, jak je z ejmé z vý e uvedeného, míru rizika pro celé e-business ení.

57

[CC]

58

[AIZ]

51


ení

Dal í podrobné informace jsou k dispozici na http://www.commoncriteria.com/index1.html

8.4 ISO/IEC 13335 GUIDELINES FOR THE MANAGEMENT OF IT SECURITY ISO/IEC 13335 Sm rnice pro ízení IT bezpe nosti poskytuje návody pro ízení IT bezpe nosti v organizaci. Není pouhým základem pro rozvíjení bezpe nostní architektury v rámci firmy samotné, ale také prost edky pro zaji ní shody mezi organizacemi. Podle filosofie této sm rnice se bezpe nosti IT dosahuje p edev ím pln ním mana erských funkcí, souvisejících s bezpe ností IT jako integrální sou ásti pln ní globálního plánu správy organizace. Standard se skládá z p ti ástí: 1.

ást – Koncepty a modely59 -

2.

edstavuje koncepty a modely pro bezpe nost nezávislé na typu firmy. Definuje ízení bezpe nosti a po adavky na bezpe nost, její implementaci a správu. Tato ást je výchozí pro dal í ásti sm rnice.

ást – ízení a plánování60 - definuje úkony, které musí organizace provést p ed zavedením i zm nou své politiky zabezpe ení IT. Popisuje innosti týkající se ízení a plánování bezpe nosti IT, s tím související role a odpov dnosti.

3.

ást – Techniky pro ízení bezpe nosti IT61 - popisuje a doporu uje techniky pro úsp né ízení bezpe nosti IT, resp. ICT, zvlá tní raz je kladen na analýzu bezpe nostních rizik ve firm .

4.

ást – Výb r ochranných opat ení62 - rozebírá mo nosti r zných ení a seznamy bezpe nostních prost edk , zam uje se na výb r vhodných ochranných opat ení podle pot eb firmy. Tyto prost edky se mohou li it v d sledku národních legislativ.

5.

ást – Bezpe nost externího spojení (resp. sítí)63 -

8.5

í bezpe nostní problémy elektronické komunikace mezi firmami i ve ejností. Má poskytnout návod k identifikaci a analýze faktor vztahujících se k bezpe nosti sítí a komunikací.

ESKÉ PRÁVNÍ NORMY VZTAHUJÍCÍ SE K INFORMA NÍ BEZPE NOSTI

V pr hu bezpe nostního auditu je také d le ité zjistit, podle postupu mezinárodních standard , míru souladu s národními legislativními po adavky na zaji ní bezpe nosti údaj zpracovávaných v automatizovaných systémech.Toto se samoz ejm vztahuje i na innost v rámci e-business ení. Zde si stru p iblí íme zásadní právní normy platné v R, které se vztahují k dané problematice.

59

[NCI1]

60

[NCI2]

61

[NCI3]

62

[NCI4]

63

[NCI5]

52


ení

Obecná právní úprava ochrany osob a obchodního tajemství

Obecn je ochrana osob a údaj osobní povahy dána l. 10 Listiny základních práv a svobod (usnesení . 2/1993 Sb.), dále § 11, 12 a 13 Ob anského zákoníku (zákon . 40/1964 Sb.). l. 10 LZPS64: (1) Ka dý má právo, aby byla zachována jeho lidská d stojnost, osobní est, dobrá pov st a chrán no jeho jméno.

(3) Ka dý má právo na ochranu p ed neoprávn ným shroma údaj o své osob .

ováním, zve ej ováním nebo jiným zneu íváním

Ob anský zákoník65 – ochrana osobnosti §11 Fyzická osoba má právo na ochranu své osobnosti, zejména ivota a zdraví, ob anské cti a lidské stojnosti, jako i soukromí, svého jména a projev osobní povahy. §12 (1) Písemnosti osobní povahy, podobizny, obrazoví snímky a obrazové a zvukové záznamy týkající se fyzické osoby nebo jejích projev osobní povahy sm jí být po ízeny nebo pou ity pouze s jejím svolením. §13 (1) Fyzická osoba má právo se zejména domáhat, aby bylo upu no od neoprávn ných zásah do práva na ochranu její osobnosti, aby byly odstran ny následky t chto zásah a aby jí bylo dáno p im ené zadostiu in ní.

Hlava I, díl V Obchodního zákoníku (zákon .513/1991 Sb.)66 upravuje ochranu obchodního tajemství. § 17 P edm tem práv nále ejících k podniku je i obchodní tajemství. Obchodní tajemství tvo í ve keré skute nosti obchodní, výrobní, i technické povahy související s podnikem, které mají skute nou nebo alespo potenciální materiální i nemateriální hodnotu, nejsou v p íslu ných obchodních kruzích b dostupné, mají být podle v le podnikatele utajeny a podnikatel odpovídajícím zp sobem jejich utajení zaji uje.

Zpracovatel dat osobní povahy a podnikatel nakládající s p edm tem obchodního tajemství má proto povinnost zavést a pou ívat taková bezpe nostní opat ení, která zajistí ochranu t chto dat ed zcizením, po kozením (úmyslným i neúmyslným) nebo zni ením. 8.5.2

Zákon .101/2000 Sb. o ochran osobních údaj

67

Zákon se vztahuje podle §3 na ve keré zpracování osobních údaj , a k n mu dochází automatizovan nebo jinými prost edky. Z toho vyplývá, e údaje o zákaznících, zam stnancích, obchodních partnerech a dal í, zpracovávané, pou ívané a uchovávané v e-business systémech jsou také podrobeny tomuto zákonu. §4 vymezuje pojmy pou ité v rámci zákona – co/kdo je •

osobní údaj,

•

citlivý osobní údaj,

•

anonymní údaj,

•

subjekt údaj ,

•

zpracování,

•

shroma

•

správce a zpracovatel osobních údaj ,

•

zve ejn ný osobní údaj.

64

[LZPS]

65

[Ob Z]

66

[ObchZ]

67

[ZOOÚ]

ování, uchovávání, blokování, likvidace osobních údaj ,

53


ení

Práva a povinnosti p i zpracování osobních údaj jsou obsa eny mimo jiné v §5, který stanovuje povinnost ochrany osobních údaj : §5 odst.(3) Provádí-li správce zpracování osobních údaj na základ zvlá tního zákona, je povinen dbát práva na ochranu soukromého a osobního ivota subjektu údaj .

Povinnosti osob p i zabezpe ení osobních údaj jsou popsány v §13: §13 Správce a zpracovatel jsou povinni p ijmout taková opat ení, aby nemohlo dojít k neoprávn nému nebo nahodilému p ístupu k osobním údaj m, k jejich zm , zni ení i ztrát , neoprávn ným p enos m, k jejich jinému neoprávn nému zpracování, jako i k jinému zneu ití osobních údaj . Tato povinnost platí i po ukon ení zpracování osobních údaj .

Zákon .227/2000 Sb. o elektronickém podpisu68

8.5.3

Tento zákon upravuje pou ívání elektronické podpisu. D vod pro zde uvádíme tento zákon je, e elektronický podpis podporuje po adavky informa ní bezpe nosti na nepopiratelnost a prokazatelnost provedených operací a integritu dat/informace p ená ené komunika ními kanály (nap . jednotlivými obchodními partnery, zákazníkem a firmou). V p ípad , e zpráva byla b hem enosu pozm na, nebude p i ov ování elektronického podpisu souhlasit záv re ná kontrola a tak se zjistí poru ení integrity zprávy (ale p tení zprávy neoprávn ným subjektem nikoliv). Nicmén , ani pou ití zaru eného elektronického podpisu nechrání datovou zprávu p ed zji ním jejího obsahu b hem p enosu. Proti tomu se lze chránit jen pou itím silného ifrování, úkolem elektronického podpisu je zajistit integritu zprávy a umo nit ov it toto nost osoby, která provedla ur itou operaci. Podle §2 písm. a) tohoto zákona se elektronickým podpisem rozumí údaje v elektronické podob , které jsou p ipojené k datové zpráv nebo jsou s ní logicky spojené a které umo ují ov ení toto nosti podepsané osoby ve vztahu k datové zpráv . Dále jsou vymezeny pojmy definované zákonem, co /kdo se rozumí •

zaru eným elektronickým podpisem,

•

datovou zprávou,

•

podepisující osobou,

•

poskytovatelem certifika ních slu eb,

•

akreditovaným poskytovatelem certifika ních slu eb,

•

certifikátem,

•

kvalifikovaným certifikátem,

•

nástrojem elektronického podpisu,

•

akreditací atd.

Soulad s po adavky na podpis je ustanoven v §3: §3 Soulad s po adavky na podpis (1) Datová zpráva je podepsána, pokud je opat ena elektronickým podpisem. (2) Pou ití zaru eného elektronického podpisu zalo eného na kvalifikovaném certifikátu a vytvo eného pomocí prost edku pro bezpe né vytvá ení podpisu umo uje ov it, e datovou zprávu podepsala osoba uvedená na tomto kvalifikovaném certifikátu.

Integrit datové zprávy p i pou ití zaru eného elektronického podpisu se v nuje § 4:

68

[ZElP]

54


ení

§4 Soulad s originálem Pou ití zaru eného elektronického podpisu zaru uje, e dojde-li k poru ení obsahu datové zprávy od okam iku, kdy byla podepsána, toto poru ení bude mo no zjistit.

§12 se v nuje nále itostem kvalifikovaného certifikátu, který je spl uje po adavek zaru eného elektronického podpisu na jednozna nou identifikaci podepisující osoby. Kvalifikovaný certifikát musí mimo jiné obsahovat •

ozna ení, e je vydán jako kvalifikovaný certifikát podle zákona o elektronické podpisu,

•

jméno a p íjmení podepisující osoby nebo její pseudonym s p íslu ným ozna ením, e se jedná o pseudonym,

•

po átek a konec platnosti kvalifikovaného certifikátu,

•

ípadn údaje o tom, zda se pou ívání kvalifikovaného certifikátu omezuje podle povahy a rozsahu jen pro ur ité pou ití.

§17 stanovuje, co se rozumí prost edky pro bezpe né vytvá ení a ov ování zaru ených elektronických podpis . Ty musí za pomoci odpovídajících technických a programových prost edk a postup mimo jiné zajistit, e •

data pro vytvá ení podpisu se mohou vyskytnout jen jednou a e jejich utajení je nále it zaji no,

•

nesmí m nit data, která se podepisují,

•

podpis byl spolehliv ov en

•

ov ující osoba mohla spolehliv zjistit obsah podepsaných dat a

•

bylo mo né zjistit ve keré zm ny ovliv ující bezpe nost.

Bezpe nostní audit by m l ov it, zda-li jsou ve firm nasazeny a aktivn vyu ívány prost edky pro uplatn ní elektronického podpisu, resp. zaru eného elektronického podpisu, v rámci vým ny dat a informací mezi firmami, resp. firmami a jejich zákazníky. Za zmínku jist stojí, e v sou asné dob v R je jediným akreditovaným poskytovatelem kvalifikovaných certifikát , které jsou ze zákona nutnou podmínkou pro pou ívání zaru eného elektronického podpisu, I.CA (I. certifika ní autorita, podrobné informace na http://www.ica.cz). Záv r V této záv re né kapitole jsme se v novali mezinárodním standard m, které lze vyu ít b hem bezpe nostního auditu e-business ení a nastínili jsme si oblasti jejich p sobnosti. Zárove jsme si p iblí ili n které normy eského právního ádu, které se zabývají informa ní bezpe ností.

55


ení

9 ZÁV R Bezpe nostní audit e-business ení je téma, které bude aktuání stejn dlouho jako samotná existence tohoto typu nasazení po íta ových systém p i realizaci elektronického obchodu a existenci elektronického podnikání. Zárove slo itost a náro nost auditu bude pravd podobn , jak vyplývá ze sou asné situace, postupn nar stat s mno stvím vyu ívaných technologií a systém . A také v d sledku chyb, které vznikají p i jejich vývoji, implementaci a provozu. V dy chybovat je lidské. Av ak v p ípad odpov dného p ístupu k e-business ení by chybovost systém , zap in ná nedokonalostí nás, jejich autor /implementátor /u ivatel , m la být v nejv í mo né mí e sní ena, ideáln a zcela eliminována. Jak vyplývá z této studie, bezpe nostní audit je krokem, který m e v tomto procesu výrazn pomoci. Cíle, které jsme si definovali v úvodu se poda ilo splnit a tím i dosáhnout p edpokládaných ínos , p edev ím •

díky zpracování rozsáhlého objemu dostupné literatury bylo mo né na elementární úrovni osv tlit, co je obsahem bezpe nostního auditu v kontextu e-business prost edí;

•

na základ definování nezbytných komponent utvá ejících e-business ení se poda ilo vymezit hlavní rozdíl mezi klasickým bezpe nostním auditem IS a bezpe nostním auditem e-business ení. Ten jsme nalezli v auditu webových aplikací a server .

Domnívám se, e zde p edlo ené skute nosti, by m lo být mo né reáln aplikovat p i provád ní bezpe nostního auditu. Je ov em z ejmé, e tato studie je pouhým úvodem, která poskytla hrubý nástin toho, co skute ný bezpe nostní audit obná í. Uv domuji si, e není v mo nostech této studie zabývat se n kterými tématy, které zde byly lehce dotknuty, do detailu a s pozorností, jakou by zajisté zasluhovaly. Oblasti, kterým by mohla být nována v í pozornost v samostatných studiích, by podle mého názoru mohly nap íklad být: •

nástroje zaji ování bezpe nosti e-business

ení,

•

ízení rizik p i zaji ování chodu e-business

ení,

•

mezinárodní standardy týkající se r zných aspekt informa ní bezpe nosti.

V úvodu této studie nebyl zd vodn n výb r tohoto tématu pro zpracování bakalá ské práce. Proto je na ase zmínit jej v záv ru, p edev ím jako varování pro p ípadné tená e, t eba je p ivede k zamy lení nad skute ným významem bezpe nosti v dne ním virtuálním sv . D vodem byla osobní zku enost se zneu itím p ístupových práv a nemorálním jednáním správce jednoho nejmenovaného po tovního serveru. To vyvolalo hlub í zájem o otázky po íta ové bezpe nosti. Je nutné upozornit, e, a je to zará ející, stejn naivními názory „trpí“ velká ást u ivatel Internetu a po íta ových systém v bec. P itom neznalost nikoho neomlouvá. P esto e jsou denn publikovány informace nejen na odborných serverech, ale i v b ných médiích, o nebezpe í bezmezné (a naprosto nepodlo ené) d ry ve slo itost po íta a tedy jejich nedobytnosti, znalost otázek po íta ové a internetové bezpe nosti je asto omezena na pov domí o „jakési“ existenci po íta ových vir . Kdyby tomu tak nebylo, v novalo by se obecn více pozornosti udr ování dobré úrovn bezpe nosti, u jen z toho d vodu, e by takový p ístup vy adovali samotní u ivatelé.

56


ení

10 LITERATURA [AIZ]

Aizuddin, A. The Commnon Criteria ISO/IEC 15408 – The Insight, Some Thoughts, Questions and Issues. SANS Institute. 2001 [pdf dokument] http://www.sans.org/rr/papers/index.php?id=545 (16.4.2004)

[BASS]

Bassanese, P., Titteringotn, G. E-business without security is not an option. 1.2.2001. [www dokument] http://informit.com/articles/article.asp?p=130960 (10.3.2004)

[BAY]

Bayne, J. An Overview of Threat and Risk Assessment. SANS Institute 2002. [pdf dokument] http://www.sans.org/rr/papers/index.php?id=76 (7.4.2004)

[CAN]

Canadian Commnunications Security Establishment. Canadian Handbook on Information Technology Security, 15.5.1998. [pdf dokument] Http://www.csecst.gc.ca/en/documents/knowledge_centre/publications/manuals/ITSG-04e.pdf (14.4.2004)

[CC]

Common Criteria. [www dokument] http://csrc.nist.gov/cc/Documents/CC%20v2.1%20-%20HTML/PART1/Part145.htm (12.4.2004)

[CHI97]

Chisnall, W. R. Applying Risk Analysis Methods to University Systems. EUNIS 97, European Cooperation in Higher Education information Systems. Grenoble, France. 9-11 September 1997. [www dokument] http://www.lmcp.jussieu.fr/eunis/html3/congres/EUNIS97/papers/022701.html (15.4.2004)

[CRA]

Craft, R., Wyss, G., Vandewart, R., Funkhouser, D. An Open Framework for Risk Management. 21 st National Information Systems Security Conference Proceedings. October 1998. [www dokument] http://csrc.nist.gov/nissc/1998/proceedings/paperE6.pdf (15.4.2004).

[DOU1]

Doucet, M., Doucet, T. Control and Auditing. San Diego: Academic Press. 2003. In: Encyclopedia of Information Systems, Volume I. Str. 287. ISBN 0122272412.

[DOU2]

Doucet, M., Doucet, T. Control and Auditing. San Diego: Academic Press. 2003. In: Encyclopedia of Information Systems, Volume I. Str. 302 ISBN 0122272412.

[FEU1]

Feuerlicht, G. Working Papers: Unit 6 - E-Business Integration. P edná ka z cyklu mezisemestrálního kurzu IT 475 Integration of enterprise applications, 22.24.1.2004. Str.3.

[FEU2]

Feuerlicht, G. Working Papers: Unit 1 - Introduction. P edná ka z cyklu mezisemestrálního kurzu IT 475 Integration of enterprise applications, 22.24.1.2004. Str.4.

[FORD]

Ford, Douglas: 8 simple rules for securing your network. 12t September 2003, GSEC practical assignment, version 1.4b. SANS Institute. [pdf dokument] http://www.sans.org/rr/papers/index.php?id=1254 (7.4.2004)

[GLO]

SANS Glossary of Security. [www dokument] http://www.sans.org/resources/glossary.php (2.4.2004)

[HLA1]

Hlavá , J. Klasifikace informací jako hledisko p ístupu k systému. Praha: V E. 2002 [diplomová práce]. Str. 44

[INS1]

Insight Consulting. CRAMM Expert Management Overview datasheet. [pdf dokument] http://www.cramm.com/downloads/CRAMM%202pp.pdf. (7.4.2004) 57


ení

[ISS]

Internet Security Systems. SCADA Networks and Process Management Systems Utilizing ISO/IEC 17799 Standards (matrix). Internet Security Systems, Inc. 2004 [pdf dokument] http://documents.iss.net/marketsolutions/SCADABrochure.pdf (1.4.2004)

[JOH1]

Johnston, M. How to Perform a Security Audit – Part 1. [www dokument] http://www.informit.com/articles/article.asp?p=24608 (24.3.2004)

[JOH2]

Johnston, M. How to Perform a Security Audit – Part 2. [www dokument] http://www.informit.com/articles/article.asp?p=24603 (24.3.2004)

[KEE]

Keeling, Ch., O’Reilly, S. Business Continuity in the E-Commerce Environment. Str. 5-6. [pdf dokument] http://www.insight.co.uk/downloads/whitepapers/BC%20in%20eCommerce.pdf (8.4.2004)

[KOZ]

Kozák, David, Tichá, Lenka: Goliá s prakem (obchodní et zce za ínají brát internet vá ). In: E-biz, únor 2004, str. 36-39. ISSN 1213-063X

[KRI]

Krishni, N. Web Application Checklist. [pdf dokument] http://www.sans.org/score/checklists/WebApplicationChecklist.pdf (13.4.2004)

[LEE]

Lee, Jae Kyu: Business-to-Business Electronic Commerce. In: Encyclopedia of Information Systems, Volume I. 2003. Str. 81-97. ISBN

[LZPS]

Usnesení .2/1993 Sb., Listina základních práv a svobod. Ostrava-Habr vka: Ji í Motloch – Sagit. Str. 14. ISBN 80-7208-257-4.

[MAY1]

Mayall, R. The Internet, e-commerce and BS 7799. Str. 7. [pdf dokument] http://www.insight.co.uk/downloads/whitepapers/eCommerce%20and%20BS7799 .pdf (8.4.2004)

[MAY2]

Mayall, R. The Internet, e-commerce and BS 7799. Str. 3-4. [pdf dokument] http://www.insight.co.uk/downloads/whitepapers/eCommerce%20and%20BS7799 .pdf (8.4.2004)

[MEL]

Melymuka, K. How to Do an IT Security Audit. Computerworld. [www dokument] Http://www.computerworld.com/printthis/2003/0,4814,78005,00.html (21.3.2004)

[MIK]

Miko, K. Systémový bezpe nostní audit. [www dokument] http://www.systemoline.cz/site/bezpecnost/miko5.htm (17.4.2004)

[NCI1]

InterNational Commitee for Information Technology Standards. Project 888, ISO/IEC 13335-1:1996. [www dokument] http://www.ncits.org/scopes/888_1.htm (16.4.2004)

[NCI2]


[NCI3]


[NCI4]


58


ení

[NCI5]


[Ob Z]

Zákon .40/1964 Sb., ob anský zákoník. Ostrava-Habr vka: Ji í Motloch – Sagit. Str. 8. ISBN 80-7208-287-6.

[NIS1]

NIST´s Information Technology Laboratory.Computer Security : Use of the Common Vulnerabilities and Exposures (CVE) Vulnerability Naming Scheme. [pdf dokument] http://csrc.nist.gov/publications/nistpubs/800-51/sp800-51.pdf (20.4.2004)

[NIS2]

NIST´s Information Technology Laboratory. International Standard ISO/IEC 17799:2000 Code of Practice for Information Security Management: Frequently Asked Questions. National Institute of Standards and Technology. 2002. [pdf dokument] http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf (16.4.2004)

[ObchZ]

Zákon .513/1991 Sb., obchodní zákoník. Ostrava-Habr vka: Ji í Motloch – Sagit. Str. 10. ISBN 80-7208-282-5.

[RAC]

Risk Analysis Consultants. Metoda CRAMM. [www dokument] http://www.rac.cz/rac/homepage.nsf/0/70827b8dd6978a54c1256aed002dd03a?Op enDocument (23.4.2004)

[SANC]

Sanctum AppScan DE 1.7. http://www.aspnetpro.com/productreviews/2003/11/asp200311km_p/asp200311k m_p.asp [www dokument] (20.4.2004)

[YAZ]

Yazar, Zeki: A qualitative risk analysis and management tool – CRAMM. GSEC practical assignment, version 1.3. SANS Institute 2002. [pdf dokument] http://www.sans.org/rr/papers/index.php?id=83 (7.4.2004)

[ZElP]

Zákon .101/2000 Sb. o ochran osobních údaj . [www dokument] http://business.center.cz/právo/zákony/oou.asp (2.12.2003)

[ZOOÚ]

Zákon .227/2000 Sb. o elektronickém podpisu. [www dokument] http://business.center.cz/pravo/zakony/epodpis.asp (16.12.2003)

59


ení

11 TERMINOLOGICKÝ SLOVNÍK Soubor, do kterého jsou zaznamenávány události; tyto záznamy lze vyu ít v rámci identifikace neobvyklého chování systému, p iny výskytu chyby aplikace apod.

Audit log

B2C EC

business-to-consumer e-commerce

elektronický obchod mezi firmami a jednotlivými spot ebiteli

B2B EC

business-to-business e-commerce

elektronický obchod mezi firmami

CPU

Central Processing Unit

procesor po íta e

e-exchange

electronic exchange

elektronická burzy je typ e-tr , kde mnoho kupujících obchoduje s mnoha prodávajícími

e-marketplace

electronic marketplace

elektronické tr , které zobrazuje elektronické katalogy dodavatel , akceptuje objednávky, podporuje pln ní objednávek a n kdy i elektronické platby

ERP

enterprise resource planning

systém pro plánování firemních zdroj – financí, lidských zdroj , materiálu. zásob atd. sí zalo ená na internetových technologiích, která spojuje organizace s jejich partnery

extranet

FTP

File Transfer Protocol

standardní protokol Internetu pro p enos soubor z po íta e na po íta

HTML

HyperText Markup Language

jazyk pro vytvá ení hypertextových dokument

HTTP

HyperText Transfer Protocol

protokol pro p enos dokument v Internetu

ICT

information and technologies

IS

information system

communication informa ní a komunika ní technologie informa ní systém vnit ní podniková sí , která umo uje komunikaci v rámci firmy, není p ístupná zven í

intranet

J2EE

Java 2 Enterprise Edition

vývojá ská platforma pro jazyk Java, také pro vývoj serverových komponent

LAN

Local area network

lokální po íta ová sí

OS

Operation System

opera ní systém

report

auditní zpráva vygenerovaná automatizovaným auditním nástrojem

60


sm rova paket v sítích TCP/IP, edává pakety mezi r znými ástmi sít

router SMTP

ení

Simple Mail Transfer Protocol

protokol pro posílání elektronické po ty protokol pro komunikaci vyu ívající HTTP a XML

SOAP TCP/IP

Transmission Control mno ina aplika ních a transportních Protocol/Internet Protocol protokol , které b í nad IP vrstvou (zahrnuje FTP, Telnet, UDP, SMTP)

VPN

virtual private network

virtuální soukromá sí , slou ící pro bezpe ný p enos dat v rámci organizace webová slu ba – libovolná slu ba provád ná prost ednictvím rozhraní WSDL (Web Service Definition Language) p es sít, vyu ívající protokol SOAP p ená ející XML data

Web service

WWW/web

World Wide Web

systém propojení informa ních uzl v síti Internet, zalo ený na hypertextu

XML

eXtensible Markup Language

zna kovací jazyk pro vytvá ení strukturovaných dokument

61


12

ení

ÍLOHY

1. Security Audits / Vulnerability Assessments by Security Space – http://www.securityspace.com/smysecure/last30.html (22.4.2004) 2. AuditPro for Windows Consolidated Report by Network Intelligence India – http://www.nii.co.in/apwin/firstpage.html (28.4.2004) 3. Výb r z kontrolního seznamu organizace SANS pro bezpe nostní audit podle standardu BS 7799/ISO 17799 – http://www.sans.org/score/checklists/ISO_17799_checklist.pdf (13.4.2004) 4. Výb r z kontrolního seznamu organizace SANS pro bezpe nostní audit Oracle databáze – http://www.sans.org/score/checklists/Oracle_Database_Checklist.pdf (13.4.2004) 5. Výb r z kontrolního seznamu organizace SANS pro bezpe nostní audit firewallu – http://www.sans.org/score/checklists/FirewallChecklist.pdf (13.4.2004) 6. Retina – The Network Security Scanner (whitepaper) – http://www.amtsoft.com/retina/docs/retina_wp.pdf (1.4.2004)

62

Bezpe nostní audit e-business ení

Recommend Documents