Bezpečnostní normy a standardy KS - 6

Bezpečnost informací – BI Ing. Jindřich Kodl, CSc.

Bezpečnostní normy a standardy KS - 6

VŠFS; Aplikovaná informatika; SW systémy – 2005/2006

1

Osnova

• historický vývoj bezpečnostních norem • bezpečnostní normy zabezpečených informačních systémů; • standardizace šifrovacích algoritmů; • současné trendy ve standardizaci bezpečnostních procesů – norma ISO 17799; • vazby mezi bezpečnostními normami.


2

Literatura

• Přibyl J, Kodl J.: Ochrana dat v informatice, • ČVUT, 1998 • Kolektiv: Informační bezpečnost, Tate International, 2001 Doporučená • Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 VŠFS; Aplikovaná informatika; SW systémy – 2005/2006

3

Vývoj bezpečnostních norem • •

•

•

požadavky na vypracování norem v oblasti ochrany dat v USA – projekt ministerstva obrany (1977) US národní úřad pro normalizaci (NBS, nyní NIST-National Institute of Standards and Technology)– zodpovědnost za vývoj federálních norem def. podmínky pro používání výp. techniky – Serie norem FIPS PUB (Federal Information Processing Standards Publication ) – návrh norem pro počítačovou kryptografii – FIPS PUB 46 norma DES – 1981 norma ANSI – rozvoj norem pro stavbu a hodnocení zabezpečení počítačových systémů – 1983 Kritéria TCSEC (Trusted Computer Security Evaluation Criteria) – Oranžová kniha; postupně Duhová serie – Soubor cca 30 tématických kritérií Aktivity v oblasti bezpečnosti v ISO (International Organisation for Standardisation) – zřízení nového výboru „Informační technologie“ a následně i podvýboru „bezpečnostní technologie“ – rozvržení práce do pracovních skupin WG – norem s označením ISO0IEC JTC1 SC 27 (1989) Přejímání ISO norem do norem ČSN


4

Současný stav bezpečnostních norem Základní směry • bezpečnostní technické předpisy - oblast informační technologie, bezpečnostní požadavky, postupy, apod. – příklady: – ČSN ISO 8392 – módy činnosti pro 64-bitový algoritmus blokové šifry; – FIPS 140-2 - Security Requirements for Cryptographic Modules; – PKCS#1 – RSA Encryption Standard;

•

normy pro hodnocení zabezpečených systémů – TCSEC – Trusted Computer Security Evaluation Criteria - federální norma USA – ITSEC - Information Technology Security Evaluation Criteria – evropská norma; – BC 7799 – British Standard – Code of Practice for Information Security management.

•

metodologie hodnocení – COBIT – Control Objectives for Information and related Technology


5

Současný stav bezpečnostních norem Hlavní organizace řešící problematiku norem pro počítačovou kryptografii a ochranu informací v systémech • mezinárodní – ISO, IEC (International Electrotechnical Commission) – společné normy ISO/IEC JTC1 (zejména SC 27) – CCITT (Mezinárodní poradní výbor pro telefonii a telegrafii) – normy řady X. --- (X.509)

• mezinárodní oborové – ECMA (sdružení evropských výrobců počítačů)

• národní – ANSI americké federální normy – ČSN

• mezinárodní „de facto“ standardy – RFC (Request for Comment) – firemní PKCS (Public-Key Cryptography Standards) - RSA VŠFS; Aplikovaná informatika; SW systémy – 2005/2006

6

FIPS PUB 140-2; Základní bezpečnostní požadavky pro kryptografické moduly Dokument je rozdělen do 4 základních úrovní řešení bezpečnosti. Tyto úrovně určují parametry návrhu a požadavky na implementaci modulů do systémů. Návrh se vztahuje k následujícím oblastem: – Specifikace kryptografického modulu – Rozhraní modulů – Funkce, poskytované služby, požadavky na autentizaci – Matematický model modulu – Fyzická bezpečnost – Bezpečnostní prvky programového vybavení – Návrh systému klíčů – Elekromagnetická kompatibilita – Testovací subsystém – Ověření shody s bezpečnostními požadavky – Obnovení po chybách Norma obsahuje i procedury testování pro akreditované laboratoře VŠFS; Aplikovaná informatika; SW systémy – 2005/2006

7

Normy bezpečnosti informačních systémů • Základní normy – ČSN 13335; 1-4 – Směrnice pro řízení bezpečnosti IT • • • •

pojetí a modely bezpečnosti IT řízení a plánování bezpečnosti IT techniky pro řízení bezpečnosti IT výběr ochranných opatření

• Hodnotící normy – ČSN 15408 - Kritéria pro hodnocení bezpečnosti IT • Úvod a všeobecný model • bezpečnostní funkční požadavky • požadavky na zaručitelnost bezpečnosti


8

BS 7799 a normy následující •

• • • • •

Příručka pro správu bezpečnosti informací BS 7799 (Code of Practice for Information security management) = referenční dokument pro uživatele, kteří jsou ve svých institucích zodpovědni za návrh, implementci a dodržování bezpečnosti informací. Dokument poskytuje úplný soubor bezpečnostních opatření, metod a postupů vycházejících ze zkušeností v oblasti zabezpečení informací Na rozdíl od předchozích norem preferujících teoretické a systémové aspekty při zabezpečení informačních technologií je norma BS 7799 zaměřena v maximální možné míře na praktický charakter. Byl přijat jako mezinárodní norma ISO/IEC 17799:2005 (první část normy BS 7799-1) Připravuje se ISO/IEC 27001:2005 (druhá část normy BS 7799-2) Normy jsou přebírány jako normy ČSN


9

BS 7799 a normy následující První část obsahuje strukturovaná doporučení rozdělená do kapitol, která umožňují stanovit příslušná bezpečnostní opatření s tím, že: – stanoví cíle – stanoví odpovídající zodpovědnosti Záměr se odráží i ve vlastní struktuře dokumentu, který je rozdělen do kapitol: kapitol – Bezpečnostní politika – Správa bezpečnosti informací v organizaci – Klasifikace a řízení aktiv, ve vazbě na udržení jejich odpovídající bezpečnosti – Personální zabezpečení – Fyzická bezpečnost a bezpečnost informačních technologií – Správa výpočetních a komunikačních systémů – Správa přístupových práv do systémů – Vývoj a provozování systémů, ve vztahu k řešení otázek zabezpečení informací – Zabezpečení kontinuity obchodních aktivit organizace – Soulad s právními předpisy VŠFS; Aplikovaná informatika; SW systémy – 2005/2006

10

BS 7799 a normy následující Druhá část obsahuje návod jak vybudovat systém řízení bezpečnosti informací (ISMS) Norma klade hlavní důraz na zavedení procesů spojených s řízením rizik, k tomu využívá doporučení z části 1. Struktura dokumentu, který je rozdělen do oblastí: oblastí • Definice rozsahu ISMS •Definice politiky ISMS •Analýza rizik •Řízení rizik •Výběr opatření •Správa o aplikovatelnosti opatření VŠFS; Aplikovaná informatika; SW systémy – 2005/2006

11

BS 7799 a normy následující

Novelizace přístupu ke zpracování aktualizovaných norem vychází z provázanosti jednotlivých (doposud významně oddělených norem). Vzniká soustava norem •Specifikace ISMS – ISO/IEC 27001 •Navržená opatření pro správu ISMS – ISO/IEC 17799:2005 (novela ISO 27002) •Řízení rizik ISO/IEC 13335 •Návazné „oborové normy“ – bezpečnost síťového prostředí ISO/IEC 18028


12

COBIT Základní metodika pro audit a řízení IT Stanovení strategie budování IT – využití procesního přístupu Pět základních projektů: 1. Postupy kontroly IT 2. Hodnocení úrovně „vyzrálosti“ prostředí (maturity benchmarking) 3. Příručky pro implemntaci 4. Online přístup k metodologii COBIT 5. Základní varianta COBIT 6. Případové studie


13

COBIT Struktura metodologie 1. 4 domény – 1. plánování, 2. nasazení a osvojení, 3. provoz a dodávky, 4. monitorování 2. Rozdělení každé domény na procesy (34 procesů) 3. Rozdělení procesů na postupy, záměry a cíle -------------------------------------------------Vypracovány metody, které se vztahují výhradně k bezpečnostním aspektům VŠFS; Aplikovaná informatika; SW systémy – 2005/2006

14

Harmonizace norem Dochází ke konvergenci jednotlivých norem – zejména z pohledů cílů a záměrů. Současný úkol = harmonizovat přístupy vedoucí k dosažení jednotlivých cílů

=>

projekt Harmonizace informační bezpečnosti • unifikace definic • unifikace hodnocení • unifikace aktivit zejména spojených s: – ISO 17799, ISO 13335, ISO 15408 – COBIT – NIST řada 800 -------------------------------------------------------projekt řešený v rámci ISACA (Information systém Audit and Control Association) VŠFS; Aplikovaná informatika; SW systémy – 2005/2006

15

Bezpečnostní normy a standardy KS - 6

Recommend Documents