Diplomová práce. BEZPEČNOSTNÍ AUDIt A POLITIKA IT ORGANIZACE

Masarykova univerzita, FAKULTA INFORMATIKY

Diplomová práce

BEZPEČNOSTNÍ AUDIt A POLITIKA IT ORGANIZACE DANIEL VYSTRČIL 2008

Prohlášení Prohlašuji, že tato práce je mým původním autorským dílem, které jsem vypracoval samostatně. Všechny zdroje, prameny a literaturu, které jsem při vypracování používal nebo z nich čerpal, v práci řádně cituji s uvedením úplného odkazu na příslušný zdroj.

Poděkování Chtěl bych velice poděkovat panu Romanu Vopálkovi za umožnění vypracování této diplomové práce na modelovém případu jeho firmy, díky čemuž byla práce smysluplná a vedla k reálným cílům, a za vstřícný postoj všech jeho zaměstnanců, kteří mi byli nápomocni. Za velice dobrou spolupráci bych pak zejména rád poděkoval administrátorovi IT firmy Romill, panu Martinu Lutonskému. Za pomoc při řešení odborných otázek a rady bych také chtěl poděkovat panu docentu Václavu Matyášovi, vedoucímu této diplomové práce.

Shrnutí Tato diplomová práce se zabývá problematikou bezpečnosti používání informačních technologií. Jako modelové prostředí posloužila brněnská výrobně obchodní společnost Romill, s. r. o. Práce obsahuje tři základní části. První část se zabývá zjednodušeným bezpečnostním auditem stavu před zavedením bezpečnostní politiky. Druhá část obsahuje obecný návrh klasifikace dat, třetí část pak ilustruje budování bezpečnostní politiky pro dané prostředí jako takové.

Klíčová slova Bezpečnostní incident, bezpečnostní politika, dostupnost, důvěrnost, hrozba, integrita, klasifikace dat, riziko, řízení přístupu, správa hesel, zabezpečení, zranitelnost.

OBSAH

1

Obsah slovo úvodem

Předmluva �� 3

1. kapitola Bezpečnostní Audit �� 4 1.1 Základní infrastruktura �� 5 1.2 Servery �� 5 1.3 Klientské stanice a uživatelské účty �� 5 1.4 Firewall �� 7 1.5 Antivirové a antispamové řešení �� 7 1.6 Bezdrátová síť �� 8 1.7 Zálohování �� 8 1.8 Logy �� 8 1.9 Data a jejich klasifikace �� 8 1.10 Fyzické zabezpečení �� 12 1.11 Správa hesel �� 13

2. kapitola Bezpečnostní hrozby, ohodnocení rizik �� 14 2.1 Průzkum organizacemi ČR �� 15 2.2 Hlavní bezpečnostní hrozby pro firmu Romill �� 17

3. kapitola Klasifikace dat �� 19 3.1 Úroveň 1: Veřejná/neutajovaná data �� 20 3.2 Úroveň 2: Interní/citlivá data �� 20 3.3 Úroveň 3: Důvěrná data �� 20 3.4 Úroveň 4: Tajná data �� 21

4. kapitola Standardy �� 23 4.1 Organizace bezpečnosti �� 24 4.2 Klasifikace a řízení aktiv �� 24 4.3 Personální bezpečnost �� 25

OBSAH

2

4.4 Fyzická bezpečnost a bezpečnost prostředí �� 25 4.5 Řízení komunikací a řízení provozu �� 26 4.6 Řízení přístupu �� 27 4.7 Vývoj a údržba systémů �� 28 4.8 Řízení kontinuity činností organizace �� 28 4.9 Soulad s požadavky �� 29

5. kapitola Bezpečnostní politika �� 30 5.1 Chování uživatelů �� 32 5.2 Hesla �� 32 5.3 Řízení přístupu �� 34 5.4 Účty a uživatelé �� 34 5.5 Software �� 35 5.6 Antivirová ochrana �� 35 5.7 Obecné sítě �� 36 5.8 LAN �� 36 5.9 Servery �� 37 5.10 Pracovní stanice �� 38 5.11 Notebooky a přenosná zařízení �� 38 5.12 Zabezpečení specifická pro unix a linux �� 39 5.13 Internet a TCP/IP �� 39 5.14 WAN �� 40 5.15 Krizový plán �� 40 slovo závěrem

Závěr �� 42 Literatura �� 43 Přílohy �� 45 Rejstřík �� 60

ÚVOD

3

slovo úvodem

Předmluva Oblast bezpečnosti informačních technologií a jejich používání je natolik zajímavá, aktuální a lukrativní, že mě inspirovala ke zpracování daného tématu. Informační technologie dnes pronikly i na místa, kde bychom si je ještě před pár lety ani neuměli představit, a tento trend pokračuje. Protože dnes počítačovému světu svěříme prakticky vše počínaje našimi osobními údaji v internetovém blogu přes firemní účetní data až po data státní správy či vojenská data, je zřejmé, že nesprávné zacházení s nimi může vést ke škodám. Proto je důležité zavést určitá pravidla, která umožní jasné řízení zacházení s daty, definují jednotlivé zodpovědnosti a nastaví procesy pro řešení standardních i nestandardních událostí.

Struktura práce Pro účely této diplomové práce slouží jako modelové prostředí výrobně obchodní společnost Romill, s. r. o. (dále Romill). V první kapitole se tato práce věnuje analýze výchozího stavu infrastruktury informačních technologií ve firmě. To znamená audit hardwarového a softwarového vybavení, jejich nastavení, poskytovaných služeb a architektury sítě. Další součástí auditu je analýza výchozího stavu bezpečnosti používání informačních technologií a jejich správy. To znamená shrnutí doposud zavedených pravidel a procesů uvnitř firmy týkajících se používání informačních technologií z pohledu uživatelů, správy, zavedené a prováděné postupy administrace. Ve třetí kapitole je popsán obecný návrh klasifikace dat. To znamená zavedení určitých tříd, do kterých lze data rozdělit podle jejich významu pro společnost a požadavkům na zabezpečení. Čtvrtá kapitola se věnuje standardům v oblasti bezpečnosti informací v obecné rovině a podává ucelený přehled o struktuře bezpečnostního standardu. V páté kapitole je obsažena navržená bezpečnostní politika pro dané prostředí firmy. Budou zohledňovat zjištěné zranitelnosti systému a hrozby zjištěné při provádění bezpečnostního auditu. Cílem této politiky je dostat úroveň zabezpečení na úroveň adekvátní danému prostředí, umožnit efektivní správu s jasně danými zodpovědnostmi, zavést řízení krizových událostí a minimalizovat vliv lidského faktoru.

1. BEZPEČNOSTNÍ AUDIT

4

1. kapitola

Bezpečnostní Audit Bezpečnostní audit IT představuje pro potřeby této diplomové práce zejména manuální analýzu systému nebo aplikace. Manuální analýza zahrnuje dotazování personálu, provádění zkoumání zranitelností, revizi řízení přístupu aplikací a operačního systému a analyzování fyzického přístupu k systémům. Za systémy lze považovat osobní počítače, servery, síťové routery, switche. Součástí bezpečnostního auditu IT mohou být i automatizované analýzy zkoumající systémem generované auditorské zprávy či software monitorující a zaznamenávající změny souborů nebo nastavení systému. Pro potřeby této diplomové práce bylo užito zejména manuálních technik a softwarový nástroj Microsoft Baseline Security Analyzer. Výstup tohoto nástroje byl použit pro analýzu systémového nastavení a aktuálního stavu vybraných pracovních stanic. Za součást bezpečnostního auditu se také často považuje posouzení souladu pravidel definovaných bezpečnostní politikou se skutečným stavem. Výsledkem této části auditu je pak zpráva o míře a efektivnosti dodržování nastavených zásad. V této diplomové práci však bude za bezpečnostní audit brána analýza výchozí situace, protože ve firmě doposud žádná bezpečnostní politika stanovena nebyla.

Definice: Zranitelnost Slabé místo systému, které lze využít ke způsobení škody či ztrát. Hrozba Potenciální možnost využití zranitelnosti k útoku. Riziko Pravděpodobnost, se kterou bude zranitelnost systému využita k útoku, nebo‑li pravděpodobnost, se kterou bude hrozba uplatněna. Bezpečnostní incident Akt využití zranitelnosti ke způsobení škod, ztrát či obecně provedení útoku.


5

1.1 Základní infrastruktura Součástí provedení bezpečnostního auditu je poznání prostředí dané organizace. V tomto případě se jedná o výrobně obchodní společnost s vlastním vývojem v Brně. Celá společnost má v době psaní tohoto textu okolo 50 zaměstnanců v brněnské centrále, která je zároveň hlavním ústředím podniku. Je zde koncentrováno veškeré klíčové počítačové vybavení a jsou zde uchovávána a zpracovávána veškerá klíčová data. Společnost má další dvě pobočky (výrobní haly), kde se nachází jen 4, respektive 7 koncových stanic a k podnikové síti se připojují pomocí vzdáleného připojení přes zabezpečenou VPN (Virtual Private Network). V současné době není ve firmě zaveden žádný informační systém. Využívá se služeb aplikace Microsoft Outlook a Exchange Server 2003. Přechod na vnitrofiremní informační systém je plánován na rok 2008. Byl zvolen modulární informační systém QI od firmy DCConcept. O veškerou infrastrukturu informačních technologií ve společnosti se z technického i administračního hlediska stará jediný administrátor. Na technicky náročnější projekty, jako je například instalace kabeláží v budově, se najímají externí dodavatelé.

1.2 Servery Celá podniková síť je řízena dvěma doménovými řadiči na platformě Windows Server 2003. Primární doménový řadič zajišťuje provoz Microsoft Exchange Serveru 2003, slouží jako DNS (Domain Name Server) server, DHCP (Dynamic Host Configuration Protocol) server a faxový server. Primární doménový řadič je také zodpovědný za automatické stahování a distribuci aktualizací pro operační systém klientských stanic Windows XP. Sekundární doménový řadič slouží jako datové úložiště pro oddělení konstrukce. Tato data jsou záměrně umístěna na sekundárním řadiči kvůli vysoké diskové zátěži. Součástí celé infrastruktury je ještě jeden samostatný server sloužící pro potřeby kamerového systému společnosti. Jedná se o IP kamery, které se automaticky spouští při detekci pohybu. Žádné další služby tento server nezajišťuje. Všechny tři servery mají vlastní UPS (Uninterruptible Power Supply) zařízení umožňující zhruba dvacetiminutový chod v případě výpadku dodávky elektrické energie. Servery jsou automaticky nakonfigurovány, aby se v případě přechodu na záložní zdroj přivedly k bezpečnému ukončení provozu.

1.3 Klientské stanice a uživatelské účty Jako klientský operační systém byl zvolen Microsoft Windows XP Professional. Žádná ze stanic není vybavena modemem, všechny mají pouze standardní síťový adaptér. Systémy nepodléhají žádnému omezení z pohledu manipulace s daty či datovými nosiči včetně USB flashdisků.


6

Všechny uživatelské účty mají práva lokálního administrátora. Z toho vyplývá, že každý uživatel může volně stahovat a instalovat jakýkoliv software. Pouze aktualizace operačního systému jsou stahovány centrálně a distribuovány na jednotlivé stanice, aby se omezil síťový provoz. Jejich instalaci pak už uživatelé opět provádějí sami. Na čtyřech vybraných klientských stanicích byla spuštěna bezpečnostní analýza pomocí nástroje Microsoft Baseline Security Analyzer 2.0.1. Pro demonstraci uvádím výstupy analýz konkrétních stanic v příloze. Výsledky analýz všech stanic byly velice podobné s drobnými odlišnostmi. Jak je z výsledků v příloze patrné, systémy mají pravidelně instalované záplaty operačního systému. Jak již bylo řečeno, ke stahování aktualizací se využívá centralizovaného řešení, kdy server stáhne nově vydané aktualizace, které pak následně distribuuje jednotlivým stanicím. Docílí se tím relativně homogenního stavu aktualizací na všech stanicích a navíc se tím ušetří velká část síťového provozu spjatého s případným stahováním aktualizací každou stanicí zvlášť. Společnou bezpečnostní zranitelností všech testovaných stanic je použití slabých či prázdných hesel a existence účtů bez vypršení platnosti hesla. Analýza klientské stanice v příloze A ukázala povolení účtu Guest. Nutno podotknout, že na ostatních klientských stanicích byl tento účet zakázán. Jako další zranitelnost byla na většině testovaných stanic vyhodnocena existence více administrátorských účtů. To souvisí s firemní zvyklostí, že každý uživatel uvnitř sítě má na svém lokálním počítači práva administrátora. Uvedené výsledky analýzy konkrétního klientského systému také ukazují přítomnost služby IIS (Internet Information Services) a absence nástroje IIS Lockdown. Tento nástroj vypíná nepotřebné prvky, čímž se snižuje prostor pro útoky. Protože byly na stanici v příloze A zjištěny instalace produktů společnosti Microsoft, byla testována úroveň zabezpečení maker. V aplikaci Excel byla zjištěna příliš nízká úroveň zabezpečení. Ostatní testovaná nastavení byla vesměs v pořádku, všechny stanice používají souborový systém NTFS, Autologon je deaktivován, anonymní přístup je zakázán, jsou zaznamenávány standardní logy, integrovaný firewall systému Windows XP je aktivní a má nadefinované potřebné výjimky, zóny Internetu jsou nastavené. Poslední závažnou objevenou zranitelností je přítomnost zbytečných služeb jako je například Telnet. Protože lze přeci jen určité rozdíly ve výsledcích analýz nalézt, vyplývá z toho, že není zavedené uniformní nastavení klientských stanic.


7

1.4 Firewall Pro zabezpečení služeb firewallu byla použita hardwarová bezpečnostní brána Ovislink AirLive RS-1200. Pro potřeby fungování společnosti jsou povolené standardní porty následujících protokolů: SMTP, POP3, IMAP, IMAPS, HTTP, HTTPS, IPSec, RDP. Tato brána byla zvolena kvůli podpoře duálního připojení WAN (Wide Area Network) pro umožnění správy rozdělování zátěže (loadbalancing) a zvýšení redundance v případě výpadku připojení. Administrátor má možnost řídit šířku pásma síťového provozu oběma směry zvlášť. U obou směrů je možné definovat minimální a maximální šířku pásma. Takováto omezení je možně aplikovat i na jednotlivé IP adresy či jejich skupiny. Firma Romill má 4 veřejné IP adresy. Prostřednictvím DMZ (Demilitarized Zone) portu je možné zpřístupnit vnějším uživatelům přístup k serverům, aniž by došlo k vystavení sítě možnosti útoku. Brána RS-1200 dále poskytuje funkci VPN serveru a klienta. K dispozici jsou protokoly IPsec i PPTP. Pro každé nastavené pravidlo je možné definovat přístupové heslo. To znamená, že je například možné nastavit takovou zásadu pro přístup k Internetu (port 80). Brána pak automaticky zobrazí dialog požadující po uživateli heslo, když se bude snažit k Internetu přistoupit. Takováto funkce je užitečná, když je potřeba omezit přístup k dané službě jen na vybrané uživatele. Firewall podporuje nastavení zásad pro přístup k Internetu. Filtrování obsahu umožňuje blokování určitých webových stránek buď pomocí IP adresy, nebo názvu domény. Na tato filtrovací pravidla je pak možné aplikovat i časový harmonogram. Na klientských stanicích se také využívá vestavěného firewallu Windows XP. Pro všechny uživatele byly nastaveny výjimky pro protokol ICMP (Internet Control Message Protocol), RDP (Remote Desktop Protocol) a sdílení tiskáren.

1.5 Antivirové a antispamové řešení Žádné centrální antivirové řešení na straně serveru v této chvíli není použito. Antivirovou ochranu zabezpečují lokální klientské aplikace známého antivirového programu NOD32. Tyto lokální instalace jsou nastaveny tak, aby automaticky stahovaly potřebné aktualizace virových signatur. Jako ochrana proti nevyžádané poště — spamu — je použito vestavěné řešení systému Microsoft Exchange Server 2003. Toto vestavěné řešení používá tři základní techniky: Filtrování připojení (podle IP adres), filtrování příjemců a filtrování odesílatelů. V současné době firma používá pět různých zdrojů blacklistů - databází známých spamových domén. Dále je ještě na každém lokálním stroji využíván vestavěný antispamový filtr poštovní aplikace Outlook Express.


8

1.6 Bezdrátová síť Na každém ze tří pater budovy sídla firmy je provozována bezdrátová síť. Každá osoba musí pro přístup do bezdrátové sítě obdržet heslo. Toto heslo je pak použitelné na všech třech patrech. Technicky by bylo možné každé patro z pohledu povolení přístupu oddělit, ale aby se daná osoba mohla volně pohybovat po budově a využívat bezdrátové konektivity, je umožněno používat jediný uživatelský účet. Síť je chráněna pomocí technologie WPA2 (Wi-Fi Protected Access 2). Byla vytvořena jako reakce na několik vážných slabin objevených v předchozím systému WEP (Wired Equivalent Privacy), který byl úspěšně prolomen. WPA implementuje část standardu IEEE 802.11i a měla představovat mezilehlé opatření, kdy nahradí WEP, zatímco se standard 802.11i připravoval [17]. WPA je navržena tak, aby pracovala se všemi bezdrátovými kartami, problém však může nastat v případě první generace bezdrátových přístupových bodů. WPA2 implementuje kompletně celý standard, ale nepracuje s některými staršími bezdrátovými síťovými kartami. Používá šifrování AES (Advanced Encryption Standard). Prezentované firemní prostředí používá technologii WPA2 v režimu Personal Mixed s maximální délkou klíče 63 znaků, což představuje 504bitový klíč.

1.7 Zálohování Servery mají disky uspořádány v diskových polích RAID 5. Během nočních hodin se každý den provádí jejich záloha, která však zůstává na discích samotných. Vytváří se stínové kopie, které umožňují vrátit stav až o týden nazpět. Jednou za 14 dní administrátor provedenou zálohu uloží na externí disk, který následně odnese s sebou domů, avšak jeho uložení nelze považovat za zcela bezpečné, protože není uložen například do protipožárního sejfu. Po uplynutí dalších 14 dní však další zálohou tu původní přepíše. Firma již delší dobu zamýšlí pořízení páskové mechaniky, ale do dnešní doby není k dispozici.

1.8 Logy Jsou zaznamenávány standardní implicitní logy serveru Windows 2003 bez jakýchkoliv změn v jejich nastavení. Jediný zvláště zavedený log soubor má za úkol zaznamenávat informace o všech uživatelích VPN. Logy jsou každodenně kontrolovány administrátorem IT.

1.9 Data a jejich klasifikace V současné době není uvnitř firmy zavedena žádná klasifikace dat. Nejsou nastavena žádná pravidla stanovující, kdo může s jakými daty na kterém stroji nakládat. Na primární serveru existuje základní adresářová struktura, která do jisté míry tématicky dělí data. Tato struktura byla převzata z dřívějška, kdy ve společnosti


9

působil předchozí správce IT. Při dotazech na obsahy jednotlivých složek bylo zjištěno, že současný administrátor zcela přesně nezná jejich obsahy. Často je ani neznají lidé, kteří s daty uloženými v těchto složkách nakládají. Při hlubším zkoumání bylo dále zjištěno, že data uložená v jednotlivých kořenových složkách nezřídka obsahují nehomogenní data, která spolu nesouvisejí nebo která by spolu být neměla. Ojediněle jsou nastavena omezení přístupu do složek jen na určité uživatele. Žádná data se nešifrují. Při dotazu na účetní data se ukázalo, že nejsou uložena na serveru. Účetní data se nachází na jednom lokálním stroji v kanceláři účetních, odkud se s nimi pracuje. Na serveru se pak nachází jen jejich záloha. Při pokusu administrátora data přesunout na server došlo k mírnému zpomalení reakční doby účetního softwaru (Money) a po nátlaku zaměstnanců došlo k navrácení dat na lokální stanici. Co se týče klientských stanic, nejsou na ně kladena žádná omezení definující, co na nich smí či nesmí být uloženo. Neexistuje žádný ucelený přehled o tom, jaká data se na stanicích nacházejí. Při dotazu na klasifikaci společných dat na serveru jsem se pro zajímavost nezávisle ptal ředitele společnosti, manažera logistiky (jeho funkce je však kumulovaná a měl velice dobrý přehled o datech) a administrátora IT, aby bylo možné nahlédnout, jak jsou stejná data různými lidmi na různých postech ceněna a vnímána ve smyslu důvěrnosti a jejich důležitosti. Možné klasifikační třídy jsem nadefinoval následovně: 1. Veřejná data bez omezení přístupu. 2. Primárně neveřejná interní data, v případě prozrazení mimo hranice společnosti hrozí maximálně ostuda (například běžné pracovní dokumenty, určitá necitlivá zákaznická data, protokoly z porad). 3. Důvěrná data uvnitř společnosti, požadavek na důvěrnost a integritu, v neautorizovaných rukou by tato data mohla vést k ovlivnění chodu společnosti či poskytnutí konkurenční výhody druhé straně (například účetní data, výplaty, osobní data). 4. Tajná data, neoprávněný přístup k datům by mohl být kritický pro provoz společnosti, nutným požadavkem je integrita dat (například informace o nevyřízených kontraktech, reorganizaci, finančních transakcích).


10

Hodnocení administrátora IT Data (reprezentují adresáře)

Klasifikace

Záloha účetních dat

3

Pracovní účetní data na lokální stanici

3

Company (fotky, prezentace, ceníky)

2

Finance (mzdy, smlouvy, žádosti o dotace)

3 neklasifikováno

ISO Systémová záloha

4

Mzdy (jen pro management - rozdělování odměn)

3

Faxy

3

CAD data konstruktérů

4

Tabulka 1: Klasifikace dat administrátorem IT

Hodnocení manažera logistiky Data (reprezentují adresáře)

Klasifikace


3


4


2


4

ISO

3

Systémová záloha

4


4

Faxy

2


4

Tabulka 2: Klasifikace dat manažerem logistiky


11

Hodnocení ředitele společnosti Data (reprezentují adresáře)

Klasifikace


3


3


3


3

ISO

3

Systémová záloha

3


3

Faxy

2


3

Tabulka 3: Klasifikace dat ředitelem společnosti

Hodnota „neklasifikováno“ znamená, že daná osoba neznala obsah daného adresáře dostatečně dobře, aby ho byla schopná rozumně zařadit. Z výše uvedeného vyplývá, že lidé daná data vytvářející a pracující s nimi jim přikládají často vyšší důležitost než osoba, která se o tato data „pouze“ stará a má být zodpovědná za jejich zabezpečení. To splňuje případ porovnání výsledků klasifikace manažera logistiky a administrátora IT. V rozporu s uvedenou tezí je fakt, že sám ředitel a zároveň spolumajitel v jedné osobě data klasifikoval docela podobně jako administrátor IT. Zajímavostí je také jeho nevariabilní klasifikace, úroveň 3 pohltila prakticky veškerá data. Nutno podotknout, že jsem žádal o klasifikaci jednotlivých složek uložených na primárním serveru. Ty však často ukrývají rozdílná data. Existuje tedy i případ, kdy by většina dat v jednom adresáři splňovala podmínky třídy 2, možná i 1, ale protože je tam spolu s nimi i jedna podsložka, která svou „důležitostí“ vybočuje, musel celý adresář být ve finále klasifikován vyšším stupněm. Z toho vyplývá, že by bylo potřeba data správně rozdělit a stávající architekturu přebudovat. Ponecháním takto si neodpovídajících dat pohromadě by v důsledku vedlo k plýtvání prostředky na zabezpečení u většiny z nich nebo přinejmenším k velice složitému řízení. Protože je samozřejmě přístup k datům u vyšších tříd mnohem komplikovanější (aplikace různých omezení), vedlo by to i ke snížení efektivity práce. Takové kroky by zcela jistě vedly k nespokojenosti zaměstnanců a jejich nižšímu výkonu, což by vyústilo i v nespokojenost vedení. Pro efektivní práci a možnost zabezpečení je budoucí reorganizace dat nevyhnutelná.


12

1.10 Fyzické zabezpečení Celá budova je vybavena docházkovým a přístupovým systémem na čipové karty. Bez čipové karty není možné se do objektu dostat. Navíc jsou oba dva vstupy kamerově hlídány. Využívá se 32b karet komunikujících pomocí protokolu Wiegand. Řízení přístupu je postaveno na systému SkylaPro II od firmy Olympo (obchodní značka společnosti Honeywell). Huby pro čtečky karet umožňují i kombinaci s klávesnicí pro kombinaci karty a PINu, je možné připojit i různé čtečky biometrických dat. Celý systém pro řízení přístupu je plně programovatelný, lze určit přesně časový rozsah, ve kterém je vstup povolen, lze nastavit frekvenci otevírání dveří, má senzory dlouhodobě otevřených dveří či násilně otevřených dveří. Systém je propojen i s docházkovým terminálem DT2000 SA od stejné firmy. Kromě čipových karet byl v rámci budovy zaveden i sedmnáctiúrovňový hierarchický klíč. To znamená, že je možné navrhnout až 17 různých druhů klíčů a jim odpovídající množiny dveří, které daný klíč dokáže odemknout. Protože se věnuji pouze bezpečnosti informačních technologií, nebudu zde rozebírat celou mapu klíčů podrobně. Obecně řečeno má každý zaměstnanec samozřejmě přístup na své pracoviště, k tomu se pak přidávají další speciální místnosti jako například úklidová místnost či archiv. Z mého pohledu zajímavou místností je místnost se servery. Při dotazu, kdo má do této místnosti přístup, jsem zjistil následující: — Vedení Ředitel Manažer zemědělské techniky Manažer mikrovlnných technologií Manažer logistiky Ekonom 4. spolumajitel — Sekretariát Vedoucí sekretariátu Asistentka Uklízečka — Zaměstnanci správy Manažer budovy Administrátor IT

Jak je z uvedeného zřejmé, do místnosti se servery má přístup velká skupina lidí, která se správou informačních technologií nemá nic společného. Existuje tu tedy veliká hrozba minimálně fyzického poškození zařízení při nesprávném či neuváženém pohybu po místnosti. To se především týká úklidu. Nutno podotknout, že ihned po shledání tohoto vysoce „rizikového stavu“ a následném vysvětlení situace byla okamžitě sjednána náprava a přístup do relevantní místnosti byl zredukován na administrátora IT a manažera logistiky.


13

15 klientských stanic

1 Gb/s

2. patro

3 servery switche telefonní ústředna jednotky UPS firewall

13 klientských stanic 2 síťové tiskárny

1 Gb/s

1. patro 6 klientských stanic

1 Gb/s

2 vchody do budovy, oba zabezpečené čtečkou čipových karet

přízemí

Obrázek: Fyzické schéma budovy

1.11 Správa hesel Správa hesel vlastně žádná neexistuje. Hesla jsou sice používána (protože si to systém vynucuje), ale jinak nepodléhají žádným přesným pravidlům. Ze strany administrátora je na určité osoby pracující s citlivými daty (například účetnictví) vyvíjen jistý tlak na kvalitu a stáří hesla, ale není to součástí žádné celopodnikové politiky a zůstává to tedy spíše na úrovni doporučení. Jak už vyplynulo z analýzy klientského systému, byla odhalena prázdná a slabá hesla. Na hesla nejsou kladeny žádné podmínky co do jejich délky, složitosti, obměn.

2. BEZPEČNOSTNÍ HROZBY, OHODNOCENÍ RIZIK

14

2. kapitola

Bezpečnostní hrozby, ohodnocení rizik Tato kapitola ve své první části prezentuje obecné bezpečnostní hrozby a rizika uvedené organizacemi v ČR v průzkumu společnosti Ernst & Young v roce 2005. Ve druhé části je vyhodnocení a návrh snížení rizik hrozeb pro prostředí firmy Romill.


15

2.1 Průzkum organizacemi ČR Během analýzy výchozího stavu informačních technologií ve společnosti bylo zjištěno několik zranitelností či nevhodných nastavení. Aby bylo možné rozumným způsoben stávající zranitelnosti a hrozby vyhodnotit a zaměřit se na ty s nejvyšší pravděpodobnostní, budu vycházet ze zprávy PSIB ČR 2005 (Průzkum stavu informační bezpečnosti v ČR 2005) pod záštitou Národního bezpečnostního úřadu.

SPAM

86%

výpadek proudu

85% 78%

porucha hardware

74%

počítačový virus 59%

chyba uživatele 49%

chyba programového vybavení

43%

selhání LAN 34%

selhání WAN

30%

chyba administrátora nebo obsluhy

22%

krádež zařízení nepovolený přístup k datům - zevnitř

9%

zneužití zařízení

6%

přírodní katastrofa

5%

nepovolený přístup k datům - zvenčí

3%

Graf 1 — Výskyt bezpečnostních incidentů (2004-2005)

25%

výpadek proudu 21%

porucha hardware 14%

počítačový virus 11%

chyba programového vybavení selhání WAN

7%

SPAM

7% 6%

selhání LAN 3%

chyba uživatele přírodní katastrofa

2%


2%

nepovolený přístup k datům - zevnitř

1%

krádež zařízení

1%

Graf 2 — Bezpečnostní incidenty s nejzávažnějším dopadem (2005)


16

Nejzávažnější dopad bezpečnostních incidentů uvádějí respondenti průzkumu u výpadku proudu (25 %), poruch hardwaru (21 %) a počítačových virů (14 %). Přes četnost svého výskytu nepředstavuje nevyžádaná elektronická pošta bezpečností incident se závažným dopadem pro více než 6 % organizací. Důležitým faktorem je také délka trvání výpadku systému. Poměrně dosti četně se vyskytující chyby uživatelů nezpůsobují vážnější problémy s výpadky systémů. U 90 % respondentů není časový výpadek systému v případě takovéhoto incidentu žádný nebo v rozsahu do čtyř hodin. Jako daleko závažnější se jeví z tohoto pohledu, vcelku očekávaně, přírodní katastrofa, ale také chyba administrátora nebo obsluhy. 11 % organizací v takovém případě uvádí výpadek systému v délce větší než 1 týden. Delší časové výpadky, které mají dopad na chod firemního prostředí, způsobuje také selhání LAN. Z výše uvedených dat vyplývá, že nejčastějšími bezpečnostními incidenty se závažným dopadem jsou výpadek proudu, porucha hardware, počítačový virus a chyba programového vybavení. Jak ukazuje následující tabulka, průměrné přímé finanční dopady nejzávažnějších bezpečnostních incidentů se pohybují od desítek tisíc až po částku přesahující půl milionu korun. Největší finanční dopady pak měly přírodní katastrofy, chyby administrátorů nebo obsluhy či selhání LAN. Stojí za povšimnutí , že chyba uživatele u respondentů způsobovala pátou největší průměrnou přímou finanční škodu.

přírodní katastrofa

590 000 Kč


570 000 Kč

selhání LAN

190 000 Kč

porucha hardware

120 000 Kč

chyba uživatele

110 000 Kč

chyba programového vybavení

100 000 Kč

krádež zařízení

55 000 Kč

výpadek proudu

50 000 Kč

nevyžádaná elektronická pošta (SPAM)

40 000 Kč

počítačový virus

30 000 Kč

selhání WAN

25 000 Kč

Tabulka 6: Průměrné přímé finanční dopady nejzávažnějších bezpečnostních incidentů Protože přírodní katastrofy způsobují zpravidla velké škody, zvláště když do nich zahrneme případ požáru, není možné takové události opominout. Jejich výskyt je však v poměrně dosti malém procentu případů.


17

2.2 Hlavní bezpečnostní hrozby pro firmu Romill Nyní se zaměřím na čtyři uvedené nejčastější bezpečnostní incidenty s nejzávažnějším dopadem z předchozí podkapitoly. Následkům způsobeným výpadkem proudu se může společnost efektivně a levně bránit instalací dostatečně dimenzovaných UPS jednotek u všech klíčových zařízení, aby nedošlo k náhlému vypnutí všech systémů bez předchozí přípravy a tím případné ztrátě dat. Protože se v případě společnosti Romill nejedná o zdravotnické zařízení či žádné jiné, jehož provoz ovlivňuje širokou veřejnost, myslím si, že případná instalace a následná údržba záložního naftového agregátu pro výrobu elektrické energie v době jejího výpadku by nebyla ekonomicky opodstatněná. Navíc v dané oblasti nejsou elektrické výpadky častou a hlavně dlouhodobou záležitostí. Výše případné investice by se pohybovala mezi 50.000,- až 100.000,- Kč jen za dieselový agregát s možností automatického elektrického spuštění z vlastního akumulátoru. Navíc by se musela připočítat cena za nějaký řídicí systém. Problémem však zůstává, že takový generátor by stejně nedokázal pokrýt elektrickou spotřebu celé firmy, takže by umožnil pouze dodávku serverům a síťovým prvkům a nějaké podmnožině pracovních stanic. Takže provoz by byl stále částečně omezen a to ani nehovořím o nemožnosti zásobovat výrobní prostory. V takovém případě by se investice vyšplhala mnohem výše. Dalším častým bezpečnostním incidentem s nemalými dopady je porucha hardwaru. Přihlédneme-li ke skutečnosti, že veškerá klíčová data by měla být centrálně uložena na serverech, pak je důležité obrátit pozornost právě tímto směrem. Pokud je tedy v zájmu ochránit data, jsou nenákladným řešením disková pole umožňující pomocí parity dopočítat data ztracená kvůli selhání některého z disků. Pravděpodobnost současného selhání více disků najednou rapidně klesá. Navíc také doporučuji nákup páskové mechaniky pro potřeby pořizování komplexních záloh, snadné manipulace s nimi a snadné možnosti přenosu záloh na bezpečné místo mimo budovu pro případ požáru. Taková investice už začíná dosahovat řádově desetitisíců, avšak nepřesáhne v případě 400GB verze nekomprimovaně 100.000,- Kč. S přihlédnutím ke skutečnosti, že mezi klíčová data společnosti patří několik desítek GB konstrukčních dat ukrývajících veškeré know-how společnosti (firma Romill má vlastní vývoj), je tato investice určitě namístě a může předejít škodám, které by mohly dosáhnout mnohem vyšších částek. Třetím uvedeným incidentem jsou počítačové viry. Jak jsem zjistil, v případě firmy Romill nemají s viry větší problémy. Navržená bezpečnostní politika však určuje přesná pravidla chování uživatelů, administrace systémů a implementace a použití antivirového řešení. Z tohoto pohledu si myslím, že spolu s navrženou bezpečnostní politikou je zabezpečení proti virovým nákazám dostatečné. Problematika počítačových virů se však zároveň týká i pořizování pravidelných záloh, kde aktuální situace ve firmě není uspokojivá. Je třeba prodloužit délku historie záloh, aby bylo možné efektivně snížit pravděpodobnost situace, kdy všechny pořízené zálohy jsou také infikované a tím pádem i znehodnocené pro potřeby obnovy. To je další argument pro pořízení páskové mechaniky. Posledním zdůrazněným bezpečnostním incidentem jsou chyby programového vybavení. Protože se firma Romill nezabývá vývojem softwarových aplikací a tedy


18

veškeré programové vybavení, které potřebuje ke své činnosti, je zakoupeno, je tu hrozba pouze z této strany. Proto je v návrhu bezpečnostní politiky jedna část věnována právě softwaru, kde jsou přesně stanovená pravidla pro jeho používání a výběr. Jestliže se tedy bude software pořizovat od renomovaných výrobců s kvalitní podporou a operační systémy všech počítačů budou řádně aktualizovány, snižuje se významně pravděpodobnost chyby způsobené softwarem. Pro obzvláště kritické aplikace se také doporučuje řádné testování před ostrým nasazením do provozu. Poměrně často také dochází (34 % respondentů) k výpadku WAN. Jeho dopady nejsou nikterak závažné, proto tedy zvolené řešení firmy Romill naprosto dostačuje. Provozují dvě nezávislé linky, které snižují pravděpodobnost výpadku a zároveň slouží pro rozdělování zátěže. Protože se sídlo firmy Romill nachází v blízkosti řeky, i když poměrně dosti vysoko nad úrovní její hladiny, je tu jisté riziko vytopení při výjimečné povodni. Vedle budovy se také nachází několik vysokých stromů, ale nejsou na straně místnosti se servery, a samozřejmě je tu vždy riziko požáru. Proti všem těmto rizikům doporučuji, kvůli jejich nízké pravděpodobnosti výskytu, nějakou formu pojištění. Tím se riziko přenese na druhou osobu. Co se týká ostatních zjištěných zranitelností či hrozeb, jsou zohledněny právě v návrhu bezpečnostní politiky.

3. KLASIFIKACE DAT

19

3. kapitola

Klasifikace dat Jak jsem již uvedl v první kapitole, zkoumal jsem i jak jsou ve firmě Romill klasifikována data. Zjistil jsem, že žádná podobná klasifikace nastavená není. Proto jsem se rozhodnul pro dané prostředí navrhnout možnou klasifikaci, aby bylo možné data odpovídajícím způsobem zabezpečit, ale pouze tam, kde je to nutné. Tento návrh klasifikace je velice obecný, aby nepodléhal případným změnám ve firmě, a i když například momentálně ve společnosti nikdo nepracuje s daty nejvyšší úrovně, mohou se taková data v budoucnu objevit a tuto klasifikaci nebude nutné předělávat či doplňovat. Pro dané prostředí jsem navrhnul klasifikaci dat do čtyř úrovní. Nejnižší úroveň 1 je pro nejméně citlivá data a nejvyšší úroveň 4 je určena pro ta nejdůležitější data. Každá úroveň je nadřazená předchozí úrovni. Jestliže například nějaký systém spadá do úrovně 3, pak musí splňovat kritéria tříd 1, 2 i 3. Jestliže pak systém obsahuje data více než jedné úrovně citlivosti, musí být klasifikován jako celek v souladu s požadavky ochranu těch nejdůvěrnějších dat v systému obsažených.

3. KLASIFIKACE DAT

20

3.1 Úroveň 1: Veřejná/neutajovaná data Data v těchto systémech mohou být zveřejněna bez jakýchkoliv následků pro organizaci. To znamená, že taková data nejsou nikterak utajovaná. Integrita takových dat není zásadní. Nedostupnost služby takovýmto systémem poskytované z důvodu zákeřného útoku je přijatelným rizikem. Takovými daty mohou být například některé informační služby pro veřejnost. Pravidla pro uchovávání: žádná Pravidla pro přenos: žádná Pravidla pro likvidaci: žádná

3.2 Úroveň 2: Interní/citlivá data Externí přístup k těmto datům není povolen, ale v případě, že se taková data dostanou na veřejnost, nebudou následky pro organizaci kritické. V takovém případě může dojít pouze například k veřejné ostudě. Přístup v rámci organizace je selektivní. Integrita dat je důležitá, ale ne zásadní. Takovými daty mohou být například určitá data o zákaznících, běžné pracovní dokumenty, záznamy ze schůzek nebo interní telefonní seznam. Pravidla pro uchovávání: 1. Data by měla být označená, odpovídající úroveň by měla být například vyznačena na dokumentech, médiích (CD, DVD, pásky atd.), elektronických zprávách a souborech. 2. Systémy náchylné na možné virové nákazy by měly být pravidelně skenovány. Integrita systémů by měla být pravidelně kontrolována. Pravidla pro přenos: 1. Pro projekty vyžadující spolupráci s externími partnery by mělo být stanoveno, která data mohou s těmito partnery být sdílena. 2. Tato data by měla zůstat uvnitř organizace a v případě, že je potřeba je přenášet přes veřejná média (Internet), měla by být šifrována. 3. Interní data nesmí být vynášena mimo organizaci, pokud se na takový případ nevztahují body 1 a 2. Pravidla pro likvidaci: žádná

3.3 Úroveň 3: Důvěrná data Data této úrovně jsou důvěrná v rámci organizace a musí být chráněna před přístupem zvenčí. Kdyby došlo k neoprávněnému přístupu k těmto datům, mohlo by to ovlivnit provoz organizace, způsobit zásadní finanční ztráty, poskytnout

3. KLASIFIKACE DAT

21

významnou výhodu konkurenci nebo způsobit zásadní ztrátu důvěry u zákazníků. Integrita dat je zásadní. Takovými daty mohou být například platy, personální data, účetní data, velmi důvěrná zákaznická data, citlivé projekty a důvěrné kontrakty. Pravidla pro uchovávání: 1. Data by měla být označená, odpovídající úroveň by měla být například vyznačena na dokumentech, médiích (CD, DVD, pásky atd.), elektronických zprávách a souborech. 2. Systémy náchylné na možné virové nákazy by měly být pravidelně skenovány. Integrita systémů by měla být pravidelně kontrolována. Systémy by měly být nakonfigurovány s ohledem na ochranu před neoprávněnými změnami dat a programů. 3. Data by měla být uzamčena. To znamená, že například dokumenty by měly být uzamčené ve skříních, počítače uzamčené v místnostech. Pravidla pro přenos: 1. Hesla by neměla být přenášena jako prostý text. Ani elektronicky, ani na papíře. 2. Tato data by měla zůstat uvnitř organizace a v případě, že je potřeba je přenášet přes veřejná média (Internet), měla by být šifrována. Použité šifrovací algoritmy by měly být silné a s dostatečně dlouhými klíči. Pravidla pro likvidaci: 1. Data by měla být bezpečně zlikvidována, jakmile nejsou už nadále potřeba. To znamená užití skartovacích zařízení, zničení starých disků či jiných výměnných médií.

3.4 Úroveň 4: Tajná data Externí či interní neoprávněný přístup k těmto datům by mohl být pro chod organizace kritický. Integrita dat je naprosto zásadní. Počet osob s přístupem k těmto datům by měl být co nejmenší. Použití těchto dat musí vyžadovat dodržování velmi přísných pravidel. Takovými daty mohou být například informace o nevyřízených kontraktech, reorganizaci či finančních transakcích. Pravidla pro uchovávání: 1. Data by měla být označená, odpovídající úroveň by měla být například vyznačena na dokumentech, médiích (CD, DVD, pásky atd.), elektronických zprávách a souborech. 2. Systémy náchylné na možné virové nákazy by měly být pravidelně skenovány. Integrita systémů by měla být pravidelně kontrolována. Systémy by měly být nakonfigurovány s ohledem na ochranu před neoprávněnými změnami dat a programů a měly by být každoročně auditovány.

3. KLASIFIKACE DAT

22

3. Data by měla být uzamčena. To znamená, že například dokumenty by měly být uzamčené ve skříních, počítače uzamčené v místnostech. 4. Data by měla být uložena v šifrované podobě nebo na vyjímatelných discích, které jsou fyzicky zabezpečené. Pravidla pro přenos: 1. Tato data by měla být během přenosu mimo bezpečné zóny zašifrována. Použité šifrovací algoritmy by měly být silné a s dostatečně dlouhými klíči. Pravidla pro likvidaci: 1. Data by měla být bezpečně zlikvidována, jakmile nejsou už nadále potřeba. To znamená užití skartovacích zařízení, zničení starých disků či jiných výměnných médií. Zároveň je nutné dodržovat odpovídající místní, národní a mezinárodní zákony (například ochrana osobních údajů). Personální data by měla být chráněna v souladu se zákony o ochraně osobních údajů ČR. Zvláštní oblastí je internetová pornografie a jiný nezákonný materiál jako například nově trestné držení pedofilního materiálu, nacistické propagandy a podobně. Jestliže se zjistí, že takovýto materiál putuje přes internetové brány organizace, měl by být okamžitě zablokován. Dále pak personál nesmí používat podnikové počítače a infrastrukturu k přístupu k tomuto materiálu. V případě porušení pravidel uživatelem může být přistoupeno k disciplinárnímu postihu.

4. STANDARDY

23

4. kapitola

Standardy Budování bezpečnostní politiky je často spojeno se zvoleným standardem, který slouží jako předpis. Existuje jich řada s většími či menšími rozdíly. Zabývají se však stejnou oblastí, takže i témata, která pokrývají, jsou často shodná. Podle průzkumu mezi českými organizacemi bylo zjištěno následující zastoupení použitých standardů týkajících se informační bezpečnosti: 17%

ISO/IEC 17799/BS 7799

16%

jiný standard 13%

standardy a nařízení EU pro bezpečnost IS 7%

ISO/IEC TR 13335 5%

ITIL COBIT

2%

Graf 3 — Jaké mezinárodní standardy v oblasti informační bezpečnosti se při řešení informační bezpečnosti používají

ISO/IEC 17799/BS 7799 využívá největší procento respondentů (17 %). 1. července roku 2007 byl název tohoto standardu formálně změněn na ISO/IEC 27002 2005. Jeho obsah však zůstal zcela beze změn. Protože jsem čerpal z fakultních materiálů z roku 2005, používám ještě předchozí označení. Nepříliš rozšířené je použití COBITu (2 %), zřejmě pro jeho často diskutovanou rozsáhlost a možná určitou akademičnost. Evropská unie se svými směrnicemi/standardy a nařízeními hraje roli v řešení informační bezpečnosti u 13 % dotazovaných. Vcelku překvapivých 16 % organizací používá jiný, než zde uvedený mezinárodní standard. V této skupině jsou zastoupeny nejvíce organizace v odvětví financí či bankovnictví a státní správy. Tato diplomová práce je inspirována právě nejrozšířenějším standardem ISO/IEC 17799 (management bezpečnosti informací). Po prvotním prozkoumání firemního prostředí společnosti Romill byl rozsah zredukován, takže výsledná bezpečnostní politika není naprosto plnohodnotným naplněním daného standardu. Fundamentální témata jsou však zastoupena. Podobu daného standardu zde pro ilustraci nastíním, protože témata, kterých se dotýká, jsou společná pro více norem.

4. STANDARDY

24

4.1 Organizace bezpečnosti V prvé řadě je cílem normy definovat směr a vyjádřit podporu bezpečnosti informací ze strany managementu. Management organizace by měl stanovit jasný směr postupu v oblasti bezpečnosti informací, ukázat její podporu vydáním a aktualizací bezpečnostní politiky informací platné v celé organizaci. Musí být zřejmá infrastruktura bezpečnosti informací. Norma hovoří o tom, že by měl být v dané organizaci ustanoven orgán zodpovědný za schvalování politiky bezpečnosti informací, který by koordinoval implementaci bezpečnosti v dané organizaci. V případě nutnosti by pak měl být v organizaci vytvořen specializovaný zdroj pro oblast bezpečnosti informací, který by měl být dostupný v rámci celé organizace. Aby bylo možné držet krok s posledními trendy v odvětví, sledovat standardy a vybírat nejvhodnější postupy, měly by být uzavřeny smlouvy s externími odborníky v oboru bezpečnosti informací. Měla by být podporována koordinace a spolupráce manažerů, uživatelů, administrátorů, aplikačních návrhářů, auditorů, bezpečnostních pracovníků a také specialistů v takových oblastech, jako je pojištění a management rizik. Protože organizace spolupracují i s třetími stranami, je nutné zachovat bezpečnost zařízení pro zpracování informací a bezpečnost informačních aktiv organizace, které jsou jim přístupné. Přístup třetích stran k těmto zařízením by měl být řízen. Tam, kde z činností organizace vyplývá potřeba přístupu třetí strany, by mělo být provedeno zhodnocení rizik plynoucích z tohoto přístupu tak, aby se zjistily důsledky z hlediska bezpečnosti a aby se definovaly požadavky na opatření. Opatření by měla být schválena a definována ve smlouvě se třetí stranou. Přístup třetí strany k aktivům organizace může zahrnovat také další zúčastněné strany. Smlouvy umožňující přístup třetí strany by měly zahrnovat dodatek, ve kterém budou ustanoveni další případní účastníci, kteří by měli přístup k aktivům organizace. Ve firemním prostředí je kladen veliký tlak na efektivnost a ekonomiku. Z tohoto důvodu se často přistupuje u různých služeb k najímání externích firem a využívání jejich zdrojů, což je známé pod pojmem outsourcing. Bezpečnostní normy se snaží zachovat bezpečnost informací i v případech, kdy je odpovědnost za zpracování informací přenesena na jinou organizaci. Při zajištění činností s tímto spojených by měla smlouva mezi stranami pokrývat rizika, bezpečnostní opatření a postupy pro informační systémy, sítě nebo samostatné počítače.

4.2 Klasifikace a řízení aktiv Další oblastí, kterou se norma bezpečnosti informací zabývá, je řízení aktiv. Cílem je udržovat jejich přiměřenou ochranu. U všech důležitých informačních aktiv by tedy měla být stanovena odpovědnost, která pomáhá zabezpečit udržování této ochrany. Aktiva by měla také mít svého vlastníka. Odpovědnost za realizaci jednotlivých bezpečnostních opatření může být delegována, ale vlastní odpovědnost za ně by měla zůstat právě na daném vlastníkovi.

4. STANDARDY

25

Nespornou součástí normy informační bezpečnosti je klasifikace informací. Jak už bylo zmíněno, je zájmem udržovat přiměřenou ochranu aktiv. Informace by tedy měly být klasifikovány, aby byla naznačena jejich potřebnost, důležitost a stupeň ochrany. Informace mohou mít různý stupeň citlivosti a mohou být různě kritické, některé mohou vyžadovat vyšší úroveň bezpečnosti nebo zvláštní způsob zacházení. Měl by existovat systém bezpečnostní klasifikace, který by určoval adekvátní stupeň ochrany a který by dával uživatelům informace o nutnosti zvláštního zacházení.

4.3 Personální bezpečnost Normy se také věnují personální bezpečnosti. Je v zájmu snížit riziko lidské chyby, krádeže, podvodu nebo zneužití prostředků organizace. Odpovědnosti za bezpečnost by měly být zohledněny v rámci přijímacího řízení, zahrnuty v pracovních smlouvách a jejich dodržování by mělo být sledováno během celé doby trvání zaměstnání. Potenciální uchazeči by měli být náležitě prověřeni (reference, kontrola životopisu, ověření vzdělání), zejména v případě citlivých pracovních míst. Všichni zaměstnanci a pracovníci třetích stran, využívající prostředky organizace pro zpracování informací, by měli podepsat smlouvu o zachování důvěrnosti. S personální bezpečností je také spjato školení uživatelů. Je nutné zajistit, aby si uživatelé byli vědomi bezpečnostních hrozeb a problémů s nimi spojených a byli připraveni podílet se na dodržování politiky bezpečnosti informací během své běžné práce. Uživatelé by měli být školeni v bezpečnostních postupech a ve správném používání prostředků pro zpracování informací, aby byla minimalizována bezpečnostní rizika. Bezpečnostní politika také musí obsahovat postup reakce na bezpečnostní incidenty. Snahou je minimalizovat škody způsobené takovými incidenty, sledovat je a učit se z nich. Incidenty ovlivňující bezpečnost by měly být co nejrychleji hlášeny stanovenými cestami. Všichni zaměstnanci a smluvní strany by měli znát postupy hlášení různých typů incidentů (narušení bezpečnosti, možné hrozby, slabiny nebo chybné fungování), které mohou mít dopad na bezpečnost aktiv organizace. Zjištěné bezpečnostní incidenty nebo podezření by měli ihned hlásit na určené místo. Organizace by měla vytvořit formalizovaná pravidla pro disciplinární řízení se zaměstnanci, kteří způsobili narušení bezpečnosti. Pro správnou identifikaci incidentu je nezbytné co možná nejdříve po výskytu události zajistit důkazy.

4.4 Fyzická bezpečnost a bezpečnost prostředí Další oblastí zájmu je fyzická bezpečnost a bezpečnost prostředí. Je třeba předcházet neautorizovanému přístupu do vymezených prostor, předcházet poškození a zásahům do provozních budov a informací organizace. Prostředky IT zpracovávající kritické nebo citlivé informace organizace by měly být umístěny v zabezpečených zónách chráněných definovaným bezpečnostním obvodem s odpovídajícími bezpečnostními bariérami a vstupními kontrolami. Tyto prostředky by měly být fyzicky chráněny proti neautorizovanému přístupu, poškození a narušení.

4. STANDARDY

26

Jejich ochrana by měla odpovídat zjištěným rizikům. Doporučuje se zavést zásady prázdného stolu a prázdné obrazovky monitoru, aby se snížilo riziko neoprávněného přístupu k papírovým dokumentům a médiím nebo riziko jejich poškození. S předcházející oblastí úzce souvisí i zabezpečení zařízení. Je nutné předcházet ztrátě, poškození nebo kompromitaci aktiv a přerušení činnosti organizace. Zařízení by měla být fyzicky chráněna proti bezpečnostním hrozbám a působení vnějších vlivů. Ochrana zařízení (včetně těch, která se používají mimo hlavní lokalitu) je nezbytná jak pro snížení rizika neautorizovaného přístupu k datům, tak k zajištění ochrany proti ztrátě nebo poškození. Pozornost by měla být věnována také jejich umístění a likvidaci. Na ochranu proti možnému ohrožení nebo neautorizovanému přístupu a na ochranu podpůrných prostředků, jako například dodávky elektrické energie a struktury kabelových rozvodů, mohou být požadována zvláštní opatření.

4.5 Řízení komunikací a řízení provozu Jednou z kapitol normy ISO/IEC 17799 je také řízení komunikací a řízení provozu. Cílem je zajistit správný a bezpečný provoz prostředků pro zpracování informací. Měly by být stanoveny odpovědnosti a postupy pro řízení a správu prostředků zpracovávajících informace. Zahrnuje to vytváření vhodných provozních instrukcí a postupů při incidentech. V tomto ohledu je také nutné minimalizovat riziko selhání systému. Pro zajištění odpovídající kapacity a zdrojů systému je nutné provést předcházející přípravu a plánování. Aby se snížilo riziko přetížení systému, měl by být vytvářen odhad budoucích kapacitních požadavků. Před schválením nových systémů a před jejich uvedením do provozu by k nim měly být stanoveny, písemně zdokumentovány a otestovány provozní požadavky. Nedílnou součástí bezpečnostní politiky je také ochrana proti škodlivým programům. V rámci organizace je nutné chránit integritu programů a dat. Pro prevenci a detekování škodlivých programů jsou vyžadována patřičná opatření. Programy a prostředky pro zpracování informací jsou zranitelné škodlivými programy, jako jsou například počítačové viry, síťoví červi a trojští koně. Uživatelé by měli být upozorňováni na nebezpeční neschválených a škodlivých programů a vedoucí zaměstnanci by měli tam, kde je to vhodné, aplikovat zvláštní opatření pro jejich předcházení a detekování. Zejména je nezbytné, aby se učinila opatření pro detekci a prevenci počítačových virů na osobních počítačích. Dalším bezpečnostním cílem je udržování integrity a dostupnost informačních a komunikačních služeb. Měly by být vytvořeny rutinní postupy realizující schválenou zálohovací strategii, vytvářející záložní kopie dat a ověřující jejich včasné obnovení, zaznamenávání událostí, chyb a monitorování okolního prostředí. Do oblasti řízení komunikace a provozu také spadá správa sítě a zacházení s médii. Je nutné zajistit ochranu informací v počítačových sítích a ochranu jejich infrastruktury. Pozornost vyžaduje správa bezpečnosti počítačových sítí, které mohou přesahovat hranice organizace. Pro zabezpečení citlivých dat přenášených veřejnými sítěmi mohou být požadována dodatečná opatření. Média by pak měla být kontrolována a fyzicky zabezpečena. Měly by být stanoveny náležité provozní

4. STANDARDY

27

postupy týkající se zabezpečení dokumentů, počítačových médií (pásky, disky), vstupních/výstupních dat a systémové dokumentace před poškozením, krádeží a neoprávněným přístupem. Řízení komunikace a provozu se zabývá také výměnami informací a programů. Snahou je předcházet ztrátě, modifikaci nebo zneužití informací vyměňovaných mezi organizacemi. Výměny informací a programů mezi organizacemi by měly být kontrolovány a měly by být ve shodě s platnou legislativou. Tyto výměny by měly být prováděny na základě smluv. Měly by být stanoveny postupy a normy pro ochranu informací a jejich nosičů při přepravě. Měly by být zváženy provozní a bezpečnostní dopady v souvislosti s elektronickou výměnou dat, elektronickým obchodem a elektronickou poštou.

4.6 Řízení přístupu Další rozsáhlou oblastí bezpečnostní politiky dle normy je řízení přístupu. Přístup k informacím a procesům organizace by měl být řízen na základě provozních bezpečnostních požadavků. V úvahu by se měla brát pravidla organizace pro šíření informací a pravidla, podle nichž probíhá schvalování. Jasným cílem je předcházet neoprávněnému přístupu k informačním systémům. Měly by existovat formální postupy pro přidělování uživatelských práv k informačním systémům a službám. Postupy by měly pokrývat všechny fáze životního cyklu přístupu uživatele, od prvotní registrace nového uživatele až po konečné zrušení registrace uživatele, který přístup k informačním systémům a službám již dále nepotřebuje. Uživatelé by si měli být vědomi odpovědnosti za dodržování účinných opatření kontroly přístupu, zejména s ohledem na používání hesel, a bezpečnosti prostředků jim náležících. V rámci bezpečnostní politiky je také nutné ošetřit přístup k síti. Přístup k interním i externím síťovým službám by měl být řízen. Je to nezbytné pro zajištění toho, aby uživatelé mající přístup k sítím nebo síťovým službám neohrožovali bezpečnost těchto služeb. K tomu je potřeba vhodné rozhraní sítě organizace se sítěmi jiných organizací nebo veřejnými sítěmi, odpovídající autentizační mechanizmus pro uživatele a zařízení a řízení přístupu uživatelů k informačním službám. Součástí řízení přístupu je také řízení přístupu k počítačovým prostředkům jako takovým. Pro omezení přístupu k prostředkům počítače by měly být použity bezpečnostní prostředky na úrovni operačního systému. Tyto prostředky by měly být schopné identifikovat a ověřit totožnost uživatele, zaznamenávat úspěšné a neúspěšné pokusy o přístup, poskytovat odpovídající autentizační prostředky (kvalitní hesla) a v případě potřeby omezit dobu připojení uživatele. S tímto souvisí i řízení přístupu k aplikacím. Logický přístup k programům a informacím by měl být omezen na oprávněné uživatele. Aplikační systémy by měly kontrolovat přístup uživatelů k datům a funkcím aplikačního systému, poskytovat ochranu před neoprávněným přístupem ke všem nástrojům a systémovým programům, které mohou obejít systémové a aplikační kontrolní mechanizmy, nenarušit bezpečnost jiných systémů, se kterými jsou sdíleny informační zdroje a být schopné poskytnout přístup k informacím pouze jejich vlastníkovi, dalším jím

4. STANDARDY

28

určeným autorizovaným osobám nebo skupinám uživatelů. Přístup je také nutné monitorovat a detekovat neautorizované aktivity. Systémy by měly být monitorovány z důvodu možného odhalení nedodržování politiky řízení přístupu a z důvodu zaznamenání sledovatelné události využitelné jako důkazní materiál v případě bezpečnostních incidentů. Poslední součástí řízení přístupu je zajištění bezpečnosti informací při použití mobilní výpočetní techniky a při využití prostředků pro práci na dálku. Požadovaná ochrana by měla odpovídat rizikovosti těchto specifických způsobů práce. Při použití mobilních výpočetních prostředků by mělo být zváženo riziko práce v nechráněném prostředí a měla by být zajištěna vhodná ochrana. V případě práce na dálku by měla být zavedena ochrana na místě výkonu práce a měly by být zajištěny vhodné podmínky pro tento způsob práce.

4.7 Vývoj a údržba systémů Další oblastí normy bezpečnosti informací je vývoj a údržba systémů. Cílem je zajistit implementaci bezpečnosti do informačních systémů. To zahrnuje infrastrukturu, organizaci a uživatelsky vyvinuté aplikace. Návrh a implementace podpory procesů organizace, které aplikace nebo služba odráží, mohou být pro bezpečnost kritické. Bezpečnostní požadavky by měly být stanoveny a odsouhlaseny ještě před zahájením vývoje informačního systému. Všechny bezpečnostní požadavky, včetně požadavků na náhradní provoz, by měly být v projektu stanoveny již ve fázi definice požadavků a měly by být zdůvodněny, odsouhlaseny a dokumentovány jako součást vývoje informačního systému. Do aplikačních systémů, včetně těch, které jsou vytvořeny uživatelsky, by měly být zahrnuty vhodné kontroly, auditní záznamy nebo záznamy aktivit. Kryptografické systémy a techniky by měly být použity pro ochranu informací, které jsou považovány za rizikové a pro která ostatní opatření neposkytují odpovídající ochranu. Projektové a podpůrné prostředí by mělo být pod přísnou kontrolou. Vedoucí a správci, kteří jsou odpovědní za aplikační systémy, by měli mít také odpovědnost za bezpečnost projektového a podpůrného prostředí. Měli by zajistit, že všechny plánované změny systému budou podrobeny kontrole, aby nenarušily bezpečnost systému nebo provozního prostředí.

4.8 Řízení kontinuity činností organizace Další součástí normy je řízení kontinuity činností organizace. Cílem je bránit přerušení provozních činností a chránit kritické procesy organizace před následky závažných chyb a katastrof. Pro minimalizaci výpadků způsobených pohromami a selháním bezpečnosti na přijatelnou úroveň za pomoci preventivních a zotavovacích opatření, by měl být zaveden proces řízení kontinuity činností

4. STANDARDY

29

organizace. Důsledky pohrom, bezpečnostních chyb a výpadků by měly být analyzovány. Pro zajištění toho, aby mohla být obnovena činnost organizace v požadovaných lhůtách, je vhodné připravit a implementovat havarijní plány. Tyto plány by měly být udržovány a nacvičovány tak, aby se staly integrální součástí všech ostatních řídicích procesů. Řízení kontinuity činností organizace by mělo zahrnovat opatření k identifikaci a minimalizaci rizik, omezovat důsledky škodlivých incidentů a zajistit včasné obnovení nezbytných činností.

4.9 Soulad s požadavky Poslední součástí normy je část věnující se souladu s požadavky. Je nutné se vyvarovat porušení norem trestního nebo občanského práva, zákonných nebo smluvních povinností a bezpečnostních požadavků. Návrh, provoz a používání informačních systémů může být předmětem zákonných nebo smluvních bezpečnostních požadavků. Specifické požadavky vyplývající ze zákona by měly být konzultovány s právními poradci organizace nebo jinými kvalifikovanými právníky. Legislativní požadavky na informace vzniklé v jedné zemi a přenášené do jiné země jsou různé a mění se podle jednotlivých zemí. Současně je třeba zajistit shodu systémů s bezpečnostní politikou organizace. Bezpečnost informačních systémů by měla být pravidelně kontrolována. Tato přezkoumání by měla být prováděna u jednotlivých bezpečnostních politik a jednotlivých technických platforem a měla by být auditována shoda informačních systémů s normami implementace bezpečnosti. Při provádění auditu je třeba maximalizovat efektivnost a minimalizovat interferenci. Měla by existovat opatření pro zajištění bezpečnosti provozního systému a nástrojů auditu v průběhu vlastního auditu. Ochrana u nástrojů auditu je také nutná, aby byla zajištěna jejich integrita a předešlo se jejich zneužití.

5. BEZPEČNOSTNÍ POLITIKA

30

5. kapitola

Bezpečnostní politika V podniku představuje bezpečnostní politika dokument, který v písemné formě uvádí, jak společnost plánuje ochranu podnikových prostředků informačních technologií. Bezpečnostní politika se často považuje za „živý dokument“, což znamená, že tento dokument není nikdy dokončen, ale je neustále aktualizován podle toho, jak se technologické požadavky a požadavky zaměstnanců mění. Měla by však být dostatečně obecná, aby její změny nebyly nutné příliš často. Její zásady by neměly být závislé na architektuře či konkrétním systému. Bezpečnostní politika podniku může také zahrnovat plán popisující jak organizace hodlá vzdělávat její zaměstnance ohledně ochrany prostředků společnosti, vysvětlení realizace a prosazování bezpečnostních opatření a postup vyhodnocování efektivity bezpečnostní politiky, aby se zajistily nutné opravy. Tato druhá část už však nebude předmětem této diplomové práce. Úspěšná implementace bezpečnostní politiky musí stát na následujících základech: — Bezpečnostní cíle a aktivity k nim vedoucí musí respektovat podnikatelské cíle a požadavky společnosti. — Musí existovat viditelná podpora a odhodlání vrcholného managementu. — Musí být zajištěno správné porozumění bezpečnostním rizikům (zranitelností a hrozeb) pro podniková aktiva. — Bezpečnost musí být společným cílem managerů i zaměstnanců. — Všichni zaměstnanci a externí partneři musí být srozumitelně poučeni o bezpečnostní politice.

Bezpečnostní cíle Důvěrnost (confidentiality), integrita (integrity) a dostupnost (availability) jsou tři primární bezpečnostní cíle, které jsou uváděny v bezpečnostních standardech. Tyto cíle popisují hlavní záměry pro zajištění ochrany dat a jejich zdrojů před neoprávněným přístupem, použitím, odhalením, přerušením, úpravou nebo zničením.


31

Důvěrnost Udržení oprávněných omezení při přístupu k datům a jejich odhalení včetně prostředků pro ochranu osobního soukromí a vlastnických informací. Přiřazená úroveň důvěrnosti se používá při určování typů bezpečnostních opatření požadovaných pro ochranu před neoprávněným přístupem či odhalením. Integrita Ochrana proti nepatřičné změně dat nebo jejich zničením včetně zajištění nepopiratelnosti a pravosti dat. Míra dopadu neoprávněné změny či zničení zdrojů dat určuje význam údržby integrity daného datového zdroje. Dostupnost Zajištění včasného a spolehlivého přístupu a použití dat. Celkový význam dostupnosti datového zdroje je založen na jeho kritičnosti vzhledem k funkčnímu provozu společnosti nebo důležitosti dané funkcionality pro plynulý chod společnosti a při zotavování po havárii.


32

5.1 Chování uživatelů Uživatelé nesmí: 1. Sdílet účty či hesla s přáteli nebo příbuznými. 2. Spouštět programy pro lámání hesel nad systémovými soubory s hesly. 3. Provozovat síťové sniffery (programy pro skryté sledování síťového provozu). 4. Snažit se vlámat do cizích uživatelských účtů. 5. Rušit služby. 6. Zneužívat systémové prostředky. 7. Zneužívat firemní email. 8. Zkoumat soubory ostatních uživatelů. 9. Jestliže k tomu nebyli jejich majitelem vyzváni, kopírovat nelicencovaný software nebo to umožňovat jiným uživatelům.

5.2 Hesla Kombinace uživatelského jména a hesla určuje identitu uživatelů v systému. Zavedení dobré personální politiky hesel je nejdůležitější překážka pro neoprávněný přístup do stávajících systémů.

Co by mělo splňovat kvalitní heslo: — Mělo by obsahovat kombinaci čísel, velkých a malých písmen a zvláštních znaků. — Mělo by být jednoduše zapamatovatelné (není třeba si jej psát). — Mělo by umožňovat rychlé napsání na klávesnici (nesnadné odpozorování). — Mělo by mít vždy minimálně 8 znaků.

Možné postupy: — Výběr řádku básně/písně a použití počátečních písmen slov. — Vytvoření akronymu.

Špatné příklady: — Jméno manželky/manžela, rodiče, kolegy, dny, měsíce atd. — Poznávací značka auta, telefonní číslo. — Běžná slovníková slova a to i z běžných cizích jazyků (angličtina). — Série stejných čísel či znaků. — Zřejmé klávesové sledy.


33

Pravidla: 1. Nepsat si hesla nebo je nesdělovat emailem. 2. Nepoužívat výchozí hesla. 3. Nedávat heslo jiným osobám. 4. Jestliže došlo k odhalení hesel, je nutné je okamžitě změnit. 5. Je-li to možné, je žádoucí používat jedno heslo pro různé platformy. Zapamatování jednoho kvalitního hesla je snadnější a lépe se prosazuje než u většího množství. 6. Je dobré informovat uživatele o úspěšných kontrolních pokusech o prolomení hesla, zvyšuje se tím jejich uvědomění. 7. Všechna výchozí hesla systému dodaná od výrobce je nutné změnit. 8. Hesla je třeba uchovávat v šifrované podobě pomocí silného algoritmu, aby útok hrubou silou na výkonné stanici trval řádově alespoň týdny. 9. Uživatelé by neměli mít přístup k souborům s (zašifrovanými) hesly. 10. Je nutné specifikovat minimální stáří, maximální stáří, minimální délku a hloubku historie hesel. Úroveň 1 Minimální stáří = 2 dny, maximální stáří = 12 měsíců, minimální délka = 8 znaků Úroveň 2 Minimální stáří = 2 dny, maximální stáří = 6 měsíců, minimální délka = 8 znaků. Úroveň 3 Minimální stáří = 2 dny, maximální stáří = 3 měsíce, minimální délka = 10 znaků. Úroveň 4 Minimální stáří = 2 dny, maximální stáří = 1 měsíc, minimální délka = 12 znaků. Minimální stáří stanovuje minimální nutnou dobu platnosti hesla než jej může uživatel znovu změnit. Hloubka historie by měla znemožňovat použití 5 posledních hesel. 11. Pro úrovně 2, 3, 4 by měl být obsah volených hesel kontrolován proti výše uvedeným zásadám. 12. Uživatelé nesmí mít možnost měnit hesla u jiných uživatelských účtů. 13. Jestliže jsou používány zvláštní aplikace vyžadující další heslo, nemělo by se shodovat s hesel pro přihlášení do systému. 14. Systém úrovně 2, 3, 4 by měl vynucovat změnu hesla při prvním přihlášení. 15. Pokud je to možné, systém úrovně 2, 3, 4 by měl nabízet automaticky generovaná hesla. 16. Systémy úrovně 2, 3, 4 by měly být pravidelně (týdně) kontrolovány na slabá hesla. 17. Přístup do systému úrovně 4 může být v případě potřeby chráněn silnější autentizací, je možné zvážit použití smart karet, biometrie atd.


34

5.3 Řízení přístupu 1. Uživatelé dostanou pouze taková práva ke všem systémům, která jim umožní plně vykonávat jejich práci. Uživatelská práva budou vždy udržována na minimální přípustné úrovni. 2. Za udělení patřičných práv uživatelům je zodpovědný administrátor IT po společné dohodě. Administrátor IT je zodpovědný za udržování integrity dat. 3. Přístup do sítě, na servery či do jiných systémů musí vyžadovat uživatelské jméno a heslo. U systémů obsahujících data úrovně 4 se doporučuje použití dalšího prvku, například smart karet. 4. Uživatelská jména musí mít pevný formát, například složenina iniciálu a příjmení osoby. 5. Všichni uživatelé jsou povinni používat alfanumerická hesla o délce alespoň 8 znaků. 6. Kde je to technicky možné, je nutné implementovat detekci nežádoucího proniknutí. Uživatelský účet bude zablokován po třech neúspěšných pokusech o přihlášení. 7. Administrátor IT bude informován o všech zaměstnancích rozvazujících zaměstnanecký poměr s organizací. Pokud dojde k rozvázání pracovního poměru ze strany organizace, je administrátor IT povinen odebrat práva pro přístup do systému dříve než je danému zaměstnanci oznámeno ukončení jeho pracovního poměru. 8. Administrátorská hesla sítě, serverů a jiných systémů budou uložena na bezpečném místě pro případ nouze či katastrofy, například v protipožárním sejfu. 9. Na všech systémech bude implementováno monitorování a záznam úspěšných i neúspěšných pokusů o přihlášení. 10. V případě systémů Unix a Linux bude administrátor IT pro potřeby práv roota používat příkaz su. 11. Všude, kde je to možné, nebude uživatelům v systémech Unix a Linux poskytnut přístup k shellu. 12. Přístup do sítě, na servery a do ostatních systémů by měl být omezen pouze na pracovní hodiny. Uživatelé, kteří z nějakého důvodu potřebují přístup mimo definované hodiny, musí administrátorovi IT podat žádost o povolení. 13. Souborové systémy musí mít maximální možnou úroveň zabezpečení, jaká je možná. Kde je to možné, budou mít uživatelé práva jen ke čtení, a soubory budou označeny jako read-only (pouze ke čtení), aby se předešlo náhodnému nechtěnému smazání dat.

5.4 Účty a uživatelé 1. Účty musí existovat pouze pro autorizované osoby. 2. Každý uživatel musí být jednoznačně určen uživatelských jménem. 3. Syntax uživatelského jména by měla být jednotná pro celou organizaci.


35

4. Nové uživatelské účty může vytvářet pouze administrátor IT. 5. Účty typu Guest by měly být zakázané. 6. V případě nevyhnutelnosti použití účtů typu Guest by mělo být jejich pracovní prostředí maximálně omezeno. 7. Uživatelská jména a hesla by neměla být sdělována v jediné zprávě. 8. Uživatelé musí být informováni o činnostech, které narušují zabezpečení. Stejně tak i uživatelé jsou povinni informovat administrátora IT, když mají podezření, že k nějakému narušení dochází. 9. Jestliže je u konkrétního účtu zaznamenána vysoká frekvence nevydařených pokusů o přihlášení v krátké době (například 10krát za hodinu), měl by být účet zablokován a s účtem spojený uživatel informován. 10. Přihlášení do systému by mělo být omezeno na definované pracovní hodiny. 11. Jestliže uživatel při přihlašování zadá špatné uživatelské jméno nebo heslo, chybová hláška by měla být pro oba případy shodná. Je třeba zabránit potenciálnímu útočníkovi, aby poznal, zda je uživatelský účet aktivní či nikoliv. 12. Existující uživatelské účty může rušit pouze administrátor IT.

5.5 Software 1. Software z veřejných domén se doporučuje nepoužívat. V případě potřeby je to možné v systémech úrovně 1 a 2, kde administrátor ověřil integritu autora a zdrojových kódů. 2. Software z veřejných domén na systémech 3 a 4 by neměl být používán vůbec. Jestliže je to nevyhnutelné, je třeba ověřit důvěryhodnost zdroje, v případě možnosti zkontrolovat zdrojové kódy. Jestliže to možné není, je nutné ověřit zkušenosti s daným produktem u ostatních uživatelů podobné kategorie a před ostrým nasazením takový software podrobit řádnému zabezpečenému testování. 3. Nelicencovaný software by neměl být vůbec používán.

5.6 Antivirová ochrana 1. Administrátor musí mít k dispozici aktuální antivirový software. 2. Podnikové souborové servery musí být chráněny antivirovým softwarem. 3. Pracovní stanice musí být chráněny antivirovým softwarem. 4. Notebooky musí být chráněny antivirovým softwarem. 5. Veškerý antivirový software musí být udržován v aktuálním stavu. 6. Žádný přenosný disk, flashdisk či jiné paměťové médium přinesené z venčí nesmí být použito před řádnou antivirovou kontrolou. 7. Veškerý software se musí instalovat z originálních médií s ochranou proti zápisu.


36

8. Veškeré ukázkové demo verze potenciálních prodejců softwaru při prezentaci musí být spouštěny na jejich počítačích, ne na podnikových. 9. Aby bylo možné obnovit data v případě virové nákazy, je nutné udržovat pravidelné zálohy. 10. Uživatelé musí být informováni o zjištěných virových infekcích. 11. Zaměstnanci musí být zodpovědní za dodržování zásad antivirové politiky. 12. V případě, že uživatel zjistí virovou nákazu, musí okamžitě informovat administrátora IT. Ten následně danou stanici oskenuje spolu s veškerými přenosnými médii a dalšími stanicemi, které mohly nákaze podlehnout.

5.7 Obecné sítě 1. Citlivá data přenášená přes veřejné sítě musí být zašifrovaná. 2. Uživatel nesmí připojovat pracovní stanici k jiné síti než podnikové LAN. Přístup do externích sítí musí probíhat přes firewall, všechny firewally musí podléhat podnikovému zabezpečení. 3. Uživatelé by neměly používat modemy. Je-li to možné, stanice modemy vůbec nevybavovat. Přístup do podnikové LAN přes modem by měl být pozorně kontrolován a povolen jen v opodstatněných případech. 4. Uživatelé by měli být poučeni, že běžné emailové systémy nezaručují ani důvěrnost, ani prokazatelný původ. V mnoha systémech může administrátor všechny emaily číst. Data úrovně 2 mohou být uvnitř společnosti posílány nešifrovaně, data úrovně 3 musí být šifrovaná. Data úrovně 4 se nesmí pomocí emailu přenášet vůbec. Pouze data úrovně 1 a data přímo schválená pro postoupení externím partnerům mohou být přenášena prostřednictvím emailu ven. Uživatelé musí být navíc poučeni o rizicích spojených s otvíráním příloh emailových zpráv.

5.8 LAN Síťová zařízení: 1. Veškerá síťová zařízení, huby, switche, bridge, repeatery, routery musí být umístěna v zabezpečených místnostech k tomu určených. Tyto místnosti musí být vždy zamčené. Přístup k nim bude mít pouze administrátor IT. Ostatní personál či externí firmy požadující přístup do těchto místností to předem oznámí administrátorovi IT a budou dané práce provádět pod jeho dozorem. 2. Všechna síťová zařízení by měla být opatřena štítky s jejich IP adresou. 3. Všechny huby, bridge, repeatery, routery, switche a jiná důležitá síťová zařízení musí být vybaveny UPS jednotkami pro zajištění chodu i při výpadku elektrického proudu. UPS jednotky musí mít dostatečnou kapacitu, aby umožnili bezpečné ukončení provozu. Všechny UPS jednotky musí být pravidelně testovány (alespoň jednou za rok).


37

Pracovní stanice: 4. Uživatelé se musí při opuštění své pracovní stanice vždy odhlásit. Při krátkodobých odchodech od pracovní stanice mohou využít možnost uzamčení. Toto pravidlo je třeba striktně dodržovat. 5. Veškeré nepoužívané pracovní stanice mimo pracovní hodiny musí být vypnuty.

Kabelová instalace: 6. Veškerá síťová kabeláž musí být řádně dokumentována. 7. Všechny nepoužívané síťové prvky musí být vypnuty. 8. Kabelová instalace by měla být pravidelně kontrolována na jejich správnou funkci (ročně). 9. Je zakázáno umisťovat či pokládat jakékoliv předměty na kabely. 10. U systémů kritických pro chod organizace je vhodné použít redundantní kabeláž.

Monitorování: 11. Používání síťových analyzátorů a snifferů je povoleno pouze administrátorovi IT. 12. Za účelem odhalení neoprávněného přístupu do sítě je nutné implementovat systémy pro detekci nežádoucího narušení.

Servery: 13. Všechny servery musí být umístěny v zabezpečené místnosti a uzamčené. 14. Přístup k serverových diskům či páskovým mechanikám je povolen pouze administrátorovi IT. 15. Všechny servery musí být vybaveny jednotkami UPS pro zajištění chodu i při výpadku elektrického proudu. UPS jednotky musí mít dostatečnou kapacitu, aby umožnili bezpečné ukončení provozu. Všechny UPS jednotky musí být pravidelně testovány.

5.9 Servery 1. Operační systémy serverů se musí udržovat aktuální se všemi dostupnými bezpečnostními záplatami. 2. Servery je třeba denně kontrolovat na výskyt virů. 3. Servery musí být uzamčené v zabezpečené místnosti.


38

4. Hesla pro vzdálenou správu musí být odlišná od hesel běžných účtů typu Administrator. 5. Použití účtů typu Administrator je určen pouze administrátorovi IT a mělo by být omezeno na nutné minimum. 6. Přístup k datům a aplikacím uživatelů musí podléhat prvkům řízení přístupu. 7. Je nutné aktivovat detekci nežádoucího proniknutí. 8. Je nutné aktivovat monitorování a záznam do logů. 9. Počet pokusů pro přihlášení musí být omezen na 3. 10. K serverům bude možné se přihlásit pouze po definovanou dobu pracovních hodin. 11. Všechny servery by měly být vybaveny štítkem s jejich IP adresou.

5.10 Pracovní stanice 1. Všechny pracovní stanice podléhají centrální správě, která je zodpovědností administrátora IT. 2. Operační systémy pracovních stanic se musí udržovat aktuální se všemi dostupnými bezpečnostními záplatami. 3. Pracovní stanice je třeba denně kontrolovat na výskyt virů. 4. Pouze administrátor IT instaluje software na pracovní stanice, uživatelé k tomu nesmí mít oprávnění. 5. V případě požadavku na nový software uživatel podá administrátorovi IT žádost, který následně prozkoumá důvěryhodnost softwaru a danému uživateli jej nainstaluje, například pomocí Group Policy objektů. 6. Pracovní stanice budou umožňovat přihlášení do sítě/systémů pouze po definovanou dobu pracovních hodin. 7. Použití účtů typu Administrator je určen pouze administrátorovi IT, uživatelé mají základní práva typu Users. 8. Všechny pracovní stanice by měly být vybaveny štítkem s jejich IP adresou.

5.11 Notebooky a přenosná zařízení 1. Všechny notebooky budou připravovány a instalovány administrátorem IT. 2. Notebooky by měly být vybaveny šifrovacím softwarem pro šifrování dat na nich uložených. Při výběru notebooku by měl být brán zřetel na vyšší výpočetní zátěž způsobenou šifrováním dat. 3. Data úrovně 3 musí být vždy šifrována. 4. Je nutné poučit uživatele, že ochrana hesly kancelářského softwaru není před informovaným útočníkem dostatečná. 5. Uživatelé notebooků a jiných přenosných zařízení jsou za ně zodpovědní mimo prostory organizace.


39

6. Uživatelé nesmí ponechat notebook bez dozoru, aniž by se neodhlásili ze systému nebo neaktivovali zámek pracovní plochy. 7. Notebook se musí vypnout, když se nepoužívá. 8. Uživatelé nesmí do notebooku ukládat hesla pro přihlášení do podnikové sítě. 9. Externí harddisky by měly být vždy šifrované. 10. Přenosná zařízení podporující síťovou komunikaci musí být nakonfigurována tak, aby používala bezpečné komunikační protokoly.

5.12 Zabezpečení specifická pro unix a linux 1. Přímý přístup roota bude omezen pouze na systémovou konzolu. 2. Administrátor IT vyžadující přístup roota musí použít příkaz su. Použití účtu root musí být udržováno na nutném minimu. 3. Služby rlogin a ftp může využívat pouze administrátor IT. 4. Služby telnet a ssh mohou využívat pouze oprávnění uživatelé. 5. Přístup k datům a aplikacím uživatelů musí podléhat prvkům řízení přístupu. 6. Všechny účty musí mít hesla s alespoň 8 znaky.

5.13 Internet a TCP/IP Internet představuje mnohé hrozby. Může docházet k nežádoucímu odhalení informací, podniková síť může být z Internetu napadena hackery, při přenosu dat může docházet k jejich změně a známé jsou také útoky typu DoS (Denial of Service), které pomocí přetížení serveru způsobí nedostupnost určitých služeb. Jestliže je tedy uživatelům povolen přístup k Internetu, měli by být s těmito hrozbami srozuměni a měli by být poučeni o správném způsobu používání. 1. Stálá připojení k Internetu musí vést přes firewall a měl by být regulován síťový provoz. 2. Firewall musí být pravidelně sledován a měl by podléhat pravidelným (ročním) auditům. 3. Síťová zařízení by měla být nakonfigurována tak, aby neaktivní relace zavírala. 4. Při použití serveru pro vzdálený přístup je třeba jej umístit do DMZ (Demilitarized Zone) zóny či na nezabezpečenou stranu firewallu. 5. Přístup pracovních stanic k Internetu musí vést pouze přes proxy server organizace a obsah webových dat musí být skenován. 6. U firewallu a proxy serveru je nutné vypnout veškeré nepotřebné služby. 7. Je třeba udržovat a monitorovat detailní logy firewallu, logy by měly být automaticky kontrolovány a archivovány po dobu alespoň 6 měsíců. 8. Integrita firewallu by měla být pravidelně kontrolována (měsíčně). 9. Obsah veškerých příchozích emailů musí být skenován.


40

10. Přístup k nezákonnému obsahu na Internetu by měl být blokován, kde je to možné.

5.14 WAN 1. Bezdrátová síť LAN musí využívat silného šifrování a funkcí pro ověření identity. 2. Uživatelé nesmí za žádných okolností instalovat vlastní bezdrátová zařízení. 3. Pokud je to možné, modemy nebudou vůbec povoleny a používány. Preferovaným řešením jsou zabezpečené VPN tunely. 4. V případě nutnosti použití modemu musí uživatel tuto skutečnost ohlásit administrátorovi IT a obdržet od něj schválení. 5. Obecně platí, že veškerá komunikace musí procházet routery a firewally organizace. 6. Všechny bridge, routery a brány musí být uzamčeny v zabezpečených místnostech. 7. Veškeré nepotřebné protokoly musí být na routerech vypnuty. 8. Pro připojení externích částí organizace je třeba používat zabezpečené VPN tunely pomocí IPSec či SSL. 9. Veškerá připojení externích částí organizace k podnikové síti musí být zaznamenávána v logu.

5.15 Krizový plán Odpovědnou osobou řešení havárií či bezpečnostních incidentů je administrátor IT.

V případě havárie či útoku: 1. Je třeba zjistit zdroj dané situace. Například nevědomá chyba administrátora IT, uživatele, útok z vnitřní sítě, útok z Internetu. 2. Je třeba analyzovat, zda nastalá situace ovlivnila integritu, důvěrnost či dostupnost některého systému. 3. Při detekci pokusu o narušení zabezpečení je třeba zajistit účinné blokování a zabránění úspěchu útoku. 4. Pokud byla už bezpečnost narušena a systém byl penetrován, je nutné daný systém odpojit ze sítě. 5. Je třeba dokumentovat všechny prováděné kroky, události a nalezené stopy v časové souvislosti. 6. Narušený systém se musí podrobit kontrole integrity dat, je třeba zjistit, zda a která data, programy či účty byly změněny nebo přidány. V případě zjištění nějakých změn je třeba zkontrolovat i ostatní systémy, zda v nich nedošlo k podobným změnám.


41

7. Je třeba zajistit aktuální logy všech dotčených systémů. 8. Vždy je nutné uvědomit managera, do jehož oddělení napadený systém a data patří. Také je vždy nutné informovat ředitele společnosti. V případě nutnosti je třeba uvědomit patřičné úřady (policie). 9. Pokud byla hrozba odstraněna, provedeny veškeré kroky analýzy způsobených škod a na základě výsledků kontroly byly odstraněny veškeré zjištěné slabiny, je možné obnovit případná data ze záloh a obnovit plný provoz. 10. Následně je nutné veškeré systémy důkladně monitorovat a ubezpečit se, že po odstranění zjištěných zranitelností opravdu hrozba pominula. 11. V poslední fázi je třeba analyzovat jednotlivé kroky při řešení krizové situace, zda vedly k efektivním výsledkům a případně postup revidovat.

ZÁVĚR

42

slovo závěrem

Závěr Provedený bezpečnostní audit odhalil několik zásadních nedostatků. Klíčovými byla absence řízení a hlavně důsledné dodržování pravidel používání hesel, decentralizovaná správa klientských stanic, kdy uživatelé mohli prakticky libovolně instalovat jakýkoliv software, nedostatečné řízení přístupu a v neposlední řadě také fyzický přístup do místnosti se servery. Myslím si, že všechny tyto oblasti v páté kapitole uvedená bezpečnostní politika postihuje a upravuje. Výhodou prezentované bezpečnostní politiky je podle mého názoru velice dobrý poměr mezi náklady, respektive úsilím každého jednotlivého uživatele/zaměstnance společnosti a výsledného efektu. Striktní dodržování pravidel pro použití hesel a jejich pravidelné obměny nebudou rozhodně představovat brzdu efektivity jejich práce a na druhou stranu to výrazně pomůže na straně celkového zabezpečení. Jestliže už v současné době byl přístup do místnosti se servery omezen pouze na administrátora IT a jednoho zástupce z vedení z původních jedenácti lidí, nezpůsobilo to žádné funkční omezení, místnost je pravidelně uklizena i v současné době (původně měla přístup i uklízečka) a administrátor IT může mnohem lépe zodpovídat za fungování a bezpečnost. Zmíněné důsledné dodržování pravidel pro hesla a omezení uživatelských práv na potřebné minimum automaticky také implikuje centralizování správy klientských stanic do rukou administrátora IT, což je další z požadavků navržené bezpečnostní politiky, takže tato dvě opatření jdou spolu ruku v ruce. Jakmile může administrátor IT efektivně řídit obsah instalovaného softwaru na jednotlivých počítačích, může také mnohem účinněji dohlížet nad jeho integritou. I toto opatření vede k usnadnění či dokonce zásadnímu umožnění naplňování jeho zodpovědnosti za funkčnost a bezpečnost celé IT infrastruktury. Zásadní změnou v celém prostředí pak bude spuštění plánovaného informačního systému, který povede k další centralizaci a hlavně konsolidaci datových zdrojů (účetní data konečně přejdou z pracovní stanice na server). Tím se však značně situace změní a některá pravidla navržené bezpečnostní politiky nebudou možná nadále opodstatněná či některá budou muset být doplněna. Obecně si však myslím, že tato bezpečnostní politika je do značné míry nezávislá na platformě a konkrétní architektuře systému a tedy splňuje její základní vlastnosti.

LITERATURA

43

Literatura Monografie 1 ČESKÝ NORMALIZAČNÍ INSTITUT. ČSN ISO/IEC 17799: Informační technologie - soubor postupů pro mangement bezpečnosti informací. Duben 2005. [cit. 2007-12-22]

Periodické publikace 2 ERNST & YOUNG, DSM – DATA SECURITY MANAGEMENT, NBÚ. PSIB ČR '05: průzkum stavu informační bezpečnosti. Praha, 2005. [cit. 2007-11-20]

Elektronické zdroje 3 AIRLIVE. RS-1200 Dual WAN Security Gateway [online]. [cit. 2007-10-25]. URL: 4 BORAN CONSULTING. IT Security Cookbook [online]. poslední revize 28.7.2000, [cit. 2007-12-10]. URL: 5 CALIFORNIA OFFICE OF PRIVACY PROTECTION. Recomended Practices on Notice of Security Breach Involving Personal Information [online]. poslední revize únor 2007. URL: 6 DEPARTMENT OF INFORMATION RESOURCES. Policy Guide [online]. poslední revize 12.6.2006. URL: 7 GITY. Bezpečnostní analýza a audit [online]. c2007, [cit. 2007-10-27]. URL: 8 INFORMATION SECURITY MAGAZINE. Security Policy [online]. poslední revize 29.5.2007, [cit. 2007-12-2]. URL: 9 MIKO, Karel. Systémový bezpečnostní audit [online]. DCIT, s.r.o., poslední revize květen 2003. URL:

LITERATURA

44

10 MURDOCH UNIVERSITY. IT Security [online]. c2005. URL: 11 RUSKWIG. I.T. Security Policy [online]. c2006, [cit. 2007-12-15] URL: 12 SALAVA, Pavel. Technologie pro Anti-Spam v produktu Exchange Server 2003 [online]. Microsoft Česko a Slovensko, c2005, [cit. 2007-11-1] URL: 13 STAUDEK, Jan. Úvod do problematiky bezpečnosti IT [online]. Fakulta informatiky, poslední revize podzim 2007, [cit. 2007-10-5]. URL: 14 T-SOFT. Analýza rizik [online]. URL: 15 UC BERKELEY. IT Security Resources and Services [online]. poslední revize 30.10.2007. URL: 16 UNIVERSITY OF CALIFORNIA. IS-3 Electronic Information Security [online]. poslední revize 27.7.2007, [cit. 2007-12-7]. URL: 17 WIKIPEDIA. IEEE 802.11i [online]. poslední revize říjen 2007, [cit. 2007-10-28]. URL:

PŘÍLOHY

45

Přílohy Výstupy analýzy MBSA testovaných klientských stanic A — Klientská stanice z konstrukce: Computer name: ROMILL\KUBAK IP address: 10.0.0.72 Security report name: ROMILL - KUBAK (31.10.2007 10-41) Update Services server: http://server Scan date: 31.10.2007 10:41 Scanned with MBSA version: 2.0.6706.0 Security update catalog: Microsoft Update, Windows Server Update Services Catalog synchronization date: Security assessment: Severe Risk Security Updates Scan Results

Issue: Office Security Updates Score: Check passed Result: No security updates are missing.

Current Update Compliance | 934737 | Installed | 923618 | Installed | 934736 | Installed | 923633 | Installed | 923620 | Installed | 923622 | Installed

| | | | | |

Excel Viewer 2003 Service Pack 3 (SP3) | | Office 2003 Service Pack 3 (SP3) | | Word Viewer 2003 Service Pack 3 (SP3) | | OneNote 2003 Service Pack 3 (SP3) | | Visio 2003 Service Pack 3 (SP3) | | Project 2003 Service Pack 3 (SP3) | |

Issue: SQL Server Security Updates Score: Check passed Result: No security updates are missing.

Current Update Compliance | MS06-061 | Installed | MSXML 6.0 RTM Security Update

(925673) | Critical |

Issue: Windows Security Updates Score: Check failed (critical) Result: 1 security updates are missing.

Security Updates | MS07-013 | Missing | Security Update for Windows XP (KB918118) | Important | Current Update Compliance | MS07-008 | Installed | MS05-018 | Installed | MS06-030 | Installed | MS06-041 | Installed | MS06-002 | Installed | MS07-047 | Installed XP (KB936782) | Important | | MS06-005 | Installed Critical | | MS07-035 | Installed | MS07-042 | Installed Service Pack 2 (KB936181) | Critical | | MS05-033 | Installed | MS06-018 | Installed | MS05-047 | Installed | MS06-015 | Installed | 867460 | Installed | | MS06-009 | Installed | MS05-050 | Installed | MS07-050 | Installed (KB938127) | Critical | | MS07-031 | Installed | 933360 | Installed | | MS06-068 | Installed | MS07-041 | Installed | MS05-049 | Installed | MS05-007 | Installed | MS06-075 | Installed | MS05-037 | Installed | | MS07-056 | Installed (KB941202) | Critical | | MS06-057 | Installed | MS05-036 | Installed | MS07-020 | Installed | MS07-040 | Installed 2.0 (KB928365) | Critical | | MS06-032 | Installed | MS05-045 | Installed

| | | | | |

Security Security Security Security Security Security

Update Update Update Update Update Update

for for for for for for

Windows Windows Windows Windows Windows Windows

XP (KB928843) | XP (KB890859) | XP (KB914389) | XP (KB920683) | XP (KB908519) | Media Player 11

Critical | Important | Important | Critical | Critical | for Windows

| Security Update for Windows Media Player 9 (KB911565) | | Security Update for Windows XP (KB935839) | Critical | | Security Update for Microsoft XML Core Services 4.0 | Security Update for Windows XP (KB896428) | | Security Update for Windows XP (KB913580) | | Security Update for Windows XP (KB905749) | | Security Update for Windows XP (KB908531) | Microsoft .NET Framework 1.1 Service Pack 1 | | Security Update for Windows XP (KB901190) | | Security Update for Windows XP (KB904706) | | Security Update for Internet Explorer 7 for | Security Update for | Security | Security | Security | Security | Security | Security

Update for Windows XP Update for Update for Update for Update for Update for Update for

Moderate | Low | Important | Critical | | Important | Critical | Windows XP

Windows XP (KB935840) | Critical | (KB933360) | | Windows XP (KB920213) | Critical | Windows XP (KB939373) | Important | Windows XP (KB900725) | Important | Windows XP (KB888302) | Important | Windows XP (KB926255) | Important | JView Profiler (KB903235) | Critical

| Security Update for Outlook Express for Windows XP | | | |

Security Security Security Security

Update Update Update Update

for for for for

Windows XP (KB923191) | Critical | Windows XP (KB901214) | Critical | Windows XP (KB932168) | Critical | Microsoft .NET Framework, Version

| Security Update for Windows XP (KB917953) | Important | | Security Update for Windows XP (KB905414) | Moderate |

PŘÍLOHY

46

| MS07-057 | Installed | Cumulative Security Update for Internet Explorer 7 for Windows XP (KB939653) | Critical | | MS06-036 | Installed | Security Update for Windows XP (KB914388) | Critical | | MS06-052 | Installed | Security Update for Windows XP (KB919007) | Important | | MS07-021 | Installed | Security Update for Windows XP (KB930178) | Critical | | MS07-011 | Installed | Security Update for Windows XP (KB926436) | Important | | MS07-055 | Installed | Security Update for Windows XP (KB923810) | Critical | | MS05-032 | Installed | Security Update for Windows XP (KB890046) | Moderate | | MS07-040 | Installed | Security Update for Microsoft .NET Framework, Version 1.1 Service Pack 1 (KB928366) | Critical | | MS06-034 | Installed | Security Update for Windows XP (KB917537) | Important | | MS05-051 | Installed | Security Update for Windows XP (KB902400) | Important | | MS06-022 | Installed | Security Update for Windows XP (KB918439) | Critical | | MS05-013 | Installed | Security Update for Windows XP (KB891781) | Important | | MS06-050 | Installed | Security Update for Windows XP (KB920670) | Important | | MS07-034 | Installed | Cumulative Security Update for Outlook Express for Windows XP (KB929123) | Important | | MS07-017 | Installed | Security Update for Windows XP (KB925902) | Critical | | MS06-006 | Installed | Security Update for Windows Media Player Plug-in (KB911564) | Important | | MS07-042 | Installed | Security Update for Microsoft XML Core Services 6.0 and Microsoft XML Core Services 6.0 Service Pack 1 (KB933579) | Critical | | 890830 | Installed | Windows Malicious Software Removal Tool - October 2007 (KB890830) | | | MS06-078 | Installed | Security Update for Windows Media Player 6.4 (KB925398) | Critical | | MS05-026 | Installed | Security Update for Windows XP (KB896358) | Critical | | MS07-046 | Installed | Security Update for Windows XP (KB938829) | Critical | | MS05-009 | Installed | Security Update for Windows Messenger (KB887472) | Moderate | | MS07-043 | Installed | Security Update for Windows XP (KB921503) | Critical | | MS06-065 | Installed | Security Update for Windows XP (KB924496) | Moderate | | MS04-043 | Installed | Security Update for Windows XP (KB873339) | Important | | MS07-019 | Installed | Security Update for Windows XP (KB931261) | Critical | | MS06-070 | Installed | Security Update for Windows XP (KB924270) | Low | | MS05-043 | Installed | Security Update for Windows XP (KB896423) | Critical | | MS07-012 | Installed | Security Update for Windows XP (KB924667) | Important | | MS06-014 | Installed | Security Update for Windows XP (KB911562) | Critical | | MS07-042 | Installed | Security Update for Windows XP (KB936021) | Critical | | MS06-025 | Installed | Security Update for Windows XP (KB911280) | Important | | MS06-066 | Installed | Security Update for Windows XP (KB923980) | Important | | MS05-040 | Installed | Security Update for Windows XP (KB893756) | Important | | MS06-053 | Installed | Security Update for Windows XP (KB920685) | Moderate | | MS07-058 | Installed | Security Update for Windows XP (KB933729) | Important | | MS05-041 | Installed | Security Update for Windows XP (KB899591) | Moderate | | MS05-048 | Installed | Security Update for Windows XP (KB901017) | Important | | MS06-008 | Installed | Security Update for Windows XP (KB911927) | Important | | MS07-004 | Installed | Security Update for Windows XP (KB929969) | Critical | | MS07-022 | Installed | Security Update for Windows XP (KB931784) | Important | | MS07-006 | Installed | Security Update for Windows XP (KB928255) | Important | | MS06-063 | Installed | Security Update for Windows XP (KB923414) | Important | | MS04-041 | Installed | Security Update for Windows XP (KB885836) | Important | | MS04-044 | Installed | Security Update for Windows XP (KB885835) | Important | | MS06-064 | Installed | Security Update for Windows XP (KB922819) | Low | | MS07-007 | Installed | Security Update for Windows XP (KB927802) | Important | | MS07-009 | Installed | Security Update for Windows XP (KB927779) | Critical | | MS05-042 | Installed | Security Update for Windows XP (KB899587) | Moderate |

Operating System Scan Results

Administrative Vulnerabilities Issue: Local Account Password Test Score: Check failed (critical) Result: Some user accounts (2 of 7) have blank or simple passwords, or could not be analyzed. Detail: | User | Weak Password | Locked Out | Disabled | | HelpAssistant | - | - | Disabled | | SUPPORT _ 388945a0 | - | - | Disabled | | Administrator | Weak | - | - | | Guest | Does not meet account policy | - | - | | ASPNET | - | - | - | | IUSR _ KUBAK | - | - | - | | IWAM _ KUBAK | - | - | - | Issue: File System Score: Check passed Result: All hard drives (2) are using the NTFS file system. Detail: | Drive Letter | File System | | C: | NTFS | | D: | NTFS | Issue: Password Expiration Score: Check failed (non-critical) Result: Some user accounts (2 of 7) have non-expiring passwords. Detail: | User | | Administrator | | Guest | | ASPNET | | HelpAssistant | | IUSR _ KUBAK | | IWAM _ KUBAK | | SUPPORT _ 388945a0 |

PŘÍLOHY

47

Issue: Guest Account Score: Check failed (critical) Result: The Guest account is not disabled on this computer.

Issue: Autologon Score: Check passed Result: Autologon is not configured on this computer.

Issue: Restrict Anonymous Score: Check passed Result: Computer is properly restricting anonymous access.

Issue: Administrators Score: Check passed Result: No more than 2 Administrators were found on this computer.

Detail: | User | | Administrator | | ROMILL\kubak | Issue: Windows Firewall Score: Best practice Result: Windows Firewall is enabled and has exceptions configured. Windows Firewall is enabled on all network connections. Detail: | Connection Name | Firewall | Exceptions | | 1394 Připojení | On | Ports*, Programs*, Services* | | All Connections | On | Ports, Programs, Services | | Připojení k místní síti | On | Ports*, Programs*, Services* | | ROmiLL | On | Ports*, Programs*, Services* | Issue: Automatic Updates Score: Best practice Result: Automatic Updates are managed through Group Policy on this computer.

Issue: Incomplete Updates Score: Best practice Result: No incomplete software update installations were found.

Additional Issue: Score: Result: to watch for

System Information Windows Version Best practice Computer is running Windows 2000 or greater.

Issue: Auditing Score: Best practice Result: Enable auditing for specific events like logon/logoff. Be sure to monitor your event log unauthorized access. Issue: Shares Score: Best practice Result: 4 share(s) are present on your computer.

Detail: | Share | Directory | Share ACL | Directory ACL | | dvd | E:\ | Everyone - R | Directory ACL can not be read. | | ADMIN$ | C:\WINDOWS | Admin Share | BUILTIN\Users - RX, BUILTIN\Power Users RWXD, BUILTIN\Administrators - F, NT AUTHORITY\SYSTEM - F | | C$ | C:\ | Admin Share | BUILTIN\Administrators - F, NT AUTHORITY\SYSTEM - F, BUILTIN\Users - RX, Everyone - RX | | D$ | D:\ | Admin Share | BUILTIN\Administrators - F, NT AUTHORITY\SYSTEM - F, BUILTIN\Users - RX, Everyone - RX | Issue: Services Score: Best practice Result: Some potentially unnecessary services are installed. Detail: | Service | State | | Publikování na webu | Running | | Simple Mail Transport Protocol (SMTP) | Running | | Telnet | Stopped | Internet Information Services (IIS) Scan Results Administrative Vulnerabilities Issue: Sample Applications Score: Check failed (critical) Result: Some IIS sample applications are installed. Detail: | Web Site | Virtual Directory | | Výchozí webový server | IISHelp | Issue: IISAdmin Virtual Directory Score: Check passed Result: IISADMPWD virtual directory is not present.

Issue: Parent Paths Score: Check failed (critical) Result: Parent paths are enabled in some web sites and/or virtual directories.

Detail: | Web Site | Virtual Directory | | Výchozí webový server | - | | Výchozí webový server | Printers | Issue: MSADC and Scripts Virtual Directories

PŘÍLOHY

48

Score: Check passed Result: The MSADC and Scripts virtual directories are not present.

Issue: IIS Lockdown Tool Score: Check failed (critical) Result: The IIS Lockdown tool has not been run on the machine.

Additional Issue: Score: Result:

System Information IIS Logging Enabled Best practice Some web or FTP sites are not using the recommended logging options.

Detail: | Name | Protocol | | Výchozí webový server | HTTP | SQL Server Scan Results SQL Server and/or MSDE is not installed on this computer.

Desktop Application Scan Results Administrative Vulnerabilities Issue: IE Zones Score: Check passed Result: Internet Explorer zones have secure settings for all users.

Issue: Macro Security Score: Check failed (critical) Result: 4 Microsoft Office product(s) are installed. Some issues were found.

Detail: security is set to low, which which is not secure. |

| Issue | User | Advice | | Microsoft Office Excel 2003 | S-1-5-21-1606980848-1035525444-725345543-1629 | Macro is not secure. | | Microsoft Office Excel 2003 | ROMILL\kubak | Macro security is set to low, | Microsoft Office Outlook 2003 | All Users | No security issues were found. | | Microsoft Office PowerPoint 2003 | All Users | No security issues were found. | | Microsoft Office Word 2003 | All Users | No security issues were found. |

PŘÍLOHY

49

B — Klientská stanice z konstrukce: Computer name: ROMILL\KONSTRUKCE1 IP address: 10.0.0.66 Security report name: ROMILL - KONSTRUKCE1 (31.10.2007 10-41) Update Services server: http://server Scan date: 31.10.2007 10:41 Scanned with MBSA version: 2.0.6706.0 Security update catalog: Microsoft Update, Windows Server Update Services Catalog synchronization date: Security assessment: Severe Risk Security Updates Scan Results



| | | | | |




(925673) | Critical |

Issue: Windows Security Updates Score: Not approved Result: 2 security updates are missing and not approved.

Security Updates | MS07-042 | Not Approved | Security Update for Microsoft XML Core Services 4.0 Service Pack 2 (KB936181) | Critical | | MS07-042 | Not Approved | Security Update for Microsoft XML Core Services 6.0 and Microsoft XML Core Services 6.0 Service Pack 1 (KB933579) | Critical | Current Update Compliance | MS07-008 | Installed | MS05-018 | Installed | MS06-030 | Installed | MS06-041 | Installed | MS06-002 | Installed | MS07-047 | Installed XP (KB936782) | Important | | MS06-005 | Installed Critical | | MS07-035 | Installed | MS05-033 | Installed | MS06-018 | Installed | MS05-047 | Installed | MS06-015 | Installed | 867460 | Installed | | MS06-009 | Installed | MS05-050 | Installed | MS07-050 | Installed (KB938127) | Critical | | MS07-031 | Installed | 933360 | Installed | | MS06-068 | Installed | MS07-041 | Installed | MS05-049 | Installed | MS05-007 | Installed | MS06-075 | Installed | MS07-013 | Installed | MS05-037 | Installed | | MS07-056 | Installed (KB941202) | Critical | | MS06-057 | Installed | MS06-071 | Installed | MS05-036 | Installed | MS07-020 | Installed | MS07-040 | Installed 2.0 (KB928365) | Critical | | MS06-032 | Installed | MS05-045 | Installed | MS07-057 | Installed Windows XP (KB939653) | Critical | | MS06-036 | Installed | MS06-052 | Installed | MS07-021 | Installed | MS07-011 | Installed | MS07-055 | Installed | MS05-032 | Installed

| | | | | |







| Security Update for Windows Media Player 9 (KB911565) | | Security Update for Windows XP (KB935839) | | Security Update for Windows XP (KB896428) | | Security Update for Windows XP (KB913580) | | Security Update for Windows XP (KB905749) | | Security Update for Windows XP (KB908531) | Microsoft .NET Framework 1.1 Service Pack 1 | | Security Update for Windows XP (KB901190) | | Security Update for Windows XP (KB904706) | | Security Update for Internet Explorer 7 for | Security Update for | Security | Security | Security | Security | Security | Security | Security

Update for Windows XP Update for Update for Update for Update for Update for Update for Update for

Critical | Moderate | Low | Important | Critical | | Important | Critical | Windows XP

Windows XP (KB935840) | Critical | (KB933360) | | Windows XP (KB920213) | Critical | Windows XP (KB939373) | Important | Windows XP (KB900725) | Important | Windows XP (KB888302) | Important | Windows XP (KB926255) | Important | Windows XP (KB918118) | Important | JView Profiler (KB903235) | Critical

| Security Update for Outlook Express for Windows XP | | | | |

Security Update for Windows XP (KB923191) | Critical | MSXML 4.0 SP2 Security Update (KB927978) | Critical | Security Update for Windows XP (KB901214) | Critical | Security Update for Windows XP (KB932168) | Critical | Security Update for Microsoft .NET Framework, Version

| Security Update for Windows XP (KB917953) | Important | | Security Update for Windows XP (KB905414) | Moderate | | Cumulative Security Update for Internet Explorer 7 for | | | | | |





XP XP XP XP XP XP

(KB914388) (KB919007) (KB930178) (KB926436) (KB923810) (KB890046)

| | | | | |

Critical | Important | Critical | Important | Critical | Moderate |

PŘÍLOHY

50

| MS03-011 | Installed (Microsoft VM) | Critical | | MS07-040 | Installed 1.1 Service Pack 1 (KB928366) | Critical | | MS06-034 | Installed | MS05-051 | Installed | MS06-022 | Installed | MS05-013 | Installed | MS06-050 | Installed | MS07-034 | Installed Windows XP (KB929123) | Important | | MS07-017 | Installed | MS06-006 | Installed (KB911564) | Important | | 890830 | Installed | (KB890830) | | | MS06-078 | Installed | Critical | | MS05-026 | Installed | MS07-046 | Installed | MS05-009 | Installed Moderate | | MS07-043 | Installed | MS06-071 | Installed | MS06-065 | Installed | MS04-043 | Installed | MS07-019 | Installed | MS06-070 | Installed | MS05-043 | Installed | MS07-012 | Installed | MS06-014 | Installed | MS07-042 | Installed | MS06-025 | Installed | MS06-066 | Installed | MS05-040 | Installed | MS06-053 | Installed | MS07-058 | Installed | MS05-041 | Installed | MS05-048 | Installed | MS06-008 | Installed | MS07-004 | Installed | MS07-022 | Installed | MS07-006 | Installed | MS06-063 | Installed | MS04-041 | Installed | MS04-044 | Installed | MS06-064 | Installed | MS07-007 | Installed | MS07-009 | Installed | MS05-042 | Installed

| 816093: Security Update Microsoft Virtual Machine | Security Update for Microsoft .NET Framework, Version | | | | | |

Security Update for Security Update for Security Update for Security Update for Security Update for Cumulative Security

Windows XP Windows XP Windows XP Windows XP Windows XP Update for

(KB917537) | Important | (KB902400) | Important | (KB918439) | Critical | (KB891781) | Important | (KB920670) | Important | Outlook Express for

| Security Update for Windows XP (KB925902) | Critical | | Security Update for Windows Media Player Plug-in Windows Malicious Software Removal Tool - October 2007 | Security Update for Windows Media Player 6.4 (KB925398) | Security Update for Windows XP (KB896358) | Critical | | Security Update for Windows XP (KB938829) | Critical | | Security Update for Windows Messenger (KB887472) | | | | | | | | | | | | | | | | | | | | | | | | | | | | |

Security Update for Windows XP (KB921503) | Critical | MSXML 6.0 RTM Security Update (KB927977) | Critical | Security Update for Windows XP (KB924496) | Moderate | Security Update for Windows XP (KB873339) | Important | Security Update for Windows XP (KB931261) | Critical | Security Update for Windows XP (KB924270) | Low | Security Update for Windows XP (KB896423) | Critical | Security Update for Windows XP (KB924667) | Important | Security Update for Windows XP (KB911562) | Critical | Security Update for Windows XP (KB936021) | Critical | Security Update for Windows XP (KB911280) | Important | Security Update for Windows XP (KB923980) | Important | Security Update for Windows XP (KB893756) | Important | Security Update for Windows XP (KB920685) | Moderate | Security Update for Windows XP (KB933729) | Important | Security Update for Windows XP (KB899591) | Moderate | Security Update for Windows XP (KB901017) | Important | Security Update for Windows XP (KB911927) | Important | Security Update for Windows XP (KB929969) | Critical | Security Update for Windows XP (KB931784) | Important | Security Update for Windows XP (KB928255) | Important | Security Update for Windows XP (KB923414) | Important | Security Update for Windows XP (KB885836) | Important | Security Update for Windows XP (KB885835) | Important | Security Update for Windows XP (KB922819) | Low | Security Update for Windows XP (KB927802) | Important | Security Update for Windows XP (KB927779) | Critical | Security Update for Windows XP (KB899587) | Moderate |


Administrative Vulnerabilities Issue: Local Account Password Test Score: Check failed (critical) Result: Some user accounts (3 of 8) have blank or simple passwords, or could not be analyzed. Detail: | User | Weak Password | Locked Out | Disabled | | Guest | Weak | - | Disabled | | HelpAssistant | - | - | Disabled | | SUPPORT _ 388945a0 | - | - | Disabled | | Administrator | Weak | - | - | | root | Weak | - | - | | ASPNET | - | - | - | | IUSR _ KONSTRUKCE1 | - | - | - | | IWAM _ KONSTRUKCE1 | - | - | - | Issue: File System Score: Check passed Result: All hard drives (2) are using the NTFS file system. Detail: | Drive Letter | File System | | C: | NTFS | | D: | NTFS | Issue: Password Expiration Score: Check failed (non-critical) Result: Some user accounts (3 of 8) have non-expiring passwords. Detail: | User | | Administrator | | Guest | | root | | ASPNET | | HelpAssistant | | IUSR _ KONSTRUKCE1 | | IWAM _ KONSTRUKCE1 | | SUPPORT _ 388945a0 | Issue: Guest Account Score: Check passed Result: The Guest account is disabled on this computer.

Issue:

Autologon

PŘÍLOHY

51

Score: Check passed Result: Autologon is not configured on this computer.


Issue: Administrators Score: Check failed (non-critical) Result: More than 2 Administrators were found on this computer.

Detail: | User | | Administrator | | ROMILL\votrelp | | root | Issue: Windows Firewall Score: Best practice Result: Windows Firewall is enabled and has exceptions configured. Windows Firewall is enabled on all network connections. Detail: | Connection Name | Firewall | Exceptions | | Připojení k Internetu | N/A | N/A | | 1394 Připojení | On | Programs*, Services* | | All Connections | On | Programs, Services | | Připojení k místní síti | On | Programs*, Services* | Issue: Automatic Updates Score: Best practice Result: Automatic Updates are managed through Group Policy on this computer.





Detail: | Share | Directory | Share ACL | Directory ACL | | ADMIN$ | C:\WINDOWS | Admin Share | BUILTIN\Users - RX, BUILTIN\Power Users RWXD, BUILTIN\Administrators - F, NT AUTHORITY\SYSTEM - F | | C$ | C:\ | Admin Share | BUILTIN\Administrators - F, NT AUTHORITY\SYSTEM - F, BUILTIN\Users - RX, Everyone - RX | | D$ | D:\ | Admin Share | BUILTIN\Administrators - F, NT AUTHORITY\SYSTEM - F, BUILTIN\Users - RX, Everyone - RX | | ZAKAZKY$ | D:\ZAKAZKY | Everyone - R | BUILTIN\Administrators - F, NT AUTHORITY\SYSTEM - F, KONSTRUKCE1\Administrator - F, BUILTIN\Users - RX | Issue: Services Score: Best practice Result: Some potentially unnecessary services are installed. Detail: | Service | State | | Publikování na webu | Running | | Simple Mail Transport Protocol (SMTP) | Running | | Telnet | Stopped | Internet Information Services (IIS) Scan Results Administrative Vulnerabilities Issue: Sample Applications Score: Check failed (critical) Result: Some IIS sample applications are installed. Detail: | Web Site | Virtual Directory | | Výchozí webový server | IISHelp | Issue: IISAdmin Virtual Directory Score: Check passed Result: IISADMPWD virtual directory is not present.

Issue: Parent Paths Score: Check failed (critical) Result: Parent paths are enabled in some web sites and/or virtual directories.

Detail: | Web Site | Virtual Directory | | Výchozí webový server | - | | Výchozí webový server | Printers | Issue: MSADC and Scripts Virtual Directories Score: Check passed Result: The MSADC and Scripts virtual directories are not present.

PŘÍLOHY

52

Issue: IIS Lockdown Tool Score: Check failed (critical) Result: The IIS Lockdown tool has not been run on the machine.

Additional Issue: Score: Result:

System Information IIS Logging Enabled Best practice Some web or FTP sites are not using the recommended logging options.

Detail: | Name | Protocol | | Výchozí webový server | HTTP |

SQL Server Scan Results SQL Server and/or MSDE is not installed on this computer.

Desktop Application Scan Results Administrative Vulnerabilities Issue: IE Zones Score: Check failed (critical) Result: Internet Explorer zones do not have secure settings for some users. Detail: | User | Zone | Level | Recommended Level | | S-1-5-21-1606980848-1035525444-725345543-1144 | Internet | Custom | Medium | Sub-Detail: | Setting | Current | Recommended | | Allow scripting of Internet Explorer Webbrowser control | Enable | Disable | | Access data sources across domains | Prompt | Disable | Issue: Macro Security Score: Check failed (critical) Result: 4 Microsoft Office product(s) are installed. Some issues were found. Detail: security is set to low, which

| Issue | User | Advice | | Microsoft Office Excel 2003 | S-1-5-21-1606980848-1035525444-725345543-1629 | Macro is not secure. | | Microsoft Office Outlook 2003 | All Users | No security issues were found. | | Microsoft Office PowerPoint 2003 | All Users | No security issues were found. | | Microsoft Office Word 2003 | All Users | No security issues were found. |

PŘÍLOHY

53

C — Klientská stanice ze sekretariátu: Computer name: ROMILL\VRANOVAM IP address: 10.0.0.50 Security report name: ROMILL - VRANOVAM (31.10.2007 11-01) Update Services server: http://server Scan date: 31.10.2007 11:01 Scanned with MBSA version: 2.0.6706.0 Security update catalog: Microsoft Update, Windows Server Update Services Catalog synchronization date: Security assessment: Severe Risk Security Updates Scan Results


Current Update Compliance | MS07-042 | Installed (KB936960) | Important | | MS07-036 | Installed (KB936514) | Important | | MS07-036 | Installed (KB936509) | Important | | MS07-025 | Installed | MS07-037 | Installed (KB936646) | Important |

| Security Update for the 2007 Microsoft Office System | Security Update for the 2007 Microsoft Office System | Security Update for Microsoft Office Excel 2007 | Security Update for Office 2007 (KB934062) | Important | | Security Update for Microsoft Office Publisher 2007



(925673) | Critical |


Security Updates | MS07-042 | Not Approved | Security Update for Microsoft XML Core Services 4.0 Service Pack 2 (KB936181) | Critical | | MS07-042 | Not Approved | Security Update for Microsoft XML Core Services 6.0 and Microsoft XML Core Services 6.0 Service Pack 1 (KB933579) | Critical | Current Update Compliance | MS07-008 | Installed | MS05-018 | Installed | MS06-030 | Installed | MS06-041 | Installed | MS06-002 | Installed | MS07-047 | Installed XP (KB936782) | Important | | MS06-005 | Installed Critical | | MS07-035 | Installed | MS05-033 | Installed | MS06-018 | Installed | MS05-047 | Installed | MS06-015 | Installed | 867460 | Installed | | MS06-009 | Installed | MS05-050 | Installed | MS07-050 | Installed (KB938127) | Critical | | MS07-031 | Installed | 933360 | Installed | | MS06-068 | Installed | MS05-049 | Installed | MS05-007 | Installed | MS06-075 | Installed | MS07-013 | Installed | MS05-037 | Installed | | MS07-056 | Installed (KB941202) | Critical | | MS06-057 | Installed | MS06-071 | Installed | MS05-036 | Installed | MS07-020 | Installed | MS07-040 | Installed 2.0 (KB928365) | Critical | | MS06-032 | Installed | MS05-045 | Installed | MS07-057 | Installed Windows XP (KB939653) | Critical | | MS06-036 | Installed | MS06-052 | Installed | MS07-021 | Installed | MS07-011 | Installed

| | | | | |







| Security Update for Windows Media Player 9 (KB911565) | | Security Update for Windows XP (KB935839) | | Security Update for Windows XP (KB896428) | | Security Update for Windows XP (KB913580) | | Security Update for Windows XP (KB905749) | | Security Update for Windows XP (KB908531) | Microsoft .NET Framework 1.1 Service Pack 1 | | Security Update for Windows XP (KB901190) | | Security Update for Windows XP (KB904706) | | Security Update for Internet Explorer 7 for | Security Update for | Security | Security | Security | Security | Security | Security




| Security Update for Outlook Express for Windows XP | | | | |

Security Update for Windows XP (KB923191) | Critical | MSXML 4.0 SP2 Security Update (KB927978) | Critical | Security Update for Windows XP (KB901214) | Critical | Security Update for Windows XP (KB932168) | Critical | Security Update for Microsoft .NET Framework, Version

| Security Update for Windows XP (KB917953) | Important | | Security Update for Windows XP (KB905414) | Moderate | | Cumulative Security Update for Internet Explorer 7 for | | | |



for for for for

Windows Windows Windows Windows

XP XP XP XP

(KB914388) (KB919007) (KB930178) (KB926436)

| | | |

Critical | Important | Critical | Important |

PŘÍLOHY

54

| MS07-055 | Installed | MS05-032 | Installed | MS03-011 | Installed (Microsoft VM) | Critical | | MS07-040 | Installed 1.1 Service Pack 1 (KB928366) | Critical | | MS05-051 | Installed | MS06-022 | Installed | MS05-013 | Installed | MS06-050 | Installed | MS07-034 | Installed Windows XP (KB929123) | Important | | MS07-017 | Installed | MS06-006 | Installed (KB911564) | Important | | 890830 | Installed | (KB890830) | | | MS06-078 | Installed | Critical | | MS05-026 | Installed | MS07-046 | Installed | MS05-009 | Installed Moderate | | MS07-043 | Installed | MS06-071 | Installed | MS06-065 | Installed | MS04-043 | Installed | MS07-019 | Installed | MS06-070 | Installed | MS05-043 | Installed | MS07-012 | Installed | MS06-014 | Installed | MS07-042 | Installed | MS06-025 | Installed | MS06-066 | Installed | MS05-040 | Installed | MS06-053 | Installed | MS07-058 | Installed | MS05-041 | Installed | MS05-048 | Installed | MS06-008 | Installed | MS07-004 | Installed | MS07-022 | Installed | MS07-006 | Installed | MS06-063 | Installed | MS04-041 | Installed | MS04-044 | Installed | MS06-064 | Installed | MS07-007 | Installed | MS07-009 | Installed | MS05-042 | Installed

| Security Update for Windows XP (KB923810) | Critical | | Security Update for Windows XP (KB890046) | Moderate | | 816093: Security Update Microsoft Virtual Machine | Security Update for Microsoft .NET Framework, Version | | | | |

Security Update for Security Update for Security Update for Security Update for Cumulative Security

Windows XP Windows XP Windows XP Windows XP Update for

(KB902400) | Important | (KB918439) | Critical | (KB891781) | Important | (KB920670) | Important | Outlook Express for




Administrative Vulnerabilities Issue: Local Account Password Test Score: Check failed (critical) Result: Some user accounts (3 of 6) have blank or simple passwords, or could not be analyzed. Detail: | User | Weak Password | Locked Out | Disabled | | Guest | Weak | - | Disabled | | HelpAssistant | - | - | Disabled | | SUPPORT _ 388945a0 | - | - | Disabled | | Administrator | Weak | - | - | | scanner | Weak | - | - | | ASPNET | - | - | - | Issue: File System Score: Check passed Result: All hard drives (2) are using the NTFS file system. Detail: | Drive Letter | File System | | C: | NTFS | | D: | NTFS | Issue: Password Expiration Score: Check failed (non-critical) Result: Some user accounts (2 of 6) have non-expiring passwords. Detail: | User | | Administrator | | Guest | | ASPNET | | HelpAssistant | | SUPPORT _ 388945a0 | Issue: Guest Account Score: Check passed Result: The Guest account is disabled on this computer.


Issue:

Restrict Anonymous

PŘÍLOHY

55

Score: Check passed Result: Computer is properly restricting anonymous access.

Issue: Administrators Score: Check failed (non-critical) Result: More than 2 Administrators were found on this computer.

Detail: | User | | Administrator | | ROMILL\obrsalovam | | ROMILL\senkyrovas | | ROMILL\vopalkaj | Issue: Windows Firewall Score: Best practice Result: Windows Firewall is disabled and has exceptions configured. Detail: | Connection Name | Firewall | Exceptions | | Připojení k Internetu | N/A | N/A | | All Connections | Off | Programs, Services | | Připojení k místní síti | Off* | Programs*, Services* | Issue: Automatic Updates Score: Best practice Result: Automatic Updates are managed through Group Policy on this computer.





Detail: | Share | Directory | Share ACL | Directory ACL | | filmy | E:\ | Everyone - F | Directory ACL can not be read. | | vmware | E:\vmware | Everyone - F | Directory ACL can not be read. | | ADMIN$ | C:\WINDOWS | Admin Share | BUILTIN\Users - RX, BUILTIN\Power Users RWXD, BUILTIN\Administrators - F, NT AUTHORITY\SYSTEM - F | | C$ | C:\ | Admin Share | BUILTIN\Administrators - F, NT AUTHORITY\SYSTEM - F, BUILTIN\Users - RX, Everyone - RX | | D$ | D:\ | Admin Share | BUILTIN\Administrators - F, NT AUTHORITY\SYSTEM - F, BUILTIN\Users - RX, Everyone - RX | | SKENY | D:\SKENY | Everyone - F | Everyone - F, BUILTIN\Administrators - F, NT AUTHORITY\SYSTEM - F, BUILTIN\Users - RX | | print$ | C:\WINDOWS\system32\spool\drivers | Everyone - R, Administrators F, Power Users - F | Everyone - RX, BUILTIN\Users - RX, BUILTIN\Power Users - RWXD, BUILTIN\Administrators - F, NT AUTHORITY\SYSTEM - F | Issue: Services Score: Best practice Result: Some potentially unnecessary services are installed. Detail: | Service | State | | Telnet | Stopped |

Internet Information Services (IIS) Scan Results IIS is not running on this computer.

SQL Server Scan Results SQL Server and/or MSDE is not installed on this computer.

Desktop Application Scan Results Administrative Vulnerabilities Issue: IE Zones Score: Check passed Result: Internet Explorer zones have secure settings for all users.

Issue: Macro Security Score: Check not performed Result: No Microsoft Office products are installed

PŘÍLOHY

56

D — Klientská stanice projektového řízení: Computer name: ROMILL\HANUSI IP address: 10.0.0.82 Security report name: ROMILL - HANUSI (31.10.2007 11-14) Update Services server: http://server Scan date: 31.10.2007 11:14 Scanned with MBSA version: 2.0.6706.0 Security update catalog: Microsoft Update, Windows Server Update Services Catalog synchronization date: Security assessment: Severe Risk Security Updates Scan Results



| | | | | |




(925673) | Critical |


Security Updates | MS07-042 | Not Approved | Security Update for Microsoft XML Core Services 4.0 Service Pack 2 (KB936181) | Critical | | MS07-042 | Not Approved | Security Update for Microsoft XML Core Services 6.0 and Microsoft XML Core Services 6.0 Service Pack 1 (KB933579) | Critical | Current Update Compliance | MS07-008 | Installed | MS05-018 | Installed | MS06-030 | Installed | MS06-041 | Installed | MS06-002 | Installed | MS07-047 | Installed XP (KB936782) | Important | | MS06-005 | Installed Critical | | MS07-035 | Installed | MS05-033 | Installed | MS06-018 | Installed | MS05-047 | Installed | MS06-015 | Installed | 867460 | Installed | | MS06-009 | Installed | MS05-050 | Installed | MS07-050 | Installed (KB938127) | Critical | | MS07-031 | Installed | 933360 | Installed | | MS06-068 | Installed | MS05-049 | Installed | MS05-007 | Installed | MS06-075 | Installed | MS07-013 | Installed | MS05-037 | Installed | | MS07-056 | Installed (KB941202) | Critical | | MS06-057 | Installed | MS05-036 | Installed | MS07-020 | Installed | MS07-040 | Installed 2.0 (KB928365) | Critical | | MS06-032 | Installed | MS05-045 | Installed | MS07-057 | Installed Windows XP (KB939653) | Critical | | MS06-036 | Installed | MS06-052 | Installed | MS07-021 | Installed | MS07-011 | Installed | MS07-055 | Installed | MS05-032 | Installed | MS03-011 | Installed (Microsoft VM) | Critical |

| | | | | |







| Security Update for Windows Media Player 9 (KB911565) | | Security Update for Windows XP (KB935839) | | Security Update for Windows XP (KB896428) | | Security Update for Windows XP (KB913580) | | Security Update for Windows XP (KB905749) | | Security Update for Windows XP (KB908531) | Microsoft .NET Framework 1.1 Service Pack 1 | | Security Update for Windows XP (KB901190) | | Security Update for Windows XP (KB904706) | | Security Update for Internet Explorer 7 for | Security Update for | Security | Security | Security | Security | Security | Security




| Security Update for Outlook Express for Windows XP | | | |



for for for for

Windows XP (KB923191) | Critical | Windows XP (KB901214) | Critical | Windows XP (KB932168) | Critical | Microsoft .NET Framework, Version

| Security Update for Windows XP (KB917953) | Important | | Security Update for Windows XP (KB905414) | Moderate | | Cumulative Security Update for Internet Explorer 7 for | | | | | | |

Security Update Security Update Security Update Security Update Security Update Security Update 816093: Security

for Windows XP (KB914388) for Windows XP (KB919007) for Windows XP (KB930178) for Windows XP (KB926436) for Windows XP (KB923810) for Windows XP (KB890046) Update Microsoft Virtual

| Critical | | Important | | Critical | | Important | | Critical | | Moderate | Machine

PŘÍLOHY

57

| MS07-040 | Installed 1.1 Service Pack 1 (KB928366) | Critical | | MS05-051 | Installed | MS06-022 | Installed | MS05-013 | Installed | MS06-050 | Installed | MS07-034 | Installed Windows XP (KB929123) | Important | | MS07-017 | Installed | MS06-006 | Installed (KB911564) | Important | | 890830 | Installed | (KB890830) | | | MS06-078 | Installed | Critical | | MS05-026 | Installed | MS07-046 | Installed | MS05-009 | Installed Moderate | | MS07-043 | Installed | MS06-071 | Installed | MS06-065 | Installed | MS04-043 | Installed | MS07-019 | Installed | MS06-070 | Installed | MS05-043 | Installed | MS07-012 | Installed | MS06-014 | Installed | MS07-042 | Installed | MS06-025 | Installed | MS06-066 | Installed | MS05-040 | Installed | MS06-053 | Installed | MS07-058 | Installed | MS05-041 | Installed | MS05-048 | Installed | MS06-008 | Installed | MS07-004 | Installed | MS07-022 | Installed | MS07-006 | Installed | MS06-063 | Installed | MS04-041 | Installed | MS04-044 | Installed | MS06-064 | Installed | MS07-007 | Installed | MS07-009 | Installed | MS05-042 | Installed

| Security Update for Microsoft .NET Framework, Version | | | | |

Security Update for Security Update for Security Update for Security Update for Cumulative Security

Windows XP Windows XP Windows XP Windows XP Update for

(KB902400) | Important | (KB918439) | Critical | (KB891781) | Important | (KB920670) | Important | Outlook Express for




Administrative Vulnerabilities Issue: Local Account Password Test Score: Check failed (critical) Result: Some user accounts (2 of 5) have blank or simple passwords, or could not be analyzed. Detail: | User | Weak Password | Locked Out | Disabled | | Guest | Weak | - | Disabled | | HelpAssistant | - | - | Disabled | | SUPPORT _ 388945a0 | - | - | Disabled | | Administrator | Weak | - | - | | ASPNET | - | - | - | Issue: File System Score: Check passed Result: All hard drives (2) are using the NTFS file system. Detail: | Drive Letter | File System | | C: | NTFS | | D: | NTFS | Issue: Password Expiration Score: Check failed (non-critical) Result: Some user accounts (2 of 5) have non-expiring passwords. Detail: | User | | Administrator | | Guest | | ASPNET | | HelpAssistant | | SUPPORT _ 388945a0 | Issue: Guest Account Score: Check passed Result: The Guest account is disabled on this computer.



Issue: Score:

Administrators Check passed

PŘÍLOHY

58

Result: No more than 2 Administrators were found on this computer.

Detail: | User | | Administrator | | ROMILL\hanusi | Issue: Windows Firewall Score: Best practice Result: Windows Firewall is enabled and has exceptions configured. Windows Firewall is enabled on all network connections. Detail: | Connection Name | Firewall | Exceptions | | Připojení k Internetu | N/A | N/A | | 1394 Připojení | On | Programs*, Services* | | All Connections | On | Programs, Services | | Připojení k místní síti | On | Programs*, Services* | Issue: Automatic Updates Score: Check failed (non-critical) Result: The Automatic Updates feature has not been configured on this computer. Please use the Control Panel to configure Automatic Updates.





Detail: | Share | Directory | Share ACL | Directory ACL | | ADMIN$ | C:\WINDOWS | Admin Share | BUILTIN\Users - RX, BUILTIN\Power Users RWXD, BUILTIN\Administrators - F, NT AUTHORITY\SYSTEM - F | | C$ | C:\ | Admin Share | BUILTIN\Administrators - F, CREATOR OWNER - F, Everyone - RX, NT AUTHORITY\SYSTEM - F, BUILTIN\Users - RWXD | | D$ | D:\ | Admin Share | BUILTIN\Administrators - F, CREATOR OWNER - F, Everyone - RX, NT AUTHORITY\SYSTEM - F, BUILTIN\Users - RWXD | Issue: Services Score: Best practice Result: Some potentially unnecessary services are installed. Detail: | Service | State | | Telnet | Stopped | Internet Information Services (IIS) Scan Results IIS is not running on this computer.

SQL Server Scan Results Instance INVENTORCONTENT Administrative Vulnerabilities Issue: SQL Server/MSDE Security Mode Score: Check failed (non-critical) Result: SQL Server and/or MSDE authentication mode is set to SQL Server and/or MSDE and Windows (Mixed Mode).

Issue: Exposed SQL Server/MSDE Password Score: Check passed Result: The 'sa' password and SQL service account password are not exposed in text files.

Issue: CmdExec role Score: Check passed Result: CmdExec is restricted to sysadmin only.

Issue: Registry Permissions Score: Check passed Result: The Everyone group does not have more than Read access to the SQL Server and/or MSDE registry keys.

Issue: Folder Permissions Score: Check passed Result: Permissions on the SQL Server and/or MSDE installation folders are set properly.

Issue: Sysadmin role members Score: Best practice Result: BUILTIN\Administrators group should not be part of sysadmin role.

Issue: Guest Account Score: Check passed Result: The Guest account is not enabled in any of the databases.

Issue:

Sysadmins

PŘÍLOHY

59

Score: Check passed Result: No more than 2 members of sysadmin role are present.

Issue: SQL Server/MSDE Account Password Test Score: Check passed Result: No SQL user accounts have weak passwords.

Issue: Score: Result: members of the local

Service Accounts Best practice SQL Server, SQL Server Agent, MSDE and/or MSDE Agent service accounts should not be Administrators group or run as LocalSystem.

Detail: | Instance | Service | Account | Issue | | INVENTORCONTENT | MSSQL$INVENTORCONTENT | SYSTEM | LocalSystem account. | | INVENTORCONTENT | SQLAgent$INVENTORCONTENT | SYSTEM | LocalSystem account. | Desktop Application Scan Results Administrative Vulnerabilities Issue: IE Zones Score: Check passed Result: Internet Explorer zones have secure settings for all users.

Issue: Macro Security Score: Check passed Result: 4 Microsoft Office product(s) are installed. No issues were found.

Detail: | Issue | User | Advice | | Microsoft Office Excel 2003 | All Users | No security issues were found. | | Microsoft Office Outlook 2003 | All Users | No security issues were found. | | Microsoft Office PowerPoint 2003 | All Users | No security issues were found. | | Microsoft Office Word 2003 | All Users | No security issues were found. |

REJSTŘÍK

60

Rejstřík A

H

R

aktualizace, 6 analýza automatizovaná, 4 manuální, 4 antivir, 7, 35, 36

heslo, 6, 13, 27, 32, 33, 38, 39 hierarchický klíč, 12 hrozba, 4, 14, 15, 26, 41 hub, 12

RDP, 7 riziko, 20 rlogin, 39

B

I

bezpečnostní audit, 4 bezpečnostní incident, 4 biometrie, 33 blacklist, 7

ICMP, 7 integrita, 9, 20, 21, 29, 30, 31, 40 ISO/IEC 17799, 23, 26

síťový červ, 26 smart karta, 33, 34 sniffer, 32, 37 spam, 7, 15, 16 ssh, 39

S

T

C

K

čipová karta, 12 COBIT, 23

kryptografický systém, 28

telnet, 6, 39 trojský kůň, 26

L

U

LAN, 15, 16, 36 loadbalancing, 7 log, 6, 8, 38

UPS, 5, 17, 36, 37

D data důvěrná, 9, 20 interní, 9, 20 tajná, 9, 21 veřejná, 9, 20 DMZ, 7, 39 doménový řadič, 5 DoS, 39 dostupnost, 30, 31 důvěrnost, 30, 31

M

V vir, 26, 37 VPN, 5, 8, 40

MBSA, 4, 6, 45–59

N NTFS, 6

W WAN, 7, 15, 16, 18, 40 WEP, 8 Wiegand, 12 WPA, 8

F

O

firewall, 6, 7, 39 ftp, 39

outsourcing, 24

Z

P

záloha, 8, 10, 11, 17 zranitelnost, 4

G Group Policy, 38 Guest, 6, 35

PIN, 12

Q QI, 5

Diplomová práce. BEZPEČNOSTNÍ AUDIt A POLITIKA IT ORGANIZACE

Recommend Documents