Bezpečnost informačních systémů Ing. Ludmila Kunderová 2011/2012
Bezpečnost informačních systémů Okruhy modulu „Bezpečnost IS“ – Základní principy a pojmy bezpečnosti IS/ICT (informačních systémů/informačních technologií) – Některé technologie pro implementaci informační bezpečnosti – Systém managementu informační bezpečnosti ISMS v informačních systémech podniků a organizací – Standardy a legislativní rámec
Bezpečnost informačních systémů 2011/12
2
Bezpečnost informačních systémů • Bezpečnost informačních systémů (IS) – „informační bezpečnost“ – Významná oblast oboru ICT – Klíčová složka IS podniků a organizací – Součást bezpečnostní politiky organizace – Řada strategických rozhodnutí managementu organizace přímo či nepřímo s informační bezpečností souvisí Bezpečnost informačních systémů 2011/12
3
Bezpečnost informačních systémů • Co je informační systém? – Data – Technologie (HW, SW, síť) – Lidé
Bezpečnost informačních systémů 2011/12
4
Bezpečnost informačních systémů • Proč je nutné IS zabezpečit? – IS zpracovává a uchovává podniková data, která jsou majetkem podniku/organizace.
• Proti čemu? – IS ohrožují bezpečnostní hrozby, které využívají bezpečnostní rizika, která v IS existují.
• Jak? – Prosazováním bezpečnostní politiky IS/IT v podniku/organizaci. Bezpečnost informačních systémů 2011/12
5
Bezpečnost informačních systémů • Základní bezpečnostní politika IS/IT – podnikový dokument – Podporuje ochranu majetku organizace. – Určuje strategii pro dosažení bezpečnostních cílů. – Stanoví odpovědnost za dodržování a prosazování bezpečnostních postupů a pravidel. – Odkazuje na další dokumenty specifikující bezpečnostní technologie a na bezpečnostní směrnice pro uživatele IS – Systémovou bezpečnostní politiku IT. Bezpečnost informačních systémů 2011/12
6
Bezpečnost informačních systémů • Další složky Systémové bezpečnostní politiky IT • Havarijní plán – Určuje postupy po odhalení útoku – Určuje personální zodpovědnost za provedení jednotlivých činností
• Plán obnovy – Stanoví priority pro obnovu určitých služeb IS – Stanoví priority pro obnovu kritických dat
• Bezpečnostní politika IS/IT je základem systému managementu informační bezpečnosti (ISMS – Information Security Management System). Bezpečnost informačních systémů 2011/12
7
Bezpečnost informačních systémů • Jaké jsou bezpečnostní cíle? – Integrita informace – nedojde ke změně obsahu dat – Autentičnost informace – pravost dat – Dostupnost informace – data jsou k disposici oprávněnému subjektu, pokud je to požadováno – Důvěrnost informace – obsah dat má k disposici pouze oprávněný subjekt – Nepopiratelnost původu informace/dat
Bezpečnost informačních systémů 2011/12
8
Bezpečnost informačních systémů • Čím je ohrožena bezpečnost IS (tj. majetek podniku)? – Bezpečnostními útoky/bezpečnostními incidenty směřujícími proti bezpečnostním cílům
• Co umožní, že k útokům dojde? – Bezpečnostní rizika, která v IS existují
• Jak se bezpečnostní rizika sníží nebo eliminují? – Implementováním bezpečnostních technologií v kritických místech IS
Bezpečnost informačních systémů 2011/12
9
Bezpečnost informačních systémů
Bezpečnost informačních systémů 2011/12
10
Bezpečnost informačních systémů • Bezpečnostní útoky jsou úmyslné a neúmyslné • Úmyslné – záměrně vedené fyzickou osobou (útočník, hacker, ..) – Neoprávněný přístup k HW nebo SW složkám IS – Neoprávněný odposlech přenášených informací (sniffing) – Neoprávněná modifikace nebo zfalšování SW složek (počítačové viry,…) – Znepřístupnění aplikací nebo IT služeb – Fyzické poškození nebo zcizení HW/SW komponent Bezpečnost informačních systémů 2011/12
11
Bezpečnost informačních systémů • Neúmyslné – mohou mít také velmi vážný dopad na funkci IS. • Vzniknou – z nedbalosti, – z nedostatečné kvalifikace uživatele nebo technického personálu, – z nedostatečného technického návrhu (např. špatná konfigurace programu, nevhodný typ zařízení, apod.), – z extrémních klimatickými podmínek a přírodních pohrom, – atd. Bezpečnost informačních systémů 2011/12
12
Bezpečnost informačních systémů • Nástroje útočníků – Speciální programy – Znalosti a zkušenosti – Dostatek času a trpělivosti – Sociální inženýrství
• Obrana proti útočníkům – Preventivní opatření – Monitoring provozu IS, generování odezev na podezřelé aktivity a situace – Provádění auditu systémových záznamů Bezpečnost informačních systémů 2011/12
13
Bezpečnost informačních systémů • Bezpečnostní funkce (bezpečnostní opatření) se aplikují k dosažení bezpečnostních cílů – Preventivní (zabraňují útokům) – Heuristické (snižují rizika) – Detekční a opravné (snižují dopad útoků) • Bezpečnostní mechanismy provádějí bezpečnostní funkce – SW charakter – HW a fyzický charakter – Administrativně správní charakter Bezpečnost informačních systémů 2011/12
14
Bezpečnost informačních systémů • Bezpečnostní technologie – postupy pro dosažení jednoho nebo více bezpečnostních cílů (preventivní, detekční, následné) – – – – –
Identifikace a autentizace Autorizace a řízení přístupu Prokazatelnost odpovědnosti Integrita Důvěrnost
• Podle technického principu (HW, SW, ….) • Podle účinnosti (slabé, střední, silné) Bezpečnost informačních systémů 2011/12
15
Bezpečnost informačních systémů • Nejobvyklejší bezpečnostní technologie – Firewally – Antivirové programy – Kryptografické SW moduly – Čipové autentizační karty – Kryptografické čipové karty – Elektronické podpis – Zálohovací zařízení Bezpečnost informačních systémů 2011/12
16
Bezpečnost informačních systémů • Antivirové programy – dodatečná bezpečnostní protiopatření – ochrana proti modifikaci SW komponent škodlivým SW (malware) – Preventivní (on-access) – Detekční (on-demand) – Heuristické
• Typy virů (rezidentní, nerezidentní, trójské koně, BackDoors, červi, spyware, adware,….)
• Šíření virů (neautorizované kopie, elektronická pošta, download z nedůvěryhodných internetových zdrojů) Bezpečnost informačních systémů 2011/12
17
Bezpečnost informačních systémů • Ochrana antivirovými programy – Jednoúčelové – pro určitý virus (detekce a desinfekce) – Antivirové systémy – komplexní ochrana, aktualizace přes Internet, zabudovaný PC firewall • AVG, Norton Antivirus (Symantec), Kaspersky Antivirus, Avast, NOD 32, McAfee Virus Scan) • Certifikce ICSA labs http://www.icsalabs.com/
Bezpečnost informačních systémů 2011/12
18
Bezpečnost informačních systémů • Firewall (FW) – odděluje sítě s různým stupněm bezpečnosti (typicky podnikový intranet a veřejnou síť internet) • Na FW jsou nastavena pravidla pro řízení provozu ve směru do a z chráněné sítě (která data mohou projít do/z a která ne)
Bezpečnost informačních systémů 2011/12
19
Bezpečnost informačních systémů • Implementace síťových FW – SW nebo HW – – – –
Typy FW Paketové filtry Stavové inspekční filtry Aplikační brány
• PC firewall – SW aplikace – Určuje pravidla pro provoz na osobním počítači v souladu se zásadami BP IS/IT
Bezpečnost informačních systémů 2011/12
20
Bezpečnost informačních systémů • Autentizační technologie implementují proces ověření identity subjektu IS (uživatele, počítače, programu …) • Způsob autentizace – Oboustranná – Jednostranná • Principy autentizace – Znalost hesla, šifrovacího klíče • Jednoduchým zadáním hesla • Autentizačními protokoly typu „výzva-odpověď“
– Vlastnictví autentizačního tokenu (identifikační karta) – Biometrické znaky (jen pro fyzické osoby) Bezpečnost informačních systémů 2011/12
21
Bezpečnost informačních systémů • Digitální podpis – elektronický podpis (EP) • Bezpečnostní technologie na principu asymetrické kryptografie – Klíč veřejný – používá podepisující (odesílatel) – Klíč privátní – používá příjemce
• Zabezpečuje – integritu podepsané zprávy – autentičnost podepsané zprávy – neodmítnutelnost zodpovědnosti za podepsanou zprávu Bezpečnost informačních systémů 2011/12
22
Bezpečnost informačních systémů Základní kryptografické techniky • Symetrické algoritmy • Asymetrické algoritmy • Hash funkce
Bezpečnost informačních systémů 2011/12
23
Způsoby použití asymetrických algoritmů
Bezpečnost informačních systémů
Bezpečnost informačních systémů 2011/12
24
Bezpečnost informačních systémů Digitální podpis
Bezpečnost informačních systémů 2011/12
25
Bezpečnost informačních systémů • Certifikace veřejných klíčů – Důvěryhodná třetí strana certifikační autorita (CA) potvrdí propojení veřejného s určitým subjektem (fyzická/právnická osoba, server, program, atd.) – Technické provedení – elektronický dokument se standardním obsahem, který se připojí k podepsané zprávě – Postup certifikace
Bezpečnost informačních systémů 2011/12
26
Bezpečnost informačních systémů • Obsah certifikátu – Jméno vlastníka certifikátu – Sériové číslo certifikátu – Doba platnosti certifikátu – Kopie veřejného klíče vlastníka certifikátu – Jméno CA – Digitální podpis CA
Bezpečnost informačních systémů 2011/12
27
Bezpečnost informačních systémů Formát certifikátu
Bezpečnost informačních systémů 2011/12
28
Bezpečnost informačních systémů Certifikát
Hierarchie ověření certifikátu
Bezpečnost informačních systémů 2011/12
29
Bezpečnost informačních systémů Princip hierarchie certifikačních autorit • Umožňuje zpětné ověření platnosti certifikátu (chain of trust) • Kořenová CA je identifikována certifikátem s vlastním podpisem (self-signed certicate)
Bezpečnost informačních systémů 2011/12
30
Bezpečnost informačních systémů Správa veřejných klíčů – systém PKI (Public Key Infrastructure) – zajišťuje CA – – – – – –
registrace uživatelů certifikátů vydávání certifikátů k veřejným klíčům odvolávání platnosti certifikátů vytváření a zveřejňování seznamu certifikátů odebírání platnosti certifikátům zveřejňování zneplatněných certifikátů v seznamu CRL (Certificate Revocation List) – ukázka CRL – správa klíčů po dobu jejich platnosti (životního cyklu) – dodatkové služby – např. poskytování časových známek (timestamping) Bezpečnost informačních systémů 2011/12
31
Bezpečnost informačních systémů • Složky zajišťující digitální podpis – Asymetrické kryptografické systémy – Hash funkce – Správa veřejných klíčů – PKI (Public Key Infrastructure) – Certifikát veřejného klíče – certifikační autorita (CA)
Bezpečnost informačních systémů 2011/12
32
Bezpečnost informačních systémů Odkazy na zdroje zabývající se problematikou elektronické podpisu • http://www.mvcr.cz/clanek/epodpis.aspx • http://cs.wikipedia.org/wiki/Elektronick%C3%BD_podpis
Bezpečnost informačních systémů 2011/12
33
Bezpečnost informačních systémů ISMS - systém managementu informační bezpečnosti – Má být zabudován do IS organizace – Rozvíjí se v souladu se změnami v IS (nasazení nové technologie do IS přináší nová rizika) a se změnami v oblasti informační bezpečnosti (nové typy útoků, nové viry, atd.) – Výstavba ISMS se specifikována v technických normách - standardech Bezpečnost informačních systémů 2011/12
34
Bezpečnost informačních systémů Plan – DO – Check - Act
Bezpečnost informačních systémů 2011/12
35
Bezpečnost informačních systémů • Postup výstavby ISMS – Analýza rizik – klíčová fáze • • • •
Odhad aktiv Určení rizik a dopadů Návrh protiopatření Vyhodnocení úspor
– Zpětná vazba do všech fází – dynamické změny – Spoluúčast všech složek IS Bezpečnost informačních systémů 2011/12
36
Bezpečnost informačních systémů • Normalizace v oblasti BIS – výběr základních standardů – Postupy a metody vytváření ISMS • ČSN ISO/IEC TR 13335-(1- 4) – Informační technologie –Směrnice pro řízení IT bezpečnosti • ČSN ISO/IEC 27002 (Soubor postupů pro management bezpečnosti informací) • ČSN ISO/IEC 27001 (Požadavky) – Bezpečnost informačních technologií • ČSN ISO/IEC 15408 - (1- 3) – Kritéria pro hodnocení bezpečnosti IT (tzv. Common Criteria) Bezpečnost informačních systémů 2011/12
37
Bezpečnost informačních systémů 11 klíčových oblastí ČSN ISO/IEC 27002
Bezpečnost informačních systémů 2011/12
38
Bezpečnost informačních systémů Návaznost standardů
Bezpečnost informačních systémů 2011/12
39
Bezpečnost informačních systémů • Legislativní rámec informační bezpečnosti v České republice – Ochrana utajovaných skutečností – Ochrana osobních údajů – Zákon o elektronickém podpisu – Obchodní zákoník – Autorský zákon – Antispamový zákon – ……. Bezpečnost informačních systémů 2011/12
40
Bezpečnost informačních systémů • Ochrana utajovaných skutečností – Informace, které je nutné v zájmu státu chránit – obrana, rozvědka, atd. – Zákon č. 148/1998 Sb. O ochraně utajovaných skutečností (jedna z podmínek vstupu ČR do NATO) – za plnění zákona odpovídá NBÚ – Seznamy utajovaných skutečností stanoví Nařízení vlády č. 246/1998 Sb. – informace se stávají „položkou seznamu“ Bezpečnost informačních systémů 2011/12
41
Bezpečnost informačních systémů • Další související vyhlášky – Vyhláška NBÚ č. 244/1998 Sb. o podrobnostech stanovení a označení stupně utajení a o postupech při tvorbě, evidenci,přenášení, přepravě, zapůjčování, ukládání, jiné manipulaci a skartaci utajovaných písemností - administrativní opatření – Vyhláška NBÚ č. 245/1998 Sb. o osobní způsobilosti a vzorech tiskopisů používaných v oblasti personální bezpečnosti – personální zajištění – Vyhláška NBÚ č. 263/1998 Sb. – o stanovení způsobu a postupu ověřování bezpečnostní spolehlivosti organizace – specifikace bezpečnostní politiky, bezpečnostního projektu, bezpečnostních opatření, apod. Bezpečnost informačních systémů 2011/12
42
Bezpečnost informačních systémů – Vyhláška NBÚ č. 339/1998 Sb. – o objektové bezpečnosti – způsoby fyzického zabezpečení – Vyhláška NBÚ č. 12/1999 Sb. – o zajištění technické bezpečnosti utajovaných skutečností a certifikaci technických prostředků – bezpečnostní technologie – Vyhláška NBÚ č. 56/1999 Sb. – o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu – příprava IS, které mají zpracovávat utajované skutečnosti – Vyhláška NBÚ č. 76/1999 Sb. – o zajištění kryptografické ochrany utajovaných skutečností, provádění certifikace kryptografických prostředků a náležitostech certifikátu – kryptografické technologie. Bezpečnost informačních systémů 2011/12
43
Bezpečnost informačních systémů • Utajované skutečnosti se klasifikují do
následujících tříd (stupňů utajení) podle výše újmy, ke které by došlo v případě neoprávněného nakládání (vyzrazení, zneužití, poškození, znehodnocení, zničení, porušení ochrany, ztráta) utajovaných skutečností.
• V seznamech jsou utajované skutečnosti označeny jako: – Přísně tajné (PT) – Tajné (T) – Důvěrné (D) – Vyhrazené (V) Bezpečnost informačních systémů 2011/12
44
Bezpečnost informačních systémů • Do stupně utajení přísně tajné se utajovaná skutečnost klasifikuje v případě, že neoprávněné nakládání s ní by mohlo způsobit mimořádně vážnou újmu zájmům České republiky; tento stupeň utajení se označuje slovy "Přísně tajné" nebo zkratkou "PT". • Do stupně utajení tajné se utajovaná skutečnost klasifikuje v případě, že neoprávněné nakládání s ní by mohlo způsobit vážnou újmu zájmům České republiky; tento stupeň utajení se označuje slovem "Tajné" nebo zkratkou "T". Bezpečnost informačních systémů 2011/12
45
Bezpečnost informačních systémů • Do stupně utajení důvěrné se utajovaná skutečnost klasifikuje v případě, že neoprávněné nakládání s ní by mohlo způsobit prostou újmu zájmům České republiky; tento stupeň utajení se označuje slovem "Důvěrné" nebo zkratkou "D". • Do stupně utajení vyhrazené se utajovaná skutečnost klasifikuje v případě, že neoprávněné nakládání s ní by mohlo být nevýhodné pro zájmy České republiky; tento stupeň utajení se označuje slovem "Vyhrazené" nebo zkratkou "V". Bezpečnost informačních systémů 2011/12
46
Bezpečnost informačních systémů • Povinné bezpečnostní prověrky organizací, v jejichž IS jsou utajované skutečnosti zpracovávané – certifikace IS/IT (soulad s bezpečnostními normami ČSN ISO/IEC 27002 a ČSN IS/IEC TR 13335). • Další prověřované oblasti: – Administrativní bezpečnost – Objektová bezpečnost – Technická bezpečnost (certifikace technických prostředků). • Podrobný popis požadavků na bezpečnost v jednotlivých oblastech (výše uvedené vyhlášky + řada metodických pokynů). Bezpečnost informačních systémů 2011/12
47
Bezpečnost informačních systémů • Ochrana osobních údajů – Osobní údaj – citlivý údaj vypovídající o národnostním, rasovém nebo etnickém původu jednotlivce. Dále o jeho politických postojích, členství v odborových organizacích, náboženství a filosofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě. – Zákon č. 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů a jeho novela č. 177/2001 Sb. Bezpečnost informačních systémů 2011/12
48
Bezpečnost informačních systémů • Rozlišení mezi „citlivými“ a „ostatními“ osobními údaji • IS nakládající s „citlivými“ osobními údaji mají zákonnou oznamovací povinnost o způsobu zabezpečení citlivých osobních údajů u Úřadu na ochranu osobních údajů (výjimka pro IS sloužící výhradně pro vnitřní potřebu provozovatele).
Bezpečnost informačních systémů 2011/12
49
Bezpečnost informačních systémů • Digitální podpis ve státní správě ČR – podpora elektronická komunikace – mezi občany a útvary státní správy – uvnitř státní správy (mezi jednotlivými útvary) • Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), který současně upravuje kontrolu povinností stanovených tímto zákonem a sankce za jejich porušení. • Prováděcím předpisem k tomuto zákonu je nařízení vlády č. 304/2001 Sb. a vyhláška č. 366/2001 Sb. Bezpečnost informačních systémů 2011/12
50
Bezpečnost informačních systémů • •
• • •
Pro účely tohoto zákona se rozumí elektronickým podpisem (EP) údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které umožňují ověření totožnosti podepsané osoby ve vztahu k datové zprávě, zaručeným elektronickým podpisem elektronický podpis, který splňuje následující požadavky: je jednoznačně spojen s podepisující osobou, umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě, Bezpečnost informačních systémů 2011/12
51
Bezpečnost informačních systémů • EP byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou, • je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat; • datovou zprávou elektronická data, která lze přenášet prostředky pro elektronickou komunikaci a uchovávat na záznamových médiích, používaných při zpracování a přenosu dat elektronickou formou, Bezpečnost informačních systémů 2011/12
52
Bezpečnost informačních systémů • podepisující osobou fyzická osoba, která má prostředek pro vytváření podpisu a jedná jménem svým nebo v zastoupení jiné fyzické či právnické osoby, • poskytovatelem certifikačních služeb subjekt, který vydává certifikáty a vede jejich evidenci, případně poskytuje další služby spojené s elektronickými podpisy, • akreditovaným poskytovatelem certifikačních služeb poskytovatel certifikačních služeb, jemuž byla udělena akreditace podle tohoto zákona, Bezpečnost informačních systémů 2011/12
53
Bezpečnost informačních systémů • certifikátem datová zpráva, která je vydána poskytovatelem certifikačních služeb, spojuje data pro ověřování podpisů s podepisující osobou a umožňuje ověřit její totožnost, • kvalifikovaným certifikátem certifikát, který má náležitosti stanovené tímto zákonem a byl vydán poskytovatelem certifikačních služeb, splňujícím podmínky, stanovené tímto zákonem pro poskytovatele certifikačních služeb vydávající kvalifikované certifikáty, Bezpečnost informačních systémů 2011/12
54
Bezpečnost informačních systémů • Akreditovaný poskytovatel certifikačních služeb v ČR – První certifikační autorita, a.s. – Postsignum, Česká pošta, s. p. – eIdentity, a.s. • Kontaktní místa – registrační autority • Zveřejnění celkové bezpečnostní politiky CA a certifikační politiky CA
Bezpečnost informačních systémů 2011/12
55
Bezpečnost informačních systémů • Typy certifikátů – testovací – komerční – kvalifikované (dle zákona o elektronickém podpisu) • Časové razítko – elektronický důkaz o existenci určitého dokumentu v určitém čase
Bezpečnost informačních systémů 2011/12
56
Bezpečnost informačních systémů • Shrnutí – BP má pro bezpečnost podnikových IS/IT zcela zásadní význam – ISMS udržuje úroveň informační bezpečnosti stanovenou v BP – Bezpečnostní opatření jsou implementována v bezpečnostních technologiích, které jsou součástí podnikového IS (FW, antivirové programy, autentizační nástroje, elektronický podpis, atd.)
• Dotazy
? Bezpečnost informačních systémů 2011/12
57
Děkuji za pozornost Prezentace vznikla s podporou OP Vzdělávání pro konkurenceschopnost CZ.1.07/1.3.00/19.0016 Inovace studia k výkonu specializovaných činností ‒ koordinace v oblasti ICT
58