Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT

Standardy (normy) a legislativa 2

Standardy (normy) a legislativa informacn bezpecnosti

X X X X

PV 017 Bezpecnost IT 2

Jan Staudek http://www. .muni.cz/usr/staudek/vyuka/ }

Cl predna sky o standardech a standardizaci { umet odpovedet na otazky:

2 2

w A| y < 5 4 23 1 0 / -. , )+ ( %&' $ # !"

Æ

2

Verze : podzim 2016

Co to jsou standardy, normy, doporucen ? Jak vznikaj standardy a doporucen ? Kdo je kdo ve svete standardu a doporucen ? Ktere standardy informacn bezpecnosti jsou reprezentativn ?

Standardizacn organizace a principy jejich c innosti a pusoben Upozornen na hlavn de-iure standardy informacn bezpecnosti Genericka pravn hlediska { koncept relevantnch pravn ch principu Relevantn legislativa v CR Jan Staudek, FI MU Brno

What is a standard?, ISO/IEC Guide 2: 1996 2

2

established by consensus and approved by a recognized body, that provides, for common and repeated use, rules, guidance or characteristics of activities and their results, aimed at the achievement of the optimum degree of order in a given context.

|

PV017 { Standardy (normy) informacn bezpecnosti


1

Standard, norma, doporucen = dokumentovana umluva

A document,

Jan Staudek, FI MU Brno

|

2

2

umluva { o technicke speci kaci nebo { o jinem podobnem presne stanovenem kriteriu cl umluvy X pravidlo/smernice de nujc charakteristicke vlastnosti

material u, vyrobk u, procesu, sluzeb, . . . X umoznuje, aby materialy, vyrobky, procesy, sluzby, , . . . byly takove, jake se zamy sl, z e maj byt { format platebn karty, { protokol komunikace, { politika poskytovan sluzby, { ...


|


3

Standard, norma, doporucen = dokumentovana umluva 2

Standard, norma, doporucen = dokumentovana umluva

standard nebo norma ?

2

X v Cesku (mimo oblast IT) se tradicne pouzva pojem ,,norma\,

X umluva schvalen a uznavanou instituc pover enou tmto poslan m

coz je historicky vliv nemciny X v oblasti IT celosvetove pojem ,,norma\ vesmes prohrav a s pojmem ,,standard\ { dano vlivem progresivn globalizac anglictiny 2

2

legislativou, rozhodnutm statn ch autorit, . . . X standardy implicitne nejsou pravn e zavazn e, jista pravn norma ale mu ze predepsat povinnost vyhoven (obvykle de iure) standardu X typicky standardy vydavan e organizacemi ISO, IEC, ITU, . . . X de iure standard reprezentuje silne konzervativn pohled na svet

Doporucen (recommendation) { termn pouzvany nekterymi organizacemi vydavaj c standardy msto termnu ,,standard"(ITU { telekomunikace, . . . ) Standard vyvinuty na bazi konsensu jiste komunity, de facto standard

2

X standard vypracovany v ramci jiste komunity, ktera si pred jeho

|


se c asto prepracovavaj /prebraj na de iure standardy

4


Zavaznost standardu

2

X z adn y standard sam o sobe nema charakter pravn ho predpisu X pravn predpis mu ze stanovit povinne vyhoven standardu

2

{ v tom prpade se obvykle dav a prednost de iure standardum 2

|


5

Vyhoven standardu vs. certi kace

Standard, norma, doporucen = dokumentovana umluva 2

konzervativci od liberal u prebraj co prebrat chtej a co prebrat stac X de facto standardy se vydavaj rychleji X vyzral e de facto standardy, ktere se ukazaly jako efektivn,

vydan m odsouhlas, z e standard odpovda j stanovenym clum X napr. dokumenty RFC vydavan e IETF pro oblast Internetu X de facto standard reprezentuje sps e liberaln pohled na svet Jan Staudek, FI MU Brno

Standard ,,podle prava\ , de iure standard

Compliance (vyhoven) vs. Certi cation (certi kace) Produkt, sluzba, proces, . . . mu ze byt prohla sena za vyhovujc standardu X prohla sen, z e produkt, sluzba, proces, . . .

splnuje podmnky de novane standardem X pozadavek vyhoven mu ze byt predepsany zakonem, smlouvou, . . .

Mezinarodn charakter standardu X vyrobci standardizovanych produktu/proces u v globaln m prostred

2

mus zvolit standard, kteremu proces/produkt vyhovuje X tudz je nutne zabranit prlisne diverzi kaci prosazovan ,,spravn ych"technik, ... X mnoho standardu˚ pokroku v technologi´ıch smrt

Produkt, sluzba, proces, . . . mu ze byt certi kovany, tj. existuje certi kat potvrzujc, z e je vyhovujc standardu X Certi kace { neutraln duv eryhodna tret strana prover validitu

prohla sen o vyhoven standardu a vyda o tom relevantn certi kat

X Standardy de nujc napr. algoritmus, jsou snadno certi kovatelne X Standardy navod u jak budovat system/slu zbu jsou sps e radou a

certi kace se obvykle nepozaduje


|


6


|


7

Oblasti zajmu de iure standardu

Problemy standardizace 2

2

Standard mus byt odsouhlaseny vsemi c leny komunity X mnoho ruzn ych pohledu na to, co je spravn e X pokud se do standardu dostane velka s kala voleb a povinnych

Standard je jen dokument

2

X interpretace se mohou lisit, zvla ste pri prekladu do ruzn ych jazyku 2

2

|


2

X Celosvetove odpovedna instituce: ISO +

Informacn bezpecnost je predmetem zajmu ve vsech trech linich. Jan Staudek, FI MU Brno

8

|


9

Evropske de iure standardizacn organizace

,,Spolecny technicky vybor c slo c . 1\, Joint Technical Committee, ISO/IEC JTC1 zrzeny ISO a IEC r es ISO/IEC JTC1 standardizaci v ruzn ych oblastech IT X Informacn bezpecnosti se venuje SC 27, Security Techniques { v soucasnosti v SC27 pusob cca 40 c lenskych stat u ' X Provozn zale zitosti chodu ISO/IEC JTC1 zajist uje jeho odbor ITTF, IT Task Force

2

Comite Europeen de Normalisation, CEN X odpovda svoj pusobnost ISO

2

Comite Europeen de Normalisation Electrotechnique, CENELEC X odpovda svoj pusobnost IEC

2

ISO TC 68, ISO Technical Committee 68, Financial Services

European Telecommunications Standards Institute, ETSI X odpovda svoj pusobnost ITU

X Informacn bezpecnosti se venuje podvybor SC 2, Security Management and General Banking Operations 2

oblast komunikac

Comité Consultatif International Téléphonique et Télégraphique

X v destkach podvybor u (Subcommittee, SC)

2

X Celosvetove odpovedna instituce: ISO +

International Telecommunications Union, ITU, konkretn e jej T-sektor, sektor standardizace, ITU-T, od r. 1993 naslednick y organ CCITT ((1865) 1956{1993),

Prace na de iure standardech v oblasti IT 2

oblast elektroniky a elektrotechniky

International Electrotechnical Commission, IEC

Pokud produkt vyhov jen podstatne c asti standardu, pak v podstate vyhovuje standardu, ale nen vyhovujc standardu Pokud silny vyrobce nahrad nezavisl e standardy svymi proprietarn mi standardy, va ze zakazn ky na svoji proprietarn funkcionalitu Jan Staudek, FI MU Brno

X Celosvetove odpovedna instituce:

International Organization for Standardization ISO, ISO X ISO { isos, stejny, z adn y akronym !!! X celosvetova federace vce nez cca 160 c lenskych narodn ch (statn ch) standardizacnch organizac (ISO Member Bodies) ex. od r. 1947

predpokladu, obtz ne a nakladn e se implementuje X to byl jeden z duvod u proc model TCP/IP zvtezil nad modelem OSI 2

univerzaln oblast bez portfeje { zahrnuje vse, bez omezen

Doporucen (ekvivalent standardu) v oblasti komunikac vydav a ITU-T X ITU-T c asto uzce spolupracuje s ISO/IEC JTC1 Jan Staudek, FI MU Brno

|


10


|


11

Narodn (statn ) de iure standardizacn organizace 2 2 2

2

Vyznamn e postaven U.S.A.

reprezentuj stat v ISO { ISO Member Bodies nejreprezentativnejs normalizacn organizace v dane zemi standardy ,,silnych\ organizac (ANSI, BSI, DIN, . . . ) jsou mnohdy respektovany a pragmaticky uznav any i mezinarodn e Prklady X X X X X X X

2 2

X profesionaln organ inzenyr u v oblasti elektroniky a elektrotechniky X normy IEEE vesmes maj vyrazn y mezinarodn vyznam a

dopad mj. se vyrazn e zamer uje i na normy bezpecnosti X znam e jsou IEEE standardy LAN (IEEE 802.xx), resp. OS (POSIX)

ANSI { (U.S.A.), American National Standards Institute BSI { (U.K.), British Standard Institute DIN { (Nemecko), Deutsches Institut fur Normung SCC { (Kanada), Standards Council of Canada AFNOR { (Francie), Association Francaise de Normalisation ... y normalizacn institut CSNI { Cesk Jan Staudek, FI MU Brno

|


vseobecne mezinarodn respektovan a uznav an je dano urovn severoamerickych technologi Institute of Electrical and Electronics Engineers, IEEE

2

National Institute for Standards and Technology, NIST X vladn standardizacn organ,

vydav a standardy federaln statn spravy USA

X nastupce NBS (National Bureau of Standards) X vydav a tzv. FIPS, Federal Information Processing Standards Jan Staudek, FI MU Brno

12

American National Standards Institute, ANSI

2

X zastupce USA v organizaci ISO X venuje se mj. i normalizacn c innosti v oblasti bezpecnosti IT,

2

RFC (Request for Comment)

V pozad pusob { Internet Society, ISOC

X http://www.isoc.org/ X 150 institucionaln ch, 6000 individualn ch c lenu z cca 100 zem

2

Internet reprezentuje { Internet Activities Board, IAB X X X X

2

2 |


13

X nazev internetovskych standardu, dano historickou souvislost

zvla ste pak normam bezpecnosti bankovnho sektoru



Prklad oblasti de facto standardu { RFC (ISOC)

Vyznamn e postaven U.S.A. 2

|

14

rada pro internetovske c innosti manazersky spravuje a r d provoz Internetu provad dohled nad architekturou protokolu a procedur zalozena v r. 1983, ma individualn ch 13 c lenu

hlavn odpovednost za vyvoj a posuzovan RFC IAB delegovala na technickou poradn komisi { IETF, Internet Engineering Task Force Konecne rozhodnut o vydan (prijet) RFC dela IAB Jan Staudek, FI MU Brno

|


15

Prklad oblasti de facto standardu { OWASP 2

Prklad oblasti de facto standardu { ISACA

OWASP, The Open Web Application Security Project

2

X a worldwide free and open community X X X X

X mezinarodn organizace auditoru vypo cetnch system u X v r. 1996 vydav a COBIT, The Control Objectives for Information and related Technology a set of best practices (framework) for information technology management X Cl COBIT: výzkum, vývoj, podpora a zveˇrejnov ˇ an´ ´ ı odbornˇe vˇerohodného, aktualn´ e platného souboru obecnˇe ´ ıho a mezinarodnˇ ´ uznavan´ ych c´ılu˚ rˇ ´ızen´ı informaˇcn´ıch technologi´ı pro ´ kaˇzdodenn´ı pouˇz´ıvan´ ´ ı manaˇzery a auditory.

focused on improving the security of application software http://www.owasp.org/ standard vyvoje bezpecne webovske aplikace standard testovan bezpecne webovske aplikace standard hodnocen a kriteria zaruk za bezpecnost bezpecne webovske aplikace


|


16


Prklad oblasti de facto standardu { ISF 2

2

X mezinarodn nezavisl a, neziskova venujc se mer en a rozvoji praktik

2

v informacn bezpecnosti X v r. 1996 vydav a volne dostupny standard (SoGP), The Standard of Good Practice { a detailed documentation of best practice for information security X Cl ISF: derives from the ISO/IEC 27002 and COBIT v4.1. standards and outlines a functional information security methodology based on both research and real world experience

|


|


17

Firemn, proprietarn standardy

ISF, Information Security Forum


ISACA, Information Systems Audit and Control Association

2 2

18

kategorie de facto standardu obvykle standardy patentovanych technik vyznamn y nastroj pro ,,udrzen trhu"silnou spolecnost mnohdy hraj velmi silnou roli, napr. PKCS (Public-Key Cryptography Standards) publikovany RSA Labs.


|


19

Z ivotn cyklus ISO standardu

Proces normalizace ISO 2

Odpovednost za tvorbu norem v dlcch oblastech maj technicke vybory, Technical Committees, TC

2

X TC si urcuje svuj program v ramci vymezenem jeho rodicovskou

2

TC del svoji pusobnost na podvybory, SubCommittees, SC SC del svoji pusobnost na pracovn skupiny, Working Groups, WG

2

v pracovnch skupinach se skutecne pracuje, vy se se jen schvaluje Evoluce standardu v ramci TC/SC/WG je pomala na standardu se pracuje a obvykle nekolik (typicky 5) let Pro soucasny rozvoj IT je to velmi brzdc faktor

2

X a hlasovan v TC o NWI, jmenovan odpovedneho editora

organizac (ISO) sam tak, aby zadany ukol vyresil

2 2

X X X X

|


2

20

pote FDIS zskav a statut mezinarodn normy Jan Staudek, FI MU Brno

|


21

ISO TR (Technical Reports) 2

X Kdyz se odhal-li se vada standardu

Technicke zpravy typu 1 X se vydav a tehdy, kdyz se ve vyboru nenalezla

dostatecna podpora pro vydan standardu X Rka se v de nici TR 1: navzdory opetovne snaze nen mozne prosadit material k vydan jako r adn y standard X dohoda nen mozna, protoze nazory jednotlivych narodn ch instituc (jednotlivych c lenu vyboru) se ruzn , standard nemu ze byt vydany X TR typu 1 je behem tr let po svem vydan predmetem revize, padne rozhodnut, zda bude premenena v mezinarodn standard

{ napr. byla podcenena rychlost rozvoje technologie X jsou prijmana opatren, aby standardy byly revidovany i drve nez v petiletem hodnotcm cyklu { system zprav o vadach ve standardech (Defect Report System)

|

konecny navrh mezinarodn ho standardu | FDIS (Final DIS) X s dobou pro hlasovan 2 mesce

petileta perioda hodnocen mezinarodn ho standardu


navrh mezinarodn normy | DIS (Draft International Standard) X a hlasovan v TC o DIS (obvykle po dobu 4{6 mescu)

Z ivotn cyklus ISO standardu 2

serie postupne vydavan ych navrh u standardu na urovni pracovn skupiny | WD (Working Drafts) navrh normy na urovni podvyboru (SC) | CD (Committee Draft) X a hlasovan v SC o CD (typicky po dobu 3 mescu)

2 Jan Staudek, FI MU Brno

navrh nove pracovn polozky | NWI (New Work Item)


22


|


23

ISO TR (Technical Reports

ISO TR (Technical Reports) 2

Technicke zpravy typu 2

2

Technicke zpravy typu 3 X se vydavaj o problemech, ktere bez ne nepodlehaj technicke

X vydav a se v prpade, kdy standardizovany predmet se stale

jeste z technickeho hlediska vyvj a za c as bude posouzeno, zda dohoda jiz mozna je ka se v de nici TR 2: X R predmet zajmu normy je stale ve stadiu rozvoje nebo existuje jiny duvod, pro ktery nen mozne schvalit mezinarodn standard okamzite, v budoucnu to vsak zrejme mozne bude X TR typu 2 je behem tr let po svem vydan predmetem revize, padne rozhodnut, zda bude premenena v mezinarodn standard

X

X X X

X Jan Staudek, FI MU Brno

|



24

ISO/IEC/JTC1/SC 27 Security Techniques 2

2


25

V soucasnosti predevsm rodina standardu ISO/IEC 27000 X vce viz http://www.iso27001security.com/html/iso27000.html X doporucen jak r dit informacn bezpecnost, r esit zvlad an rizik a jak

X identi kace generickych bezpecnostnch pozadavku na IT X systemov e bezpecnostn sluzby X vyvoj bezpecnostnch technik a mechanismu

2

|

Hlavn standardy vydane ISO/IEC/JTC1/SC 27/WG1

Orientace { standardizace generickych metod a technik bezpecnosti IT

X X X X

standardizaci, ale urcity navrh je natolik vyznamn y a po formaln strance pripraveny, z e bylo zhledano jeho vydan alespon formou technicke zpravy jako vhodne ka se v de nici TR 3: R technicky vybor shroma zdil ruzn e podklady, ze kterych je normaln e publikovan mezinarodn standard TR typu 3 nen znovu posuzovana, pokud informace v nich obsazene nejsou shledany neplatnymi c i neuzitecnymi TR typu 3 je obvykle dokument metodickeho charakteru skutecnost, z e se jedna ,,pouze" o technickou zpravu a nikoli o r adn y mezinarodn standard, vsak z vecneho hlediska nijak nesnizuje vyznam dokumentu TR 3 je napr. ISO/IEC TR 13335 Smernice pro spravu bezpecnosti IT

implementovat opatren v kontextu celeho systemu systemu r zen informacn bezpecnosti.

{ kryptogra cke algoritmy pro utajovac, integritn, autentizacn, podepisovac, . . . sluzby (ne pro aplikace) procedury vztahy mezi bezpecnostnmi komponentami vyvoj bezpecnostnch navod u (analyza rizik) vyvoj manazerskych dokumentu a standardu (hodnotc kriteria)

´ ´ X V souˇcasnosti celosvˇetové uznavan y´ zakladn´ ı ´ ı informaˇcn´ı bezpeˇcnosti standard zajiˇst’ovan´

Vnitrn struktura X WG1: Requirements, security services and guidelines X WG2: Security techniques and mechanisms X WG3: Security evaluation criteria Jan Staudek, FI MU Brno

|


26


|


27

Rodina standardu ISO/IEC 27000, ISO/IEC 27001:2013 2 2 2 2 2

2

Rodina standardu ISO/IEC 27000, ISO/IEC 27001:2013

Information Security Management System { Requirements de nuje pozadavky na funkcionalitu a vlastnosti systemu spravy (rzen) informacn bezpecnosti pozadavky na mozna bezpecnostn opatren vymezuje standard ISO/IEC 27002 ISO/IEC 27001 je puvodn e britsky standard BS 7779-2 standard je detailnm popisem pozadavku, ktere mus ISMS splnit, v originale se pouzva must a shall, pokud chce standardu vyhovet je nezavisl y na technologii, urceny pro organizace vsech typu, velikost a podstat, pusob cch v jakemkoli sektoru (komerce, statn sprava, neziskovky), kdekoli ve svete Jan Staudek, FI MU Brno

|


28

Rodina standardu ISO/IEC 27000, mphISO/IEC 27002:2013 2 2

2 2 2 2

|


2 2

2 2

2

v dodatku standard 27001 uvad seznam clu opatren de novanych v ISO/IEC 27002 ISO/IEC 27002 obsahuje navody, jak je implementovat Povinnym pozadavkem 27001 je porovnat opatren zvolena pri zvlad an rizik proti dodatku 27001, aby byla jistota, z e se na nic nezapomnelo 27001 narizuje pouzt 27002 jak zdroj navod u pro volbu a implementaci opatren, nezakazuje pouzit i dalsch zdroju Seznam clu a opatren v dodatku 27001 nen chap an jako upln y, vycerpavaj c, podle potreby lze doplnovat dals cle a opatren ISMS organizace lze certi kovat na vyhoven ISO/IEC 27001 Jan Staudek, FI MU Brno

|


29

Rodina standardu ISO/IEC 27000 k 02 2016

Code of practice for information security management doporucen jak navrhovat, implementovat, udrzovat a vylepsovat opatren prosazujc informacn bezpecnost, pouzva slova may, should (mu ze, mel by) puvodn e britsky standard BS 7779, pote standard ISO/IEC 17779, nyn standard ISO/IEC 27002:2013 jde o mezinarodn e uznavan e nejleps praktiky r zen informacn bezpecnosti je navodem, jak implementovat certi kovatelny ISMS, extern auditor se mu ze na 27002 odkazovat standard ISO/IEC 27002 je kodexem, radami pro budovan bezpecneho systemu, obvykle je deklarovat vyhoven standardu, certi kace vyhoven ISO/IEC 27002 se nedela Jan Staudek, FI MU Brno

2

30

X Cerven ym oramov an m jsou indikovane standardy, ktere jsou mj. predmetem vykladu v ramci PV017


|


31



|



32

|


|


33





34


|


35

Dals standardy vydane ISO/IEC/JTC1/SC 27/WG1

Rodina standardu ISO/IEC 27000 k 02 2016 2

ISO/IEC TR 15945, Speci cation of TTP services to support the application of digital signatures X spolecny standard s doporucenm X.843 ITU-T

2

ISO/IEC TR 18043, System deployment a operations of intrusion detection systems { IDS X technicka zprava s metodickym navodem jak zahrnout IDS do

IT infrastruktury

2

ISO/IEC TR 18044, Information security incident management X technicka zprava s metodickym navodem pro spravu reakce na

bezpecnostn incident


|


36

Dals standardy vydane ISO/IEC/JTC1/SC 27/WG1 2

ISO/IEC TR 18028, IT Network security


37

Orientace { kryptogra cke a autentizacn techniky a mechanismy X ISO/IEC 9796, 2000{2002, Digital signature schemes

giving message recovery

X ISO/IEC 9797, 1999{2002, MACs, Message authentication Codes X ISO/IEC 9798, 1997{2000, Entity Authentication X ISO/IEC 10116, 1997, Modes of operation for

bezpecny vzdalen y prstup, VPN { Virtual Private Networks

ISO/IEC 9979, 1999 Procedures for registration of cryptographic algorithms


|

Typy standardu vydanych ISO/IEC/JTC1/SC 27/WG2

X sprava a architektura st'ove bezpecnosti, bezpecnostn brany, 2


|


X X X X X X X

38

n-bit block cipher algorithm ISO/IEC 10118, 1998{2000, Hash function ISO/IEC 11770, 1996{1999, Key management ISO/IEC 13888, 1997{1998, Non-repudation ISO/IEC 14888, 1998{1999, Digital signature schemes with appendix ISO/IEC 15946, Cryptographic techniques based on elliptic curves ISO/IEC 18014, 2002, Time stamping services ISO/IEC 18033, Ecryption algorithms


|


39

Standard vydany ISO/IEC/JTC1/SC 27/WG3 2

Standardy ISO/TC 68 Financial Services

ISO/IEC 15408 Evaluation criteria for IT security X X X X X

2

Soucasna struktura TC 68 X SC2: Security management a general banking operations

ISO/IEC 15408-1: Part 1: Introduction and general model ISO/IEC 15408-2: Part 2: Security functional requirements ISO/IEC 15408-3: Part 3: Security assurance requirements vsechny 3 c asti byly publikovane v r. 2005 vce v samostatne predna sce X X X X


|


40

2

Zastresuj CEN a ETSI Hlavn iniciativa { CEN/ISSS, Information Society Standardization System X vznik koncem 90. let, uzk a navaznost na CEN, ETSI, CENELEC X cl: zkracen ISO{doby tvorby ISO standardu (tou je 5 let) X zavad se velmi pruzny princip prijman pracovnch (de facto)

standardu formou vysledn ych dokumentu standardizacnch workshopu (WS) ustanovovanych podle potreby, tzv. CEN Workshop Agreements, CWA

2

prklady CEN/ISSS workshopu X X X X

Electronics Signatures, E-Sign eAuthentication Data protection and Privacy, DPP Electronic Commerce,EC, . . . Jan Staudek, FI MU Brno

|



|


41

Standard NIST, rodina SP 800, prklady (SP – Special Publication)

Evropske iniciativy ve standardizaci informacn bezpecnosti 2

{ hlavn pusobi ste standardizace bezpecnosti IT { WG4 Information security guidelines fo banking { WG6 Framework for IT security for nancial institutions { WG10 Biometric information security { WG11 Encryption algorithm used in banking applications { WG12 Security in retail banking { WG14 Cryptographic syntax scheme for nancial services SC4: Securities and realted nancial instruments SC6: Retail nancial services SC7: Core banking WG2: International bank account number

42

X SP 800-12 : An Introduction to Computer Security: The NIST Handbook X SP 800-14 : Generally Accepted Principles and Practices for Securing Information Technology Systems X SP 800-27 : Engineering Principles for IT Security X SP 800-30 : Risk Management Guide for Information Technology Systems X SP 800-45 : Electronic Mail Security X SP 800-50 : Building an Inf. Techn. Security Awareness and Training Program X SP 800-63 : Electronic Authentication Guidelines X SP 800-94 : Guide to Intrusion Detection and Prevention Systems (IDPS) X SP 800-95 : Guidelines for Secure Web Services X SP 800-100 : Information Security Handbook: A Guide for Mngrs Jan Staudek, FI MU Brno

|


43

Standard ISACA, COBIT

NIST Special Publications (SP), upln y prehled 2

2 http://csrc.nist.gov/publications/PubsSPs.html 2

SP 800, Computer Security (December 1990-present):

2

X Plan and Organize

X NIST's primary mode of publishing computer/cyber/information

security guidelines, recommendations and reference materials

2

jak mu ze IT pomoc organizaci dosahnout stanovenych clu X Acquire and Implement identi kace pozadavku na IT a jejich implementace do stavaj cch podnikatelskych procesu organizace X Deliver and Support procesy umoznuj c efektivn beh systemu X Monitor and Evaluate strategie posuzovan potreb organizace, prokaz an , zda stavaj cc system stale splnuje cle, pro ktere byl navrzeny

SP 1800, NIST Cybersecurity Practice Guides (2015-present): X Complement the SP 800s; targets speci c cybersecurity challenges

in the public and private sectors; practical, user-friendly guides to facilitate adoption of standards-based approaches to cybersecurity

2

SP 500, Computer Systems Technology (January 1977-present): X A general IT subseries used more broadly by

NIST's Information Technology Laboratory (ITL) Jan Staudek, FI MU Brno

|


COBIT { Control Objectives for Information and related Techn. 34 procesu, 230 r dicch nastroj u v oblastech { v domen ach

2

s irs zab er nez ISO/IEC 27002, doplnuj se, nekonkuruj si Jan Staudek, FI MU Brno

44

Standard ISACA, COBIT, detailneji 2

2

PO1 De ne a strategic IT plan PO2 De ne the information architecture PO3 Determine technological direction PO4 De ne the IT processes, organisation and relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage IT human resources PO8 Manage quality PO9 Assess and manage IT risks PO10 Manage projects


|



45

Standard ISACA, COBIT, detailneji

Planov an a organizace (Plan and Organize PO) X X X X X X X X X X

|

Akvizice a implementace (Acquire and Implement AI) X X X X X X X

46

AI1 Identify automated solution. AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use AI5 Procure IT resources AI6 Manage changes AI7 Install and accredit solutions and changes


|


47

Standard ISACA, COBIT, detailneji 2

Standard ISACA, COBIT, detailneji

Dodavka a podpora (Deliver and Support DS) X X X X X X X X X X X X

2

DS1 De ne and manage service levels DS2 Manage third-party service DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users DS8 Manage service desk and incidents DS9 Manage the con guration. DS10 Manage problems DS11 Manage data DS12 Manage the physical environment DS13 Manage operations Jan Staudek, FI MU Brno

|


X X X X

48

2

2

2 2

Security management { r zen bezpecnosti Critical business applications { provozovan aplikac Computer installations { IT infrastruktura Networks { IT infrastruktura Systems development { vyvoj novych aplikac End user environment { prostred koncovych uzivatelu

2 2 2

popisy principu a clu, doporucen pokryvaj c implementaci 2


|


|


49

Pravn principy

SoGP { Standard of Good Practice for Information Security s est klc ovych aspektu X X X X X X

ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure compliance with external requirements. ME4 Provide IT governance.


Standard ISF, SoGP 2

Monitoring a evaluace (Monitor and Evalue ME )

50

pravidla, ktera tvor zaklad urciteho pravn ho institutu, zakona, pravn ho odvetv nebo pravn ho r adu v pravn m stat e jsou pravu imanentn (bytostne vlastn), bez ohledu na to, zda jsou c i nejsou vyslovn e vyjad rena v platnych pravn ch normach jsou vcemen e spolecna pravu zem s prbuznou kulturou jsou zakladem pravn ho r adu pravn ho statu mely by byt symbolickym a alespon c aste cnym racionaln e pojmovym vyjad renm prava prirozeneho Pravn normy (zakony, vyhla sky, . . . ) mohou byt zruseny. Pravn principy zruseny byt nemohou a nemohou byt ani vyvraceny jakoukoli interpretac. Jan Staudek, FI MU Brno

|


51

Pravn principy 2

2

Prklady pravn ch principu

Politikou (v oblasti prava) se rozum standard, ktery vytycuje cl, jehoz se ma dosahnout, zpravidla zlepsen urcite kvality . . . Pravn princip je standard, ktery se ma dodrzovat nikoli proto, z e to pomu ze dosahnout nebo zajistit nejakou ekonomickou, politickou nebo socialn situaci, ktera se povazuje za z adouc , ale proto, z e je pozaduje spravedlnost, slusnost nebo nejaka jina dimenze moralky.

2 2 2 2 2 2 2 2 2


|



52

a legislativa souvisejc s informacn bezpecnost Cesk 2

Zakon c . 181/2014 Sb., o kyberneticke bezpecnosti

2

53

Zakon c . 240/2000 Sb., o krizovem r zen samospravn ych celku a prava a povinnosti pravnick ych a fyzickych osob pri prprave na krizove situace, ktere nesouvisej se zajist'ovan m e republiky pred vnejsm napadenm obrany Cesk

Zakon c . 106/1999 Sb., o svobodnem prstupu k informacm poskytovat informace vztahujc se k jejich pusobnosti, jsou statn organy, uzemn samospravn e celky a jejich organy a verejne instituce.

Zakon c . 101/2000 Sb., o ochrane osobnch udaj u


Zakon c . 365/2000 Sb., o informacnch systemech verejne spravy informacn koncepce a provozn dokumentace a o pozadavcch na r zen bezpecnosti a kvality informacnch system u verejne spravy (vyhla ska o dlouhodobem r zen informacnch system u verejne spravy)

urcitelneho subjektu udaj u. X Subjekt udaj u se povazuje za urceny nebo urcitelny, jestlize lze subjekt udaj u prmo c i neprmo identi kovat zejmena na zaklad e c sla, kodu nebo jednoho c i vce prvku, speci ckych pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturn nebo socialn identitu |

2

X Ex. vyhla ska c . 529/2006 Sb., o pozadavcch na strukturu a obsah

X osobnm udajem jakakoliv informace tykaj c se urceneho nebo



X stanovuje pusobnost a pravomoc statn ch organ u a organ u uzemn ch

X Povinnymi subjekty, ktere maj podle tohoto zakona povinnost 2

|

a legislativa v oblasti informacn bezpecnosti Cesk

X u cinnost 1.1.2015 X zakladn principy viz dale 2

Nemo ultra posse obligatur, k nemoznemu nen nikdo zavaz an Lex retro non agit, zakon nepusob zpetne Ignorantia legis non excusat, neznalost zakona neomlouva Pacta sunt servanda, smlouvy se maj dodrzovat Lex posterior derogat priori, zakon pozdejs rus zakon drvejs Lex specialis derogat generali, specialn uprava rus pravn upravu obecnou Lex superior derogat inferiori, zakon vyss pravn sly rus zakon nizs pravn sly Nullum crimen, nulla poena sine lege, nen zlocinu, nen trestu bez zakona Ne bis in idem, ne dvakrat o tomte z

54


|


55

a legislativa v oblasti informacn bezpecnosti Cesk 2

Zakon c . 181/2014 Sbb., o kyberneticke bezpecnosti, ideje

Zakon c . 480/2004 Sb., o nekterych sluzbach inf. spolecnosti

2

X sluzbou informacn spolecnosti se rozum jakakoliv sluzba poskytovana

elektronickymi prostredky na individualn z adost uzivatele podanou elektronickymi prostredky, poskytovana zpravidla za uplatu; X sluzba je poskytnuta elektronickymi prostredky, pokud je odeslana prostrednictvm ste elektronickych komunikac a vyzvednuta uzivatelem z elektronickeho zarzen pro uklad an dat 2 2

X dotcene organy a osoby v oblasti kyberneticke bezpecnosti jsou

subjekty spravujc speci cke informacn a komunikacn systemy speci cke = zarazene do kritickych a vyznamn ych informacnch a komunikacnch system u pro bezpecnost statu a vykon spravy statu

2

Zakon c . 127/2005 Sb., o elektronickych komunikacch Zakon c . 412/2005 Sb., o ochrane utajovanych informac a o bezpecnostn zpusobilosti

prostrednictvm informacnch system u, sluzeb a st elektronickych komunikac X nezasahuje do obsahoveho fungovan informacn spolecnosti, ale pouze si klade za cl zabezpecit proti umysln ym nebo nahodilym kybernetickym bezpecnostnm incidentum informacn kanaly, jimiz c lovek realizuje sve pravo na informacn sebeurcen a jimiz stat vykonav a sva nedistributivn informacn prava.

utajovanych informac X Ex. vyhla ska c . 523/2005 Sb., o bezpecnosti informacnch a komunikacnch system u a dalsch elektronickych zarzen nakladaj cch s utajovanymi informacemi |


56

2

2

Stanovuje minimaln pozadavky na standardn zabezpecen kriticke informacn infrastruktury a vyznamn ych informacnch system u Zavad podmnky spoluprace mezi soukromopravn m narodn m dohledovym pracovistem (narodn CERT) a vladn m CERT

Bezpecnostn opatren Detekce kybernetickych bezpecnostnch udalost Hla sen kybernetickych bezpecnostnch incidentu System opatren k reakci na kyberneticke bezpecnostn incidenty Cinnost dohledovych pracovist' (narodn CERT a vladn CERT). Jan Staudek, FI MU Brno

|



57

´ rad) vydav NBU (Narodn´ ı Bezpeˇcnostn´ı Uˇ a podle tohoto zakona ´ vyhla sky o kyberneticke bezpecnosti

Vyhla ska o bezpecnostnch opatrench, kybernetickych bezpecnostnch incidentech, reaktivnch opatrench a o stanoven nale zitost podan v oblasti kyberneticke bezpecnosti (vyhlaˇ ´ ska o kybernetické bezpeˇcnosti) stanovuje { obsah a strukturu bezpecnostn dokumentace, { obsah bezpecnostnch opatren a rozsah jejich zaveden, { typy a kategorie kybernetickych bezpecnostnch incidentu, { nale zitosti a zpusob hla sen kybernetickeho bezpecnostnho incidentu, { nale zitosti oznamen o proveden reaktivnho opatren a jeho vysledku a { vzor oznamovan kontaktnch udaj u a jeho formu

System kyberneticke bezpecnosti podle zakona zahrnuje X X X X X

|

X vyhla ska 316/2014 Sb.,

X CERT { Computer Emergency Response Team 2


Zakon c . 181/2014 Sb., o kyberneticke bezpecnosti, ideje

Zakon c . 181/2014 Sb., o kyberneticke bezpecnosti, ideje 2

Cl: zajisten bezpecneho fungovan informacn spolecnosti CR X zajisten bezpecne realizace zakladn ho prava na informacn sebeurcen

X Ex. narzen vlady c . 522/2005 Sb., kterym se stanov seznamy


Zakon nedotyk a uzivatelu ani poskytovatelu obsahu ve sluzbach informacn spolecnosti

58


|


59

Zakon c . 181/2014 Sb., o kyberneticke bezpecnosti, ideje 2

´ rad) vydav NBU (Narodn´ ı Bezpeˇcnostn´ı Uˇ a podle tohoto zakona ´ vyhla sky o kyberneticke bezpecnosti X vyhla ska 317/2014 Sb.,

Vyhla ska o vyznamn ych informacnch systemech a jejich urcujcch kriteri ch stanovuje { urcujc kriteria vyznamn ych informacnch systemech { vy cet vyznamn ych informacnch systemech


|


60

Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT

Recommend Documents