Normy ISO/IEC 27033 Bezpečnost síťové infrastruktury NISS
V Brně dne 7. listopadu 2013
Soubor norem řady ISO/IEC 27033 ISO/IEC 27033 - Informační technologie – Bezpečnostní techniky – Síťová bezpečnost Jde o otevřený soubor norem s postupným vydáváním poskytující podrobný návod na implementaci bezpečnostních mechanizmů, které jsou zmíněny v normě ISO/IEC 27002. Týkají se bezpečnosti zařízení připojených do sítě, síťových služeb, uživatelů přistupujících do sítě, informací přenášených po síti a také správy těchto bezpečnostních opatření. Síťová bezpečnost je pojem označující soubor norem obsahující doporučení pro implementaci opatření, které se vztahují k bezpečnosti sítí (vnitřní ochrany a ochrany perimetru). B č t síťové íť é iinfrastruktury f t kt á stupeň t ň zabezpečení b č í digitálního di itál íh Bezpečnost znamená přenosového prostředí zajišťujícího důvěrnost a neporušenost komunikace.
Poznámka: Pojem „perimetr sítě“ značí přípojné body vnitřní sítě s externími (cizími) sítěmi.
Normy ISO/IEC 27033
2
ISO/IEC 27033 ISO/IEC 27033 – Informační technologie – Bezpečnostní techniky – Síťová bezpečnost
navazuje na normy ISO/IEC 18028 – pro standardy síťové bezpečnosti, která obsahuje 5 částí 18028 1 18028‐1
>
27033 1 27033‐1
2009
18028‐2
>
27033‐2
2012
27033‐3
2010
18028‐3 18028‐4
>
27033‐4
2012
18028‐5
>
27033‐5
2013
033 6 27033‐6 27033‐7 Tabulka přechodu od řady norem ISO/IEC 18028 k ISO/IEC 27033
vychází z normy ISO/IEC 27002 Normy ISO/IEC 27033
3
ISO/IEC 27033 - 1 ISO/IEC 27033-1:2009 – vydaná první část - popisuje cesty a principy a koncept řešení Součástí je přehled definic souvisejících se síťovou bezpečností, návod jak rozpoznat a analyzovat bezpečnostní rizika sítě a stanovení požadavků na síťo o be pečnost síťovou bezpečnost. Popisuje způsob, jak vytvořit technicky bezpečný návrh sítě. Zabývá se riziky, návrhem a kontrolou bezpečnostních aspektů sítí z technického hlediska. Obsahuje slovník termínů používaných v síťové bezpečnosti a strukturovaný návod k procesu identifikace a analýzy bezpečnostních rizik a tím pádem požadavky bezpečnostní sstanovuje a o uje i po ada y na a kontrolní o o be peč os mechanizmy. ec a y Zmiňuje další požadavky, např. nepopiratelnost nebo spolehlivost informací, které doplňují klasickou trojici důvěrnost, integritu a dostupnost. Snaží se poskytnout srozumitelný přehled síťové bezpečnosti bez jakékoli zmínky o síťovém modelu OSI.
Normy ISO/IEC 27033
4
ISO/IEC 27033 - 2 ISO/IEC 27033-2:2012 příručka pro návrh a implementaci síťové bezpečnosti - definuje architekturu bezpečnosti sítě (přijato 20 20.1.2012) 1 2012) Určuje architekturu síťové bezpečnosti, která zajišťuje bezpečný přenos mezi koncovými zařízeními. Tato architektura může být aplikována na nejrůznější t p sítí bez be ohledu ohled na technologii nižších síťo ých vrstev. rste typy síťových Slouží jako základ pro podrobná doporučení ohledně bezpečnosti koncových zařízení. Zabývá se problematikou rizik, návrhu, technik a kontrolních mechanizmů.
Normy ISO/IEC 27033
5
ISO/IEC 27033 - 3 ISO/IEC 27033-3:2010 referenční síťové scénáře - hrozby, projekční techniky a kontrolní mechanizmy - definuje rizika rizika, techniky návrhu a řešení problému spjatých se správou sítí. Cílem je definovat rizika, specifika návrhu a problematiku kontroly pro typické síťo é scénáře síťové scénáře. Pojednává zejména o konkrétních hrozbách, různé typy rizik nejsou podrobně řešeny.
Normy ISO/IEC 27033
6
ISO/IEC 27033 - 4 ISO/IEC 27033-4:2012 mezisíťová bezpečná komunikace s využitím bezpečnostních bran - definuje rizika rizika, techniky návrhu a řešení problémů spjatých se zabezpečením datových toků mezi sítěmi. Cílem je poskytnout návod, jak rozpoznat a analyzovat síťové bezpečnostní hro b spojené s be pečnostními branami a defino at požada k na síťo o hrozby bezpečnostními definovat požadavky síťovou bezpečnost s nimi spojenou. Poskytuje přehled bezpečnostních bran prostřednictvím různých architektur. Vysvětluje, jak bezpečnostní brány analyzují a kontrolují síťový provoz pomocí: filt á í paketů k tů filtrování stavové kontroly paketů aplikační proxy překladu adres NAT analýzy a filtrování obsahu
Normy ISO/IEC 27033
7
ISO/IEC 27033 - pokračování ISO/IEC 27033-5: zabezpečená p komunikace v sítích VPN - bude definovat rizika, techniky návrhu a řešení problémů spjatých se spojením pomocí VPN. ISO/IEC 27033-6: IP konvergence – bude popisovat rizika, projektování a kontrolní mechanizmy pro konvergenci signálů data data, hlas a video ISO/IEC 27033-7: příručka pro zabezpečené bezdrátové sítě - hrozby, projekční techniky a kontrolní mechanizmy - bude definovat rizika, techniky návrhu a řešení problémů spjatých se zabezpečením bezdrátových a radiových sítí. ISO/IEC 27033-8+: příručka pro zabezpečení – otevřená část pro oblasti LAN, WAN, Broadband, hlasové sítě, architekturu Web Hostingu, architekturu internetového e-mailu, směrovaný (routing) přístup do sítí třetích stran
Normy ISO/IEC 27033
8
ISO/IEC 18028
Typická ukázka síťové architektury, jejíž bezpečnost řeší 5 oddílů normy ISO/IEC 18028 Normy ISO/IEC 18028
9
ISO/IEC 18028 18028-2 2 8 dimenzí bezpečnosti
Bezpečnost koncového uživatele Úrovně bezpečnosti
Signálová a kontrolní bezpečnost
Bezpečnost infrastruktury
Zničení
Souk kromí
Dostupn nost dat
Integriita dat
Bezpečnost komunikace B e
HROZBA
Důvěrnost dat
Autenttizace
Bezpečnost služeb
ZRANITELNOST
Řízení p přístupu
Bezpečnost aplikací
Nepopiratelnost (podporována kry yptografií)
Management bezpečnosti
Zneužití Od Odstranění ě í Odhalení Přerušení
ÚTOK
Bezpečnostní vrstvy
Model hrozeb dle ISO/IEC 18028, potažmo ISO/IEC 27033 27033-2 2 a ITU-T ITU T X.805
Normy ISO/IEC 18028
10
ISO/IEC 18028 18028-3 3
Doporučené zapojení bezpečnostní brány s DMZ dle ISO/IEC 18028-3
Normy ISO/IEC 18028
11
ISO/IEC 18028 18028-5 5
Základní doporučená bezpečnost pro VPN s tunelováním dle ISO/IEC 18028-5
Normy ISO/IEC 18028
12
ITU T X.805 ITU-T X 805 IT ―» ICT
=>
ITU-T X.805 ―» ISO/IEC 27033 (ITU T X.1051 (ITU.T X 1051 ―» » ISO/IEC 27011)
ISMS-T – je označení pro problematiku ISMS v telekomunikačním prostředí. JTC1/SC27 – je technická podkomise ISO/IEC zabývající se standardizací IT bezpečnosti. ITU – (International Telecommunication Union) - Mezinárodní telekomunikační unie i ITU-T - ITU-T připravuje technické specifikace pro telekomunikační systémy, sítě a služby, y včetně jjejich j p provozu, fungování g a údržbu. V rámci ITU-T jjsou vytvářeny pracovní skupiny SG (Study Group) s určenými aktivitami. Problematika telekomunikační bezpečnosti je řešena dvojí cestou. První je IT, druhá ryze telekomunikační (ISMS-T) (ISMS T). Ta je řešena normativně organizací ITU-T. ITU-T X.805 Security Architecture for Systems Providing End-to-End Communications ITU-T X.1051 Information security management system – Requirements for telecommunications (ISMS-T) ITU-T X.805
13
ISO/OSI model
SD
SD
SD
SD
L1 ažž L4 jsou j vrstvy t ISO/OSI referenčního f č íh modelu d l ISI/OSI
14
Pasivní vrstva počítačové sítě L1 – první (fyzická) vrstva ISO/OSI referenčního komunikačního modelu je vrstva fyzická. fyzická Je tvořena kabelážním systémem systémem, který je složen ze síťových komponentů. K nim zejména patří: • kabely k b l v dané d é ttopologii l ii ((metalické t li ké i optické) ti ké) • kabelové trasy (svazky kabelů) • konektory (RJ-45) • přípojné boxy (pro konektory RJ-45) • rozvodné panely (patch panely) v datovém rozvaděči Zabezpečení na úrovni pasivní vrstvy je dáno fyzickým řešením a lze ho nazvat Management bezpečnosti fyzické vrstvy nebo lépe Management bezpečnosti pasivní vrstvy – například NISS NISS. Poznámka: Bezpečnostní opatření dle ČSN ISO/IEC 27002:2006 Soubor popisů pro řízení bezpečnosti informací A9 A.9 F i ká bezpečnost Fyzická b č tab bezpečnost č t prostředí tř dí A.9.2.3 Bezpečnost kabelových rozvodů (ochrana datových linek na úrovni fyzické, EMC,…) Normy ISO/IEC 27xxx – Systém managementu bezpečnosti informací
15
