Koncept informacn bezpecnosti

Koncept informacn bezpecnosti

zen informacn PV 017 R bezpecnosti

Jan Staudek http://www. .muni.cz/usr/staudek/vyuka/

}

w A| y < 5 4 23 1 0 / -. , )+ ( %&' $ # !"

Æ

Verze : podzim 2016

Motto

2

Bezpecnost nen c erna a bla, bezpecnost je s kala odstnu s ede rozprostrena podel celeho kontinua.

2

Ukazte mne dokonalou bezpecnost a ja Vam uka zu spolecnost, ktera se nevyvj dostatecne rychle.

2

Clem zabezpecovan je { snazit se zabranit nejkatastro ctejsm scen a rum, { zabranit standardnm utok um na znam e cle (get rid of the low-hanging fruit) a { systematicky se venovat vylepsovan technologi a jejich bezpecnosti. Jan Staudek, FI MU Brno

|

zen informacn PV017, R bezpecnosti, Koncept informacn bezpecnosti

1

P redmety FI MU souvisejc s informacn bezpecnost

2

zen informacn bezpecnosti { tento predmet PV017 R X Cl { poznan principu managementu / r zen informacn bezpecnosti na slajdech dale pro pojem informacn bezpecnost casto pou z vame zkratku InSec

X Durazn e upozornen {

vyklad predpoklad a znalost kryptogra e, spravy kryptogra e a bezpecnostnch zasad alespon v rozsahu predmetu PV080

Jan Staudek, FI MU Brno

|


2

P redmety FI MU souvisejc s informacn bezpecnost

2

Dals predmety souvisejc s problematikou InSec X PV080 Ochrana dat a informacnho soukrom, prof. Matya s X X X X

Uvod do bezpecnosti informac, logicky predchoz predmet k PV017 PV119 { Zaklady prava pro informatiky, Dr. S md IV054 { Kodov an , kryptogra e a kryptogra cke protokoly, Prof. Gruska PV079 { Aplikovana kryptogra e, Prof. Matya s ha PV157 { Autentizace a r zen prstupu, Prof. Matya s, Mgr. R


|


3

Obsah p redmetu, hlavn temata p redna sek

1. 2. 3. 4. 5. 6. 7. 8.

Koncept informacn bezpecnosti, InSec (IT Security) Souvisejc standardizace, legislativa Anatomie informacn bezpecnosti, utok, zranitelne msto, opatren, . . . Potencial k utoku predstavuje riziko, je nutne znat r zen/zvlad an rizik zen InSec v organizaci, manazerske principy R Soubor pravidel pro dosazen InSec { politika informacn bezpecnosti Aplikacn bezpecnost, reakce na bezpecnostn incidenty Procesy prosazujc InSec, system r zen/spravy informacn bezpecnosti, ISMS, Information Security Management System 9. Mer en u cinnosti / efektivity ISMS 10. Digitaln dukazy 11. Prezkoumav an a hodnocen u cinnosti / efektivity ISMS, audit ISMS 12. Jak vyhodnotit vy si zaruky za dosazen stanovene urovn e InSec { kriteria pro hodnocen InSec Jan Staudek, FI MU Brno

|


4

Nachaz me se v informacn m veku

2 2 2

Prvn prumyslov a revoluce (1760 . . . 1840) nastolila prumyslov y vek, manufaktury ⇒ tovarny Druha prumyslov a revoluce (konec 19. st.) vylepsila prumyslov y vek o elektri kaci Tret prumyslov a revoluce (1950 { 1970) byla digitaln revoluc, nastolila informacn vek X spolecnost zalozena na znalostech je obklopena vyspelou globaln

ekonomikou, ktera ovlivnuje jak vysoce vykonnou vyrobu, tak i efektivne a pohodlne fungujc sektor sluzeb

2 2

Otrepana pravda { informace jsou menou informacnho veku Zakladn m nastrojem pro manipulaci, uchovav an , predav an , . . . informac jsou informacn technologie Jan Staudek, FI MU Brno

|


5

Informacn technologie

2

Technologie, τ εχνoλoγια X τ εχνη , dovednost + λoγoς , slovo, nauka, znalost + prpona ια X Oxford Dictionary: The application of scientific knowledge to practical purposes in a particular field. . . . a technical method of achieving a practical purpose. X odvetv techniky, ktere se zabyv a tvorbou, zavad enm a X

X X X X

zdokonalovan m vyrobn ch postupu technika { slozka lidske kultury, ktera zarucuje schopnost nebo dovednost konan v kteremkoli oboru, τ εχνη , techné, dovednost, r emeslo, umen Zav er: Technologie = jak neco DELAT ,,neco"{ postup, metoda, . . . dostupna dky rozvoji technologi Objektivne plat, z e snaha delat veci lepe/efektivn eji ex. trvale ⇒ ex. trvaly rozvoj technologi informacn technologie { technologie zpracovan informac Jan Staudek, FI MU Brno

|


6

zen IT (IT Governance), informacn bezpecnost, r zen informacn bezpecnosti R 2

zen IT, IT Governance R X Prstup k zajisten sladen prstupu k IT s obchodn strategi

obchodn strategie { zabezpecen, aby organizace smer ovala spravn ym smerem k dosazen svych clu a plnen svych strategickych plan u X Disciplna zachazej c se strukturami, standardy, postupy, procesy, ktera tymy spravy a r zen organizace vede k efektivnmu r zen, ochrane a vyuzvan informacnch aktiv organizace X Aktivum { neco, co ma organizaci hodnotu, co vlastnkovi aktiva prina s nejaky vynos nebo se ocekav a, z e vynos prinese v budoucnu X Informacn aktivum { informace nebo sluzba, kterou zpracovav a nebo poskytuje informacn nebo komunikacn system, zamestnanci a dodavatele podlejc se na provozu, rozvoji, sprav e nebo bezpecnosti informacnho a/nebo komunikacnho systemu, technicke vybaven, komunikacn prostredky, programove vybaven a objekty informacnho a/nebo komunikacnho systemu, data Jan Staudek, FI MU Brno

|


7

zen IT (IT Governance), informacn bezpecnost, r zen informacn bezpecnosti R 2

Informacn bezpecnost, InSec X predevsm udrzovan duv ernosti, integrity a dostupnosti informac X plus prpadne udrzovan dalsch vlastnost typu

autenticita, prokazatelnost, nepopiratelnost, spolehlivost

2

zen informacn bezpecnosti R X podmnozina r zen IT X orientace na ochranu a zabezpecen informacnch aktiv organizace


|


8

V cem spoc va problem informacn bezpecnosti ?

2

Z ijeme v informacnm veku X Systemy zpracovavaj c informace jsou baz mnoha (vetsiny)

kazdodennch transakc, na nichz je zalozena nase spolecnost

2 2

Poctace, ktere jsou baz system u pro zpracovav an informac, nedelaj nic vc, nez z e manipuluj s posloupnostmi bitu Pritom plat X kazdy jednotlivy bit vypada jako kterykoliv jiny bit X po proveden zmeny bitu vesmes nelze zjistit zda ke zmene bitu doslo X posloupnosti bitu lze nezjistitelne nekonecnekrat koprovat

2

A my pritom chceme duv er ovat system um vybudovanym na bazi poctacu a na bazi potencialn e chybujcch komunikacnch technologi a oba tyto nastroje jsou c asto dostupne subjektum ,,necistymi"c li Jan Staudek, FI MU Brno

|


9

Informacn technologie a informacn bezpecnost

2

Bezpecnost X Oxford Dictionary: The state of being free from danger or injury. X Stav,

X X X X

ve kterem se vlastnk (informacnch) aktiv se chova tak, aby na techto aktivach nedochazelo ke s kodam a a ve kterem nelze zpusobit takovou s kodu ani umysln ym ani neumysln ym aktivnm c i pasivnm zasahem z okolnho prostred Jinymi slovy: Bezpecnost = jak neco NEDELAT Aby se bezpecnost zajistila efektivne, mus se znat co se nesm delat Vyvoj bezpecnostnch opatren zajist'ujcch bezpecnost je akcentovany poznan m technologi pro jejich implementaci Nelze se branit proti u cinkum akc realizovanych na bazi dosud neexistujcch/neznam ych technologi


|


10

Dohonestujc realita uvodem

2

2

Dosahovan bezpecnosti kra c za rozvojem technologi, : { ( s kala nastroj u (opatren) zajist'ujcch bezpecnost nebude nikdy upln a Mnoha bezpecnostn opatren jsou po jiste dobe malo (men e) u cinna X Opatren mohou byt implementovana pouze na bazi dostupnych X X X X X

technologi Technologie je ,,umoznova c\ { umoznuje neco delat Bezpecnost je ,,zabranova c"{ zabranuje efektivnm u cinkum znam ych s kodlivych akc Bezpecnost se dosahuje pouzvan m/uplatnov an m opatren Narusovan bezpecnosti jsou implementovana na bazi dostupnych technologi stejne jako bezpecnostn opatren V liberaln m prostred uzavreny kruh, ALE uto cnk ma naskok Jan Staudek, FI MU Brno

|


11

(,,Safety"× ,,Security")

× Bezpecnost

X ISO/IEC 27032: 2012, Information technology |

Security techniques { Guidelines for cybersecurity

2 Safety,

bezpec

X Stav byt v chran ene oblasti, ve kterem je zajistena ochrana proti

fyzickemu, socialn mu, duchovnmu, nancnmu, politickemu, emocionaln mu, pracovnmu, psychologickemu, vzdelavac mu nebo jinemu typu nebo dusledku selhan , poskozen, chyby, nehody, c i jine udalosti, ktera by mohla byt povazovana za nezadouc X Bezpec mu ze mt podobu chran en osob nebo hmotnych c i nehmotnych hodnot (aktiv) pred udalostmi nebo vystavenmi skutecnostem zpusobuj cm zdravotn, ekonomicke, . . . ztraty (skody) X Tedy { bezpec je stav byt, ve kterem plat, z e za de novanych podmnek nekdo c i neco nezpusob s kodu. X Bezpec se mnohdy chape jako chran en proti nahodilym udalostem Jan Staudek, FI MU Brno

|


12

(,,Safety"× ,,Security")

× Bezpecnost

X ISO/IEC 27032: 2012, Information technology |

Security techniques { Guidelines for cybersecurity

2 Security,

bezpecnost

X Ochran en proti umysln ym s kodam na aktivech X V s irsm slova smyslu ochran en pred poskozenm osob nebo

hmotnych c i nehmotnych aktiv v dusledku umysln ych (trestnych) c inu, jako jsou prepaden, vloupan nebo vandalismu, krade z, . . . X information security, informacn bezpecnost ochrana proti umysln ym s kodam, nezadouc m akcm na informacnch aktivech


|


13

Co se rozum informacn bezpecnost ?

2 ISO/IEC 27002: 2005, Information technology | Security techniques {

Code of practice for information security management

2

Informacn bezpecnost (Information Security) { systematicke udrzovan (zachovav an ) { dostupnosti, Availability { duv ernosti, Confidentiality { celistvosti, Integrity informac a relevantnch informacnch system u v organizaci (informacnch aktiv) X Do pojmu informacn bezpecnosti se dale zahrnuje zajist'ovan

{ autenticity, Authenticity (pravost, originalnost, nefalsovatelnost) { zodpovednosti, prokazatelnosti, Accountability { nepopiratelnosti, Non-repudiation { spolehlivosti, Reliability, bezporuchovost/odolnost vu ci porucham, c innost ve shode se speci kac Jan Staudek, FI MU Brno

|


14

Zajist en informacn bezpecnosti je komplexn problem

Trivialn prklad: 2 Casto nechav ate notebook (s podnikovymi daty) na zadnm sedadle auta X Pravdepodobne Vam ho drve nebo pozdeji nekdo ukradne

2

Jak snz it riziko takove krade ze ? Jak zabranit uniku dat ? X Lze zavest pravidla (napsanym predpisem nebo politikou):

{ notebook nelze nechavat v aute bez dozoru nebo { parkovat auto lze pouze v prostoru s fyzickou ochranou, { prstup k notebooku se mus chranit silnym heslem, { data ulozena v notebooku mus byt zasifrovana { v pracovn dohode zamestnanec podeps e odpovednost za ztratu, vyzrazen, . . . citlivych dat

2

Tato pravidla nebudou u cinna, pokud zamestnance rma neproskol Jan Staudek, FI MU Brno

|


15


2

Informacn bezpecnost se nezajist jednm opatrenm, pro jej dosazen se jich mus uplatnovat vce, soucasne X Opatren se nebudou tykat pouze IT X Mus se r esit rovnez organizacn problemy, r zen lidskych zdroju,

fyzicka bezpecnost, dodrzovan legislativnch omezen, . . . X Nestac chranit pouze notebooky, rma mu ze mt ulozena data na serverech, v zasuvk ach pracovnch stolu, v mobilech zamestnancu, na USB pametech, v hlavach zamestnancu, ... 2

Zajisten informacn bezpecnosti vyzaduje vytvoren a udrzovan bezpecneho prostred X Takova prostred jsou jiz de novana standardy:

ISO 27001, COBIT, NIST SP 800, . . . (standardy viz prs t predna ska) X Standard: katalog bezpecnostnch opatren a zpusob spravy prostred pro zabezpecovan informac ve vsech jejch formach, navod jak dukladn e, peclive r s it informacn bezpecnost Jan Staudek, FI MU Brno

|


16


2

Firma nemu ze pri ochrane sveho podnikan r esit pouze navratnost investic, dobyt trhu, klc ove pro ly a dlouhodobou strategii, mus r esit rovnez celkove zajisten bezpecnosti informac X Nen rozhodujc kterym standardem se bude r dit,

ale mus se r dit nekterym standardem systematicky X My volime vyklad metodiky podle ISO 27000 X Informacn bezpecnost nen jednorazov e r esitelny problem pouze IT gury, na zabezpecovan informac se mus podlet cela remn komunita pod r zenm vrcholoveho managementu rmy


|


17


2

Ztrata duv ernosti

X Zajistenm duv ernost se rozum ochrana informac pred

neautorizovanym zprstupnenm { odhalenm, prozrazenm. Neautorizovane, neocekavan e, nezadouc zprstupnen mu ze vest ke ztrat e duv ery, k potz m, k pravn m akcm vu ci organizaci, . . .

2

Ztrata celistvosti / integrity

X Informace maj byt chran ene pred podvodnou, nezakonnou,

nepatricnou modi kac { neautorizovanymi zmenami dat, software, hardware . . . . Aktiva mus byt kompletn a korektn . X Nepatricna modi kace mu ze byt umysln a nebo neumysln a X Ignorovan s kod na integrite mu ze vest k vydan chybnych rozhodnut, k podvodu, k nespravn ym akcm, . . . . Porusen integrity mu ze byt prvnm krokem utok u na duv ernost a/nebo dostupnost X Potencial s kody na integrite vyrazn e snizuje urove n vyslovitelne zaruky za bezpecnost Jan Staudek, FI MU Brno

|


18


2

Ztrata dostupnosti X Dostupnost aktiva { opravn ene entite je na pozad an prstupne X Pokud dojde ke ztrat e dostupnosti systemu / informace kriticke pro

plnen podnikatelskych c innost organizace pro koncoveho uzivatele, mu ze to podnikatelske c innosti negativne ovlivnit X Ztrata funkcionality c i snz en efektivnosti provozu mu ze snizovat vykonnost uzivatelu podporujcch podnikan organizace 2

Rizika pro informacn aktiva X Informacn aktiva jsou vystavena s iroke s kale

vnitrnch i vnejsch hrozeb, rizikum X Zdrojem rizik mu ze byt prroda, podvodnk, kriminaln c innost, chybne chovan uzivatelu, ... X Rizika mohou ovlivnovat vsechny tri bazov e bezpecnostn vlastnosti informacnch aktiv { duv ernost, integritu, dostupnost Jan Staudek, FI MU Brno

|


19

Genericke problemy budovan bezpecn ych (IT) system u

2 2

2

Utokem se rozum udalost, kdy uto cnk vyuzije slabinu v ochranach aktiv (zranitelnost) s clem zpusobit s kodu System bude usp es ny (bezpecny) kdyz bude zajist'ovat ochranu proti vsem moznym utok um, a to vc. utok u, ktere se v dobe jeho tvorby dosud nevyskytly cnk bude usp Uto es ny, kdyz pro utok vyuzije jedinou nedokonalost v bezpecnostnch ochranach X a mu ze vyckavat az mu technologicky rozvoj poskytne adekvatn

uto cny nastroj, jehoz existenci tvurci systemu vubec nepredpokladali X s kala dostupnych relevantnch bezpecnostnch nastroj u nebude nikdy upln a z hlediska mnoziny v budoucnu potencialn ch hrozeb X realn e u cinky dostupnych bezpecnostnch nastroj u mnohdy nesplnuj nebo postupne prestavaj efektivne plnit jejich puvodn e zamy sleny cl Jan Staudek, FI MU Brno

|


20


2

existence slabiny v ochranach aktiv (zranitelnost) a potencialn ho uto cnka predstavuje hrozbu X hrozba je potencionaln prc ina bezpecnostn udalosti nebo

bezpecnostnho incidentu, jejmz vysledkem mu ze byt poskozen aktiva X zranitelnost je slabe msto aktiva nebo systemu r zen bezpecnosti informac 2

pravdepodobnost, z e se urcita hrozba uplatn, tj. z e uto cnk vyuzije zranitelnosti a zpusob negativn dopad na aktiva je rizikem


|


21


2 Condicio sine qua non

pro dosazen bezpecnosti

X jsou dostupne bezpecnostn nastroje relevantn hrozbam

(pro ochranu remnch dat, . . . ) X vsechny dostupne a pro dany prpad adekvatn bezpecnostn nastroje se pouzvaj X eliminace rizik hrozeb, pro ktere relevantn bezpecnostn nastroje (prozatm) dostupne nejsou, je dosazitelna kombinac u cinku pouzit vce dostupnych bezpecnostnch nastroj u (ruzn ych typu) napˇr. zajiˇst’ován´ı funkˇcnosti dlouhodobé stabiln´ı pamˇeti 2

Dokonalost funkcionality individualn ch bezpecnostnch (napr. kryptogra ckych) nastroj u nemus zarucovat dosazen pozadovane urovn e (kvality) bezpecnosti, pozadovany ochranny u cinek lze dosahnout i kombinac jejich pouzit (kryptogra e + biometriky apod.) Jan Staudek, FI MU Brno

|


22

A dale plat

2

Chybne, nedusledn e prosazovana de novana bezpecnost mu ze zpusobovat vyss rizika nez nede novana bezpecnost X X X X

2

2

Bezpecnost je stav mysli, vedom, pocit . . . Jsme v bezpec, kdyz jsme skutecne chran eni Pocit bezpecnosti mus vyustit do reality, nesm j o placebo Zjevne neprosazovan bezpecnosti mu ze zvysovat pocit povinnosti se chovat odpovedne

Moznost dosazen jiste urovn e informacn bezpecnosti urcuj globaln dodavatele bezpecnostnch, operacnch a dalsch typu (IT) system u Skutecne dosazena urove n informacn bezpecnosti se odvozuje od chap an informacn bezpecnosti uzivateli a provozovateli bezpecnostnch, operacnch, komunikacnch a dalsch typu (IT) system u Jan Staudek, FI MU Brno

|


23

Spolu-souvisejc bezpecnostn sfery

2

Informacn bezpecnost X ochrana duv ernosti, integrity a dostupnosti informac v nejsirsm slova

smyslu vyhovujc potrebam prslusneho uzivatele informace X genericka kategorie informacn bezpecnosti, metodicka, terminologicka, . . . baze chap an informacn bezpecnosti STUDIA X PREDM ET 2

Aplikacn bezpecnost X proces uplatnov an opatren a mer en na aplikacn systemy organizace

s clem r zen rizik plynoucch z jejich pouzvan X Opatren a mer en lze aplikovat na { vlastn aplikacn systemy (procesy, komponenty, software, vysledky, ...) { data aplikacnch system u (kon guracn, uzivatelska , podnikova, ...) { vsechny technologie, procesy a subjekty zapojene do z ivotnho cyklu aplikace Jan Staudek, FI MU Brno

|


24

Spolu-souvisejc bezpecnostn sfery

2

St'ova bezpecnost X navrh, realizace a provozovan st clene na dosazen informacn

bezpecnosti v stch v ramci organizac nebo mezi organizacemi, jakoz i mezi organizacemi a uzivateli.

2

Internetovska bezpecnost

X rozsr en st'ove bezpecnosti v organizacch i doma X ochrana internetovych sluzeb a souvisejcch ICT system u a st X zajisten dostupnosti a spolehlivosti internetovych sluzeb.

2

CIIP, Critical Information Infrastructure Protection X ochrana system u poskytovanych nebo provozovanych poskytovateli

kritickych infrastruktur { energetika, telekomunikace a vodn hospoda rstv, . . . X CIIP chran a c in odolne tyto systemy a ste jak proti rizikum v oblastech informacn bezpecnosti, st'ove bezpecnosti, internetovske bezpecnosti, tak i vu ci kybernetickym rizikum. Jan Staudek, FI MU Brno

|


25

Kyberneticky prostor, kyberneticka bezpecnost

2

Kyberneticky prostor, Cyberspace, kyberprostor

X ISO/IEC 27032: 2012, Information technology | Security techniques

Guidelines for cybersecurity X virtualn prostred, ktere neexistuje v jakekoliv fyzikaln forme, ale sps e komplexn prostred nebo prostor vyplyvaj c z nastupu internetu, plus lide, organizace a aktivity na vsech druhu technologickych zarzen a st, ktere jsou k internetu pripojeny. X Aplikace v kyberprostoru prekracuj meze B2C a C2C modelu maj charakter m : n interakc a transakc 2

Kyberneticka bezpecnost, Cybersecurity, Cyberspace security X aplikacn bezpecnost ve virtualn m svete { v kyberprostoru X r esen problem u kyberneticke bezpecnosti vyzaduje masove

komunikace a koordinace mezi jednotlivymi soukromymi a verejnymi subjekty z ruzn ych zem a organizac X stavebn kameny: informacn, st'ova, internetova bezpecnost X hraje nepominutelnou roli pro CIIP Jan Staudek, FI MU Brno

|


26

Vztahy mezi bezpecnostn mi sferami

X velmi c asto se setkav ame s chap an m / s pouzvan m pojmu

informacn bezpecnost a kyberneticka bezpecnost jako synonym Jan Staudek, FI MU Brno

|


27

Vztahy mezi bezpecnostn mi sferami

2 Business continuity,

BC, udrzen podnikatelskych procesu

X Standard BS 25999-2:2007: strategic and tactical capability of the organization to plan for and respond to incidents and business disruptions in order to continue business operations at an acceptable predefined level X BC neres se pouze technologicke hrozby, vliv maj i prrodn katastrofy X BC potrebuje zajisten dostupnosti { to je jeden z clu InSec 2

IT r es InSec jen c aste cne (ne vce nez z poloviny) X Informace se v organizaci chran pomoc opatren

speci kovanych bezpecnostn politikou X ISO/IEC 27000: means of managing risk, including policies,

procedures, guidelines, practices or organizational structures, which can be administrative, technical, management, or legal in nature Jan Staudek, FI MU Brno

|


28

Kyberneticka bezpecnost

2

V kyberprostoru existuj bezpecnostn problemy, jejichz r esen nen pokryto informacn, st'ovou a internetovou bezpecnost a jejich dobrymi praktikami X obrovske mnozstv uzivatelu v kyberprostoru ma individualn

podnikatelske, provozn, r dic, . . . zajmy X r esen jsou roztrs tena 2

Bazov a rizika v kyberprostoru X utoky vedene pres socialn inzenyrstv , hackovan , malware, spyware

2

Klc ove problemy pro r esen kyberbezpecnosti X sdlen informac, koordinace, zvlad an incidentu,

dosazen duv eryhodnosti, systemy integrace a vym eny informac mezi uzivateli, . . . X semantick e utoky, podvody v prostred e-comm, . . . Jan Staudek, FI MU Brno

|


29

Kyberneticka bezpecnost (KB)

2

KB nen problemem pouze IT, napr. X Nastvany administrator umysln e potlac aplikaci a zrus jej data.

Jak byl vybrany, proskoleny a dozorovany ? Jak zn smlouva s nm ? . . .

2

KB je problemem i vrcholoveho managementu (VM) organizace X VM uvolnuje nancn zdroje na zabezpecovan ,

ovlivnuje pravidla bezpecnostn politiky, . . . X Clen VM mu ze na letisti ztratit notebook s citlivymi daty, . . . 2

Investice do KB nejsou investice pouze do IT X 10 { 50 % investic do KB jde do IT, vetsina investic do KB

jde do vyvoje politik, procedur, do s kolen, . . .


|


30


2

Investice do KB se vrat X snizuje se vy se vzniklych s kod snz enm poctu kyberutok u

2

KB nen jednorazov y projekt, korekce procedur, . . . se r es prub ez ne, korekce politik se r es alespon jednou rocne X Kdyz da vypov ed' osoba odpovedna

2

Samotne sepsan spousty dokumentu politik a procedur KB nezajist X Prosazovan politik a procedur je potreba trenovat, dozorovat, . . .


|


31


2

Citace z The National Cyber Security Strategy 2011, Dutch Ministry of Security and Justice X Cybersecurity is to be free from danger or damage caused by disruption or fall-out of ICT or abuse of ICT. The danger or the damage due to abuse, disruption or fall-out can be comprised of a limitation of the availability and reliability of the ICT, breach of the confidentiality of information stored in ICT or damage to the integrity of that information.


|


32

Cl p redmetu PV 017

´ ´ principu˚ informaˇcn´ı bezpeˇcnosti 2 Pochopen´ı bazov ych

analyza rizik, politiky, ISMS, audit, evaluace, . . .

2

2

Sfery aplikacn, st'ove a internetove bezpecnosti a CIIP se zminuj pouze jako prklady platforem pro uplatnen informacn bezpecnosti Kyberneticka bezpecnost se zminuje pouze jako vzdalen y profesn cl pro ty, kter porozum r esenm informacn, st'ove a internetove bezpecnosti a budou (chtej) participovat na r esen prostred typu { MMORPGs, Massively Multiplayer Online Role-Playing Games { nadnarodn ch socialn ch st, . . . Jan Staudek, FI MU Brno

|


33

Existuje r esen problemu zajist en informacn bezpecnosti ?

2

Perfektn bezpecnost { absolutn eliminace vsech rizik X teoreticky mozna r esen znam a mnohdy jsou,

prakticky vyuzitelna vsak nejsou, inklinuj ke stavu charakterizovatelnym parafraz ,,kdo nic nedela, nic nepokaz"

2

Rozlomen vsech ostatnch zpusob u zabezpecen je otazkou pouze c asu (a energie) X od (mili)sekund po miliardy nasobk u dob existence slunecn soustavy

2 2

Na kazdy bezpecnostn algoritmus lze uto cit ,,hrubou silou\ Jake chceme r esen? X Kazdy pouzity nastroj ,,dostatecne" zabezpecujc jiste aktivum,

mus byt odpovdajc uzivatelskou komunitou akceptovatelny X Zabezpecuj nastroje mus byt pouzite vyrovnane, system je tak bezpecny, jak je bezpecny jeho nejslabs c lanek Jan Staudek, FI MU Brno

|


34

Existuje r esen problemu zajist en informacn bezpecnosti ?

2 2 2 2 2

Splnen nutne podmnky dosazen bezpecnosti informac je nekonecny proces Idealn , ale mnohdy iracionaln forma zabezpecen { prevence Racionaln forma zabezpecen { heuristicke snizovan rizik Nema smysl si klast za cl nalezen svatého gralu ´ { absolutn / perfektn bezpecnosti Ma smysl se smysluplnymi cestami pokouset o jeho nachazen a postupne slepe/neefektivn cesty eliminovat, a to i za cenu respektovan trvale existence zbytkovych rizik


|


35

Bazov e bezpecnostn paradigma

2 2 2 2 2 2

castnk (informacnho) prostred vlastn/pouzva neco, co U pro nej ma nepominutelnou hodnotu, toto je jeho aktivem Aktivum ma hodnotu i pro uto cnka, ktery ma ale protichudn y zajem vu ci u castnkovi, zpusobuje u castnkovi s kodu, ztrata / snz en hodnoty aktiva pro u castnka zpusobuje s kodu s koda je dusledek (dopad) utoku na (hodnotu) aktiva

(mu ze byt zanedbatelna, akceptovatelna, vyznamn a, katastro cka, ...)

utok (bezpecnostn incident) je realizac hrozby hrozba reprezentuje potencialn motivaci k utoku,

{ existuje dky zranitelnosti systemu obhospodarujcho aktiva, a dky zdrojum moznost vyuzt zranitelnost { uto cnkum, ... { potencial narusen pravidel prijate politiky informacn bezpecnosti Jan Staudek, FI MU Brno

|


36


2

moznost vyskytu utoku predstavuje riziko, pravdepodobnost proveden utoku a potencialn dopad realizovaneho utoku urcuje urove n rizika

(mu ze byt zanedbatelne, akceptovatelne, vyznamn e, katastro cke, ...)

2

zranitelnost systemu obhospodarujcho aktiva je dana

2

zranitelne msto { slabina v navrhu, implementaci, provozu, . . . systemu, ktery obhospodaruje aktiva bezpecnost: zamezen s kodam eliminac zranitelnych mst nebo uto cnku prpadne snz enm vyuzitelnosti zranitelnych mst pomoc bezpecnostnch opatren

2

{ existenc zranitelnych mst a { existenc potencialn ch uto cnku


|


37


2

opatren { sluzba, pozadovana ochrana, relevantn jiste hrozbe X zajisten duv ernosti, integrity, dostupnosti, r zen prstupu, . . . X bezpecnostn sluzba (opatren) je nastrojem,

ktery riziko dane existenc hrozby odstranuje nebo je alespon snizuje X synonyma { protiopatren, funkce/sluzba prosazujc bezpecnost, . . . 2

mechanismus { metoda / technologie zajisten ochrany X technologie implementace opatren X pouzit kryptogra e, ACL, unixove rwx ochrany prstupu,

digitaln podepisovan , predpis, zakon, zavora, pojisten . . .


|


38

Obecny model zabezpecov an


|


39



|


40



|


41



|


42



|


43

Bazov y fenomen p ri zajist 'ovan bezpecnosti { riziko

2

2

2

pravdepodobnost uplatnen hrozby (utoku) a potencionaln vy se s kody zpusoben e utokem predstavuje riziko riziko se vyjadruje { jednak v pravdepodobnostnch pojmech (s jakou pravdepodobnost se hrozba uplatn) { a jednak v pojmech charakterizujcch dopad hrozby (velikost s kody apod.) Genericke kombinovane vyjad ren (urovn e) rizika urove n rizika = F (pravdepodobnost utoku) × F(dopad utoku)


|


44

P r klad odvozen zava znosti, urovn e rizika

2

riziko = F (pravdepodobnost) × F(dopad) X vse ve vhodnem s kalov an , nikdy v absolutnch mrach, napr. X pravdepodobnostn charakter rizika: 1, (L, Low), zanedbatelny vyskyt utoku, jednou za dekadu let 2, (M, Medium), bez ny vyskyt utoku, jednou rocne 3, (H, High), vyskyt utoku hranicc s jistotou, kazdy den X dopad odpovdajcho utoku:

1, (L) zanedbatelny / akceptovatelny , 2, (M) bez ny, 3, (H) katastro cky, X riziko, resp. vyznamnost rizika: (L) zanedbatelne riziko, (souciny = 1,2) (M) bez ne riziko, (souciny = 3,4) (H) katastro cke riziko, (souciny = 6,9)


|

v destkach tiscu Kc ve statisicch Kc v milionech Kc resp. tabulkou pravdep./dopad L M H L L LM M LMH H M HH


45

P r klad odvozen zava znosti, urovn e rizika

2

2

vyjad ren vyznamu rizika prkladem ve vy si s kod / dekadu: (L) zanedbatelne riziko, stovky tisc Kc / dekadu (M) bez ne riziko, jednotky milion u Kc / dekadu (H) katastro cke riziko, destky a vce milion u Kc / dekadu prklad zav eru pro zvlad an rizik: X (L) zanedbatelne riziko je akceptovatelne riziko,

s kody nevad obchodnmu modelu, lze je prp. osetrit pojistenm X (M) bez ne riziko clem je (bezpecnostnmi) opatrenmi riziko eliminovat nebo alespon snz it na zanedbatelne riziko snz enm pravdepodobnosti utoku X (H) katastro cke riziko je neakceptovatelne riziko, clem je preventivne bezpecnostnmi opatrenmi riziko eliminovat nebo alespon je zmenit na bez ne nebo na zanedbatelne riziko Jan Staudek, FI MU Brno

|


46

Bezpecnostn opat ren

2

prijmame/zav ad me/prosazujeme (bezpecnostn) opatren, ktera dopad a/nebo pravdepodobnosti uplatnen hrozeb (rizika) omezuj na akceptovatelnou hodnotu X Pro katastro cka rizika

ma byt vypracovany plan realizace opatren eliminujcch tato rizika nebo alespon v pevne danem c asovem horizontu redukujcch tato rizika na bez na nebo na zanedbatelna rizika X Pro bez na rizika ma byt urcena odpovednost na urovni konkretn ch osob/rol za uplatnov an stanovenych opatren eliminujcch tato rizika nebo redukujcch tato rizika na zanedbatelna rizika X Zanedbatelna rizika maj byt zvladnuteln a (eliminovana) rutinnmi provoznmi procedurami nebo maj byt vedome prohla sena za zbytkova, tj. akceptovatelna rizika Jan Staudek, FI MU Brno

|


47

Bezpecnostn mechanismy

2

(bezpecnostn) opatren musme u cinnou formou implementovat vhodnymi (bezpecnostnmi) mechanismy X mechanismy administrativnho, technickeho, logickeho, . . . charakteru X opatren r esc problem nepopiratelnosti { digitaln podpis

mechanismus = asymetricka kryptogra e X opatren r esc r zen prstupu v souladu s prijatou politikou r zen prstupu mechanismus = fyzicke klc e, iden kacn karty, biometriky, . . . X opatren r esc problem duv ernosti v souladu s prijatou politikou zajisten duv ernosti mechanismus = s ifrovan , trezory, smluvn zavazek (NDA), . . .


|


48

Bezpecnostn politika

2

Politika r zen prstupu, politika zajisten duv ernosti, . . . prklady soucast bezpecnostn politiky, resp. politiky informacn bezpecnosti X soubor pravidel speci kujc u cinny zpusob uplatnov an opatren

(implementovanych adekvatn mi mechanismy) potrebnych pro dosazen pozadovane urovn e akceptovatelnych rizik

2

Bezpecnostn politika (BP) r ka X co se chran , proti c emu/komu { stanovuje bezpecnostn cle X jak se ochrana uplatnuje {

urcuje zpusob dosazen bezpecnostnch clu pomoc uplatnov an opatren implementovanych vhodnymi mechanismy


|


49

Bezpecnostn politika

2

Detailnost bezpecnostn politiky zavis na chran ene oblasti, ve ktere je politika uplatnovan a X Bezpecnostn politika zavad ejc pe ci o bezpecnost informac

v organizaci rozhodnutm vedenm organizace nekolikastrankov y dokument, prokazatelne schvalen y vedenm organizace vymezujc chran enou oblast a zakladn bezpecnostn cle. Obvykle nazvy { bezpecnostn politika, resp. celkova / korporatn bezpecnostn politka, . . . X Bezpecnostn politika stanovujc uplatnov an konkretn ch opatren v konkretn ch systemech v chran ene oblasti je duv erny obsazny dokument. Obvykle nazvy { plan zvlad an rizik, resp. bezpecnostn politka systemu XXX, systemov a bezpecnostn politika Jan Staudek, FI MU Brno

|


50

Duv eryhodn a bezpecnostn politika

2 2

Duv eryhodnost je ,,pevnym bodem"tvorcm zaklad bezpecnosti informac ,,Dejte mi pevný bod ve vesm´ıru a ja´ pohnu celou Zem´ı.\ Archimed es, O zakonech paky


|


51

Duv eryhodn a bezpecnostn politika

2

2 2

Jestlize se dodrzovan m bezpecnostn politiky prokazatelne dosahne pozadovane urovn e ochrany aktiv, je bezpecnostn politika duv eryhodna jak vypracovat bezpecnostn politiku, aby byla duv eryhodna ? podmnka nutna (nikoli vsak postacujc) pro vypracovan duv eryhodne BP: 1. mus´ıme znat ´ a umˇet stanovit bezpeˇcnostn´ı c´ıle 2. mus´ıme znat ´ a umˇet zvolit a implementovat adekvatn´ ´ ı opatˇren´ı

2

duv eryhodnost, tj.,,mt moznost duv er ovat", predstavuje zaklad veskere informacn bezpecnosti, ve vsech jejch aspektech Jan Staudek, FI MU Brno

|


52

Duv era/d uv eryhodnost, jej p redpoklady a zaruka

2

Duv eryhodne bezpecnostn politiky X jednoznacne stanovuj/popisuj stavy systemu X spravn e zvladaj reakce na bezpecnostn incidenty podle

jednoznacne stanovenych pozadavku na bezpecnost

2

Duv eryhodna bezpecnostn opatren (funkce, sluzby) X prosazuj duv eryhodnou politiku X jsou implementovany spravn e

2

Za dosazenou urove n duv eryhodnosti lze vyslovit (dat) zaruku X akceptovatelna forma vysloven zaruky { auditn zprava

vypracovana duv eryhodnou tret stranou X pragmaticky nejvyss forma vysloven zaruky { certi kat vydany respektovanou (prp. legislativne autorizovanou) autoritou certi kat { dokument, ktery prokazuje nejakou skutecnost

... Jan Staudek, FI MU Brno

|


53

Duv era/d uv eryhodnost, jej p redpoklady a zaruka

2

Zaruka (za bezpecnost) X zaruku lze dat jen za to, co je r adn e speci kovano

{ speci kujeme pozadavky, bezpecnostn cle, bezpecnostn opatren { cˇ ´ım jsou specifikace pˇresnˇejˇs´ı, t´ım vyˇssˇ ´ı zaruku lze vyslovit ´

X zaruku lze dat jen za to, co ma systematicky vypracovan navrh

{ navrh { urcen jak splnit speci kace { cˇ ´ım jsou navrhy pˇresnˇejˇs´ı, jednoznaˇcnˇejˇs´ı a ´

(semi-)formalnˇ lze vyslovit ´ e ovˇerˇ itelnˇejˇs´ı, t´ım vyˇssˇ ´ı zaruku ´

X zaruku lze dat jen za to, co je adekvatn e implementovano

{ Programy, technologicke systemy, ..., vse, co realizuje to, co bylo speci kovano a navrzeno { cˇ ´ım pˇresnˇeji implementace odpov´ıdaj´ı specifikac´ım a navrhu, ´ t´ım vyˇssˇ ´ı zaruku lze vyslovit ´ Jan Staudek, FI MU Brno

|


54

Modelovy p r klad bezpecnostn politiky

2

2 2 2 2 2

zavedena vyukov a bezpecnostn politika nepovoluje podvod { opsan domac ulohy (plagiat) at' jiz s vedomm nebo i bez vedom autora originalu politikou stanoveny bezpecny stav (bezpecnostn cl) { nikdo nevlastn kopii domac ulohy jineho studenta studenti si uchovavaj sve domac prace na s kolnm poctaci Alice soubor se svou domac ulohou neoznac jako chran eny proti c ten jinou osobou Bob ulohu ops e Kdo se choval v rozporu s bezpecnostn politikou ? X Alice ?? Bob ?? oba ? Jan Staudek, FI MU Brno

|


55

Modelovy p r klad bezpecnostn politiky

2

Odpoved { bezpecnostn politiku nedodrzel pouze Bob X politika zakazuje opisovan domac ch uloh X Bob opisoval X system se dostal do jineho nez bezpecneho stavu,

Bob vlastn kopii Aliciny ulohy

2 2 2 2

Alice si svoji domac ulohu nechranila proti c ten To ale bezpecnostn politika to nepozadovala Alice nijak nenarusila de novanou bezpecnostn politiku Pokud by politika studentum predepisovala povinnost chranit sve domac ulohy pred opsan m, pak by Alice bezpecnostn politiku porusila Jan Staudek, FI MU Brno

|


56

Vybrane myty a nekter a dals fakta

2

Vybrane myty o nekterych bezpecnostnch nastroj ch X Nepopiratelnost (Non-repudiability) zajist

pouzit digitaln ch podpisu X Hrozba krade ze identity (Identity Theft) ve svete budovanem na bazi IT je a bude c m dal vce bude zdrojem nejvyznam ejsch rizik

2

Nektera dals fakta o charakteru nastupujcch hrozeb X Men se charakter utok u vedenych na IT

{ Dosahlo se racionaln zvladnut ochran proti fyzickym utok um (ztrata energie, propojen, dat . . . ) { Jakz takz se postupne zvladaj ochrany proti syntaktickym utok um (buer over ow, command injection, protokolove dry, . . . ) { Zacna rychly nar ust semantick ych utok u (utok u clenych na to, jak lide chapou obsah) X Slozitost skladby IT nastroj u exponencialn e roste X Men se zranitelnost aplikac po prevodu do st'oveho prostred, . . . Jan Staudek, FI MU Brno

|


57

Hrozba semantick ych utok u

2 2

Vyznamn e riziko dky ,,prost'ovan "sveta Lide maj tendenci ver it tomu co c tou X na potvrzovan verohodnosti ,,nen c as" X lide jsou c asto obetmi chybnych/fal sovanych statistik,

legend a podvodu

2

Podfuk se s velkou pravdepodobnost rozsr st'ovym prostredm extremn e rychle X Komunikacn media se pouzvaj pro s r en verohodnych stupidnost

jiz po celou vec nost X Soucasne a blzko-budouc poctacove ste spusten takovych utok u usnadnuj a zpravy diseminuj extremn e rychle X digitaln podpisy, autentizace, integritn opatren . . . s r en podfuku nezabran { semantick e utoky jsou vedeny na HCI, nejmen e bezpecne rozhran Internetu Jan Staudek, FI MU Brno

|


58

Hrozba semantick ych utok u, 2

2 2

Pouze amater uto c na poctace a software Profesional uto c na lidi X ochrana proti semantick ym utok um mus byt clena na socialn r esen,

ne na matematicko-logicka (a technicka) r esen

2

Nastupuje fenomen kybernetickeho prostoru, je nutne fenomen informacn bezpecnosti rozsr it na fenomen kyberneticke bezpecnosti X Ke konceptu kybernetickeho prostoru a kyberneticke bezpecnosti

se v uvodu jeste vrat me


|


59

Principy e-comm usnadnuj c devastujc podvody

2

Snadnost automatizace procesu X stejna automatizace, ktera c inn e-comm efektivnejs nez klasicky

byznys, zefektivnuje i provad en podvodu X podvod vyzadujc vynalozen destek minut c asu v paprovem systemu lze snadno provest ,,na jedno kliknut" resp. lze snadno jej periodicky opakovat principem 24 × 7 X singularn podvod s nzkou s kodou ignorovatelny v paprovem systemu mu ze byt hrozbou s velkym rizikem v e-comm systemu 2

Izolovanost jurisdikce v mstech zdroje a cle utoku X Geogra e v elektronickem svete nehraje z adnou roli cnk nemus byt X Uto fyzicky blzko systemu, na ktery uto c.

cit mu Uto ze ze zeme, { ktera ,,nevydav a zlocince", { ktera nema adekvatn policejn aparat, { ktera nema potrebne pravn zazem vhodne ke sthan , . . . Jan Staudek, FI MU Brno

|


60

Principy e-comm usnadnuj c devastujc podvody, 2

2

Rychlost s r en ,,prost'ovanym svetem" X padelatel paprovych penez monetarn system nezdevastuje

{ s iroka diseminace padelatelskeho nastroje je nerealn a, { rychle s r en padelku je obtz ne X zprava jak podvest s iroce pouzvany e-comm system ,,diseminovana Internetem" (prp. s pripojenym adekvatn m softwarovym nastrojem) umozn ,,si vhodne kliknout"statiscum lid behem nekolika dn { znalost jak podvest zskal 1 c lovek, uto cit mohou statisce lid


|


61

Duv eryhodnost nepopiratelnosti, co je to digitaln podpis?

2

Predpoklad mnoha soucasnych pravn ch norem: X Duv eryhodnost digitaln ho podpisu je alespon takova

jako duv eryhodnost rukopisneho podpisu

2

Splnuje digitaln podpis tento predpoklad ? X Formaln e pouzity matematicky (kryptologicky) zaklad je vyhovujc X Semanticka aktu digitaln ho podpisu predpokladu nevyhovuje

2

Predpoklad soucasnych pravn ch norem: X Alicin podpis dokumentu indikuje odsouhlasen jeho obsahu Alic X Duv eryhodnost podpisu se zesiluje podpisem u nota re

2

Z digitaln ho podpisu Alice nemu ze soudce odvodit, z e Alice dokument videla X Alice v z adn em prpade nepoctala podpis = dokumentPK mod n,

vypo cet Alicina podpisu ,,dokumentu"(ktereho ???) delal jej poctac Jan Staudek, FI MU Brno

|


62

Duv eryhodnost nepopiratelnosti, co je to digitaln podpis?, 2

2

vypo cet Alicina podpisu ,,dokumentu"delal jej poctac X Alice mus mt duv eru v to, z e jej aplikacn system podpisuje

dokument, ktery j prezentuje (problem trojskych kon u) X Alice mus mt duv eru, z e v jejm poctaci nikdo neodchytav a jej PK { uchovan PK v bezpecnem modulu (karta) neres problem podvrzen falesneho dokumentu trojskym konem 2

Ma-li byt duv eryhodny Alicin podpis dokumentu, mus byt duv eryhodny Alicin poctac podpisujc dokument X Nelze se spolehat pouze na matematiku pro dosazen bezpecnosti

vysoke riziko predstavuje duv eryhodnost pouziteho hardw./softw. X Digitaln podpis Alice vypovda pouze o tom, z e v dobe podpisovan byl pouzity Alicin PK X Digitaln podpis nic nerka o tom, z e Alice podepsala dokument, ktery videla pri podpisovan X Zadan pro budoucno { jak zajistit, z e Alicin poctac bude nezfalsovatelny (tamperproof ) Jan Staudek, FI MU Brno

|


63

Hrozba enormnho nar ustu slo zitosti a rozsahu

2 2

Enorme narust a slozitost vnitrnch algoritmu (jadra) OS pocty instrukc spotrebovanych ve Windows pri X X X X X X X X X

Zaslan zpravy mezi procesy: 6K { 120 K podle pouzite metody Vyvtoren procesu: 3M Vytvoren vlakna: 100K Vytvoren souboru: 60K Vytvoren semaforu: 10K { 30K Nahran DLL knihovny: 3M Obsluha prerusen/vyjimky: 100K { 2M Prstup do systemov e databaze Registry: 20K ...


|


64

Proc se zavad system r zen informacn bezpecnosti

2

ri hlavn duvody, Cty proc organizace mus zajist'ovan informacn bezpecnosti manazersky r dit X Urcuje tak pro organizaci zavazn a strategie,

vlada, materska organizace, spravn rada, . . . rozhodla, z e v kontextu vseobecnych podnikatelskych rizik je nutne informacn bezpecnost spravovat (rdit) lepe X Je nutne, aby zakazn ci/dodavatele organizaci duv er ovali , je potreba zakazn kum c i dodavatelum demonstrovat, z e organizace pouzva ty nejleps praktiky r zen informacn bezpecnosti existuje s ance zskat konkurencn vyhodu X Vyzaduj to zakonn e predpisy personaln soukrom, ochrana dat, nespravn e pouzvan poctace X Je nutne vylepsit vnitrn efektivnost r zen IT


|


65

System r zen informacn bezpecnosti, ISMS

2 2

Pro efektivn r zen InSec mus organizace aplikovat adekvatn system manazerskeho r esen Information Security Management System, ISMS X soucast celkoveho systemu r zen organizace X cl:

na zaklad e poznani podnikatelskych rizik vybudovan , implementace, provozovan , monitorovan , prezkoumav an , udrzovan a vylepsovan InSec X pripomenme pojem InSec, informacn bezpecnost: zabezpecen duv ernosti, integrity a dostupnosti informacnch aktiv X skladba: organizacn struktura, politiky, planovac c innosti, odpovednosti, praktiky (obvykle metody), procedury, procesy, zdroje Jan Staudek, FI MU Brno

|


66


2

Hardwarova / softwarova ,,pultova" resen individualn ch problem u informacn bezpecnosti jsou nedostatecna X Rychle se mnoz stale komplexnejs, propracovanejs a globaln ejs

hrozby pro informacn bezpecnost dky rozvoji technologi X Roste pocet pozadavku na vyhoven regulacnm opatrenm v oblasti zpracovan informac a zachovav an soukrom 2

sen: Re X v organizaci mus fungovat, jako soucast celkoveho

systemu r zen organizace, system r zen informacn bezpecnosti, ISMS system procesu zamer eny na ustaven, zavad en, provozovan , prosazovan , monitorovan , prezkoumav an , udrzovan a zlepsovan informacn bezpecnosti zalozeny na prstupu organizace k rizikum v kontextu informacn bezpecnosti


|


67


2 2

ISMS reprezentuje uceleny strukturovany prstup k r zen InSec Navrhuje se tak, aby se postaral o efektivn interakci tr bazov ych komponent implementace InSec X procesy (procedury) X technologie X chovan uzi vatelu

2

Navrh a implementace ISMS mus vychazet z potreb a clu, bezpecnostnch pozadavku, organizacnch procesu, velikosti a struktury organizce X nejde o jednorazov e, vsepokryvaj c r esen X ISMS mus byt s kalovan y podle potreb organizace Jan Staudek, FI MU Brno

|


68


2

System r zen informacn bezpecnosti mus byt primer eny a s ity na mru konkretn organizaci X Politiky, procesy, procedury ISMS mus odra zet styl a X X X X

2

kulturu organizace Prijate procesy a procedury do ISMS mus odra zet vysledky ohodnocen rizik. I kdyz nektera rizika jsou genericka pro vce organizac, jejich osetren byv a vhodne ust na mru konkretn mu prostred organizace Politikam, procesum, proceduram ISMS mus organizace rozumet, nejlepe se jim porozum podlenm se na jejich vyvoji Politiky, procesy, procedury mus byt aktualn , hrozby bezpecnosti informac narustaj soucasne s rozsirovan m a inovacemi IT organizace

Soucasna ,,top"technologie budovan ISMS je de novana standardem ISO/IEC 27001:2013 Jan Staudek, FI MU Brno

|


69

Ekonomicky pohled { fakta

2 2

2

2

Vybudovat si vlastn tym zajist'ujc a prosazujc informacn bezpecnost je nakladn y a dlouhodoby proces. Aplikace strukturovanych inzenyrsk ych postupu pri zabezpecovan IT se proto c m dal s r eji uplatnuje jako samostatny byznys. Na trhu outsourcingu informacn bezpecnosti poptavka prevysuje kvalitn nabdku, kupovat si informacn zabezpecovan jako sluzbu proto nen levne. Mnoho rem a organizac si proto zabezpecovan dela, v lepsm prpade amatersky vlastnmi silami, citem, v horsm prpade mylne predpoklad a, z e ochranu jejich zdroju zajist vyrobce dodaneho software a hardware (a nebo panb uh). Jan Staudek, FI MU Brno

|


70

T ri cesty k zajist en informacn bezpecnosti

Pro obhospodarovan citlivych aktiv existuj 3 moznosti:

A. Vytvorit v organizacn strukture alespon na manazerske urovni roli bezpecnostnho manazera a informacn bezpecnost zajistit outsourcingem pod jeho r zenm. B. Vytvorit v organizacn strukture bezpecnostn infrastrukturu a tym schopny plne prosazovat informacn bezpecnost svymi silami. C. Nechat si bezpecnost IT zajist'ovat mnohdy i velmi iniciativne vnitrnmi silami pusob cmi bez systematicky r zeneho veden vhodnou politikou, c asto majoritne motivovanymi snahou prokazat sve vlastn dokonalosti. !!! The road to hell is paved with good intentions !!!

Venovan bezpecnosti IT pouze tolik energie, kolik je nutne pro vyb er ,,bezpecneho" software, cestu do pekel jen zkrat . Nic jineho se tm nedosahne. Jan Staudek, FI MU Brno

|


71

Epiloque uvah zajist 'ovan informacn bezpecnosti

2 2

Z pohledu r zen organizace pomoc IT pesimismus nen na mste Informacn bezpecnost v organizaci vyrazn e podpor politika informacn bezpecnosti a system r zen informacn bezpecnosti X X X X X

r adn e vypracovana a systematicky prosazovana politika, politika s kvalitou odpovdajc vy si potencialn ch s kod politika periodicky auditovana z hlediska jejho dodrzovan a u cinnosti politika periodicky upresnovan a podle vysledk u auditu politika vypracovana v uzk e navaznosti na ostatn politiky organizace tak, aby byla zarucena adekvatn kontinuita plnen clu organizace i pri selhan nekterych ochran informacn bezpecnosti


|


72

Koncept informacn bezpecnosti

Recommend Documents