Bezpečnost informací – BI Ing. Jindřich Kodl, CSc.
Úvod Podniková informační bezpečnost PS1-2
VŠFS; Aplikovaná informatika - 2006/2007
1
Literatura • Kovacich G.L.: Průvodce bezpečnostního pracovníka IS, Unis Publishing, 2000 • Kolektiv: Informační bezpečnost, Tate International, 2001 • Časopis DSM - Data security management Doporučená • Smejkal V.; Rais K.:Řízení rizik, Grada 2003 • Frimmel M.: Elektronický obchod, Prospektum 2002 • Smejkal a kol. Právo informačních a telekomunikačních systémů, Beck 2001
VŠFS; Aplikovaná informatika - 2006/2007
2
Osnova II
• principy informační bezpečnosti; • program informační bezpečnosti v podniku; – bezpečnostní program - požadavky na pracovníky podniku; – procesy v oblasti bezpečnosti informací; – bezpečnostní informační technologie;
• realizace bezpečnostního programu;
VŠFS; Aplikovaná informatika - 2006/2007
3
Technologie Strategické úvahy musí odpovědět na otázku jak je informační technologie vhodná pro integraci bezpečnostních opatření. Bezpečnostní program řeší: • komplexní bezpečnostní architekturu • rozdělení informačního prostředí na digitální zóny • úrovňové pojetí bezpečnosti • akční plán (roadmap) strategických i taktických cílů • bezpečnostní modely
VŠFS; Aplikovaná informatika - 2006/2007
4
Bezpečnost koncového bodu
Víceúrovňová bezpečnost • Autentizace uživatele
Komunikační Komunikační bezpečnost bezpečnost Zabezpečení perimetru
Bezpečnost síť. prostředí
• Neoprávněný přístup z prostředí sítě • Oddělení dobrých a špatných dat • Ochrana před škodlivým SW a transakcemi
Secure Network access switch
VŠFS; Aplikovaná informatika - 2006/2007
5
Víceúrovňová bezpečnost Příklad architektury podnikového informačního systému
VŠFS; Aplikovaná informatika - 2006/2007
6
Technologie Architektonický pohled - hodnocení technologických komponent při plnění násl. bezpečnostních požadavků: • autentizace, autorizace, správa uživatelských účtů • firewall; VPN • antivirová ochrana • správa bezpečnostních zranitelností a rizik • IDS – detekce narušení systému • filtrování obsahu dat • šifrování
VŠFS; Aplikovaná informatika - 2006/2007
7
Technologie Hierarchie realizace bezpečnostní architektury autentizace, autorizace, správa uživatelských účtů firewall; VPN antivirová ochrana správa bezpečnostních zranitelností a rizik IDS – detekce narušení systému filtrování obsahu dat management
VŠFS; Aplikovaná informatika - 2006/2007
8
Technologie – efektivita vynakládaných financí
Zdroj: Gartner – efektivnost vynaložení financí na jednotlivé bezpečnostní technologie VŠFS; Aplikovaná informatika - 2006/2007
9
Program podnikové informační bezpečnosti Bezpečnostní cíle se soustřeďují na zajištění • integrity, • dostupnosti, • důvěrnosti informací, které se v daném podniku • vytváří a dále zpracovávají, • přenáší a distribuují • uchovávají, archivují a skartují VŠFS; Aplikovaná informatika - 2006/2007
10
Integrita, Důvěrnost, Dostupnost Integrita – informace není modifikována, systém provádí dané operace s očekávaným výstupem; Důvěrnost – služba systému pro zajištění ochrany informací před neoprávněným využitím; Dostupnost – vlastnost systému, která zabraňuje zadržování informací určených oprávněným uživatelům – odmítnutí služby; VŠFS; Aplikovaná informatika - 2006/2007
11
Program podnikové informační bezpečnosti
Program obecně vychází ze stanovení 4 základních hranic v prostředí podniku a ve vnějším elektronickém světě - externí (Internet), extranet, intranet a zóna kritických dat. Perimetr – elektronická hradba okolo podniku Síťové servery (gateways) – vstupní brány do interního prostředí VŠFS; Aplikovaná informatika - 2006/2007
12
Program podnikové informační bezpečnosti
Podnikový bezpečnostní program musí vycházet z oddělených zón a v každé z těchto zón jsou požadovány příslušné bezpečnostní produkty. Internet - uživatelé Elektronické tržiště - partneři, zákazníci, klienti El. pracovní prostředí – pracovníci, smluvní zaměstnanci Zóna citlivých dat – pracovníci s definovaným přístupem
VŠFS; Aplikovaná informatika - 2006/2007
13
Program podnikové informační bezpečnosti Vícevrstvová informační bezpečnost informační aktiva aplikace vzdálená servisní programová volání protokoly volání procedur procesy systémové prostředí operační HW systémy aplikační SW systémy přenosu FW Intranet Extranet router gateway switch VŠFS; Aplikovaná informatika - 2006/2007
14
Firewally; Firewally VPN Firewall – prvek elektronického perimetru Základní třídy: • firewally s filtrováním paketů; - kontrola hlaviček paketů • firewally s povolováním služeb; - monitoring stavu transakcí • proxy firewally na aplikační úrovni; - přepis paketů Nebezpečné porty – nutno zajistit restrikci těchto portů
VŠFS; Aplikovaná informatika - 2006/2007
15
Firewally; VPN Virtuální privátní sítě – Virtual private networks => vytvoření chráněného spojení mezi dvěma místy sítě Využití protokolu SSL (Secure Socket Layer), který poskytuje zabezpečený přenos s využitím kryptografických metod. Protokol je umístěn v síťové vrstvě OSI nad TCP/IP. Mohou jej využít vyšší protokoly – viz např. HTTPS Je zajištěna: důvěrnost přenášených dat – šifrování; integrita dat – krypto kontrolní součet; autentizace – využití certifikátů VŠFS; Aplikovaná informatika - 2006/2007
16
Antivirová ochrana Antivirová ochrana je požadovaná součást programu informační bezpečnosti. Antivirový SW využívá při ochraně počítačového systému proti škodlivému SW dvou základních metod: • identifikace charakteristických značek viru. Identifikace značky viru jsou podobné zkoumání otisků prstů – jedná se o metody reaktivní • heuristické metody, vyhledávání vzorků, které lze v daném viru identifikovat – metody proaktivní
VŠFS; Aplikovaná informatika - 2006/2007
17
Správa bezpečnostních zranitelností a rizik Vulnerability management - Správa bezpečnostních zranitelností Nástroje použité při správě zranitelností porovnávají prostředí podnikového informačního systému vůči databázi známých zranitelných míst a ukazují zda jsou tato místa obsažena v systému či nikoliv. Dvě základní metody na bázi: • sítě; • host počítače. V prvním případě se používá síťových nástrojů k tomu, aby se kontroloval provoz sítě a zjišťovaly její slabiny v druhém případě se monitorují výpočetní systémy jako např. servery.
VŠFS; Aplikovaná informatika - 2006/2007
18
Filtrování obsahu dat Metody
zahrnují filtrování web stránek a elektronické pošty. Filtrování obsahu lze použít k blokování přístupu k určitým webovým stránkám, obsahujícím nevhodný obsah. Velký problém současnosti
-------
spam
Implementace nástrojů filtrujících obsah přináší otázky legálnosti i omezování lidských práv - musí být v souladu s bezpečnostní politikou.
VŠFS; Aplikovaná informatika - 2006/2007
19
Kryptografická ochrana dat
Šifrování je proces převedením dat do takového formátu, který nemůže neoprávněná osoba jednoduše přečíst. Moderní kryptografie využívá dvou základních směrů – symetrickou a asymetrickou šifru. šifru Při symetrickém šifrování obě strany používají stejný tajný klíč a to při šifrování i dešifrování zprávy. Asymetrické šifrování je postaveno na principu, kdy každý účastník vlastní veřejný a privátní klíč pro šifrování a dešifraci.
VŠFS; Aplikovaná informatika - 2006/2007
20
Realizace bezpečnostního modelu Jednotlivé kroky: • přijmout základní strategii, kdy informační infrastruktura vytváří podporu pro činnosti podniku. Část podniku, která je zodpovědná za správu informačního systému musí být koncipována jako dodavatel služeb pro obchodní úseky; • vytvořit bezpečnostní politiku - spolupráce s obchodními úseky; • využít nejvýhodnějších opatření – využití norem - obecná politika = ISO 13335, bezpečnostní procesy = ISO 17799; VŠFS; Aplikovaná informatika - 2006/2007
21