INFORMAČNÁ BEZPEČNOSŤ RNDr. Eva KOSTRECOVÁ, PhD.

INFORMAČNÉ POKYNY Začiatok zimného semestra 22.9.2008 Predloženie 1. seminárnej práce 21.10.2008 Téma 1. seminárnej práce „Popis 1 bezpečnostného mechanizmu a návrh Internej smernice s pokynmi o jeho používaní“ Rozsah 1. seminárnej práce min. 2 strany Hodnotenie 1. seminárnej práce max. 15 bodov Kontrolný test 11.11.2008 Počet zatvorených otázok (1-3 alternatívy) 20 Bodové hodnotenie za 1 zatvorenú otázku 1 bod Počet otvorených otázok 2 Bodové hodnotenie za 1 otvorenú otázku 2,5 boda Maximálny počet bodov za test 25

INFORMAČNÉ POKYNY Predloženie prvej časti 2. seminárnej práce 18.11.2008 Téma 2. seminárnej práce „Analýza a riadenie rizík“ Rozsah 2. seminárnej práce min. 5 strán Predloženie celej 2. seminárnej práce 9.12.2008 Hodnotenie 2. seminárnej práce max. 25 bodov Skúška (formou testu) 16.12.2008, 8:00 – 9:30 Počet zatvorených otázok (1 – 3 alternatívy) 20 Bodové hodnotenie za 1 zatvorenú otázku 1 bod Počet otvorených otázok 6 Bodové hodnotenie za 1 otvorenú otázku 2,5 boda Maximálny počet bodov za test 35 Maximálny počet bodov za predmet za semester 100

PRÍKLAD BEZPEČNOSTNÉHO MECHANIZMU Autentizácia heslom Použitie mechanizmu: Proces autentizácie používateľov pri vstupe do informačného systému, kde to citlivosť procesu a úroveň režimových opatrení umožňuje, bude založený na princípe identifikácie a poznania hesla. Minimálne požiadavky na bezpečnostný mechanizmus: znalosť hesla výlučne používateľom, možnosť používať v hesle alfanumerické a špeciálne znaky, možnosť vynútenej zmeny hesla po stanovenej časovej perióde, možnosť nastavenia počtu nesprávnych zadaní hesla s následným zablokovaním prístupu, alebo časovým oneskorením ďalšieho prihlásenia, vynútená zmena hesla po prvom prihlásení, možnosť voliteľnej zmeny hesla, nezobrazovanie hesla v čitateľnej podobe, prenos a ukladanie hesiel len v chránenej (šifrovanej) podobe, ukladanie hesiel v systéme výlučne v tvare hash kódu, ktorý bude použitý na porovnanie správnosti zadaného hesla, možnosť zamedzenia viacnásobného opakovania (použitia tých istých ) hesiel po sebe, možnosť automatickej kontroly dodržiavania pravidiel konštrukcie hesiel, povinnosť po zadaní hesla potvrdiť správnosť zadania (napríklad klávesou Enter),

INFORMAČNÁ BEZPEČNOSŤ Odporúčaná literatúra: Britský štandard BS 7799 ISO/IEC 17799:1,2, ISO/IEC 27001 B. Scheier: Appleid Cryptography. J.Wiley and Sons, Inc., 1996

INFORMAČNÁ BEZPEČNOSŤ Obsah prednášky: Pojem informačnej bezpečnosti Legislatívne normy z oblasti informačnej bezpečnosti Štandardy platné v oblasti informačnej bezpečnosti

ÚVOD Ochrana údajov v informačných systémoch, bezpečnosť manipulácie s nimi a bezpečnosť informačných sietí sa stáva čím ďalej, tým dôležitejšou súčasťou celkových bezpečnostných stratégií firiem a spoločností. O význame, ktorý je informačnej bezpečnosti prisudzovaný, svedčí aj stále rastúci záujem spoločností o koncipovanie, presadzovanie a implementáciu bezpečnostnej politiky. Informácie, ktoré predstavujú aktíva spoločnosti, sú vystavené širokej škále hrozieb. Ochrana informácií v papierovej forme má dlhšiu históriu a prepracovanosť pravidiel a nástrojov pre zabezpečenie ich fyzickej bezpečnosti je na dosť vysokej úrovni. Horšia situácia je v oblasti elektronických dát. Mnoho informačných systémov bolo navrhovaných len so zreteľom na fyzickú bezpečnosť, ktorú možno dosiahnuť technickými prostriedkami. Tá je však obmedzená a nepokrýva všetky riziká, ktoré môžu nastať pri spracovaní, prenosoch a manipulácii s dátami v elektronickej forme. Fyzická bezpečnosť musí byť v tejto oblasti podporovaná riadením informačnej bezpečnosti, bezpečnostnými procedúrami a vhodnými mechanizmami, ktoré by pokryli prierezovo väčšinu potenciálnych identifikovaných hrozieb a všetky organizačné časti spoločnosti.

ČO JE TO INFORMÁCIA ? Informácia je súbor nových poznatkov o určitej udalosti, objekte, procese. Informácia prináša pre príjemcu určitú novotu, informuje ho o skutočnosti, udalosti alebo jave očakávanom s určitou pravdepodobnosťou, ale nie s istotou. Má teda náhodný charakter. Príklad informácie: Zajtra bude pršať. Dáta alebo údaje označujú jednotlivé fakty alebo informácie, ktoré sú abstrakciou určitej reality a majú vlastnosti a charakteristiky reálnych objektov. Niektoré z týchto vlastností sú pri riešení problému vedľajšie a bezvýznamné, a preto sa zanedbávajú. Takáto abstrakcia predstavuje zjednodušenie skutočnosti. Príklad údajov: Včera napršalo v Bratislave 10 cm vody na 1 m2 za 20 minút.

ČO JE INFORMAČNÁ BEZPEČNOSŤ ? Informačná bezpečnosť je charakterizovaná ako uchovanie: dôvernosti: zabezpečuje, že informácie sú dostupné len tým, ktorí majú k nim autorizovaný prístup; integrity: zaisťuje presnosť a úplnosť informácií a metód spracovania; dostupnosti: zabezpečuje, aby autorizovaní používatelia mali prístup k informáciám a súvisiacim aktívam vtedy, keď to potrebujú.

PREČO INFORMAČNÁ BEZPEČNOSŤ ? Informácie a podporné procesy, systémy a siete sú dôležitými obchodnými aktívami. Dôvernosť, integrita a dostupnosť informácií môžu byť kľúčové pre udržanie konkurenčných výhod, finančných tokov, ziskovosti, obchodného imidžu a pre dodržiavanie zákonov. Stále viac musia organizácie a ich informačné systémy a siete čeliť bezpečnostným hrozbám zo širokej škály zdrojov, vrátane počítačových podvodov, špionáží, sabotáží, vandalizmu, požiarov alebo záplav. Zdroje škôd ako počítačové vírusy, počítačové hackerstvo a útoky s odoprením služieb, sa stali bežnejšími, cieľavedomejšími a stále viac premyslenými. Mnoho informačných systémov nebolo navrhnutých so zreteľom na bezpečnosť. Bezpečnosť, ktorú možno dosiahnuť technickými prostriedkami, je obmedzená a mala by byť podporovaná vhodným riadením a procedúrami. Riadenie informačnej bezpečnosti si vyžaduje účasť všetkých zamestnancov organizácie, ale taktiež môže vyžadovať účasť dodávateľov, zákazníkov alebo akcionárov.

Legislatívne normy z oblasti informačnej bezpečnosti

Zákon č. 428/2002 Z. z. o ochrane osobných údajov v informačných systémoch Cieľom zákona je: chrániť základné práva a slobody fyzických osôb pri spracúvaní ich osobných údajov, ustanoviť práva a povinnosti fyzických osôb pri poskytovaní osobných údajov do informačného systému a práva, povinnosti a zodpovednosť právnických osôb a fyzických osôb, ktoré sa zúčastňujú na spracúvaní osobných údajov, ustanoviť práva a povinnosti prevádzkovateľov informačného systému, sprostredkovateľov a dotknutých osôb pri poskytovaní osobných údajov z informačného systému, upraviť postavenie a pôsobnosť orgánu štátneho dozoru nad ochranou osobných údajov v informačných systémoch, ustanoviť sankcie za porušenie zákona.

Zákon č. 428/2002 Z. z. o ochrane osobných údajov v informačných systémoch Zákon stanovuje pojem osobné údaje: „Osobnými údajmi sa pre účely tohto zákona rozumejú údaje týkajúce sa určitej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe identifikačného čísla alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.“

Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov Cieľom zákona je: špecifikovať tie organizácie a útvary, ktoré sú zodpovedné za ochranu údajov, ich neautorizované odhalenie a stratu, čím by mohla vzniknúť škoda Slovenskej republike. určiť zodpovednosť a stanoviť sankcie, ktoré môžu byť použité v prípade porušenia zákona.

Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov Zákon vymedzuje pojmy: štátneho tajomstva, služobného tajomstva, šifrovej ochrany informácií. Klasifikuje 4 stupne utajenia: prísne tajné, tajné, dôverné, vyhradené.

Zákon č. 300/2005 Z. z. Trestný zákon Cieľom zákona je: Zákon poskytuje prostriedky na trestný postih činov súvisiacich s prevádzkou informačného systému a jeho aktív.

Zákon č. 300/2005 Z. z. Trestný zákon Trestné právo poskytuje sankcie proti zámernému poškodeniu a ukradnutiu prvkov, alebo zariadení informačného systému. Možno ich rozdeliť na štyri skupiny: trestné činy zamerané na ochranu duševného vlastníctva, súťažného prostredia, ochranných známok a proti nekalej súťaži sú postihnuteľné trestnými sankciami – prepadnutím veci, peňažným trestom alebo odňatím slobody až na 5 rokov, trestné činy zamerané na všeobecnú ochranu osobnosti sú postihnuteľné trestnými sankciami - zákazom činnosti, peňažným trestom alebo odňatím slobody až na 2 roky, trestné činy zamerané vyslovene proti počítačovej kriminalite a počítačovému pirátstvu sú postihnuteľné trestnými sankciami - zákazom činnosti, peňažným trestom, prepadnutím veci a odňatím slobody až do 5 rokov, trestné činy všeobecnejšej povahy, ktoré však môžu mať vzťah aj k danej oblasti (ohrozenie štátneho tajomstva, hospodárskeho tajomstva, podvod, porušovanie tajomstva prepravovaných správ, a pod.).

Zákon č. 618/2003 Z. z. o autorskom práve a právach súvisiacich s autorským právom (autorský zákon) Cieľom zákona je: Zákon upravuje vzťahy vznikajúce v súvislosti s vytvorením, použitím a šírením literárnych, vedeckých a umeleckých diel tak, aby boli chránené práva a oprávnené záujmy autorov diel vrátane autorov počítačových programov a báz dát, výkonných umelcov, výrobcov zvukových záznamov, výrobcov zvukovo-obrazových záznamov, rozhlasových vysielateľov a televíznych vysielateľov.

Smernica 95/46/ES Európskeho parlamentu a Rady - O ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov Cieľom smernice je: V súlade s touto smernicou členské štáty chránia základné práva a slobody fyzických osôb, a najmä ich právo na súkromie v súvislosti so spracovaním osobných údajov. Členské štáty neobmedzujú, ani nebránia voľnému toku údajov medzi členskými štátmi z dôvodov spojených s ich ochranou.

Smernica 2002/58/ES Európskeho parlamentu a Rady - O spracovaní osobných údajov a ochrane súkromia v elektronickej komunikácii Cieľom smernice je: Touto smernicou sa harmonizujú predpisy členských štátov požadované pre zabezpečenie rovnocennej úrovne ochrany základných práv a slobôd, najmä práva na súkromie, so zreteľom na spracovanie osobných údajov v odvetví elektronických komunikácií, a pre zabezpečenie voľného pohybu týchto údajov a elektronických komunikačných zariadení a služieb.

Štandardy platné v oblasti informačnej bezpečnosti

ŠTANDARD: ISO 17799 Cieľ: Tento štandard je množinou najlepších postupov (best practicies), ktorými sú eliminované riziká pôsobiace na informačný systém. „ISO 17799: Part 1:1995 Code of Practice for Information Security Management“ je súhrn najlepších bezpečnostných postupov určených na vytvorenie a implementáciu vlastného bezpečnostného systému. Špecifikuje viac ako 100 bezpečnostných opatrení rozdelených do 10 sekcií: Bezpečnostná politika Organizácia bezpečnosti Klasifikácia a riadenie aktív Personálna bezpečnosť Fyzická bezpečnosť a bezpečnosť prostredia Správa počítačov a sietí Systém riadenia prístupu Vývoj a údržba systémov Plány kontinuity činností (havarijné plány) Zabezpečenie súladu

ŠTANDARD: ISO 17799 „ISO 17799 : Part 2:1998 Specifications for Information Security Management“ predstavuje špecifikáciu krokov ako hodnotiť bezpečnostný systém a je základom formálneho hodnotenia bezpečnostného systému. Táto časť je rozdelená do troch sekcií. Prvá sekcia obsahuje výklad pojmov. V druhej sekcii sú stanovené požiadavky projektovania a prevádzky bezpečnostného systému. V tretej sekcii je uvedený zoznam aplikovateľných bezpečnostných opatrení.

ŠTANDARD: ISO/IEC TR 13 335 Cieľom tohto ISO technického šrandardu je poskytnúť organizáciám a manažmentom návod ako pristupovať k tvorbe a realizácii bezpečnosti informačných systémov.

ŠTANDARD: Trusted Computer Evaluation Criteria (TCSEC) Cieľ Predstavuje kritériá hodnotenia zabezpečených počítačových systémov, ktoré umožnia používateľom a hodnotiteľom informačných systémov jednotne ohodnotiť stupeň ochrany. Štandard definuje množinu kritérií pre tvorbu a hodnotenie systémov, ktoré poskytujú špecifické sady bezpečnostných funkcií.

ŠTANDARD: International Trusted Evaluation Criteria (ITSEC) Cieľ Harmonizované kritériá vypracované v spolupráci krajín EÚ umožnia používateľom a hodnotiteľom informačných systémov postupovať jednotne pri hodnotení stupňa ochrany systémov IT a produktov IT. Ich zámerom je doplniť štandard TCSEC. Štandard určuje kritériá, ktoré je možné aplikovať na jednotlivé produkty alebo na celé informačné systémy. Bezpečnostné opatrenia v nich môžu byť implementované hardvérovými, softvérovými aj firmvérovými prostriedkami.

ŠTANDARD ISO/IEC 15408 Common Criteria for Information Technology Security Evaluation. Cieľ Common Criteria predstavujú výsledok medzinárodnej snahy zlúčiť existujúce európske (ITSEC) a americké (TCSEC) štandardy a kritériá hodnotenia aktív a ich zaradenia do tried bezpečnosti a použiť ich pri hodnotení produktov a informačných systémov štandardnou cestou celosvetovo.

Porovnanie štandardov Štandard TCSEC: Informačné systémy sú hodnotené ako jeden celok, nehodnotia sa jeho jednotlivé komponenty. Systémy sú zaraďované do 4 základných tried bezpečnosti, a to A, B, C, D, ktoré sa ešte delia na 7 podtried: A, B1, B2, B3, C1, C2, D, pričom trieda A predstavuje najvyššiu úroveň požadovanej bezpečnosti. Štandard ITSEC: Hodnotené sú celé informačné systémy, ale aj jednotlivé produkty. Štandard definuje 7 tried miery ručenia bezpečnosti E0, E1, E2, E3, E4, E5, E6, pričom trieda E0 predstavuje najnižšiu úroveň bezpečnosti. Štandard Common Criteria: Hodnotený je produkt informačného systému, samotný systém alebo jeho časť. Objekty hodnotenia sú zaraďované do 8 kvalitatívnych úrovní EAL0 – EAL7, pričom úroveň EAL0 predstavuje najnižšiu úroveň bezpečnosti.