INFORMAČNÁ BEZPEČNOSŤ 2 RNDr. Eva KOSTRECOVÁ, PhD.

INFORMAČNÁ BEZPEČNOSŤ 2 Obsah prednášky: Bezpečnostná politika a zásady jej výstavby v organizácii Základné procesy bezpečnostnej politiky Základné dokumenty informačnej bezpečnosti

ÚVOD Pri navrhovaní, implementácii a prevádzke informačných systémov (IS) sa v súčasnosti kladie dôraz väčšinou na ich funkčnosť. Ak si charakter ich použitia alebo legislatíva nevyžaduje riešenie bezpečnostných aspektov, informačná bezpečnosť sa chápe ako nadstavba nad funkčnosťou systému a nie ako jej súčasť. Príčinou je neznalosť problematiky, ako aj to, že bezpečnostné opatrenia neraz znižujú funkčnosť systému a komplikujú jeho používanie. Problém bezpečnosti IS je ešte stále v súčasnosti vo väčšine firiem a organizácií chápaný ako problém, na riešenie ktorého stačí len inštalácia dostatočného množstva technických a programových bezpečnostných prostriedkov. Neustály rast výkonnosti počítačov a rozširujúce sa využívanie internetu sú príčinou toho, že dnes sa rôzne IS prepájajú navzájom. Aj používatelia IS sú stále viac a viac závislí od rôznorodých aplikácií, sietí a s tým súvisiacich služieb a je len samozrejmé, že od nich očakávajú spoľahlivosť a bezpečnosť.

ČO JE TO BEZPEČNOSŤ ? Bezpečnosť je stav ochrany, pri ktorom možno predpokladať, že nedôjde k ohrozeniu aktív firmy alebo organizácie. Aktívum je objekt, subjekt, štruktúra, vzťah alebo proces, ktorého narušením môže hodnotený systém utrpieť stratu. Aktíva môžu byť hmotné a nehmotné: budovy, peniaze, hardvér, softvér, nosiče informácií, na nich uložené informácie, komunikačná technika, kancelárska technika, dokumenty v papierovej a elektronickej podobe, dodávateľská podpora, kritické osoby potrebné na prevádzku spoločnosti, identifikačné prostriedky, bezpečnostné prostriedky, peniaze, dobré meno, kredit a pod.

ČO JE TO BEZPEČNOSTNÁ POLITIKA ? Bezpečnostná politika je obvykle široko koncipovaný súhrn pravidiel a postupov, ktoré určujú spôsob správy, ochrany a distribúcie citlivých informácií, dát a iných zdrojov vo firme alebo organizácii. Je to súbor kritérií pre aplikáciu služieb bezpečnosti. Systémová bezpečnostná politika je dokument, v ktorom je definovaný systém, bezpečnostné požiadavky naň, bezpečnostné opatrenia a zodpovednosť za ne. Je to súbor zákonov, pravidiel a praktík, ktorý stanovuje spôsob správy, ochrany a distribúcie citlivej informácie a ďalších zdrojov v systéme.

POUŽÍVATEĽ INFORMAČNÉHO SYSTÉMU - dôležitý prvok informačnej bezpečnosti Povinnosti používateľa IS: Používatelia by si mali v súlade so svojimi aktivitami a úlohami uvedomovať svoje bezpečnostné riziká a poznať k nim zodpovedajúce preventívne opatrenia, preberať za ne zodpovednosť a prijímať kroky na zvyšovanie bezpečnosti IS. Uvedomenie si rizík a možnosti ochrany, ktorá je k dispozícii, predstavujú prvú líniu ochrany bezpečnosti IS. Zodpovednosť používateľa IS: Každý z používateľov by mal niesť zodpovednosť, ktorá zodpovedá jeho individuálnym úlohám a všetci používatelia IS by sa mali pravidelne zaoberať legislatívnymi a všeobecnými štandardmi a bezpečnostnými zásadami, mechanizmami, praktikami, opatreniami a postupmi a pravidelne vyhodnocovať ich vhodnosť v rámci daného IS. K tomuto účelu by im mal slúžiť kontrolný nástroj v podobe analýzy rizík.

PROCESY BEZPEČNOSTNEJ POLITIKY Analýza rizík Bezpečnostný audit Zabezpečenie kontinuity funkcií

ANALÝZA RIZÍK Prostredníctvom procesu analýzy rizík sa zisťujú hrozby, pravdepodobnosti ich realizácie, zraniteľnosť aktív, riziká a navrhujú sa opatrenia na zmiernenie detekovaného rizika alebo odstránenie hrozieb. Ohodnotenie rizík je základným blokom, ktorý pomôže odhaliť možné prevádzkové hrozby vyplývajúce z prerušenia chodu spoločnosti a ich finančné dopady. Vykonanie analýzy rizík je nevyhnutným predpokladom pre určenie správnej stratégie obnovy. Analýza rizík sa vykonáva na základe údajov získaných od garantov aktív. Informácie sa väčšinou získavajú prostredníctvom dotazníkov analýzy rizík. Špecialisti na analýzu rizík musia preskúmať dáta obsiahnuté v dotazníkoch z hľadiska komplexnosti a konzistencie, a ak je to potrebné vyžiadať si doplňujúce informácie. Výstupom analýzy rizík je katalóg funkčných rizík a detailná analýza rizík, ktorá mapuje zraniteľnosť vytypovaných aktív a komponentov informačného systému. Tieto dokumenty obsahujú zoznam informácií o možných hrozbách, pravdepodobnosti ich výskytu a odporúčaných protiopatreniach.

DETAILNÁ ANALÝZA RIZÍK Účelom detailnej analýzy rizík je rozhodnúť o riadení rizika. Pre každé identifikované riziko je potrebné určiť ako sa s ním podnik alebo spoločnosť vysporiada. Na základe zákonných požiadaviek štátnych orgánov, hodnoty aktíva a jeho dôležitosti a na základe možných negatívnych dopadov pri strate aktíva a nákladoch na jednotlivé riešenia je potrebné sa rozhodnúť o niektorej z nasledovných možností riadenia rizík: akceptovanie rizika – akceptovanie súčasného stavu bez akejkoľvek zmeny bezpečnostných opatrení. Opatrením na zmiernenie strát je napr. poistenie. To síce poskytne finančnú kompenzáciu, ale neposkytne ochranu pred stratou dôvery a dobrého mena a prípadnými sankciami štátnych orgánov. prenesenie procesu – transfer procesu na iný subjekt, napr. externú spoločnosť spolu so zodpovednosťou za kontinuitu procesu. riadenie rizika – implementácia takých bezpečnostných opatrení, ktoré znížia pravdepodobnosť realizácie hrozby. Riadením rizika je aj zmena alebo ukončenie poskytovania služby alebo produktu.

RIADENIE RIZIKA Cieľom riadenia rizika je implementácia takých bezpečnostných opatrení, ktoré eliminujú zistené riziká a tým zabezpečia dostupnosť, dôvernosť a integritu aktív podniku alebo organizácie. Určitá pravdepodobnosť, že sa hrozba zrealizuje, existuje aj napriek riadeniu rizika. Okrem toho pravdepodobnosť výskytu alebo realizácie niektorých hrozieb nemožno ovplyvniť. Pre tieto prípady sa zostavujú plány kontinuity funkcií – havarijné plány.

KATALÓG FUNKČNÝCH RIZÍK Katalóg funkčných rizík, ako jeden z výstupných produktov analýzy rizík, je podkladom pre návrh bezpečnostnej doktríny, bezpečnostnej architektúry a manuálu bezpečnosti.

BEZPEČNOSTNÝ AUDIT Bezpečnostný audit je špecializovaným procesom, ktorý slúži na skvalitnenie a racionalizáciu informačnej podpory podniku alebo organizácie. Kvalitne vykonaný audit prináša manažmentu podniku zrozumiteľný a plastický obraz reálneho fungovania informačných technológií a jeho porovnanie so stavom konkurencie. Znalosť skutočného stavu umožní následne zadať konkrétne ciele v rámci podnikovej informačnej a bezpečnostnej stratégie a súčasne vymedziť optimálny objem a štruktúru prostriedkov pre ich dosiahnutie.

ZABEZPEČENIE KONTINUITY FUNKCIÍ Všetky informačné systémy musia byť pred uvedením do prevádzky podrobené analýze rizík, aby sa dosiahla zhoda medzi požiadavkami spoločnosti na funkčnosť systému a úrovňou obnoviteľnosti kritických funkcií spoločnosti. Analýza musí byť zameraná na identifikáciu rizík a možnosti redukcie ich dopadov a vykonanie možných opatrení. Musia byť vypracované plány kontinuity funkcií a havarijné plány  obsahujúce plány obnovy po havárii. Cykly zálohovania a archivácie dát musia podporovať kontinuitu a integritu všetkých služieb. Všetky kritické údajové súbory musia byť zálohované tak, aby bola zaručená obnova kritických funkcií spoločnosti v súlade s požadovanou dobou obnovy. Záložné kópie musia byť uložené na miestach rozdielnych od štandardných prevádzkových priestorov.

RIADIACE DOKUMENTY BEZPEČNOSTNEJ POLITIKY Cieľ: Zabezpečiť jednotnú metodiku správy a výkonu bezpečnosti spoločnosti. Typy riadiacich dokumentov: Bezpečnostná doktrína Bezpečnostná architektúra Manuál bezpečnosti Bezpečnostné mechanizmy Technické špecifikácie Legislatíva SR Bezpečnostné štandardy Praktiky Procedúry

BEZPEČNOSTNÁ DOKTRÍNA Cieľ dokumentu: Bezpečnostná doktrína je základným bezpečnostným dokumentom podniku alebo spoločnosti, v ktorom sú deklarované jej strategické ciele a požiadavky v oblasti bezpečnosti a ochrany aktív. Doktrína stanovuje základné bezpečnostné ciele, požiadavky, zásady, zodpovednosť, opatrenia a spôsoby ich realizácie pre adekvátnu ochranu rizikových aktív spoločnosti a minimalizáciu možných strát. Obsahom bezpečnostnej doktríny je bezpečnostná politika a bezpečnostné ciele.

BEZPEČNOSTNÁ POLITIKA Vo všeobecnosti bezpečnostná politika pokrýva nasledujúce oblasti bezpečnosti: Bezpečnosť informačného systému, informačných technológií a dátových sietí. Fyzická a režimová bezpečnosť. Požiarna ochrana. Personálna bezpečnosť. Právna a legislatívna bezpečnosť. Finančná bezpečnosť. Ochrana utajovaných skutočností. Civilná ochrana. Bezpečnosť a ochrana zdravia pri práci. Ekologická bezpečnosť. Bezpečnostný manažment. Havarijné plánovanie a manažment. Národná bezpečnosť.

BEZPEČNOSTNÉ CIELE Bezpečnostné ciele stanovujú základné smerovanie bezpečnostných aktivít v jednotlivých oblastiach bezpečnosti. Bezpečnostné ciele sú určované v dvoch rovinách: minimalizácia možnosti narušenia aktív, minimalizácia možných strát pri narušení aktív.

BEZPEČNOSTNÁ ARCHITEKTÚRA Bezpečnostná architektúra definuje vývoj, výber a implementáciu konkrétnych technológií realizujúcich požadované bezpečnostné opatrenia pomocou hardvérových alebo softvérových komponentov. Stratégia bezpečnostnej architektúry vychádza zo stratégie bezpečnosti určenej v  bezpečnostnej doktríne, a na základe bezpečnostných cieľov a politiky, definuje požiadavky na bezpečnostnú úroveň, bezpečnostné štandardy a na kvalitu bezpečnostných mechanizmov. Zároveň definuje stratégiu, zásady a spôsob implementácie bezpečnostných mechanizmov do jednotlivých prostredí. Bezpečnostná architektúra je bezpečnostný dokument vytvorený na základe požiadaviek bezpečnostnej doktríny pre oblasť technických opatrení. Obsahuje špecifikáciu bezpečnostných opatrení a ich implementáciu do prostredí. Bezpečnostná architektúra je technologicky nezávislá a jej cieľom je stanoviť vhodné mechanizmy a opatrenia pre implementáciu bezpečnostných funkcií.

MANUÁL BEZPEČNOSTI Manuál bezpečnosti je bezpečnostným dokumentom, ktorý uvádza a popisuje implementačné a prevádzkové praktiky a procedúry, ktoré je nutné dôsledne vykonávať v každodennej praxi každým zamestnancom spoločnosti pre zabezpečenie ochrany hmotných i nehmotných aktív spoločnosti, vrátane informačných systémov a údajov. Manuál bezpečnosti definuje organizačné opatrenia - praktiky, pracovné procedúry a postupy, ktorých cieľom je zvýšenie bezpečnosti spoločnosti. Úlohou navrhnutých praktík, pracovných procedúr a postupov je minimalizovať dopady rizík, ktoré môžu ohroziť aktíva spoločnosti a zabezpečiť zavedenie takých organizačných a procedurálnych opatrení, ktoré zabezpečia ochranu a bezpečnosť týchto aktív.

BEZPEČNOSTNÉ MECHANIZMY Bezpečnostné mechanizmy sú techniky použité na implementáciu bezpečnostných funkcií alebo ich častí. Sú to opatrenia alebo algoritmy implementované v hardvérovej alebo softvérovej podobe.

PRÍKLAD BEZPEČNOSTNÉHO MECHANIZMU Autentizácia heslom Autentizácia používateľov je nutná tam, kde to citlivosť procesu vyžaduje a úroveň režimových opatrení umožňuje a je založená na princípe identifikácie a poznania hesla. Požiadavky na bezpečnostný mechanizmus: znalosť hesla výlučne používateľom, možnosť používať v hesle alfanumerické a špeciálne znaky, možnosť vynútenej zmeny hesla po stanovenej časovej perióde, možnosť nastavenia počtu nesprávnych zadaní hesla s následným zablokovaním prístupu, alebo časovým oneskorením ďalšieho prihlásenia, vynútená zmena hesla po prvom prihlásení, možnosť voliteľnej zmeny hesla, nezobrazovanie hesla v čitateľnej podobe, prenos a ukladanie hesiel len v chránenej (šifrovanej) podobe, ukladanie hesiel v systéme výlučne v tvare hash kódu, ktorý bude použitý na porovnanie správnosti zadaného hesla, možnosť zamedzenia viacnásobného opakovania (použitia tých istých ) hesiel po sebe, možnosť automatickej kontroly dodržiavania pravidiel konštrukcie hesiel, povinnosť po zadaní hesla potvrdiť správnosť zadania (napríklad klávesou Enter),

TECHNICKÉ ŠPECIFIKÁCIE Technické špecifikácie určujú technické požiadavky na bezpečnostné mechanizmy a spôsob umiestnenia bezpečnostných mechanizmov v identifikovaných prostrediach spoločnosti. Bezpečnostné systémy musia byť vyberané na základe kritérií stanovených bezpečnostnou architektúrou spoločnosti.

LEGISLATÍVA SR Zákon č. 428/2002 Z. z. o ochrane osobných údajov v informačných systémoch Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov Zákon č. 300/2005 Z. z. Trestný zákon Zákon č. 618/2003 Z. z. o autorskom práve a právach súvisiacich s autorským právom

BEZPEČNOSTNÉ ŠTANDARDY ŠTANDARD: ISO 17799 – je množinou najlepších postupov (best practicies), ktorými sú eliminované riziká pôsobiace na informačný systém. ŠTANDARD: ISO/IEC TR 13 335 – jeho cieľom je poskytnúť organizáciám a manažmentom návod ako pristupovať k tvorbe a realizácii bezpečnosti informačných systémov. ŠTANDARD: Trusted Computer Evaluation Criteria (TCSEC) - definuje množinu kritérií pre tvorbu a hodnotenie systémov. ŠTANDARD: ISO/IEC 15408 Common Criteria - hodnotí produkt informačného systému, samotný systém alebo jeho časť. Platné slovenské a medzinárodné štandardy týkajúce sa bezpečnosti môžu byť doplnené internými bezpečnostnými štandardami spoločnosti.

BEZPEČNOSTNÉ ŠTANDARDY ISO/IEC 9796: Information technology – Security techniques – Digital signature scheme giving message recovery. ISO/IEC 9797: Information technology – Security techniques – Data integrity mechanism using a cryptographic check function employing a block cipher algorithm. ISO/IEC 9798-1: Information technology – Security techniques – Entity authentication mechanisms – Part 1: General model. ISO/IEC 9798-2: Information technology – Security techniques – Entity authentication mechanisms – Part 2: Mechanisms using symmetric encipherment algorithms. ISO/IEC 9798-3: Information technology – Security techniques – Entity authentication mechanisms – Part 3: Entity authentication using a public key algorithm.

BEZPEČNOSTNÉ PRAKTIKY Praktiky definované v manuále bezpečnosti formálne popisujú bezpečnostné procesy, ktoré je potrebné vo všeobecnosti dodržiavať v spoločnosti bez ohľadu na použité technológie a miestne podmienky. Vzhľadom na podmienku technologickej nezávislosti, praktiky neobsahujú detailné pracovné postupy pre prevádzku a správu aktív. Praktiky musia byť rozpracované v procedúrach pre konkrétne prostredia v závislosti na implementovaných bezpečnostných mechanizmoch.

BEZPEČNOSTNÉ PROCEDÚRY Procedúry sú detailne, krok za krokom rozpísané praktiky určené zamestnancom spoločnosti, ktorí pri svojej práci využívajú bezpečnostné a informačné technológie, alebo majú v pracovnej náplni ich správu. Procedúry sú prispôsobené miestnym podmienkam a potrebám. Procedúry sú prijímané formou interných vykonávacích predpisov, smerníc alebo pokynov spoločnosti a sú určené jej pracovníkom pri používaní, správe a prevádzke komponentov aktív, v ktorých sú na konkrétne podmienky rozpracované praktiky.