Upload
solana
View
38
Download
0
Embed Size (px)
DESCRIPTION
Obsah dnešnej prezentácie: Normy a predpisy týkajúce sa informačnej bezpečnosti Ochrana rôznych druhov tajomstiev Národný Bezpečnostný Úrad Celosvetový vývoj bezpečnostných štandardov a stav na Slovensku Štandard Orange Book Štandardy ISO 17799 a BS 7799 Common Criteria - PowerPoint PPT Presentation
Citation preview
Obsah dnešnej prezentácie:
• Normy a predpisy týkajúce sa informačnej
bezpečnosti
• Ochrana rôznych druhov tajomstiev
• Národný Bezpečnostný Úrad
• Celosvetový vývoj bezpečnostných
štandardov a stav na Slovensku
• Štandard Orange Book
• Štandardy ISO 17799 a BS 7799
• Common Criteria
• Prehľad hodnotení operačných systémov
štandardom CC
Právne normy a predpisy týkajúce sa informačnej bezpečnosti
Zákon č. 241/2001 Z.z.
• utajovaná skutočnosťutajovaná skutočnosť a jej stupne utajenia (PT, T, D, V)
• informácia – obsah el., elmag., eln., fyz. transportného
média
• § 53 – Certifikácia systémových prostriedkov
Certifikované systémové prostriedky: OS, DS, produkty pre
počítačové siete, produkty pre email, firewally...
• § 63 – Certifikačná autorita
Právne normy a predpisy týkajúce sa informačnej bezpečnosti
Vyhláška NBÚ č. 90/2002 Z.z.
• § 10 BIS
Prevádzkovateľ
Úloha správcu IS:
• Správa systému a jeho zdrojov
Úlohy bezpečnostného správcu:• Prideľovanie bezpečnostných práv• Správa autentizačných a autorizačných funkcií• Záznamy o činnosti IS• Správy o neoprávnených manipuláciach IS
PT, T, D – nepretržité vedenie záznamu o činnosti IS
Správcu informačného systému
Bezpečnostného správcu
Právne normy a predpisy týkajúce sa informačnej bezpečnosti
Vyhláška NBÚ č. 91/2002 Z.z. - podrobnosti o šifrovaní informácií
Zákon č. 215/2002 Z.z. – o elektronickom podpise
Vyhláška NBÚ č. 537/2002 Z.z.• formát a vyhodnotenie elektronického podpisu• spôsob zverejňovania verejného kľúča• postup overenia elektronického podpisu• formát časovej pečiatky a spôsob jej vyhodnotenia
Vyhlášky NBÚ č. 538/2002 Z.z. - č. 542/2002 Z.z.• formát a obsah kvalifikovaného certifikátu
• požiadavky na bezpečné zariadenia na vyhotovenie časovej
pečiatky a na elektronický podpis na produkty
• dokumentácia CA
• podmienky na poskytnutie akreditovaných certifikačných služieb
a požiadavky na audit...
Ochrana rôznych druhov tajomstiev
Informácie, ktorých prístup je verejnosti obmedzený podliehajú:• štátnemu tajomstvu (zákon č. 100/1996 Z.z.)• obchodnému tajomstvu (zákon č. 513/1991 Z.z.)• bankovému tajomstvu (zákon č. 21/1992 Z.z.)• ochrane osobných údajov v IS (zákon č. 52/1998 Z.z.)
Štátne tajomstvoInformácie dôležité pre:
• obranu a bezpečnosť štátu• medzinárodné styky• hospodárske záujmy
Predmet štátneho tajomstva zoznamochŠtátne tajomstvo – PT
Okruh osôb, ktorý môže prichádzať do styky s informáciamiZákaz kopírovania a iného rozmnožovania
Ochrana rôznych druhov tajomstiev
Obchodné tajomstvo
Podľa § 17 obchodného zákonníka ho tvoria skutočnosti:• obchodnej, výrobnej a technickej povahy• so skutočnou alebo potenciálnou hodnotou• ktoré nie sú bežne dostupné
Neprezradenie obchodného tajomstva:
Výnimkou sú informácie:• týkajúce sa kultúrneho a prírodného dedičstva• o znečistení životného prostredia• týkajúce sa verejných financií, prostriedkov a majetku štátu• o štátnej pomoci
na podnikateľovi
definované vo vnútorných predpisoch
Ochrana rôznych druhov tajomstiev
Bankové tajomstvo
• dôverné informácie o klientoch
KB nie je
NBS, Eximbanka je
§ 22 zákona o bankách• povinnosť banky každý rok overiť spoľahlivosť IS
• zabezpečenie ochrany informácií pred zneužitím, zničením,
stratou...
• nejednoznačnosť zákona
povinná zachovávať obchodné tajomstvo zo zákona
Ochrana rôznych druhov tajomstiev
Ochrana osobných údajov
• informácie súkromného charakteru
• možno ich sprístupniť ak:
• tak ustanovuje zákon
• písomný súhlas
• zodpovednosť za ochranu informácií - každý kto
s nimi pracuje
• porušenie – pokuta 500.000 Sk
• výnimka – osobné údaje fyzických osôb v
registroch
Národný bezpečnostný úrad
Národný Bezpečnostný Úrad
- pôsobnosť začala dňom 1.11.2001
• ústredný orgán štátnej správy na ochranu utajovaných
skutočností a šifrovanú ochranu
Hlavnou úlohou je zabezpečenie bezpečnosti:• personálnej - BP• fyzickej• administratívnej• objektovej • priemyselnej - BP• šifrovanú ochranu informácií• technických prostriedkov
Národný bezpečnostný úrad
NBÚ pôsobí na úsekoch: • ochrana utajovaných skutočnosti
• ochrana zahraničných informácií
• šifrovaná ochrana informácií
Úsek ochrany utajovaných skutočností
• kontrola v štátnych orgánoch, obciach, právnických
osobách
• BP navrhovanej osoby
• BP právnickej osoby o priemyselnej bezpečnosti
• certifikácia technických prostriedkov
Národný bezpečnostný úrad
Úsek ochrany zahraničných informácií
• ochrana utajovaných skutočností v rozsahu stanovenom
medzinárodnými zmluvami
• centrálny register
Úsek šifrovanej ochrany informácií
• funkcia ústredného šifrovacieho orgánu SR
• kontrola bezpečnosti šifrovania
Bezpečnostné previerky
navrhovanej osoby
právnickej osoby
Národný bezpečnostný úrad
BP navrhovanej osoby• cieľ – spĺňa osoba podmienky pre prácu s utajovanými skutočnosťami ?
BP podľa stupňa utajenia:• BP 1. Stupňa pre stupeň utajenia V• BP 2. Stupňa pre stupeň utajenia D• BP 3. Stupňa pre stupeň utajenia T• BP 4. Stupňa pre stupeň utajenia PT
Vyjadrenie o spôsobilosti – do 60 dní
Záporné rozhodnutie:
• ak osoba nespĺňa predpoklady
• osoba uviedla nepravdivé alebo neúplne informácie
!!! BP končí bez vyjadrenia !!!
Odvolanie sa proti zápornému rozhodnutiu – do 30 dní
Národný bezpečnostný úrad
BP právnickej osoby
• cieľ – spĺňa firma podmienky priemyselnej bezpečnosti ?
• NBÚ si môže vyžiadať vyjadrenie SIS, PZ, vojenského
spravodajstva
• právnická osoba je povinná sprístupniť potrebné
informácie NBÚ
Nároky kladené na právnickú osobu:• spôsobilá zabezpečiť ochranu utajovanej skutočnosti• ekonomicky stabilná• personálne stabilná
!!! Dôvody nevydania sa neuvádzajú !!!
Platnosť – 5 rokov
Celosvetový vývoj bezpečnostných štandardov a stav na Slovensku
Celosvetový vývoj bezpečnostných štandardov a stav na Slovensku
Stav na Slovensku
V štátnej správe - preklad ITSEC – HKBIT
Mimo štátnej správy – očakáva sa schválenie CC
Audit BIS – nie je známa štátom riadená inštitúcia
Vznikajú profesné združenia:
• SAIB
• ASIT
Určitý druh štátnej záruky v podobe 3 súdnych znalcov v odbore BIS (ministerstvo spravodlivosti)
Orange Book
TCSEC – Orange Book
• bezpečnosť systému schopnosť zabrániť úniku údajov
• štyri skupiny bezpečnosti
A B C D
bezpečnosť
Skupina D – žiadne prvky bezpečnosti
Skupina C – nepovinná definícia prístupových práv
Skupina B - povinná definícia prístupových práv a klasifikácia dát podľa stupňa ochrany dát
Skupina A – prevedený formálny dôkaz správnosti prvkov bezpečnosti
Orange Book
Požiadavky kladené na IS:
Bezpečnostné smernice
• stratégia bezpečnosti
• označovanie pomocou tried
Zodpovednosť
• identifikácia
• zodpovednosť
Zabezpečenie
• zabezpečenie
• nepretržitá ochrana
Orange Book
Skupiny bezpečnosti A, B, C, D sa delia na triedy bezpečnosti A1, B3, B2, B1, C2, C1, D
Trieda D (minimálna ochrana)• všetky systémy, ktoré nevyhoveli požiadavkám vyšších tried
Trieda C1 (zabezpečenie ochrany výberom)• výberová ochrana oddelenie užívateľov a dát• všetky dáta majú rovnakú úroveň utajenia• vynútenie obmedzenia prístupu k dátam
Orange Book
Trieda C2 (ochrana riadeným prístupom) • plná zodpovednosť užívateľa• zaznamenávanie významných udalosti narušenia bezpečnosti
Trieda B1 (ochrana bezpečnosti návestím)• povinné označovanie dát návestím – stupeň utajenia• povinné riadenie prístupu k objektom
Trieda B2 (štruktúrovaná ochrana)• systém relatívne odolný proti prienikom• analyzované skryté pamäťové kanály • chránená cesta pre uskutočňovanie prihlasovacej procedúry• testovaná implementácia
Orange Book
Trieda B3 (bezpečnostné zóny)
• vysoko odolný proti prienikom
• bezpečné zotavenie IS po výpadku (realizuje
bezpečnostný správca)
• preverovacie mechanizmy signalizujúce udalosti
významné z hľadiska bezpečnosti
Trieda A1 (verifikovaná ochrana)
• ekvivalentné so systémom B3
• dosiahnutie vysokého stupňa istoty, že je systém
správne implementovaný
Štandardy ISO 17799 a BS 7799
Dve organizácie pre vydávanie noriem:
• BSi
• ISO
ISO 17799 • komplexný súbor opatrení k zaisteniu bezpečnosti
informačných systémov
• zbierka doporučení, ktoré môže aplikovať každá
organizácia bez ohľadu na veľkosť a odbor
• prijal prvú časť a vynecháva druhú časť štandardu
BS7799
• flexibilný
• technicky neutrálny
Štandardy ISO 17799 a BS 7799
Desať regulačných oblastí štandardu ISO 17799:
1. Bezpečnostná politika
2. Bezpečnostný útvar
3. Evidencia a klasifikácia aktív
4. Personálna bezpečnosť
5. Fyzická bezpečnosť a bezpečnosť prostredia
6. Riadenie komunikácií a prepravy
7. Riadenie prístupu
8. Vývoj a údržba systémov
9. Riadenie kontinuity podniku
10. Dodržiavanie štandardu
Štandardy ISO 17799 a BS 7799
Prínosy v certifikovanom podniku:
• zlepšená bezpečnosť podniku
• bezpečnejšie partnerské vzťahy a
elektronické obchodovanie
• vyššia dôvera zákazníkov
• presnejšie a spoľahlivejšie
bezpečnostné audity
• znížené riziká
Common Criteria
Common Criteria• spoločná medzinárodná norma
Vychádza z cieľa:
• vytvoriť jednotné medzinárodné kritérium pre BIS
• možnosť medzinárodného vzájomného uznávania
• možnosť medzinárodnej spolupráce vývojárov
TOE (Target Of Evaluation) – predmet hodnotenia
Common Criteria
Požiadavky na bezpečnostné funkcie - 11 tried:
• FAU (Security Audit) – bezpečnostný audit
• FCO (Communication) - komunikácia
• FCS (Cryptographic Support) - kryptografická podpora
• FDP (User Data Protection) - ochrana dát užívateľov
• FIA (Identification and Authentication) – identifikácia
autentizácie,
• FMT (Security Management) - manažment bezpečnosti
• FPR (Privacy) - súkromie
• FPT (Protection of TSF) - ochrana TSF
• FRU (Resource Utilisation) - použitie zdrojov
• FTA (TOE Access) - prístup k TOE,
• FTP (Trusted Path/Channel) - bezpečný komunikačný
kanál
Common Criteria
Charakteristiky EAL1
• požaduje sa bezchybný chod HP (hodnoteného produktu)
• hrozby nie sú posudzované ako závažné
• hodnotenie
• sa prevádza bez spoluúčasti a bez pomoci vývojára
• vyžaduje vynaloženie minimálnych nákladov
Charakteristiky EAL2
• požaduje sa kooperácia s vývojárom HP
• nekladú sa požiadavky na podstatné zvýšenie finančných
a časových nákladov
• požaduje sa malá až priemerná úroveň bezpečnosti
• napr. podnikového účtovníctva
• vhodná EAL pre prípady, kde je vývojár dostupný
obmedzene
Common Criteria
Charakteristiky EAL3
• maximálne vysoká úroveň záruky bezpečnosti HP bez toho aby
vývojár podstatne menil svoje dobré vývojové návyky
• EAL, v ktorých vývojár a užívateľ
• požadujú získanie nezávisle vyslovenej priemernej úrovne
záruky bezpečnosti
• nechcú prevádzať rozsiahli reinžiniering
Charakteristiky EAL4
• EAL kde vývojár a užívateľ
• požadujú priemernú až vysokú úroveň bezpečnosti
• sú oboznámení s vynaložením dodatočných nákladov
• pri návrhu sa použiteľne použilo bezpečnostné inžinierstvo
Common Criteria
Charakteristiky EAL5
• maximálne vysoká úroveň záruky bezpečnosti
• EAL vhodná pre podmienky, v ktorých vývojár alebo
používateľ nechcú uhradiťbezdôvodne zvýšené náklady na
použitie špeciálnych bezpečnostných technik
Charakteristiky EAL6
• úroveň záruky bezpečnosti umožňujúci vytvárať systémy
vykonávané vo vysoko rizikových prostrediach
• EAL vhodná pre vývoj bezpečných produktov kde hodnota
chránených aktív ospravedlňuje dodatočné vyššie náklady
Common Criteria
Charakteristiky EAL7
• EAL použiteľná pre vývoj bezpečných produktov určených pre
prevádzkovanie vo vysoko rizikových prostrediach, kde vysoká
hodnota aktív ospravedlňuje vynaloženie vyšších nákladov
• produkty alebo systémy s úzko zameranou bezpečnostnou
funkcionalitou, ktorú možno rozsiahle analyzovať formálne
Porovnanie tried jednotlivých štandardov:
http://alfa.intrak.tuke.sk/~magur/BIS/
Prehľad hodnotení operačných systémov štandardom CC