1 / 30

Obsah dnešnej prezentácie: Normy a predpisy týkajúce sa informačnej bezpečnosti

Obsah dnešnej prezentácie: Normy a predpisy týkajúce sa informačnej bezpečnosti Ochrana rôznych druhov tajomstiev Národný Bezpečnostný Úrad Celosvetový vývoj bezpečnostných štandardov a stav na Slovensku Štandard Orange Book Štandardy ISO 17799 a BS 7799 Common Criteria

solana
Download Presentation

Obsah dnešnej prezentácie: Normy a predpisy týkajúce sa informačnej bezpečnosti

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Obsah dnešnej prezentácie: • Normy a predpisy týkajúce sa informačnej • bezpečnosti • Ochrana rôznych druhov tajomstiev • Národný Bezpečnostný Úrad • Celosvetový vývoj bezpečnostných • štandardov a stav na Slovensku • Štandard Orange Book • Štandardy ISO 17799 a BS 7799 • Common Criteria • Prehľad hodnotení operačných systémov • štandardom CC

  2. Právne normy a predpisy týkajúce sa informačnej bezpečnosti • Zákon č. 241/2001 Z.z. • utajovaná skutočnosť a jej stupne utajenia (PT, T, D, V) • informácia – obsah el., elmag., eln., fyz. transportného • média • §53 – Certifikácia systémových prostriedkov • Certifikované systémové prostriedky: OS, DS, produkty pre • počítačové siete, produkty pre email, firewally... • § 63 – Certifikačná autorita

  3. Právne normy a predpisy týkajúce sa informačnej bezpečnosti • Vyhláška NBÚ č. 90/2002 Z.z. • § 10 BIS • Prevádzkovateľ • Úloha správcu IS: • Správa systému a jeho zdrojov • Úlohy bezpečnostného správcu: • Prideľovanie bezpečnostných práv • Správa autentizačných a autorizačných funkcií • Záznamy o činnosti IS • Správy o neoprávnených manipuláciach IS • PT, T, D – nepretržité vedenie záznamu o činnosti IS Správcu informačného systému Bezpečnostného správcu

  4. Právne normy a predpisy týkajúce sa informačnej bezpečnosti • Vyhláška NBÚ č. 91/2002 Z.z. • - podrobnosti o šifrovaní informácií • Zákon č. 215/2002 Z.z. – o elektronickom podpise • Vyhláška NBÚ č. 537/2002 Z.z. • formát a vyhodnotenie elektronického podpisu • spôsob zverejňovania verejného kľúča • postup overenia elektronického podpisu • formát časovej pečiatky a spôsob jej vyhodnotenia • Vyhlášky NBÚ č. 538/2002 Z.z. - č. 542/2002 Z.z. • formát a obsah kvalifikovaného certifikátu • požiadavky na bezpečné zariadenia na vyhotovenie časovej • pečiatky a na elektronickýpodpis na produkty • dokumentácia CA • podmienky na poskytnutie akreditovaných certifikačných služieb • a požiadavky na audit...

  5. Ochrana rôznych druhov tajomstiev • Informácie, ktorých prístup je verejnosti obmedzený podliehajú: • štátnemu tajomstvu (zákon č. 100/1996 Z.z.) • obchodnému tajomstvu (zákon č. 513/1991 Z.z.) • bankovému tajomstvu (zákon č. 21/1992 Z.z.) • ochrane osobných údajov v IS (zákon č. 52/1998 • Z.z.) • Štátne tajomstvo • Informácie dôležité pre: • obranu a bezpečnosť štátu • medzinárodné styky • hospodárske záujmy • Predmet štátneho tajomstva  zoznamoch • Štátne tajomstvo – PT • Okruh osôb, ktorý môže prichádzať do styky sinformáciami • Zákaz kopírovania a iného rozmnožovania

  6. Ochrana rôznych druhov tajomstiev • Obchodné tajomstvo • Podľa §17 obchodného zákonníka ho tvoria skutočnosti: • obchodnej, výrobnej a technickej povahy • so skutočnou alebo potenciálnou hodnotou • ktoré nie sú bežne dostupné • Neprezradenie obchodného tajomstva: • Výnimkou sú informácie: • týkajúce sa kultúrneho a prírodného dedičstva • o znečistení životného prostredia • týkajúce sa verejných financií, prostriedkov a majetku štátu • o štátnej pomoci na podnikateľovi definované vo vnútorných predpisoch

  7. Ochrana rôznych druhov tajomstiev • Bankové tajomstvo • dôverné informácie o klientoch • KB nie je • NBS, Eximbanka je • § 22 zákona o bankách • povinnosť banky každý rok overiť spoľahlivosť IS • zabezpečenie ochrany informácií pred zneužitím, zničením, • stratou... • nejednoznačnosť zákona povinná zachovávať obchodné tajomstvo zo zákona

  8. Ochrana rôznych druhov tajomstiev • Ochrana osobných údajov • informácie súkromného charakteru • možno ich sprístupniť ak: • tak ustanovuje zákon • písomný súhlas • zodpovednosť za ochranu informácií - každý kto • s nimi pracuje • porušenie – pokuta 500.000 Sk • výnimka – osobné údaje fyzických osôb v • registroch

  9. Národný bezpečnostný úrad Národný Bezpečnostný Úrad -pôsobnosť začala dňom 1.11.2001 • ústredný orgán štátnej správy na ochranu utajovaných • skutočností a šifrovanú ochranu • Hlavnou úlohou je zabezpečenie bezpečnosti: • personálnej - BP • fyzickej • administratívnej • objektovej • priemyselnej - BP • šifrovanú ochranu informácií • technických prostriedkov

  10. Národný bezpečnostný úrad • NBÚ pôsobí na úsekoch: • ochrana utajovaných skutočnosti • ochrana zahraničných informácií • šifrovaná ochrana informácií • Úsek ochrany utajovaných skutočností • kontrola v štátnych orgánoch, obciach, právnických • osobách • BP navrhovanej osoby • BP právnickej osoby o priemyselnej bezpečnosti • certifikácia technických prostriedkov

  11. Národný bezpečnostný úrad • Úsek ochrany zahraničných informácií • ochrana utajovaných skutočností v rozsahu stanovenom • medzinárodnými zmluvami • centrálny register • Úsek šifrovanej ochrany informácií • funkcia ústredného šifrovacieho orgánu SR • kontrola bezpečnosti šifrovania • Bezpečnostné previerky navrhovanej osoby právnickej osoby

  12. Národný bezpečnostný úrad • BP navrhovanej osoby • cieľ – spĺňa osoba podmienky pre prácu s utajovanými • skutočnosťami ? • BP podľa stupňa utajenia: • BP 1. Stupňa pre stupeň utajenia V • BP 2. Stupňa pre stupeň utajenia D • BP 3. Stupňa pre stupeň utajenia T • BP 4. Stupňa pre stupeň utajenia PT • Vyjadrenie o spôsobilosti – do 60 dní • Záporné rozhodnutie: • ak osoba nespĺňa predpoklady • osoba uviedla nepravdivé alebo neúplne informácie • !!! BP končí bez vyjadrenia !!! • Odvolanie sa proti zápornému rozhodnutiu – do 30 dní

  13. Národný bezpečnostný úrad • BP právnickej osoby • cieľ – spĺňa firma podmienky priemyselnej bezpečnosti ? • NBÚ si môže vyžiadať vyjadrenie SIS, PZ, vojenského • spravodajstva • právnická osoba je povinná sprístupniť potrebné • informácie NBÚ • Nároky kladené na právnickú osobu: • spôsobilá zabezpečiť ochranu utajovanej skutočnosti • ekonomicky stabilná • personálne stabilná • !!! Dôvody nevydania sa neuvádzajú !!! • Platnosť – 5 rokov

  14. Celosvetový vývoj bezpečnostných štandardov a stav na Slovensku

  15. Celosvetový vývoj bezpečnostných štandardov a stav na Slovensku • Stav na Slovensku • V štátnej správe - preklad ITSEC – HKBIT • Mimo štátnej správy – očakáva sa schválenie CC • Audit BIS – nie je známa štátom riadená inštitúcia • Vznikajú profesné združenia: • SAIB • ASIT • Určitý druh štátnej záruky v podobe 3 súdnych znalcov v odbore BIS (ministerstvo spravodlivosti)

  16. A B C D Orange Book • TCSEC – Orange Book • bezpečnosť systému  schopnosť zabrániť úniku údajov • štyri skupiny bezpečnosti bezpečnosť Skupina D – žiadne prvky bezpečnosti Skupina C – nepovinná definícia prístupových práv Skupina B - povinná definícia prístupových práv a klasifikácia dát podľa stupňa ochrany dát Skupina A – prevedený formálny dôkaz správnosti prvkov bezpečnosti

  17. Orange Book • Požiadavky kladené na IS: • Bezpečnostné smernice • stratégia bezpečnosti • označovanie pomocou tried • Zodpovednosť • identifikácia • zodpovednosť • Zabezpečenie • zabezpečenie • nepretržitá ochrana

  18. Orange Book Skupiny bezpečnosti A, B, C, D sa delia na triedy bezpečnosti A1, B3, B2, B1, C2, C1, D • Trieda D (minimálna ochrana) • všetky systémy, ktoré nevyhoveli požiadavkám vyšších • tried • Trieda C1 (zabezpečenie ochrany výberom) • výberová ochrana  oddelenie užívateľov a dát • všetky dáta majú rovnakú úroveň utajenia • vynútenie obmedzenia prístupu k dátam

  19. Orange Book • Trieda C2 (ochrana riadeným prístupom) • plná zodpovednosť užívateľa • zaznamenávanie významných udalosti narušenia • bezpečnosti • Trieda B1 (ochrana bezpečnosti návestím) • povinné označovanie dát návestím – stupeň • utajenia • povinné riadenie prístupu k objektom • Trieda B2 (štruktúrovaná ochrana) • systém relatívne odolný proti prienikom • analyzované skryté pamäťové kanály • chránená cesta pre uskutočňovanie • prihlasovacej procedúry • testovaná implementácia

  20. Orange Book • Trieda B3 (bezpečnostné zóny) • vysoko odolný proti prienikom • bezpečné zotavenie IS po výpadku (realizuje • bezpečnostný správca) • preverovacie mechanizmy signalizujúce udalosti • významné z hľadiska bezpečnosti • Trieda A1 (verifikovaná ochrana) • ekvivalentné so systémom B3 • dosiahnutie vysokého stupňa istoty, že je systém • správne implementovaný

  21. Štandardy ISO 17799 a BS 7799 • Dve organizácie pre vydávanie noriem: • BSi • ISO • ISO 17799 • komplexný súbor opatrení k zaisteniu bezpečnosti • informačných systémov • zbierka doporučení, ktoré môže aplikovať každá • organizácia bez ohľadu na veľkosť a odbor • prijal prvú časť a vynecháva druhú časť štandardu • BS7799 • flexibilný • technicky neutrálny

  22. Štandardy ISO 17799 a BS 7799 • Desať regulačných oblastí štandardu ISO 17799: • Bezpečnostná politika • Bezpečnostný útvar • Evidencia a klasifikácia aktív • Personálna bezpečnosť • Fyzická bezpečnosť a bezpečnosť prostredia • Riadenie komunikácií a prepravy • Riadenie prístupu • Vývoj a údržba systémov • Riadenie kontinuity podniku • Dodržiavanie štandardu

  23. Štandardy ISO 17799 a BS 7799 • Prínosy v certifikovanom podniku: • zlepšená bezpečnosť podniku • bezpečnejšie partnerské vzťahy a • elektronické obchodovanie • vyššia dôvera zákazníkov • presnejšie a spoľahlivejšie • bezpečnostné audity • znížené riziká

  24. Common Criteria • Common Criteria • spoločná medzinárodná norma • Vychádza z cieľa: • vytvoriť jednotné medzinárodné kritérium pre BIS • možnosť medzinárodného vzájomného uznávania • možnosť medzinárodnej spolupráce vývojárov • TOE (Target Of Evaluation) – predmet hodnotenia

  25. Common Criteria • Požiadavky na bezpečnostné funkcie - 11 tried: • FAU (Security Audit) – bezpečnostný audit • FCO (Communication) - komunikácia • FCS (Cryptographic Support) - kryptografická podpora • FDP (User Data Protection) - ochrana dát užívateľov • FIA (Identification and Authentication) – identifikácia • autentizácie, • FMT (Security Management) - manažment bezpečnosti • FPR (Privacy) - súkromie • FPT (Protection of TSF) - ochrana TSF • FRU (Resource Utilisation) - použitie zdrojov • FTA (TOE Access) - prístup k TOE, • FTP (Trusted Path/Channel) - bezpečný komunikačný • kanál

  26. Common Criteria • Charakteristiky EAL1 • požaduje sa bezchybný chod HP (hodnoteného produktu) • hrozby nie sú posudzované ako závažné • hodnotenie • • sa prevádza bez spoluúčasti a bez pomoci vývojára • • vyžaduje vynaloženie minimálnych nákladov • Charakteristiky EAL2 • požaduje sa kooperácia s vývojárom HP • nekladú sa požiadavky na podstatné zvýšenie finančných • a časových nákladov • požaduje sa malá až priemerná úroveň bezpečnosti • napr. podnikového účtovníctva • vhodná EAL pre prípady, kde je vývojár dostupný • obmedzene

  27. Common Criteria • Charakteristiky EAL3 • maximálne vysoká úroveň záruky bezpečnosti HP bez toho aby • vývojár podstatne menil svoje dobré vývojové návyky • EAL, v ktorých vývojár a užívateľ • • požadujú získanie nezávisle vyslovenej priemernej úrovne • zárukybezpečnosti • • nechcú prevádzať rozsiahli reinžiniering • Charakteristiky EAL4 • EAL kde vývojár a užívateľ • požadujú priemernú až vysokú úroveň bezpečnosti • sú oboznámení s vynaložením dodatočných nákladov • pri návrhu sa použiteľne použilo bezpečnostné inžinierstvo

  28. Common Criteria • Charakteristiky EAL5 • maximálne vysoká úroveň záruky bezpečnosti • EAL vhodná pre podmienky, v ktorých vývojár alebo • používateľ nechcú uhradiťbezdôvodne zvýšené náklady na • použitie špeciálnych bezpečnostných technik • Charakteristiky EAL6 • úroveň záruky bezpečnosti umožňujúci vytvárať systémy • vykonávané vo vysoko rizikových prostrediach • EAL vhodná pre vývoj bezpečných produktov kde hodnota • chránených aktív ospravedlňuje dodatočné vyššie náklady

  29. Common Criteria • Charakteristiky EAL7 • EAL použiteľná pre vývoj bezpečných produktov určených pre • prevádzkovanie vo vysoko rizikových prostrediach, kde vysoká • hodnota aktív ospravedlňuje vynaloženie vyšších nákladov • produkty alebo systémy s úzko zameranou bezpečnostnou • funkcionalitou, ktorúmožno rozsiahle analyzovať formálne • Porovnanie tried jednotlivých štandardov: http://alfa.intrak.tuke.sk/~magur/BIS/

  30. Prehľad hodnotení operačných systémov štandardom CC

More Related