1 / 35

MBIS – Manažment bezpečnosti informačných systémov

MBIS – Manažment bezpečnosti informačných systémov. Štandardy. Štandardy. TCSEC Trusted Computers evaluation Criteria - Oranžová kniha ITSEC Information Technology Security Evaluation Criteria - Európske kritéria British standard BS 7799 CC - Common Criteria (ISO15408).

Download Presentation

MBIS – Manažment bezpečnosti informačných systémov

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. MBIS – Manažment bezpečnosti informačných systémov Štandardy

  2. Štandardy • TCSEC Trusted Computers evaluation Criteria - Oranžová kniha • ITSEC Information Technology Security Evaluation Criteria - Európske kritéria • Britishstandard BS 7799 • CC - Common Criteria (ISO15408)

  3. Oranžová kniha – kategórie TrustedComputerSystemEvaluationCriteria • všeobecnej bezpečnostnej politiky, • prístupu a identifikovateľnosti a • oblasť záruk, • ako treba pristupovať k politike, • čo je treba poskytnúť ku kontrole pri prístupe k informáciám • ako je možné získať záruku, že tento prístup je v počítačovom systéme dostatočne prepracovaný

  4. Oranžová kniha - skupiny • bezpečnostná politika • označenie • identifikácia • zodpovednosť • záruka • nepretržitá ochrana

  5. Oranžová kniha ... • bezpečnostné smernice - stratégia bezpečnosti ... • zodpovednosť – kto, kedy, ... audit, monitorovanie systému, • zabezpečenie aprvkybezpečnosti • dokumentácia, postupy, návody, manuál...

  6. Bezpečnosť podľa TCSEC • skupina D - minimálna ochrana - boli hodnotené, ale nevyhovujú požiadavkám • skupina C - výberová ochrana - prvky a preverovacie schopnosti • skupina B - direktívna ochrana - TCB, ktorá zachováva integritu stupňa utajenia a prenáša ju spolu dátovými štruktúrami systému. • skupina A - verifikovaná ochrana - použitie metód formálnej bezpečnostnej kontroly, ktoré zaisťuje , že výberové a direktívne riadenie bezpečnosti môže efektívne ochrániť utajované informácie.

  7. Bezpečnosť podľa TCSEC • trieda C1 - zabezpečenie ochrany výberom - systém TCB spĺňa požiadavky výberovej ochrany tým, že oddeľuje užívateľov od dát, • trieda C2 - ochrana riadeným prístupom - riadením prístupu, schopnosťou zaznamenávať bezpečnostné významné udalosti a oddelením sieťových zdrojov, • trieda B1 - ochrana bezpečnosti stupňom - označenie dát, ktoré definuje stupeň utajenia. • trieda B2 - štruktúrovaná ochrana - začlenenie objektov z hľadiska ochrany a ďalšie mechanizmy kontroly. • trieda B3 - bezpečnostné zóny - bezpečnostný monitor, signalizácia udalostí • trieda A1 - verifikovaný projekt - vysoký stupeň istoty správnej implementácie výpočtovej základne TCB, správa konfigurácie

  8. Európske kritéria ITSECInformation Technology Security Evaluation Criteria Kritériá, povoľujú výber ľubovoľných bezpečnostných funkcií a definujú sedem úrovní hodnotení označovaných ako E0 až E6, ktoré reprezentujú vzrastajúcu dôveru v schopnosť hodnoteného objektu splniť svoju špecifikáciu bezpečnosti.

  9. Európske kritéria - špecifikácia • Špecifikácia bezpečnosti • miera záruky za efektívnosť - kritériá pre hodnotenie • hodnotenie efektívnosti - vhodnosť a schopnosť funkcií presadzujúcich bezpečnosť • spôsob vývoja, t.j. konštrukcie • spôsob jeho použitia a prevádzku

  10. Európske kritéria - fázy vývoja • Vývojové prostredie - prostriedky, procedúry a štandardy pri vývoji • Prevádzková dokumentácia - prostriedky pre výmenu informácií medzi vývojovým pracovníkom a zákazníkom. • Prevádzkové prostredie - prostriedky, procedúry a štandardy, ktoré sa vzťahujú k dodávke, inštalácií a prevádzke

  11. Európske kritéria – úroveň • E0 - nedostatočnú úroveň bezpečnosti, • E1 - špecifikácia bezpečnosti a neformálny popis návrhu architektúry hodnoteného objektu. • E2 - neformálny alebo poloformálny popis detailného návrhu, testovanie bezpečnostných funkcií, konfiguračné riadenia systému,... • E3 - hodnotené zdrojové texty a/alebo schémy technického zabezpečenia alebo realizácie bezpečnostných mechanizmov... • E4 - formálny model bezpečnostnej politiky, návrh architektúry ... • E5 - úzka korešpondencia medzi detailným návrhom, zdrojovými texami a technickou dokumentáciou... • E6 - špecifikácia funkcií presadzujúcich bezpečnosť a návrh architektúry, ktorá zodpovedá modelu BP....

  12. British standard - oblasti • Definuje tri základné oblasti aplikácie bezpečnostných mechanizmov • organizačná • prevádzková a • prierezová

  13. British standard - organizačná • Bezpečnostnápolitika - ciele, rámec bezpečnostnej politiky podniku, IS ... • Organizačnábezpečnosť – riadenie v rámci podniku, pozície, incidenty ... • Klasifikácia a kontrolaaktív – hmotné a nehmotné, vlastníci, zodpovednosť

  14. British standard - prierezové • Riadenieprístupu – prístupové práva, opatrenia, zodpovednosť ... • Vývoj a údržba systému – vývoj a rozvoj systému, internými aj externými prvkami • Kontinuita prevádzky – havárie, prechod na nový systém • Súlad zo štandardami – legislatíva, medzinárodné štandardy ...

  15. British standard - prevádzková • Personálna – ľudský faktor ... • Fyzická – budovy, systém, server, komunikácia, rozvody ... • Prevádzková (logická) – postupy, zodpovednosť, zálohovanie, antivírová ochrana, skartácia ....

  16. Elementy bezpečnosti • Politika - základ všetky aspektov programu bezpečnosti, • Postupy - zabezpečenie efektívnej implementácie politiky, • Štandardy- dokumentované technické a netechnické požiadavky, • Tréning- kontinuálne vzdelávanie, • Technológia - získanie, inštaláciu, obsluhu a správa technologicky založenej ochrany.

  17. Životný cyklus • Stratégia a plánovanie - všetky tradičné zložky riešenia vývojového procesu • Implementácia a sprístupnenie - program bezpečnosti je implementovaný inkrementálne a je prioritne orientovaný • Prevádzka a audit - fáza prevádzky životného cyklu programu bezpečnosti

  18. CC – common criteria • Základným pojmom je predmet hodnotenia (TOE – Target of Evaluation) - produkt informačného systému, systém alebo jeho časť, • Cieľom TOE je overenie, či predmet splnil všetky požiadavky, uvedené v jeho špecifikácii bezpečnosti. • Okrem základných aspektov (dôvernosť, integrita a prístupnosť) sa sledujú sa aj iné aspekty napr. audit, využívanie zdrojov a iné.

  19. CC - pokračovanie • Výsledok hodnotenia bezpečnosti informačného systému je úroveňdôveryhodnosti, s akou bezpečnostné funkcie produktu spĺňajú stanovené požiadavky. • nová štruktúra kritérií, zoskupovanie bezpečnostných požiadaviek do tried, rodín a komponentov

  20. CC - zoskupovanie • Trieda (Class) • Skupina (Family) • Komponent

  21. CC - Trieda (Class) • najvšeobecnejšie zoskupenie požiadaviek bezpečnosti, • všetci členovia triedy majú spoločný zámer, rozlišujú sa v pokrytí cieľov bezpečnosti, • členmi triedy sú skupiny, resp. rodiny.

  22. CC - Skupina (Family) • zoskupenie množiny požiadaviek bezpečnosti, ktoré majú rovnaké ciele bezpečnosti, ale môžu sa líšiť v dôraze alebo prísnosti, • členmi rodiny sú komponenty

  23. CC - Komponent • špecifická, najmenšia selektovateľná množina požiadaviek bezpečnosti podľa CC, • požiadavky môžu byť zotriedené, čím reprezentujú nárast sily alebo možností požiadaviek bezpečnosti, ktoré majú spoločný cieľ

  24. FAU – monitorovanie bezpečnosti (Security Audit), • FCO – komunikácie (Communication), • FDP – ochrana údajov používateľa (User Data Protection), • FIA – identifikácia a autentifikácia (Identification and Authentication), • FPR – súkromie používateľov (Privacy), • FPT – ochrana vlastných bezpečnostných funkcií (Protection of the Trusted Security Functions), • FRU – využívanie zdrojov (Resource Utilization), • FTA – prístup k produktu (Target of Evaluation Access), • FTP – dôveryhodné spojenie (Trusted Path/Channels).

  25. Záruka (assurance) atribút odráža schopnosť bezpečnostných funkcií dodržiavať stanovenú bezpečnostnú politiku: • ACM – správa konfigurácie hodnotného produktu (Configuration Management), • ADO – dodávka a prevádzka (Delivery&Operation), • ADV – proces vývoja hodnoteného produktu (Development), • AGD – kvalita sprievodnej dokumentácie (Guidance Documents), • ALC – podpora životného cyklu (Life Cycle Supports),

  26. Záruka (assurance) atribút • ATE – kvalita testovania (Tests), • AVA – určenie zraniteľnosti hodnoteného produktu (Vulnerability Assessment), • APE – vyhodnotenie profilu ochrany (Protection Profile Evaluation), • ASE – vyhodnotenie bezpečnostného cieľa (Security Target Evaluation), • AMA – správa požiadaviek na zaručiteľnosť (Maintenance of Assurance).

  27. EAL (EvaluationAssuranceLevel) • hodnotenie objektov do 8 kvalitatívnych úrovní • sú hierarchicky usporiadané a každá reprezentuje väčšie zabezpečenie ako nižšie úrovne. • pre komponenty tej istej skupiny vo vyššej úrovni to znamená nárast ich dôležitosti pri testovaní. • pridanie nových komponentov z iných skupín odráža pridanie nových požiadaviek pre hodnotený objekt.

  28. EALx • 0 – Nedôveryhodný • 1 – Funkčne testovaný • 2 – Štrukturálne testovaný • 3 – Metodicky testovaný a overovaný. • 4 – Metodicky navrhovaný, testovaný a preskúmaný • 5 – Semi-formálne navrhovaný a testovaný • 6 – Semi-formálne overovaný návrh a testovaný objekt. • 7 – Formálne overovaný návrh a testovaný objekt

  29. Porovnanie tried metodík

  30. role a funkcie • orientovanie na výkon rolí v organizácii – obsahuje informácie, ktoré potrebuje poznať zamestnanec, vykonávajúci určitou rolu v organizácii vo vzťahu k bezpečnosti IS/ICT (napr. príručka bezpečnosti pre užívateľa osobného počítače, • Príručka pre bezpečnú prácu administrátora aplikácie a pod.),

  31. procesy • procesne orientovaná dokumentácia obsahuje popisy bezpečnostných mechanizmov a procedúr v organizácii, napr. ako nastaviť technické parametre serveru..., • ako nastaviť parametre určitého základného programového vybavenia – databáz, operačných systémov a pod. tak, aby spĺňali zásadu preukázateľnosti a pod.),

  32. riešenie vecných problémov • vecne orientovaná dokumentácia – obsahuje špecializované funkcie, oblasti, objekty (napr. príručka alebo smernice pre akceptáciu nových častí • postup pri uzatváraní pracovnej zmluvy so zamestnancom

More Related