3. Budování bezpečnosti IS v organizaci, jednotlivé kroky, postup, analýza rizik, bezpečnostní politika – celková, systémová, havarijní plán, bezpečnostní funkce.

Budování bezpečnosti v organizaci
Bezpečnostní politika představuje souhrn pravidel a norem, určující přístup k datům a informačnímu systému a proškolování. Aktiva informačního systému je nutno chránit - hardware, software, data. Celý informační systém se skládá z aktiv a lidí. Objekt informačního systému je pasivní soubor zpřístupňovaný aktivním subjektům (procesy, lidé). Citlivé informace jsou informace, které kdyby byly odcizeny, mohou firmu poškodit. Zranitelnost firmy je místní - špatně provedená analýza, složitost software nebo fyzická - loupež, povodeň, zemětřesení nebo se nebezpečí nachází v hardwaru, softwaru, či špatně nastaveném firewallu. Potenciální velmi významný zdroj nebezpečí představuje lidský faktor. Firewall je obecné řešení zajištění bezpečnosti, realizované pouze organizačními opatřeními, nebo jen pomocí softwaru (konfigurací směrovačů), nebo je to software i hardware. Každý Firewall má část zajišťující blokování a část zajišťující prostupnost toho, co je povoleno. Blokování se provádí konfigurací směrovačů (nepropuštění určitého druhu provozu) a pomocí paketových filtrů. Bezpečnost je: • Fyzická (liský faktor, povodně, katastrofa, atd.) • Logická (navržení systému, firewall, atd.)

1. Zjistit zranitelná místa (kdo, kde, jak) 2. Zjistit možné škody případných útoků 3. Navrhnout protiopatření (administrativní, fyzické, preventivní)

Jednotlivé kroky, postup, analýza rizik
Zabezpečení informačního systému je nutné provést tímto postupem. Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost jejich zneužití. Nutno upřesnit možnosti obrany a zjistit možné škody případných útoků. Dle toho navrhnout protiopatření (administrativní, fyzické, preventivní, heuristické - snížení rizika, minimalizace jejich dopadů). Bezpečnostní opatření jsou charakteru personálního, administrativního, objektového a technického (kryptografická ochrana). Hrozbou pro informační systém je využití zranitelného místa k napadení, ať již úmyslné či neúmyslné. Kroky ochrany počítačových dat. Analýza rizik (ocenění aktiv, nalezení zranitelných míst a pravděpodobnost jejich zneužití), zpracování studie bezpečnosti, bezpečnostní politika organizace (celková, platnost 5 – 10 let, obecná platnost, písemná forma; týmy odpovídající za bezpečnost mají např.: telekomunikační společnosti, banky; osnovy politiky: klasifikace, organizace, cíle, harmonogram, identifikace aktiv, popisy současného stavu a orientační návrh), systémová bezpečnostní politika (soubor opatření a pravidel; funkce pro posouzení bezpečnosti, konkrétní zpracování analýzy rizik pro daný systém; vnitroorganizační normy; přesné definice funkcí a jimi pokrytých hrozeb; tvorba havarijních plánů), bezpečnostní projekt, bezpečnostní audit.

FORMÁLNÍ POSTUP BUDOVÁNÍ BEZPEČNOSTI IS v ORGANIZACI
Stanovit východiska pro studii bezpečnosti IS • definovat požadavky na bezpečnost IS, cíle zabezpečení • současný stav zabezpečení • současný stav HW, SW....

Analýza rizik - AR
Je nejdůležitější etapou při budování bezpečnosti v organizaci. Jejím cílem je identifikace (zvládnutí, odstranění) událostí, které mají nežádoucí vliv na aktiva organizace; zjištění hrozeb a rizik, kterým je IS vystaven; (Hrozbou pro informační systém je využití zranitelného místa k napadení, ať již úmyslné či neúmyslné.) určení škod, které mohou útokem vzniknout; určení opatření, která tato rizika minimalizují nebo odstraní a kolik tato opatření budou stát.

1. identifikace a ocenění aktiv
2. nalezení zranitelných míst
3. odhad pravděpodobností využití zranitelných míst
4. výpočet očekávaných ztrát
5. přehled použitelných opatření a jejich cen
6. odhad ročních úspor zvolených aplikací

elementární – jedná o převzetí již vytvořených standardů na základě podobných systémů

neformální– stanovení na základě jednotlivých odborníků z oblasti bezpečnosti IS

detailní – použití standardizovaných strukturovaných metod ve všech zmíněných fázích AR

kombinovaná– kombinace předchozích přístupů

Postup při AR:
1. identifikace a ocenění aktiv; 2. nalezení zranitelných míst; 3. odhad pravděpodobností využití zranitelných míst; 4. výpočet očekávaných ztrát; 5. přehled použitelných opatření a jejich cen; 6. odhad ročních úspor zvolených aplikací

někdy se provádí tzv. orientační AR, jejím výsledkem je zvolení jedné ze 4 následujících strategií analýzy rizik

• elementární AR – jedná o převzetí již vytvořených standardů na základě podobných systémů +: rychlá, velmi nízké N, vynaložené na AR -: nemusí dojít ke zvolení optimálních opatření (příliš silná/slabá, příliš drahá...) • neformální AR – stanovení na základě jednotlivých odborníků z oblasti bezpečnosti IS (interních/externích) +: rychlá, poměrně nízké N vynaložené na AR -: vyšší pravděpodobnost opomenutí některých rizik • detailní AR – použití standardizovaných strukturovaných metod ve všech zmíněných fázích AR +: malá pravděpodobnost opomenutí některých rizik -: vysoké finanční a čas. N na provedení AR • kombinovaná AR – kombinace předchozích přístupů +: dosažení optimální výše N vynaložených na AR

Bezpečnostní politika
Bezpečnostní politika představuje souhrn bezpečnostních zásad a předpisů, určující přístup k datům a informačnímu systému a proškolování. Definuje způsob zabezpečení organizace od fyzické ostrahy, přes ochranu profesních zájmů až po ochranu soukromí a lidských práv. Aktiva informačního systému je nutno chránit - hardware, software, data. Celý informační systém se skládá z aktiv a lidí. Objekt informačního systému je pasivní soubor zpřístupňovaný aktivním subjektům (procesy, lidé). Citlivé informace jsou informace, které kdyby byly odcizeny, mohou firmu poškodit. Zranitelnost firmy je místní - špatně provedená analýza, složitost software nebo fyzická - loupež, povodeň, zemětřesení nebo se nebezpečí nachází v hardwaru, softwaru, či špatně nastaveném firewallu. Potenciální velmi významný zdroj nebezpečí představuje lidský faktor. (Firewall je obecné řešení zajištění bezpečnosti, realizované pouze organizačními opatřeními, nebo jen pomocí softwaru (konfigurací směrovačů), nebo je to software i hardware. Každý Firewall má část zajišťující blokování a část zajišťující prostupnost toho, co je povoleno. Blokování se provádí konfigurací směrovačů (nepropuštění určitého druhu provozu) a pomocí paketových filtrů.)

Bezpečnostní politika – celková, systémová, havarijní plán, bezpečnostní funkce
Cíle bezpečnostní politiky jsou celistvost (integrity), důvěrnost (confidentiality) a přístupnost (availability). Důvěrností se rozumí přístup autorizovaných stran (povolení číst, zapisovat, tisknout, prohlížet). Celistvost znamená přístup autorizovaných stran a umožnění jim data měnit, mazat, vytvářet. Přístupností rozumíme taková opatření, která snižují nebezpečí zahlcení (např.: útok neustálým posíláním dotazů). Útoky představují přerušení, zničení (ztráta dat, vymazání software, porucha operačního systému, změna dostupnosti), odposlech (systému, programu, kradení software), změnu, modifikaci (změna dat v databázi), přidání hodnoty, vyrobení nové, podvrh. Útoky jsou aktivní a pasivní.

BP vymezuje • co vyžaduje ochranu • proti jakým hrozbám je ochrana budována • jakým způsobe se bude ochrana realizovat

Cíle BP: obecně je třeba zajistit: • důvěrnost (ochrany soukromých dat, k datům má přístup pouze autorizovaná osoba, zamezení zneužití informací..) lze zajistit šifrováním, firewally, řízením přístupu k souborům... • integritu (změnu dat může provést jen ten, kdo k tomu má právo) lze zajistit různými kryptografickými kontrolními součty.... • autentičnost (musí být jasné s jakým partnerem je vedena komunikace – jeho identita, kdo provedl změnu v DB ...) lze zajistit používáním hesel, el. podpisem.... • nepopiratelnost (nikdo nemůže popřít transakci, které se zúčastnil) např. pomocí el. podpisu • dostupnost (je třeba oprávněným uživatelům umožnit přístup k datům) • spolehlivost

Typy BP: podle úrovně zabezpečení se BP dělí do 4 obecných typů: • promiskuitní BP – pouze minimální nebo vůbec žádná bezpečnost, nikoho neomezuje, velmi nízké N na zřízení • liberální BP – každý může dělat vše až na věci explicitně zakázané, vyšší zabezpečení než předchozí, ekonomická nenáročnost • opatrná (racionální) BP – zakazuje dělat vše, co není explicitně povoleno, je nákladnější, ale zajišťuje vyšší zabezpečení • paranoidní BP – zakazuje dělat vše co by mohlo být potenciálně nebezpečné, tzn. i to co není zakázáno, zajišťuje nejvyšší zabezpečení.

celková BP
Uvádí zabezpečení IS na obecné úrovni. Specifikuje cíle, citlivá data, odpovědnosti za data, bezpečnostní infrastrukturu organizace, omezení, která musí bezpečnost IT organizace respektovat. Je vytvářena nezávisle na konkrétních používaných IT v organizaci. Je to veřejný dokument, který je závazný a je normou. Jeho cílem je ochrana majetku, činnosti, pověsti organizace. Jasně stanovuje hierarchii povinností odpovědností, pravomocí, jak pro lidi tak pro data. Musí být stručný a srozumitelný. Neobsahuje konkrétně jména ale pouze pozice z organizační struktury. Vypracovává se na delší dobu (5 – 10 let)

systémová BP
Definuje způsob implementace celkové BP v konkrétních podmínkách IT organizece. Vypracovává se na kratší časový horizont (2 – 5 let). Stanovuje soubor konkrétních principů a pravidel pro ochranu IS (cíle, hrozby, rizika, opatření, bezpečnostní fce).
Je – li IS organizace příliš rozsáhlý, vypracovává se zvlášť:

Fyzická syst. BP (fyz. ochrana budov, PC, místností, serverů...)
Personální syst. BP (ochrana před různými lidmi – zákazníky, hackery, zaměstnanci.)
Komunikační syst. BP (ochrana přenosu dat, komunikace, telefonů, faxů, dopisů)
Provozní syst. BP (systém školení, jak postupovat při útoku, havárii....)

HAVARIJNÍ PLÁN
Určuje co dělat v případě, že dojde k některému z útoků a jak postupovat aby se udržela kontinuita organizace. Měl by být uložen na takovém místě, aby byl každému dostupný. Obsahuje: • průběh reakce na incident • plán činnosti po útoku • plán obnovy

Bezpečnostní projekt – realizace bezpečnostních opatření, plynoucích z AR a BP

bezpečnostní funkce - bf (fce prosazující bezpečnost, bezpečnostní opatření)
Tyto funkce realizují bezpečnostní cíle organizace. Ke stanovení BF je třeba znát zranitelná místa IS a možné formy útoků na tato místa.

Podle okamžiku uplatnění je lze dělit na: preventivní: (odstranění některých zranitelných míst: antiviry, zamezení přístupu zaměstnancům na internet, školení...) heuristické: snižují riziko dané nějakou hrozbou (firewall, antivir) detekční a opravné: minimalizují účinek útoku (zálohování)

Podle způsobu implementace je lze dělit:
SW charakteru (logické): dig. podpis, antiviry, zřizování uživ. účtů, kódování, šifrování
Administrativního a správního charakteru: školení, normy, zákony, vyhlášky....
HW charakteru: identifikační karty, šifrovače, firewally, záložní kopie dat a programů
Fyzického charakteru: stínění, trezory, zámky, záložní zdroje....