mbis – manažment bezpečnosti informačných systémov
DESCRIPTION
MBIS – Manažment bezpečnosti informačných systémov. Štandardy. Štandardy. TCSEC Trusted Computers evaluation Criteria - Oranžová kniha ITSEC Information Technology Security Evaluation Criteria - Európske kritéria British standard BS 7799 CC - Common Criteria (ISO15408). - PowerPoint PPT PresentationTRANSCRIPT
MBIS – Manažment bezpečnosti informačných systémov
Štandardy
©JV- MBIS ´11 2
Štandardy
TCSEC Trusted Computers evaluation Criteria - Oranžová kniha
ITSEC Information Technology Security Evaluation Criteria - Európske kritéria
British standard BS 7799
CC - Common Criteria (ISO15408)
©JV- MBIS ´11 3
Oranžová kniha – kategórie Trusted Computer System Evaluation Criteria
všeobecnej bezpečnostnej politiky, prístupu a identifikovateľnosti a oblasť záruk,
ako treba pristupovať k politike, čo je treba poskytnúť ku kontrole pri
prístupe k informáciám ako je možné získať záruku, že tento
prístup je v počítačovom systéme dostatočne prepracovaný
©JV- MBIS ´11 4
Oranžová kniha - skupiny
bezpečnostná politika označenie identifikácia zodpovednosť záruka nepretržitá ochrana
Oranžová kniha ...
bezpečnostné smernice - stratégia bezpečnosti ...
zodpovednosť – kto, kedy, ... audit, monitorovanie systému,
zabezpečenie a prvky bezpečnosti dokumentácia, postupy, návody,
manuál...
©JV- MBIS ´11 5
©JV- MBIS ´11 6
Bezpečnosť podľa TCSEC
skupina D - minimálna ochrana - boli hodnotené, ale nevyhovujú požiadavkám
skupina C - výberová ochrana - prvky a preverovacie schopnosti
skupina B - direktívna ochrana - TCB, ktorá zachováva integritu stupňa utajenia a prenáša ju spolu dátovými štruktúrami systému.
skupina A - verifikovaná ochrana - použitie metód formálnej bezpečnostnej kontroly, ktoré zaisťuje , že výberové a direktívne riadenie bezpečnosti môže efektívne ochrániť utajované informácie.
©JV- MBIS ´11 7
Bezpečnosť podľa TCSEC
trieda C1 - zabezpečenie ochrany výberom - systém TCB spĺňa požiadavky výberovej ochrany tým, že oddeľuje užívateľov od dát,
trieda C2 - ochrana riadeným prístupom - riadením prístupu, schopnosťou zaznamenávať bezpečnostné významné udalosti a oddelením sieťových zdrojov,
trieda B1 - ochrana bezpečnosti stupňom - označenie dát, ktoré definuje stupeň utajenia.
trieda B2 - štruktúrovaná ochrana - začlenenie objektov z hľadiska ochrany a ďalšie mechanizmy kontroly.
trieda B3 - bezpečnostné zóny - bezpečnostný monitor, signalizácia udalostí
trieda A1 - verifikovaný projekt - vysoký stupeň istoty správnej implementácie výpočtovej základne TCB, správa konfigurácie
©JV- MBIS ´11 8
Európske kritéria ITSECInformation Technology Security Evaluation Criteria
Kritériá, povoľujú výber ľubovoľných bezpečnostných funkcií a definujú sedem úrovní hodnotení označovaných ako E0 až E6, ktoré reprezentujú vzrastajúcu dôveru v schopnosť hodnoteného objektu splniť svoju špecifikáciu bezpečnosti.
©JV- MBIS ´11 9
Európske kritéria - špecifikácia
Špecifikácia bezpečnosti miera záruky za efektívnosť - kritériá
pre hodnotenie hodnotenie efektívnosti - vhodnosť a
schopnosť funkcií presadzujúcich bezpečnosť spôsob vývoja, t.j. konštrukcie spôsob jeho použitia a prevádzku
©JV- MBIS ´11 10
Európske kritéria - fázy vývoja
Vývojové prostredie - prostriedky, procedúry a štandardy pri vývoji
Prevádzková dokumentácia - prostriedky pre výmenu informácií medzi vývojovým pracovníkom a zákazníkom.
Prevádzkové prostredie - prostriedky, procedúry a štandardy, ktoré sa vzťahujú k dodávke, inštalácií a prevádzke
©JV- MBIS ´11 11
Európske kritéria – úroveň E0 - nedostatočnú úroveň bezpečnosti, E1 - špecifikácia bezpečnosti a neformálny popis návrhu
architektúry hodnoteného objektu. E2 - neformálny alebo poloformálny popis detailného
návrhu, testovanie bezpečnostných funkcií, konfiguračné riadenia systému,...
E3 - hodnotené zdrojové texty a/alebo schémy technického zabezpečenia alebo realizácie bezpečnostných mechanizmov...
E4 - formálny model bezpečnostnej politiky, návrh architektúry ...
E5 - úzka korešpondencia medzi detailným návrhom, zdrojovými texami a technickou dokumentáciou...
E6 - špecifikácia funkcií presadzujúcich bezpečnosť a návrh architektúry, ktorá zodpovedá modelu BP....
©JV- MBIS ´11 12
British standard - oblasti
Definuje tri základné oblasti aplikácie bezpečnostných mechanizmov
organizačná prevádzková a prierezová
©JV- MBIS ´11 13
British standard - organizačná
Bezpečnostná politika - ciele, rámec bezpečnostnej politiky podniku, IS ...
Organizačná bezpečnosť – riadenie v rámci podniku, pozície, incidenty ...
Klasifikácia a kontrola aktív – hmotné a nehmotné, vlastníci, zodpovednosť
©JV- MBIS ´11 14
British standard - prierezové
Riadenie prístupu – prístupové práva, opatrenia, zodpovednosť ...
Vývoj a údržba systému – vývoj a rozvoj systému, internými aj externými prvkami
Kontinuita prevádzky – havárie, prechod na nový systém
Súlad zo štandardami – legislatíva, medzinárodné štandardy ...
©JV- MBIS ´11 15
British standard - prevádzková
Personálna – ľudský faktor ... Fyzická – budovy, systém, server,
komunikácia, rozvody ... Prevádzková (logická) – postupy,
zodpovednosť, zálohovanie, antivírová ochrana, skartácia ....
©JV- MBIS ´11 16
Elementy bezpečnosti
Politika - základ všetky aspektov programu bezpečnosti,
Postupy - zabezpečenie efektívnej implementácie politiky,
Štandardy- dokumentované technické a netechnické požiadavky,
Tréning- kontinuálne vzdelávanie, Technológia - získanie, inštaláciu, obsluhu
a správa technologicky založenej ochrany.
©JV- MBIS ´11 17
Životný cyklus
Stratégia a plánovanie - všetky tradičné zložky riešenia vývojového procesu
Implementácia a sprístupnenie - program bezpečnosti je implementovaný inkrementálne a je prioritne orientovaný
Prevádzka a audit - fáza prevádzky životného cyklu programu bezpečnosti
CC – common criteria
Základným pojmom je predmet hodnotenia (TOE – Target of Evaluation) - produkt informačného systému, systém alebo jeho časť,
Cieľom TOE je overenie, či predmet splnil všetky požiadavky, uvedené v jeho špecifikácii bezpečnosti.
Okrem základných aspektov (dôvernosť, integrita a prístupnosť) sa sledujú sa aj iné aspekty napr. audit, využívanie zdrojov a iné.
©JV- MBIS ´11 18
CC - pokračovanie
Výsledok hodnotenia bezpečnosti informačného systému je úroveň dôveryhodnosti, s akou bezpečnostné funkcie produktu spĺňajú stanovené požiadavky.
nová štruktúra kritérií, zoskupovanie bezpečnostných požiadaviek do tried, rodín a komponentov
©JV- MBIS ´11 19
CC - zoskupovanie
Trieda (Class) Skupina (Family) Komponent
©JV- MBIS ´11 20
CC - Trieda (Class)
najvšeobecnejšie zoskupenie požiadaviek bezpečnosti,
všetci členovia triedy majú spoločný zámer, rozlišujú sa v pokrytí cieľov bezpečnosti,
členmi triedy sú skupiny, resp. rodiny.
©JV- MBIS ´11 21
CC - Skupina (Family)
zoskupenie množiny požiadaviek bezpečnosti, ktoré majú rovnaké ciele bezpečnosti, ale môžu sa líšiť v dôraze alebo prísnosti,
členmi rodiny sú komponenty
©JV- MBIS ´11 22
CC - Komponent
špecifická, najmenšia selektovateľná množina požiadaviek bezpečnosti podľa CC,
požiadavky môžu byť zotriedené, čím reprezentujú nárast sily alebo možností požiadaviek bezpečnosti, ktoré majú spoločný cieľ
©JV- MBIS ´11 23
FAU – monitorovanie bezpečnosti (Security Audit), FCO – komunikácie (Communication), FDP – ochrana údajov používateľa (User Data Protection), FIA – identifikácia a autentifikácia (Identification and
Authentication), FPR – súkromie používateľov (Privacy), FPT – ochrana vlastných bezpečnostných funkcií (Protection
of the Trusted Security Functions), FRU – využívanie zdrojov (Resource Utilization), FTA – prístup k produktu (Target of Evaluation Access), FTP – dôveryhodné spojenie (Trusted Path/Channels).
©JV- MBIS ´11 24
Záruka (assurance) atribút
odráža schopnosť bezpečnostných funkcií dodržiavať stanovenú bezpečnostnú politiku:
ACM – správa konfigurácie hodnotného produktu (Configuration Management),
ADO – dodávka a prevádzka (Delivery&Operation), ADV – proces vývoja hodnoteného produktu
(Development), AGD – kvalita sprievodnej dokumentácie (Guidance
Documents), ALC – podpora životného cyklu (Life Cycle
Supports), ©JV- MBIS ´11 25
Záruka (assurance) atribút
ATE – kvalita testovania (Tests), AVA – určenie zraniteľnosti hodnoteného produktu
(Vulnerability Assessment), APE – vyhodnotenie profilu ochrany (Protection
Profile Evaluation), ASE – vyhodnotenie bezpečnostného cieľa
(Security Target Evaluation), AMA – správa požiadaviek na zaručiteľnosť
(Maintenance of Assurance).
©JV- MBIS ´11 26
EAL (Evaluation Assurance Level) hodnotenie objektov do 8 kvalitatívnych úrovní sú hierarchicky usporiadané a každá
reprezentuje väčšie zabezpečenie ako nižšie úrovne.
pre komponenty tej istej skupiny vo vyššej úrovni to znamená nárast ich dôležitosti pri testovaní.
pridanie nových komponentov z iných skupín odráža pridanie nových požiadaviek pre hodnotený objekt.
©JV- MBIS ´11 27
EALx
0 – Nedôveryhodný 1 – Funkčne testovaný 2 – Štrukturálne testovaný 3 – Metodicky testovaný a overovaný. 4 – Metodicky navrhovaný, testovaný a preskúmaný 5 – Semi-formálne navrhovaný a testovaný 6 – Semi-formálne overovaný návrh a testovaný
objekt. 7 – Formálne overovaný návrh a testovaný objekt
©JV- MBIS ´11 28
Porovnanie tried metodík
©JV- MBIS ´11 29
úroveň záruky
1 2 3 4 5 6 7
TCSEC D C1 C2 B1 B2 B3 A1ITSEC E0 E1 E2 E3 E4 E5 E6CC EAL 1 2 3 4 5 6 7
©JV- MBIS ´11 30
©JV- MBIS ´11 31
role a funkcie
orientovanie na výkon rolí v organizácii – obsahuje informácie, ktoré potrebuje poznať zamestnanec, vykonávajúci určitou rolu v organizácii vo vzťahu k bezpečnosti IS/ICT (napr. príručka bezpečnosti pre užívateľa osobného počítače,
Príručka pre bezpečnú prácu administrátora aplikácie a pod.),
©JV- MBIS ´11 32
procesy
procesne orientovaná dokumentácia obsahuje popisy bezpečnostných mechanizmov a procedúr v organizácii, napr. ako nastaviť technické parametre serveru...,
ako nastaviť parametre určitého základného programového vybavenia – databáz, operačných systémov a pod. tak, aby spĺňali zásadu preukázateľnosti a pod.),
©JV- MBIS ´11 33
riešenie vecných problémov
vecne orientovaná dokumentácia – obsahuje špecializované funkcie, oblasti, objekty (napr. príručka alebo smernice pre akceptáciu nových častí
postup pri uzatváraní pracovnej zmluvy so zamestnancom
©JV- MBIS ´11 34
©JV- MBIS ´11 35