PODSTAWOWE DEFINICJE

PODSTAWOWE DEFINICJE polityka bezpieczeństwa zestaw reguł określających wykorzystanie informacji, łącznie z jej przetwarzaniem, przechowywaniem, dystrybucją i prezentacją, niezależnie od wymagań dotyczących bezpieczeństwa i celów bezpieczeństwa polityka bezpieczeństwa informacji zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji informacji wrażliwej wewnątrz określonego systemu polityka bezpieczeństwa systemu informatycznego plan lub sposób postępowania przyjęty w celu zapewnienia bezpieczeństwa systemu informatycznego bezpieczeństwo systemów informatycznych stan lub ochrona przed niekontrolowanymi stratami lub skutkami, kombinacja usług zapewniających poufność, integralność i dostępność

HIERARCHIA POLITYK polityka działania organizacji dotyczy celów i strategii działania organizacji polityka bezpieczeństwa organizacji dotyczy przetwarzania, przechowywania, dystrybucji, wykorzystania i prezentacji informacji polityka bezpieczeństwa informacji dotyczy informacji wrażliwej polityka bezpieczeństwa systemu informatycznego dotyczy koncepcji bezpieczeństwa interpretowanych jako wymagania systemowe polityka bezpieczeństwa technologicznego dotyczy przetwarzania informacji wrażliwej i wykorzystywania zasobów

BEZPIECZEŃSTWO SYSTEMU INFORMATYCZNEGO poufność ochrona przed ujawnieniem nieuprawnionemu odbiorcy integralność ochrona przed nieuprawnioną modyfikacją lub zniekształceniem dostępność uprawniony dostęp do zasobów informacyjnych rozliczalność określenie i weryfikowanie odpowiedzialności za wykorzystanie systemu informacyjnego autentyczność weryfikacja tożsamości podmiotów i prawdziwości zasobów niezawodność gwarancja oczekiwanego zachowania systemu i otrzymywanych wyników

ZARZĄDZANIE BEZPIECZEŃSTWEM SYSTEMÓW INFORMATYCZNYCH określenie celów, strategii i polityk bezpieczeństwa organizacji w zakresie systemów informatycznych określenie wymagań w zakresie bezpieczeństwa systemów informatycznych w organizacji zidentyfikowanie i zanalizowanie zagrożeń i podatności zasobów systemów informatycznych na te zagrożenia w organizacji zidentyfikowanie i przeanalizowanie ryzyka, związanego z bezpieczeństwem określenie odpowiednich zabezpieczeń monitorowanie procesu wdrożenia i działania zabezpieczeń, niezbędnych dla efektywnej ochrony informacji i usług w organizacji opracowanie i wdrażanie programu uświadamiania dotyczącego bezpieczeństwa oraz wykrywanie i reagowanie na incydenty

ELEMENTY ZABEZPIECZENIA SYSTEMU INFORMATYCZNEGO aktywa systemu informatycznego wszelkie zasoby systemu informatycznego zagrożenia przyczyny niepożądanych zdarzeń słabości podatności na zagrożenia; łatwość z jaką zagrożenie może powodować szkodę zdarzenia negatywna konsekwencja dla zasobów przez zagrożenia ryzyko prawdopodobieństwo zdarzenia i waga jego skutków mechanizmy zabezpieczeń wszelkie środki zapewniające ochronę przed zagrożeniami ryzyko szczątkowe ryzyko pozostające po wprowadzeniu mechanizmu zabezpieczenia

ELEMENTY ZABEZPIECZENIA SYSTEMU INFORMATYCZNEGO CZ. II aktywa narażając na utratę słabości wykorzystują zagrożenia zwiększają zwiększają RYZYKO zmniejszają zwiększają kryteria zdarzenia powodując zabezpieczają przed ograniczane przez zabezpieczenia

MODELE BEZPIECZEŃSTWA modele bezpieczeństwa w sposób sformalizowany, precyzyjny i jednoznaczny wyrażają te aspekty polityki bezpieczeństwa, których realizacja jest wymagana w systemie informatycznym rzeczywistość opisują w terminach jednostek operacyjnych: podmiotów i obiektów dwa aspekty bezpieczeństwa: procesy identyfikacja, uwierzytelnianie, autoryzacja właściwości zasobów poufność, integralność, dostępność, spójność dwa podejścia projektowe: mniej restrykcyjne - to, co nie jest zabronione, jest dozwolone bardziej restrykcyjne - to, co nie jest dozwolone, jest zabronione

KRAJOWE NORMY DOT. BSI PN-I-13335-1:1999 Wytyczne do zarządzania bezpieczeństwem systemów informatycznych Pojęcia i modele bezpieczeństwa systemów informatycznych ISO/IEC TR 13335-2:2003 Zarządzanie i planowanie bezpieczeństwa systemów informatycznych ISO/IEC TR 13335-3:2003 Techniki zarządzania bezpieczeństwem systemów informatycznych PN ISO/IEC 17799:2003 Praktyczne zasady zarządzania bezpieczeństwem informacji PN I- 07799-2 Systemy zarządzania bezpieczeństwem informacji Specyfikacja i wytyczne stosowania odpowiednik BS 7799-2:2002: Information Security Management Systems Specification and guidance for use (zostanie przyjęta w 3. kw. 2004)

BEZPIECZEŃSTWO DANYCH poufność niedostępność treści zawartej w danych dla wszystkich podmiotów nie uprawnionych do jej odczytania integralność dane nie zostaną w żaden nieuprawniony sposób zmienione dostępność niczym nie ograniczona możliwość korzystania z danych przez uprawnionych do tego użytkowników spójność konieczność spełniania przez każdy stan bazy danych zbioru statycznych i dynamicznych warunków sformułowanych w definicji bazy danych

RODZAJE ATAKÓW dostępu próba zdobycia danych, do których atakujący nie ma uprawnień formy: węszenie, podsłuchiwanie lub przechwycenie modyfikacji próba modyfikacji danych bez uprawnień formy: zmiana, kasowanie, dodawanie, zaprzeczenie, podszycie pozbawienia usługi próba pozbawienia uprawnionych użytkowników możliwości korzystania z zasobów lub zdolności systemu formy: niszczenie, bezpośrednie lub pośrednie pozbawienie dostępu

METODY ATAKU Atak dostępu (nieautoryzowany dostęp): węszenie, podsłuchiwanie, przechwycenie.

METODY ATAKU - CD Atak modyfikacji (naruszenie integralności danych): przeróbka danych, dodawanie informacji, kasowanie.

METODY ATAKU - CD Atak pozbawienia usługi: pozbawienie dostępu do informacji, pozbawienie aplikacji, pozbawienie dostępu do systemu.

METODY ATAKU - CD Atak zaprzeczenia: maskarada, zatajenie zdarzenia.

ZŁOŻONOŚĆ ATAKÓW A WIEDZA ATAKUJĄCYCH high stealth /advanced scanning techniques denial of service TOOLS intruder knowledge back doors packet spoofing sniffers distributed attack tools www attacks disabling audits network management diagnostics hijacking sessions automated probes/scans attack sophistication low password cracking self-replicating code password geusing exploiting known vulnerabilities ATTACKERS Copyright: CMU 1980 1985 1990 1995 2000

METODY OCHRONY SYSTEMÓW INFORMATYCZNYCH systemy kontroli dostępu systemy otwarte i zamknięte obowiązkowa i uznaniowa kontroloa dostępu metody uwierzytelniania użytkowników audyt ochrona antywirusowa zwiększanie niezawodności sprzętu ochrona przed emisją ujawniającą śluzy bezpieczeństwa sytemy wykrywania włamań odtwarzanie stanu narzędzia do testowania i ocena poziomu bezpieczeństwa

MONITOROWANIE UŻYTKOWNIKÓW Ataki nietechniczne Uprawnienia użytkowników System haseł Monitorowanie aktywności Inne metody dostępu

ATAKI NIETECHNICZNE Próba uzyskania dostępu do systemu poprzez zdobycie nazwy i hasła legalnego użytkownika metodami socjotechnicznymi. Intruz może wykorzystać złe przyzwyczajenia użytkowników, np.: przechowywanie zapisanego ID i hasła przy komputerze, pozostawianie niezabezpieczonego włączonego komputera, udostępnianie hasła zaufanym osobom, stosowanie hasła pustego lub spacji.

OCHRONA PRZED ATAKAMI NIETECHNICZNYMI uświadamianie użytkownikom zagrożeń, określenie odpowiedzialności za dane, szkolenia użytkowników, ograniczanie uprawnień użytkowników, stosowanie silnych haseł, częsta zmiana haseł, częste kontrole.

UPRAWNIENIA UŻYTKOWNIKÓW Użytkownik nie powinien mieć dostępu do programów, danych czy usług, z których nie musi korzystać. Należy przeanalizować do jakich zasobów użytkownik: musi mieć dostęp (np. rachunki), może mieć dostęp (np. e-mail), nie może mieć dostępu (np. płace).

UPRAWNIENIA UŻUTKOWNIKÓW - CD użytkownicy dane ściśle tajne tajne ograniczony dostęp dostęp ogólny administratorzy użytkownicy zaawansowani użytkownicy zwykli użytkownicy z ograniczeniami goście

SYSTEM HASEŁ Hasła powinny być: trudne do odgadnięcia dla osoby postronnej, łatwe do zapamiętania dla użytkownika, trudne do złamania metodą siłową (czyli niezbyt krótkie), możliwie często zmieniane przy czym to samo hasło nie powinno być więcej razy używane.

SYSTEM HASEŁ - CD Przyzwyczajenia użytkowników: stosowanie haseł krótkich i pustych, przechowywanie kartki z zapisanym ID i hasłem przy komputerze, stosowanie jako hasła: imion i nazwisk osób bliskich, jw. ale pisanych wspak, inicjałów, dat urodzenia, ślubu, nazw geograficznych, nazw ulic, prostych słów (np. misio, praca), stosowanie tych samych haseł na różnych komputerach.

METODA SIŁOWA ŁAMANIA HASEŁ Próbowanie wszystkich haseł generowanych automatycznie. Stosowane przy tym są generatory wykorzystujące: popularne słowniki, zestawy danych obejmujące informacje o użytkowniku (daty, imiona, itp.), kombinację zestawu znaków (np. liter i cyfr).

SILNE HASŁA Silne hasła to takie, które wydłużają czas potrzebny na ich złamanie zwłaszcza przy stosowaniu metod siłowych. Długość hasła litery (26 znaków) litery i cyfry (36 znaków) litery i cyfry wraz z shift (62 znaki) 6 3,09*10 8 2,18*10 9 5,68*10 10 8 2,09*10 11 2,82*10 12 2,18*10 14 10 1,41*10 14 3,66*10 15 8,39*10 17

SILNE HASŁA - CD Cechy jakimi powinny charakteryzować się silne hasła (wg. Microsoft): składać się co najmniej z siedmiu znaków, zawierać znaki z każdej z trzech grup: litery (duże i małe), cyfry, symbole ` ~! @ # $ % ^ & * ( ) _ + - = { } [ ] \ : " ; ' < >?,. /, mieć co najmniej jeden znak symbolu na pozycji od II do VI, znacznie różnić się od poprzednich haseł dla tego konta, nie zawierać nazwiska ani nazwy użytkownika, różnić się od najczęściej używanych wyrazów i nazw własnych.

SILNE HASŁA - CD Stosuje się również następujące zasady: w przypadku n-krotnego błędnego wprowadzenia hasła blokowanie konta na pewien czas, automatyczne blokowanie komputera podczas krótkotrwałej przerwy w pracy, ograniczanie "czasu życia" hasła, stosowanie haseł generowanych komputerowo, stworzenie listy "złych" haseł (np. nazwy krajów, imiona), niedopuszczanie haseł nie spełniających pewnych warunków (np. co do długości czy rodzaju znaków).

SILNE HASŁA - CD Przy ustalaniu zasad tworzenia haseł należy pamiętać, że ograniczenia na tworzenie haseł nie mogą być zbyt ostre gdyż spowoduje to trudności w ich wyborze, ścisłe określenie zasad tworzenia haseł może być wskazówką dla intruza jakich haseł poszukuje, użytkownicy szybko zniechęcają się wprowadzając skomplikowane hasła, użytkownicy mają tendencje do ułatwiania sobie życia, kontrole pozwalają wyeliminować słabe hasła.

MONITOROWANIE AKTYWNOŚCI UŻYTKOWNIKÓW Szybkie wykrywanie włamania może uchronić system przed poważnymi uszkodzeniami, działa odstraszająco, a także może służyć zbieraniu informacji na temat technik włamywania. Wykrywanie włamania opiera się na założeniu, że zachowanie intruza różni się od zachowania legalnego użytkownika, a różnicę tą można wyrazić ilościowo.

MONITOROWANIE AKTYWNOŚCI UŻYTKOWNIKÓW -CD Analizując zachowanie użytkownika w systemie przez pewien czas można określić jego typowe działania, takie jak: czas logowania się do sieci, kolejność uruchamianych aplikacji, rodzaj przeglądanych informacji. Odstępstwo od schematu zachowań może (lecz nie musi) świadczyć o działaniu intruza.

METODY MONITOROWANIE AKTYWNOŚCI UŻYTKOWNIKÓW Można określić następujące metody: statystyczne wykrywanie anomalii (statystyczne testy pozwalające określić czy dane działanie jest zachowaniem legalnego użytkownika): wykrywanie progowe (określenie progów bez względu na profil dla częstości występowania różnych zjawisk), wykrywanie na podstawie profilu (tworzy się profil działań dla każdego konta i korzysta się z niego do wykrywania zmian zachowania). wykrywanie oparte na regułach (określenie zestawu reguł, które można zastosować do stwierdzenia, czy zachowanie jest legalne czy nie) wykrywanie anomalii (tworzenie reguł do wykrywania odstępstw od normalnych zjawisk) wykrywanie przez penetrację (zastosowanie systemów ekspertowych do wykrywania podejrzanych zachowań).

UWIERZYTELNIANIE UŻYTKOWNIKA Uwierzytelnianie oznacza weryfikację tożsamości łączącego się użytkownika i przyznawanie lub odmawianie mu dostępu do zasobów sieci. Wyróżniamy trzy schematy uwierzytelniania użytkownika: znajomość czegoś hasła. Jest to zdecydowanie najpopularniejsza metoda uwierzytelniania wykorzystywana w usłudze zdalnego dostępu, posiadanie czegoś korzysta z faktu posiadania przez użytkownika urządzenia takiego jak karta inteligentna (ang. smart card) i żeton bezpieczeństwa (czasem zwany tokenem). Urządzenia te zazwyczaj pytają o PIN lub hasło. W przeciwnym razie istnieje możliwość, że w wyniku kradzieży ktoś podszyje się pod właściciela urządzenia. bycie kimś korzysta z urządzeń, które potrafią rozpoznawać indywidualne cechy człowieka, takie jak odcisk palca lub wzór naczyń krwionośnych w siatkówce oka.