PODSTAWOWE ASPEKTY BEZPIECZEŃSTWA TELEINFORMATYCZNEGO

PODSTAWOWE ASPEKTY BEZPIECZEŃSTWA TELEINFORMATYCZNEGO Program szkoleniowy CERT POLSKA Andrzej Chrząszcz Mirosław Maj CERT POLSKA

Co to jest bezpieczeństwo informacji, szacowanie ryzyka i zarządzanie ryzykiem?

Bezpieczeństwo informacji P RIVACY A UTHETICITY I NTEGRITY N ON - REPUDATION

Główne zagrożenia* 18% 8% 7% 28% Niesprawność Utrata serwisu, sprzęt lub dostępność Błąd ludzki Niekontrolowane zmiany 18% 21% Nieuprawniony dostęp Przeciążenie * Information Security Forum Survey 1998

Przyczyny incydentów* 10% 14% Nieumyślne Umyślne Nieznane 76% * Information Security Forum Survey 1998

Źródło incydentów* 27% Własna organizacja 57% Organizacja współpracująca Ośrodki zewnętrzne 16% * Information Security Forum Survey 1998

90 80 70 60 50 40 30 20 10 0 Typy ataków odnotowanych w ciągu ostatnich 12 m-cy? 2000 1999 1998 1997 denial of service laptop active wiretap unauthorized access virus system penetration telecom eversdroping theft of proprietary

Zagrożenia związane ze światem polityki Ataki na serwer WWW domeny.mil źródło: CERT Polska na podstawie Attrition.Org 30 Konflikt USA - Chiny 25 20 Konflikt Indie - Pakistan Konflikt Izrael Palestyńczycy 15 Wybuch konfliktu w Kosowie 10 5 0 1997 1998 1999 2000 2001

ttackers Tool Vulnerability Action Target Hackers Spies Terrorists Corporate Riders rofessional Criminals Physical Attack Information Exchange User Command Script or Program Autonoumous Agent Design Probe Account Implementation Scan Process Configuration incident attack(s) event Flood Authenticate Bypass Data Component Computer Unauthorized Results Increased Access Disclosure of Information Corruption of Information Denial of Service Theft of Resources Objectives Challenge, Status, Thril Political Gain Financial Gain Damage Vandals Toolkit Spoof Network Voyeurs Distributed Tool Data Tap Read Copy Internetwork Steal Modify Delete

Co to jest Window of Exposure? Charakterystyka procesu wg Bruce Schneier a Vulnerability Announced Vulnerability popularized Vendor Patches Vulnerability Users Install Patch Ryzyko Vulnerability discovered Czas

Co to jest Window of Exposure? Faza 1 - Zanim ktoś odkryje słabość w systemie Vulnerability Announced Vulnerability popularized Vendor Patches Vulnerability Users Install Patch Ryzyko Vulnerability discovered Czas

Co to jest Window of Exposure? Faza 2 - zanim ktoś to ogłosi Vulnerability Announced Vulnerability popularized Vendor Patches Vulnerability Users Install Patch Ryzyko Vulnerability discovered Czas

Co to jest Window of Exposure? Faza 3 - wtedy kiedy dziura staje się bardzo popularna Vulnerability Announced Vulnerability popularized Vendor Patches Vulnerability Users Install Patch Ryzyko Vulnerability discovered Czas

Co to jest Window of Exposure? Faza 4 - wtedy kiedy producent udostępni łatę na system Vulnerability popularized Vendor Patches Vulnerability Vulnerability Announced Users Install Patch Ryzyko Vulnerability discovered Czas

Co to jest Window of Exposure? Faza 5 - w trakcie kiedy systemy są łatane Vulnerability Announced Vulnerability popularized Vendor Patches Vulnerability Users Install Patch Ryzyko Vulnerability discovered Czas

Co to jest Window of Exposure? FAZA KRYTYCZNA Vulnerability Announced Vulnerability popularized Vendor Patches Vulnerability Users Install Patch Ryzyko Vulnerability discovered Czas

Polityka bezpieczeństwa informacji

Program bezpieczeństwa Strategia bezpieczeństwa Polityka bezpieczeństwa Regulaminy i procedury MOJA POLITYKA BEZPIECZEŃSTW A

BS 7799 BS 7799 Dekalog Security policy Security organization Assets classification and control Personnel security Physical and environment security Computer and network management System access control System development and maintnance Business continuity planning Compliance

Eight steps for security management Best Practices David Thompson 1. Get everyone on board 2. Develop a security infrastructure 3. Training and awareness 4. Develop threat sources 5. Don't protect everything 6. Carefully consider outsourcing options 7. Develop a response plan 8. Perform regular audits

PB jako dokument Akceptacja zarządu Różne poziomy dokładności A może model dwustopniowy? Konieczność aktualizacji

Bezpieczeństwo organizacyjne

Bezpieczeństwo organizacyjne Security organization schemat organizacyjny firmy i miejsce w nim dla bezpieczeństwa Zasoby wiedzy wewnętrzne i zewnętrzne Schemat organizacyjny powinien być jasny i znany, zespół bezpieczeństwa powinien mieć w nim należyte miejsce, należyte czyli...

Bezpieczeństwo organizacyjne Dwa modele organizacyjne [1] - duża firma

Bezpieczeństwo organizacyjne Dwa modele organizacyjne [2] - mała firma

Rekrutacja Co Pan/Pani sądzi na temat włamywania się do innych systemów bez dokonywania szkód? Czy skorzystałby Pan/Pani z oferty hakera, który ofiarowałby usługę polegającą na przeprowadzeniu audytu teleinformatycznego? Czy dostęp do wszystkich zasobów firmy jest uzasadniony z punktu widzenia poprawnego administrowania systemami informatycznymi?

Dostęp firm trzecich Dostęp third party (reguły techniczne) W przypadku dostępu zdalnego do zasobów informatycznych powinno stosować się mocne uwierzytelnienie, np.: poprzez zastosowanie systemu haseł jednorazowych (One Time Password); Przy dostępie zdalnym powinno się stosować kryptograficzne techniki ochrony transmisji; Dołączenie teleinformatyczne powinno być szczegółowo kontrolowane poprzez urządzenia filtrujące (firewalling, intrusion detection systems, routing); W razie możliwości dostęp powinien być limitowany czasowo (dostęp na życzenie lub dostęp w ograniczonych, określonych godzinach);

Dostęp firm trzecich Dostęp third party (reguły organizacyjne) Współpraca powinna być oparta o pisemne porozumienie; Firma zewnętrzna nie powinna mieć prawa do wykorzystywania pomocy firm innych firm lub osób bez uprzedniej wiedzy i zgody właściciela zasobów; Wszelkie dołączenia powinny być poprzedzone analizą ryzyka i podjęciem ewentualnych działań zabezpieczających, dopuszczenie do dołączenia może nastąpić tylko za pisemną zgodą osób odpowiedzialnych za bezpieczeństwo organizacji; Właściciel zasobów, do których firma trzeci posiada dostęp powinien mieć prawo do przeprowadzenia audytu dołączenia i przestrzegania ustalonych reguł przez firmę trzecią, wyniki tych audytów determinują możliwość dalszego działania; Firma trzecia powinna być zobowiązana do informowania właściciela zasobów o wszelkich przypadkach naruszenia bezpieczeństwa dołączenia, jak również innych faktach mogących wpłynąć na pogorszenie się jakości systemu bezpieczeństwa układu;

Klasyfikacja zasobów

Rola klasyfikacji zasobów Sposób, zakres metody i środki finansowe przeznaczone na zabezpieczenia muszą być adekwatne do wartości i znaczenia chronionego elementu. Zbudowanie właściwej struktury zabezpieczeń wymaga działań przygotowawczych. Proces klasyfikacji zasobów jest ich częścią. Należy go zacząć od wyboru metod i procedur mających na celu określenia wartość elementu oraz jego znaczenia dla firmy. Jedną z powszechnie stosowanych metod jest oparcie procesu walidacji elementu o analizę ryzyka.

Podejście sformalizowane BS7799 Klasyfikacja i ocena zasobów 10 9 8 7 6 5 4 3 2 1 0 security policy security organization assets classification personnel security computer and network system access control system development continuity plan compliance

Klasyfikacja zasobów - kolejność działań Kolejność działań zmierzających do klasyfikacji zasobów firmy: Inwentaryzacja/Audyt - stwierdzenie rzeczywistego stanu zasobów (ludzie, sprzęt, oprogramowanie, dane) Analiza ryzyka - wykonanie analizy ryzyka dla określenia znaczenia elementu dla firmy Klasyfikacja - zakwalifikowanie zasobu do określonej grupy ( ze względu na wynik analizy ryzyka)

Aspekty Klasyfikacji -DANE Założenia związane z klasyfikowaniem danych: wszystkie dane mają właściciela właściciel danych jest odpowiedzialny za ich kwalifikację do jednego ze zdefiniowanych poziomów (w zależności od wymogów formalnych prawo, polityka firmy), z uwzględnieniem oszacowanej wymiernej wartości danych oraz uwarunkowań biznesowych (popartych wcześniejszą analizą ryzyka)

Aspekty klasyfikacji (cd) Jeżeli właściciel danych nie jest w stanie określić poziomu w takiej sytuacji dane traktowane są jako dane poziomu... Właściciel danych określa jaka grupa użytkowników ma prawo dostępu do danych Właściciel danych jest odpowiedzialny za stosowanie adekwatnych do przyznanego poziomu zabezpieczeń (proces ten może być przeprowadzany lub/i kontrolowany przez wyznaczone w firmie osoby (np. administrator bezpieczeństwa, oficer bezpieczeństwa)

Aspekty klasyfikacji (cd) Wszystkie dane muszą zostać zakwalifikowane do jednego z założonych poziomów oraz posiadać czytelne znak identyfikujący ich poziom (w przypadku dokumentów co najmniej na stronie tytułowej) Dane zaklasyfikowane do poziomu najwyższego muszą spełniać wymagania poziomów niższych Systemy przechowujące dane zaklasyfikowane do różnych poziomów muszą spełniać wymagania dla danych najwyższego poziomu.

Przykład klasyfikacji danych Poziom 1. Informacja Publiczna nie klasyfikowana. testowe serwisy zawierające wyłącznie informacje poziomu 1 publiczne serwisy informacyjne informacje o produktach w formie elektronicznych broszur, folderów itd. dane dostępne także poprzez inne źródła publiczne

Przykład klasyfikacji danych (cd) Poziom 2. Informacja wewnętrzna Ogólne dokumenty obiegu informacji wewnętrznej Wewnętrzne książki telefoniczne Fragmentaryczne dane z narad produkcyjnych

Przykład klasyfikacji danych (cd) Poziom 3. Informacja Poufna Wysokość wynagrodzenia Dane osobowe Informacje przetargowe Dane klientów Poufne dane o szczegółach kontraktów

Przykład klasyfikacji danych (cd) Poziom 4. Informacja Strategiczna Informacje o problemach finansowych czy słabych punktach firmy Informacje o planowanych kierunkach inwestycji lub rozwoju Informacje o realizowanych kontraktach objęte klauzulą poufności (np. w kontekście ustawy o ochronie informacji niejawnych klauzula tajemnica państwowa )

Polityka kadrowa w organizacji bezpieczeństwa Zakres obowiązków użytkowników Szkolenia użytkowników Reagowanie na przypadki naruszania bezpieczeństwa

Polityka kadrowa w organizacji bezpieczeństwa Zarząd Odpowiedzialny jest za działanie i strategie firmy także strategie bezpieczeństwa w skali firmy, oraz udostępnienie koniecznych zasobów dla realizacji poszczególnych zadań.

Polityka kadrowa w organizacji bezpieczeństwa (cd) Menadżer ds bezpieczeństwa teleinformatycznego Odpowiedzialny jest za całość działań związanych z bezpieczeństwem w firmie, wnioskuje i sugeruje zarządowi technologie i kierunki rozwiązań technicznych. Wspólnie z osobami odpowiedzialnymi za przebieg poszczególnych procesów w firmie opracowuje związane z nimi zasady bezpieczeństwa. Menadżer bezpieczeństwa może być odpowiedzialny za przeprowadzenie analizy ryzyka.

Polityka kadrowa w organizacji bezpieczeństwa (cd) Oficer bezpieczeństwa informacji Osoba odpowiedzialna za bieżącą kontrolę zgodności funkcjonowania sieci, systemów teleinformatycznych, lub procesów obsługi informacji z przyjętymi wymaganiami w zakresie ich bezpieczeństwa. (osoba posiadająca funkcjonalną znajomość systemów teleinformatycznych i procesów zachodzących w firmie)

Polityka kadrowa w organizacji bezpieczeństwa (cd) Administrator bezpieczeństwa teleinformatycznego Osoba (lub osoby) odpowiedzialne za funkcjonowanie systemu lub sieci teleinformatycznych oraz za przestrzeganie zasad i wymagań bezpieczeństwa systemów i sieci teleinformatycznych osoba (osoby) posiadająca kwalifikacje i praktyczną wiedzę techniczną)

Polityka kadrowa w organizacji bezpieczeństwa (cd) Administrator systemu Odpowiedzialny za utrzymanie i właściwą eksploatację systemu. Projektant systemów Osoba rozwijająca systemy obsługi informacji w firmie, pełniąca kluczową rolę w zakresie zapewnienia stosownych mechanizmów bezpieczeństwa we wczesnej fazie procesu.

Polityka kadrowa w organizacji bezpieczeństwa (cd) Kierownik projektu Odpowiedzialny za uwzględnienie aspektów bezpieczeństwa w prowadzonych przez siebie projektach.

Polityka kadrowa w organizacji bezpieczeństwa (cd) Użytkownik systemu (pracownik firmy) Za działania użytkowników odpowiedzialni są bezpośredni przełożeni. To przełożeni posiadają wiedzę dotyczącą przyjętych procedur obsługi oraz szczegółowe wytyczne w zakresie przestrzegania wymogów bezpieczeństwa, są oni także świadomi konsekwencji ich naruszenia. Nie znaczy to oczywiście że użytkownicy systemów nie Muszą posiadać wiedzy w zakresie przyjętej polityki bezpieczeństwa.

Polityka kadrowa w organizacji bezpieczeństwa (cd) Audytor Osoba rekrutująca się spośród pracowników firmy (lub spoza firmy) niezależnie i cyklicznie sprawdzająca rzeczywisty poziom bezpieczeństwa w firmie (zarówno w kontekście proceduralnych jak i technicznym). Istotną sprawą jest niezależność tego stanowiska, rekomendowane jest także by osoba pełniąca tą funkcję nie była osobiście zaangażowana w jakiekolwiek działania związane z projektowaniem budowaniem, ani utrzymywaniem elementów bezpieczeństwa. Brak tego typu zależności pozwala na obiektywną ocenę audytowanych elementów.

Obowiązków użytkowników Wypracowany model administracyjno-techniczny w znacznym stopniu decyduje o skuteczności działania całości rozwiązań w zakresie ochrony informacji. Bezpieczeństwo w firmie należy traktować jako proces ciągły, proces o charakterze administracyjnotechnicznym. Jego część techniczna (wdrożone technologie i mechanizmy ochrony) nie będzie właściwie i skutecznie służyła założonym celom jeżeli nie będzie ona właściwie wspomagana przez część administracyjną (procedury, zakresy odpowiedzialności, obowiązki administratorów i użytkowników, regulaminy korzystania z usług itp.).

Przykładowy zakres obowiązków użytkownika (konto w systemie) Przyznane konto musi być wykorzystywane zgodnie z jego przeznaczeniem (wskaźnik do innego dokumentu) Użytkownik jest uprawniony do następujących zasobów systemu (lista zasobów) Każdy użytkownik odpowiada za bezpieczne operowanie uprawnieniami do pracy w sieci i do kontaktu z siecią, a w szczególności : nie może odstępować przyznanych uprawnień innym osobom, ma obowiązek operować hasłami nie krótszymi niż N znaków, pod rygorem utraty dostępu do systemu musi zmieniać hasło w cyklu uzgodnionym z operatorem systemu,

Przykładowy zakres obowiązków użytkownika (konto w systemie (cd)) w przypadku posiadania kilku haseł nie może ich powtarzać, nie może żądać zmiany hasła lub otwarcia zablokowanego konta na skutek przeterminowania hasła, drogą telefoniczna. Informacje przesyłane w sieci w celu ochrony powinny być szyfrowane przez użytkownika. Administrator ma prawo do odłączenia lub zablokowania konta użytkownika systemu bez odszkodowania w wypadku stwierdzenia nieuprawnionego działania w sieci lub działania na szkodę innych użytkowników. Użytkownikowi zabrania się instalowania jakiegokolwiek oprogramowania mogącego służyć do celów przełamywania zabezpieczeń innych kont lub systemów.

Szkolenia użytkowników Zakres i zawartość merytoryczna szkoleń musi być dopasowana do potrzeb poszczególnych grup pracowników, ich kompetencji oraz roli w procesach obsługi i przetwarzania informacji. Dlatego też konieczne jest wyodrębnienie grup pracowników i właściwe dopasowanie programów szkoleń. Inny zakres i zawartość będzie zawierało szkolenie dla użytkowników systemów, znacznie szersze aspekty zawierać musi szkolenie dla programistów, twórców czy projektantów systemów.

Szkolenia użytkowników (cd) Poziomy szkoleń mogą i powinny się wzajemnie uzupełniać. Możemy przeprowadzić podstawowe szkolenie w zakresie ochrony informacji skierowane do wszystkich pracowników firmy, szkolenia uzupełniające czy specjalistyczne przeprowadzimy jedynie dla wybranych grup pracowników czy wybranych stanowisk. Takie podejście gwarantuje przekazanie podstawowej wiedzy z zakresu ochrony informacji wszystkim pracownikom firmy.

Reagowanie na sytuacje kryzysowe Pomimo posiadania dokumentu określającego stanowisko firmy wobec problemu bezpieczeństwa polityki bezpieczeństwa, wysoko kwalifikowanej i dobrze wyszkolonej kadry, właściwego przypisania obowiązków związanych z planowaniem, utrzymaniem i kontrolą elementów bezpieczeństwa w firmie, nie jesteśmy w stanie wykluczyć zaistnienia sytuacji kryzysowych.

Reagowanie na sytuacje kryzysowe (cd) Określenie takie jest szerokie i może dotyczyć każdego rodzaju zagrożenia - klęski żywiołowe, pożary, różnego rodzaju ataki terrorystyczne, przerwy w dostawie elektryczności, niewłaściwe funkcjonowanie obsługi infrastruktury technicznej budynku, włamania (także do systemów informatycznych), utrata danych, utrata personelu kradzieże, szpiegostwo przemysłowe itp.

Zadania i rola zespołów reagujących Dla podniesienia efektywności obsługi i znoszenia skutków sytuacji kryzysowych (np. dotyczących systemów informatycznych) powołuje się specjalne zespoły reagujące tzw. IRT (Incident Response Team)

zakres działań zespołów reagujących na przykładzie CERT POLSKA Do głównych zadań zespołów reagujących należy przyjmowanie zgłoszeń o przypadkach zagrażających bezpieczeństwu ( np. próbach włamań przy pomocy sieci), obsługa zgłoszeń ( np. pomoc w znoszeniu skutków włamań), alarmowanie lub ostrzeganie użytkowników sieci o istniejących zagrożeniach dla bezpieczeństwa ( np. informowanie o bezpośrednim zagrożeniu w wyniku czyjegoś ataku), szerzenie informacji technicznej podnoszącej wiedzę użytkowników w dziedzinie zagrożeń i metod zapobiegania im ( np. publikowanie, dystrybucja materiałów informacyjnych).

Zadania CERT POLSKA Rejestracja i obsługa zdarzeń naruszających bezpieczeństwo sieci W ramach struktury FIRST zespół jest odpowiedzialny za obsługę incydentów związanych z polskim zakresem adresów internetowych (zarówno ataki z Polski jak i na zasoby polskie). Bezpośrednia współpraca z zespołami CERT na całym świecie.

Zadania CERT POLSKA Alarmowanie użytkowników o wystąpieniu bezpośrednich dla nich zagrożeń CERT Coordination Center Advisories jako podstawowe źródło informacji o zagrożeniach Informacje o słabościach systemowych pochodzące z innych źródeł sformalizowanych (porady innych zespołów, takich jak CIAC czy AUS-CERT) i niesformalizowanych (listy dyskusyjne) jako materiał do publikacji tzw. Nowości CERT POLSKA publikowanych na bieżąco na stronie CERT POLSKA

Zadania CERT POLSKA Prowadzenie działań zmierzających do wzrostu świadomości dotyczącej bezpieczeństwa teleinformatycznego Serwis informacyjny www.cert.pl Zagadnienia prawno-organizacyjne Zagadnienia techniczne Coroczna konferencja SECURE (najstarsza konferencja tego typu w Polsce, w tym roku odbędzie się w listopadzie) Szkolenia specjalistyczne Zakres tematyczny niezależny od producentów rozwiązań Szkolenia specjalistyczne dotyczące tworzenia i organizacji działania zespołów reagujących na incydenty (IRT)

Zadania CERT POLSKA Prowadzenie badań i przygotowywanie raportów dotyczących bezpieczeństwa polskich zasobów Internetu Coroczne statystyki dotyczące obsługiwanych incydentów różnego typu raporty i opracowania Ochrona danych osobowych w internetowych serwisach poczty elektronicznej (raport we współpracy z GIODO, pierwsza prezentacja Konferencja AFCEA 23/05/2001)...

Zadania CERT POLSKA Przeprowadzanie niezależnych testów produktów i rozwiązań z dziedziny bezpieczeństwa teleinformatycznego. CERT POLSKA jest w końcowym etapie budowy profesjonalnego laboratorium, w którym będą wykonywane badania własne jak i zlecone.

Zadania CERT POLSKA Prace w dziedzinie tworzenia wzorców obsługi i rejestracji incydentów, a także klasyfikacji i tworzenia statystyk. Zespół opracował i propaguje wzorzec obsługi zdarzeń i klasyfikacji incydentów, który był prezentowany na licznych konferencjach

Zadania CERT POLSKA Przeprowadzanie audytów bezpieczeństwa CERT POLSKA podejmuje się przeprowadzenia audytu teleinformatycznego bezpieczeństwa teleinformatycznego w instytucjach, którym zależy na kompleksowym podejściu do problematyki ochrony, w trakcie którego badane są zarówno zagadnienia techniczne jak i organizacyjne.

Zadania CERT POLSKA Odtwarzanie danych pozornie skasowanych CERT POLSKA opracował metodologię odtwarzania danych pozornie skasowanych, pozwalających na uzyskanie informacji o przebiegu incydentu.

Zadania CERT POLSKA Współpraca z innymi organizacjami CERT POLSKA współpracuje z organami państwowymi w celu wypracowania warunków podnoszenia poziomu bezpieczeństwa IT w Polsce. CERT POLSKA podejmie współpracę ze wszystkimi instytucjami, którego są zainteresowane służbą na rzecz bezpieczeństwa teleinformatycznego w naszym kraju.

Przykładowa procedura obsługi zdarzenia osoba która stwierdziła zdarzenie w zależności od jego charakteru powiadamia stosowną służbę miejską (Pogotowie, straż pożarną itp.) oraz niezależnie powiadamia wyznaczoną osobę odpowiedzialną całościowo za wszelkie aspekty bezpieczeństwa w firmie.

Przykładowa procedura (cd) Osoba odpowiedzialna (np. Security Manager) dokonuje wstępnego oszacowania zagrożenia uruchamia stosowną wynikającą z przyjętych procedur akcję mającą na celu zminimalizowanie skali zagrożenia i strat firmy (np. powiadamia zespół reagujący lub ściąga na miejsce zdarzenia administratorów systemu, zapoczątkowuje procedury zawarte w disaster recovery plan itp) następnie powiadamia przedstawiciela zarządu o zaistniałej sytuacji oraz rozmiarze zagrożenia, przedstawia także oszacowanie potencjalnych strat firmy.

Przykładowa procedura (cd) Zarząd na drodze konferencji telefonicznej lub spotkania, przy ewentualnej konsultacji z osobą odpowiedzialną za PR (Public Relation) podejmuje decyzję co do faktu, zakresu, terminu oraz sposobu upublicznienia informacji o zaistniałym incydencie względem mediów i pracowników firmy. Zarząd podejmuje także decyzje co do wariantów działań zawartych w procedurach awaryjnych - mających znaczenie strategiczne lub finansowe (np. odłączenia systemów produkcyjnych czy informacyjnych.)

Przykładowa procedura (cd) Zespół usuwający skutki incydentu raportuje o stanie prac kierującemu akcją Security Managerowi (który z ustaloną częstotliwością informuje zarząd o podjętych działaniach, stanie prac, i przedstawia aktualną ocenę skutków zdarzenia dla firmy ). Efektem prac jest przywrócenie działania systemów (np. odtworzenie danych z kopii zapasowych) oraz stwierdzenie przyczyn zaistniałej sytuacji.

Przykładowa procedura (cd) Po zakończeniu prac zespół usuwający skutki zdarzenia opracowuje raport opisujący wykonane czynności i określający przyczyny i techniczne podłoże zdarzenia, który po akceptacji i uzupełnieniu przez Security Managera (o takie elementy jak rachunek strat firmy czy propozycje zmian proceduralnych i technicznych minimalizujących wystąpienie podobnego incydentu w przyszłości) przedstawia raport zarządowi.

Przykładowa procedura (cd) Zarząd przyjmuje raport i podejmuje stosowne decyzje. (np. o wprowadzeniu proponowanych zmian, wyciąga konsekwencje wobec winnych, przeznacza dodatkowe środki na zabezpieczenia itp.)

Bezpieczeństwo fizyczne Znaczenie bezpieczeństwa fizycznego Ochrona fizyczna Użytkownik procedury Aplikacja Sieć /komunikacja Bazy danych System operacyjny DANE P O Z I O M Y W Y M A G A J Ą C E O C H R O N Y

(BS 7799) Bezpieczeństwo fizyczne strefy bezpieczeństwa kontrola dostępu pomieszczenia kluczowe bezpieczeństwo sprzętu

Aspekty ochrony fizycznej Zagrożenia wyładowania atmosferyczne pożar woda materiały łatwopalne temperatura i wilgotność kurz pole magnetyczne O rany...!

Aspekty ochrony fizycznej Środki ochronne wyładowania atmosferyczne infrastruktura ochrona - piorunochrony (w oparciu o istniejące normy PN) system ochronny w systemie elektrycznym firmy system ochronny w stosunku do kluczowych zasobów teleinformatycznych

Aspekty ochrony fizycznej Środki ochronne pożar systemy przeciwpożarowe pomieszczeń systemy przeciwpożarowe kluczowych zasobów teleinformatycznych gaśnice sprzęt przeciwpożarowy

Aspekty ochrony fizycznej Środki ochronne Woda uszczelnienie kluczowych pomieszczeń sejfy wodoodporne unikanie przewodów kanalizacji wodnej automatyczny drenaż

Aspekty ochrony fizycznej Środki ochronne materiały łatwopalne odpowiedni dobór materiałów (kable, obudowy) kable odporne na wilgoć odporne na ogień samogaszące zbrojenie kabli

Aspekty ochrony fizycznej Środki ochronne temperatura wilgotność (promieniowanie słoneczne) systemy kontroli i powiadamiania systemy klimatyzacyjne

Aspekty ochrony fizycznej Środki ochronne kurz sprzątanie pomieszczeń (profesjonalny serwis) izolacja pomieszczeń drzwi i okna

Aspekty ochrony fizycznej Środki ochronne pole magnetyczne systemy pomiarowe usługi pomiarowe ochrona przed zniszczeniem ochrona przed podsłuchem

Bezpieczeństwo fizyczne przykład: strefy bezpieczeństwa Strefa 1. Strefa publiczna otwarta dla wszystkich w tym osób spoza firmy. Strefa 2. Strefa zamknięta dla osób spoza firmy dostępna dla wszystkich pracowników firmy. Strefa 3. Strefa chroniona - dostępna jedynie dla wydzielonej grupy pracowników firmy.

Zarządzanie systemami informatycznymi Procedury eksploatacji i utrzymania SI Planowanie i akceptacja SI Ochrona przed szkodliwym programowaniem Zabezpieczanie sieci teleinformatycznych Zarządzanie nośnikami informacji Bezpieczeństwo transmisji

Procedury eksploatacji i utrzymania systemu informatycznego Zasady korzystania/operowania zasobami systemu Wytyczne związane z bezpiecznym sposobem korzystania z zasobów/serwisów/uprawnień użytkownicy administratorzy osoby trzecie (serwis producenta, audytorzy) Niezbędny element to formalizowanie i podparcie proceduralne powyższych procesów

Planowanie i akceptacja systemu Przed implementacją jakiegokolwiek nowego komponentu struktury teleinformatycznej należy zaplanować jego funkcję oraz związane z nią wymagania sprzętowoprogramowe oraz zdefiniować kryteria dopuszczenia systemu do eksploatacji. Faza produkcyjnej eksploatacji musi być poprzedzona procedurą testowania komponentu w przygotowanym izolowanym środowisku testowym

Planowanie i akceptacja systemu (przykład) Główne fazy procesu planowania i akceptacji systemu: potrzeba obsługi jakiegoś procesu formułowanie wymagań formalnych/technicznych/bezpieczeństwa stworzenie opisu nieformalnego analiza możliwych technologii rozwiązania (platforma/system/oprogramowanie) wybranie konkretnych rozwiązań stworzenie zarysu proceduralnego funkcjonowania i obsługi systemu stworzenie formalnego opisu wymagań

Planowanie i akceptacja systemu przykład (cd) Instalacja pilotowa (w izolowanym środowisku) testy wstępne (ewentualna korekta wymagań) wybór dostawcy (procedura przetargowa) wdrożenie w środowisku testowym opracowanie całościowych szczegółowych procedur testy akceptacyjne (w izolowanym środowisku) szkolenia (użytkowników/administratorów) wdrożenie produkcyjne eksploatacja systemu

Ochrona przed szkodliwym oprogramowaniem Najogólniej mówiąc wirusy są to programy niszczące, destabilizujące bądź wprowadzające anomalie w działaniu innych programów i/lub obsługujących, bądź przetwarzających je systemów komputerowych.

Ochrona przed szkodliwym oprogramowaniem (cd) Główne rodzaje wirusów: Dyskowe Instalujące się w pamięci komputera Plikowe Infekujące lub niszczące pliki Hybrydowe Wykorzystujące kombinacje powyższych technik

Ochrona przed szkodliwym oprogramowaniem (cd) Programy sabotażowe Koń trojański Jest to program który zawiera dodatkowy kod którego działanie jest inne niż to oczekiwane przez użytkownika. Np. program uruchomiony w celu wylistowania zawartości katalogu usunie jego zawartość. Robak Program który w sposób niekontrolowany powiela się dla zainfekowania maksymalnej ilości komputerów w sieci.

Ochrona przed szkodliwym oprogramowaniem (cd) Programy sabotażowe (cd) Bomba logiczna Złośliwy kod dodany do programu, jego uaktywnienie ma miejsce gdy zostaną spełnione konkretne warunki. Królik Program którego zadaniem jest wykorzystanie całości dostępnych w systemie zasobów poprzez wielokrotne powielanie się.

Ochrona przed szkodliwym oprogramowaniem (cd) Programy sabotażowe (cd) Wirus Makr Wirus Makr jest zestawem poleceń konkretnego programu przeinaczające jego działanie. Przedstawiony podział wymienia jedynie główne grupy wirusów, i złośliwych kodów inwencja i pomysłowość twórców jest nieograniczona...

Ochrona przed szkodliwym oprogramowaniem (cd) Walka ze złośliwym kodem Proceduralna (świadomość użytkownika - szkolenia) Techniczna (zintegrowane systemy detekcji złośliwych kodów)

Ochrona przed szkodliwym oprogramowaniem (cd) Nie znane znaczy groźne otwieranie korespondencji nie zamawianej Bądź na bieżąco Strony producentów oprogramowania (użytkowego, antywirusowego) strony poświęcone bezpieczeństwu systemów

Zabezpieczanie sieci teleinformatycznych Przed czym się bronimy?

Charakter zagrożeń sieciowych Zagrożenia ze strony sieci zewnętrznych - wynikają: Z ich charakteru, wielkości, heterogeniczności... Przykład Internet: nie ma centralnej kontroli nie ma centralnego autorytetu brak standardowej, zaakceptowanej przez wszystkich polityki (np. bezpieczeństwa) brak międzynarodowego prawodawstwa w dziedzinie przestępstw

Charakter zagrożeń sieciowych cd. z samego protokołu (dominującego)tcp/ip ze słabych punktów systemów (Unix, NT,...) z ogromnej dynamiki rozwoju technologicznego (a wiec i nowych coraz bardziej wyrafinowanych i skutecznych metod ataków)...

Główne zagrożenia kradzież danych nieuprawniona modyfikacja danych podszywanie się pod innego użytkownika lub stację podsłuchiwanie i analiza danych blokowanie zasobów sieci

Zagrożenia: kradzież danych CPU Modem Internet Sieć telefonicz na

Zagrożenia: nieuprawniona modyfikacja danych Depozyt $ 2000 Depozyt $ 200 Klient Bank

Zagrożenia: podszywanie się pod innego użytkownika Kazik Jestem Bronek Wyślij dane Baza danych Bronka Bronek

Zagrożenia: podsłuchiwanie

Zagrożenia: blokowanie zasobów sieci CPU

Zagrożenia - podsumowanie zagrożenie jest realne brak przewidywania, testowania, świadomości brak czasu na śledzenie pojawiających się metod ataku i ochrony niedocenianie zagrożeń zewnętrznych i wewnętrznych poziom zagrożenia jest do zminimalizowania

Zabezpieczanie sieci teleinformatycznych Szeroka gama różnych rozwiązań Multum technik, technologii i...skrótów Firewalling, DMZ, ACL, IDS, VPN, PKI, OTP...

Od czego zacząć?

Zabezpieczanie sieci teleinformatycznych Ochrona styków międzysieciowych firewalling Firewall to system lub grupa systemów stanowiących ochronę styku, pomiędzy co najmniej dwoma sieciami.

Zabezpieczanie sieci teleinformatycznych (cd) Rodzaje i cechy systemów Firewall Możliwość ukrywania adresów IP sieci wewnętrznej (mechanizm NAT Network Address Translation) przed światem zewnętrznym Możliwość kontrolowania ruchu na obecność wirusów. Przeźroczystość firewall nie może obniżać efektywności i w znaczący sposób utrudniać dostęp do chronionych sieci. Raportowanie zdarzeń w systemie, System generowania raportów, alarmów i ostrzeżeń. Współpraca z systemami IDS ( Intrusion Detection System ) Możliwość obsługi połączenia szyfrowane VPN ( Virtual Private Networking ) Współpraca z systemami klucza publicznego PKI lub niezakłócanie ich pracy Wygodny i prosty w obsłudze graficzny interfejs administratora

Zabezpieczanie sieci teleinformatycznych (cd) Topologia styku Serwisy umieszczone w DMZ Dobór sprzętu i oprogramowania Polityka ochrony zapór sieciowych: Wszystko co nie jest dozwolone jest zabronione

Zabezpieczanie sieci teleinformatycznych (cd) Systemy IDS Architektura systemów Wykrywanie i przeciwdziałanie atakom na systemy

Zabezpieczanie sieci teleinformatycznych (cd) Współdziałanie systemów bezpieczeństwa Screening router Firewall IDS Systemy antywirusowe Systemy mocnego uwierzytelniania Mechanizmy ochrony samych systemów...

Bezpieczeństwo transmisji Techniczne środki ochrony transmisji szyfrowanie łączy fizycznych selektywne szyfrowanie transmisji (port/port czy host/host) bezpieczne VPN-y szyfrowanie w warstwie aplikacji (np. poczta elektroniczna) bezpieczne transakcje - electronic commerce

Bezpieczeństwo transmisji (cd) Szyfrowanie transmisji a model warstwowy ISO/OSI APLIKACJI PREZENTACJI SESJI TRANSPORTOWA SIECIOWA ŁĄCZA FIZYCZNA OUTLOOK SESJA TCP TCP/UDP IP ETHERNET TWISTED PAIR PGP SSH SSL IPSEC szyfratory sprzętowe

Bezpieczeństwo transmisji (cd) Wirtualne sieci prywatne (dwa główne typy) nakładkowy tunel budowany jest pomiędzy końcowymi urządzeniami tworzącymi sieć wirtualną, bez udziału urządzeń operatora (a nawet bez jego wiedzy). Sieci tego typu można budować w oparciu o rozwiązania warstw fizycznej i łącza danych modelu (np. wykorzystując linie dzierżawione, kanały PVC Frame Relay), bądź wykorzystując protokoły tunelowania w warstwie sieci (np. IPSEC).

Bezpieczeństwo transmisji (cd) Wirtualne sieci prywatne (dwa główne typy) peer-to-peer W przypadku sieci peer-to-peer tunel budowany jest pomiędzy urządzeniami operatora. Budowanie takiego tunelu oparte jest głównie o wykorzystanie trików konfiguracyjnych (listy kontroli dostępu, mechanizmy routingowe)

Bezpieczeństwo transmisji (cd) Przykłady rozwiązań IPSEC IPsec jest zbiorem protokołów i metod służących do budowania sieci wirtualnych w oparciu o Internet. Jest to niewątpliwa zaleta tego rozwiązania, gdyż umożliwia zbudowanie sieci o światowym zasięgu.

Co zapewnia IPSec? poufność transmisji integralność transmisji autoryzację stron transmisji stwierdzenie i odrzucenie ataków

Nagłówki IPSec Pomiędzy nagłówek IP, a dane dodawany jest nagłówek AH lub ESP AH (Authentication Header) zapewnia integralność i autentyczność danych AH nie zapewnia szyfrowania danych ESP (Encapsulating Security Payload) dodatkowo zapewnia szyfrowanie danych

Tryby tunelowania i transportu Tryb transportu dla sesji od końca do końca Tryb tunelowania dla wszystkich innych przypadków Tryb tunelowania Tryb tunelowania Tryb transportu

Tryby tunelowania i transportu cd. Tryb tunelowania IP HDR Data New IP HDR IPsec HDR IP HDR Data może być szyfrowane IP HDR IP HDR IPsec HDR Data Data Tryb transportu może być szyfrowane

Porównanie trybów pracy IPSec tryb tunelowania większe bezpieczeństwo transmisji - szyfrowanie nagłówka IP uniemożliwia stwierdzenia które maszyny w chronionych sieciach lokalnych prowadzą transmisję, a przez to analizę ruchu większy narzut - większe zużycie pasma

Porównanie trybów pracy IPSec tryb transmisji mniej informacji nadmiarowej - mniejsze zużycie dostępnego pasma możliwość odróżnienia przez sieć różnych połączeń pomiędzy chronionymi sieciami lokalnymi w celu np. zróżnicowania jakości transmisji nie zabezpiecza przed analizą ruchu

IPSec - dystrybucja kluczy Z IPSec, odpowiedzialnym za prawidłowe i bezpieczne przesyłanie danych wiąże się IKE (Internet Key Exchange) odpowiedzialny za przekazywanie danych związanych z zapewnieniem bezpieczeństwa transmisji Wymiana informacji potrzebnej do zestawienia i prowadzenia transmisji przy pomocy IPSec odbywa się przez połączenia zestawione przez IKE Użycie IKE jest opcjonalne - klucze można uzgodnić i wpisać statycznie

IPSec - podsumowanie Pakiet usług IPSec zapewnia bezpieczeństwo transmisji taką jak jakość użytych algorytmów autoryzacji i szyfrowania

Obowiązki użytkowników Przykładowy zestaw obowiązków użytkownika Nie należy ujawniać lub/i przekazywać identyfikatorów i haseł osobom trzecim. Unikać posiadania pisemnych list haseł, gdyż ich utrata lub upublicznienie może oznaczać nieuprawniony dostęp do systemu Zmieniać hasła według przyjętych zasad i wymagań (częstotliwość, długość, poziom skomplikowania)

Obowiązki użytkowników (cd) Natychmiast informować o przypadkach lub podejrzeniu przejęcia hasła dostępu przez osoby trzecie Jeżeli system tego nie wymusza zmieniać hasła tymczasowe lub domyślne podczas pierwszego dostępu do systemu Nie używać funkcji lub programów pozwalających na automatyzację procesu uwierzytelniania (logowania do systemu)

Kontrola dostępu do sieci i zasobów Techniczne środki kontroli dostępu Systemy zaporowe i filtrowanie ruchu Systemy uwierzytelniania użytkowników

Piramida Bezpieczeństwa Admin. i zarządzanie Poufność i integralność Zdefiniowanie uprawnień Identyfikacja i uwierzytelnianie

System haseł - newralgiczny element bezpieczeństwa

Definicja uwierzytelnienia (najkrótsza) Jednoznaczne potwierdzenie tożsamości obiektu na podstawie jego określonych cech

Metody identyfikacji i uwierzytelniania dla systemów teleinformatycznych identyfikator + hasło statyczne indetyfikator + hasło jednokrotnego użycia identyfikator + biometria źródło np. adres IP, numer telefonu (call back) oparte o kryptografie (klucze, certyfikaty)

Identyfikacja, na jakiej podstawie? Coś sekretnego co pamiętamy Coś co posiadamy Coś unikalnego co jest naszą cechą należy stosować dwie z tych metod jednocześnie

Metody Uwierzytelnienia Coś co wiesz Hasło, PIN Coś co masz Użytkownika 1059 klucz fizyczny, token, karta inteligentna Coś Twojego Bank 1234 5678 9010 odcisk palca, głos, siatkówka

Uwierzytelnienie za pomocą dwóch czynników Dwie metody są wymagane do mocnego uwierzytelnienia Niezależne czynniki - złamanie jednego nie powoduje możliwości wykorzystania całości 1059 Bank 1234 5678 9010 Coś co wiesz i coś co masz

Tradycyjne systemy haseł Tradycyjne systemy uwierzytelnienia oparte o statyczne identyfikatory nie zapewniają zadowalającego poziomu bezpieczeństwa. Statyczne hasło może zostać: odgadnięte, podsłuchane, podpatrzone, złamane

Hasła statyczne - ZA i PRZECIW ZA łatwe w użyciu dla użytkownika wygodne łatwe do zamiany PRZECIW Uciążliwe dla administratora łatwe do zapamiętania = łatwe do odgadnięcia wielu użytkowników może mieć takie same hasła mogą być wykorzystane bez Twojej wiedzy Dobre hasła są trudne do zapamiętania

Systemy haseł dynamicznych W systemach dynamicznego identyfikatora uwierzytelnienie opiera się na zweryfikowaniu użytkownika na podstawie dwóch informacji: tego co użytkownik posiada (np. generator jednokrotnych haseł) tego co użytkownik pamięta (osobisty numer identyfikacyjny - PIN)

hasła jednokrotnego logowania Łatwy jednoelementowy proces logowania Identyfikacja użytkownika Uwierzytelnianie użytkownika w sieci, systemie i aplikacji Generacja, niemożliwego do przewidzenia, istniejącego przez określony czas np. (60 sekund) hasła, które może być wykorzystane tylko raz Nie wymagane czytniki dla tokenów Możliwość używania na wielu platformach

Uwierzytelnienie użytkownika w oparciu o hasło jedorazowe Server uwierzytelniający oblicza Passcode Użytkownik wprowadza PIN i odczyt z karty Użytkownik uwierzytelniony! Baza danych o użytkowników PIN indetyfikator Tokenu Czas początkowy Przesunięcie czasowe

Hasła - bezpieczeństwo, teoria i praktyka Naturalne tendencje Kryteria stosowania rozwiązań (bezpieczne, łatwe, szybkie contra złożone, wolne, uciążliwe) Skuteczność i poziom zabezpieczeń v. Poziom skomplikowania (przykład OTP a hasła statyczne) cel: wysoki poziom bezpieczeństwa i łatwość stosowania

Zarządzanie dostępem Oficjalny wykaz osób dopuszczonych do korzystania z usługi czy systemu Używanie unikalnego identyfikatora użytkownika (username), aby móc zapewnić możliwość śledzenia działań (rozliczalność) użytkownika w systemie. Używanie identyfikatorów grupowych nie jest zalecane natychmiastowe odbieranie lub stosowna modyfikacja przyznanych praw dostępu użytkownikom, którzy opuścili firmę bądź np. zmienili stanowisko Cykliczna kontrola zgodności rzeczywistych praw dostępu z oficjalnie przyznanymi w systemie w oparciu o potrzeby użytkownika. Formalizacja praw i obowiązków użytkownika (podpisanie właściwych dokumentów)

Monitorowanie i zdalny dostęp do systemów Głównym celem procesu monitorowania dostępu jest zapewnienie bezpiecznej i nieprzerwanej pracy systemu oraz zapewnienie możliwości stwierdzenia zaistnienia (lub prób podjęcia) nieuprawnionych działań, jak również ich późniejszej analizy

Monitorowanie i zdalny dostęp do systemów Logi systemowe Centralizacja i systemy monitorowania systemy AAA

Zarządzanie kontrolą dostępu i rozliczalność Nie tylko musimy wiedzieć kto Nie tylko musimy wiedzieć do czego Ale także kiedy/jak długo/z jakim skutkiem

Systemy AAA Authentication is who the user is. Authorization is what the user can do. Authentication is valid without authorization. Authorization is not valid without authentication. Accounting is what the user did.

AAA przykład zastosowania Elementy i wymagania : Zdalny dostęp do zasobów firmy (dial-up) NAS (Network Access Server) ACS Serwer różne kategorie użytkowników (różne prawa) różne mechanizmy identyfikacji i uwierzytelnienia logowanie/rozliczanie zdarzeń/czasu centralna baza i zarządzanie obiektami (użytkownicy/uprawnienia/sposób uwierzytelniania/rozliczanie)

Implementacja Użytkownik (stacja windows + modem) NAS (router Cisco) przykład komend konfiguracji aaa : aaa new-model aaa authentication login default tacacs+ aaa accounting network default start-stop tacacs+ tacacs-server host 172.31.253.1 tacacs-server timeout 90 tacacs-server key goaway

Komunikacja NAS z serwerami uprawnień użytkowników (ACS) Protokoły: Tacacs+ (Terminal Access Controller Access Control System) Radius (Remote Address Dial-In User Service)

Co może zawierać profil użytkownika Sposób i rodzaj uwierzytelnienia pomiędzy stacją użytkownika a NAS (PAP, CHAP, EAP) Sposób uwierzytelnienia użytkownika (hasło jednorazowe, hasło statyczne) Uprawnienia użytkownika w zakresie dostępu do systemów (ACS może wysłać żądanie uaktywnienia ACL na NAS)

Struktura sieci i AAA

Zdalny dostęp i administrowanie systemem Konieczność stosowania śrdoków zabezpieczenia transmisji Secure Shell (terminal) Zarządzanie za pomocą przeglądarek (SSL) Restrykcyjne zasady dostępu

Rozwój systemu praktyczne wskazówki związane z rozwojem systemów Należy skutecznie separować środowisko projektowe od środowiska produkcyjnego Bezpieczeństwo powinno być integralnym elementem rozwoju aplikacji Dane używane do testowania systemów nie mogą pochodzić z rzeczywistego środowiska produkcyjnego (nie mogą być istotne dla firmy) Język programowania użyty do tworzenia aplikacji musimy być bezpiecznym i stabilnym standardem. Należy wziąć pod uwagę uzyskanie certyfikatów bezpieczeństwa dla systemów obsługujących istotne dane

Rozwój systemu (cd) Kwestie do rozważenia Kto jest odpowiedzialny za instalacje i rozbudowę sprzętu i uaktualnianie oprogramowania? Wszelkie zmiany powinny być dokładnie przygotowane i przeprowadzone bez szkody dla procesów obsługi systemów firmy. Nowe oprogramowanie powinno być przetestowane w środowisku testowym przed jego instalacją w środowisku produkcyjnym.

Rozwój systemu (cd) Przy instalacji sprzętu i oprogramowania postępuj zgodnie z wytycznymi producenta W przypadku negatywnych efektów wprowadzonych zmian należy zapewnić możliwość przywrócenia stanu poprzedniego Instaluj tylko niezbędne uaktualniania Jeżeli coś nie jest popsute nie próbuj tego naprawiać

Zastosowania kryptografii

Ataki 1 1 2 Utrata autentyczności (np.. Fałszywy nadawca) Utrata integralności (zmiana zawartości przesyłki) Abs.: 2 $ 50.000 3 Utrata pufności upublicznienie informacji 3 4 Utrata dostępności (zniszczenie wiadomości) 4

Ochrona Użycie kryptografii pofuność : szyfrowanie Uwierzytelnienie: Podpis cyfrowy Niezaprzeczalność : Podpis cyfrowyu Integralność: suma kontrolna (Hash)

Terminologia i mechanizm Tekst jawny (Plaintext) Tekst zaszyfrowany (Ciphertext) Klucz (Key) Deszyfracja (Decryption) Szyfrowanie (Encryption) Plaintext Key Encryption Ciphertext Key Decryption Original Plaintext

Kryptografia symetryczna Encryption Decryption

Kryptografia Symetryczna Ten sam klucz do szyfrowania i deszyfowania Konieczna metoda bezpiecznego przekazania klucza Przykłady algorytmów: DES (3DES) AES (Rijndael) RC4 Blowfish

Zalety Kryptografia symetryczna wady i zalety duża szybkość przetwarzania Wady Konieczny bezpieczny kanał do wymiany klucza liczba klucza wzrasta geometrycznie wraz z liczbą odbiorców Nie możliwa do wykorzystania dla generowania podpisów

Kryptografia asymetryczna Public Key Secret Key Encryption Decryption

Kryptografia asymetryczna Dwa odzielne klucze (klucz publiczny i prywatny) potrzebny do szyfrowania/deszfrowania wiadomości Algorytm zapewnia matematyczne pasowanie kluczy Klucza szyfrującego nie można uzyskać na podstawie klucza deszyfrującego Wiadomość zaszyfrowana kluczem publicznym może być odszyfrowana jedynie pasującym do niego kluczem prywatnym

Kryptografia klucza publicznego Przykłady: Diffie-Hellmann RSA Elliptic Curves

Kryptografia klucza publicznego Zalety wady i zalety Tylko klucz pywatny podlega ochronie Może być użyta do generacji podpisu Brak konieczności stosowania dodatkowych bezpiecznych metod przesyłania klucza (ponieważ klucz szyfrowania i deszyfrowania nie jest wspólny) Wady długi czas przetwarzania

Funkcje jednokierunkowe - Hashing Z zadanego bloku danych tworzą unikalną niezależną od wielkości danych wejściowych sekwencję bitów. (SHA 160 bitów) 010011001001110010100101010101001001010 110

Funkcje jednokierunkowe mała zmiana w tekście = duża zmiana w w skrócie wiadomości. Jednokierunkowość: odwrócenie nie możliwe bezpieczna jeśli dwie różne wiadomości nie mogą wygenerować takiego samego skrótu (teoretycznie nie możliwe) siła funkcji = szansa że 2 jednakowe wiadomości wygenerują ten sam skrót Examples MD4, MD5 SHA-1

Podpis cyfrowy signed message Hello Bob Hello Bob Hello Bob Hashfunction Hashfunction Internet ash alue Alice Alice secret key Alice public key Bob

Podpis cyfrowy (2) Podspis cyfrowy jest pewnego rodzaju sumą kontrolną. Inne stosowane określenia MAC (Message Authentication Code), Digital Fingerprint, Hash Function and Message Digest. Klucz sekretny : generacja podpisu cyfrowego klucz publiczny: weryfikacja podpisu cyfrowego Examples: - MD4 and MD5 -SHA-1

Aplikacje hybrydowe (1) S/MIME message 7r=su U8%& 7r=su U8%& 7r=su U8%& sym. message key sym. message key Hello Bob Bobs public key Internet Bobs secret key Hello Bob Alice Bob

Aplikacje Hybrydowe (2) Generacja losowego klucza symetrycznego Użycie klucza do zaszyfrowania danych Zaszyfrowanie losowego klucza symetrycznego, kluczem publicznym odbiorcy Dołączenie zaszyfrowanego klucza symetrycznego do zaszyfrowanych danych Wysłanie całości do odbiorcy

Aplikacje Hybrydowe (3) Wygenerowanie skrótu wiadomości zaszyfrowanie (podpisanie) skrótu własnym kluczem prywatnym Dołączenie podpisanego skrótu do wiadomości

Szyfrowania hybrydowe Secret Key Asymmetric Encryption Public Keys of the Recipients

Deszyfracja hybrydowa Private Key of the Recipient Asymmetric Decryption Encrypted Data Secret Key Symmetric Decryption

Długość kluczy Algorytmy asymetryczne 1024 for users Algorytmy symetryczne 128 bits

Zarządzanie ciągłością działania

Przyczyny Utrata personelu; Awaria systemu; informatycznego; Atak intruzów; Wpływ czynników zewnętrznych (powódź, pożar itp.);

Zarządzanie ciągłością działania Plany awaryjne Dokumentacja planów awaryjnych Ustalenie zakresu odpowiedzialności Analiza powypadkowa Archiwizacja zasobów Ubezpieczenie Testowanie planów awaryjnych

Zarządzanie ciągłością działania Plany awaryjne Dokumentacja planów awaryjnych Ustalenie zakresu odpowiedzialności Analiza powypadkowa Archiwizacja zasobów Ubezpieczenie Testowanie planów awaryjnych

Zarządzanie ciągłością działania Plany awaryjne Dokumentacja planów awaryjnych Ustalenie zakresu odpowiedzialności Analiza powypadkowa Archiwizacja zasobów Ubezpieczenie Testowanie planów awaryjnych

Zarządzanie ciągłością działania Plany awaryjne Dokumentacja planów awaryjnych Ustalenie zakresu odpowiedzialności Analiza powypadkowa Archiwizacja zasobów Ubezpieczenie Testowanie planów awaryjnych

Zarządzanie ciągłością działania Plany awaryjne Dokumentacja planów awaryjnych Ustalenie zakresu odpowiedzialności Analiza powypadkowa Archiwizacja zasobów Ubezpieczenie Testowanie planów awaryjnych

Zarządzanie ciągłością działania Plany awaryjne Dokumentacja planów awaryjnych Ustalenie zakresu odpowiedzialności Analiza powypadkowa Archiwizacja zasobów Ubezpieczenie Testowanie planów awaryjnych

Zarządzanie ciągłością działania Plany awaryjne Dokumentacja planów awaryjnych Ustalenie zakresu odpowiedzialności Analiza powypadkowa Archiwizacja zasobów Ubezpieczenie Testowanie planów awaryjnych

Plan awaryjny Struktura planowania ciągłości działania a) Warunki uruchomienia planów, opisujące proces, który musi mieć miejsce przed uruchomieniem każdego z planów (jak oceniać sytuację, kto ma być zaangażowany, itp.); b) Procedury awaryjne, które opisują działania podejmowane po wystąpieniu incydentu zagrażającego operacjom biznesowym i/lub życiu ludzkiemu. Powinny one obejmować ustalenia dla zarządzania public relations/kontaktami z mediami i dla efektywnej współpracy z odpowiednimi władzami, np. policją, strażą pożarną i samorządem lokalnym; c) Procedury odtwarzania/powrotu do stanu normalnego, które opisują działania podejmowane w celu uruchomienia zasadniczej działalności lub usług wspierających w innych, tymczasowych lokalizacjach oraz przywrócenia działań biznesowych w wymaganym czasie; d) Procedury wznowienia działalności, które opisują działania podejmowane w celu przywrócenia normalnej działalności biznesowej; e) Harmonogram konserwacji, który określa, jak i kiedy plan będzie testowany oraz proces związany z jego utrzymaniem; f) Działania edukacyjne i zwiększające świadomość, zaplanowane tak, aby umożliwiać zrozumienie procesów ciągłości działania i zapewniać, że procesy te są w dalszym ciągu efektywne; g) Obowiązki poszczególnych osób, opisujące, kto jest odpowiedzialny za wykonanie, którego elementu planu. W razie konieczności należy wyznaczyć zastępców;

BACKUP Odpowiedzialny Antek Kopiarski Backup site 10.0.0.10 Backup hardware Sun ULTRA10 Storage location Company safe Mode of transport encrypte/unencrypted physical transport mobile safe Data carriers Mark method Number of generation 4 Extent of data backup Software proprietry script Documentation automatic/manual DLT tape month c:/antek activity run c:/scripts/backup.1 Who? AK/YYMMDD/N 10 h 22:00 c:/franek Reconstruction When? Destroying method shreader week c:/aplikacja reconstruction time What? Refresh sycle 4 year/250 records 5 h 22:00 Reconst. exercise signature Typ day Full Data Backup 5 h 22:00 Incremental Data Backup Maximum permissible downtime 12 h

Zgodność z przepisami prawa

Przepisy prawa Zgodność z aktami prawnymi (obowiązującymi) ze standardami firmowymi A U D Y T B E Z P I E C Z E Ń S T W A