Post on 17-Feb-2016
description
10/2013 FER - Zavod za primijenjeno računarstvo
1
SVEUČILIŠTE U ZAGREBU FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA
Zavod za primijenjeno računarstvo
Prof. dr. sc. Nikola Hadjina
OSNOVE INFORMACIJSKE SIGURNOSTI (nastavni materijali)
Zagreb, listopad, 2013.
10/2013 FER - Zavod za primijenjeno računarstvo
2
Predavač: prof. dr. sc. Nikola Hadjina
Zavod za primijenjeno računarstvo
Sadrţaj kolegija
Sadrţaj po tematskim cjelinama:
1. Definiranje informacijske sigurnosti, problemi, ciljevi i načela. Informacijska
imovina.
2. Ranjivosti informacijske imovine, prijetnje i napadi.
3. Analiza, upravljanje i nadzor rizika.
4. Strategija , ciljevi i arhitektura sigurnosti.
5. Osnove kriptografije, protokoli, tehnike i algoritmi.
6. Postupci digitalne identifikacije i autentifikacije.
7. Kontrola pristupa i toka - Matematički modeli sigurnosti.
8. Sigurnost i zaštita programa i operacijskih sustava.
9. Sigurnost baza podataka i transakcijska obrada.
10. Sigurnost računalnih mreţa i distribuiranih sustava.
11. Sustavi za rano otkrivanje napada (IDS/IPS).
12. Fizička sigurnost i sigurnost osoblja.
13. Zakonski i etički i profesionalni aspekti informacijske sigurnosti.
14. Planiranje, projektiranje, izgradnja i odrţavanje sustava informacijske
sigurnosti (ISMS).
15. Upravljanje sigurnosnim incidentima i kontinuitet poslovanja (BCMS).
16. Standardi i kriteriji vrednovanja sigurnosti i učinkovitosti sustava i proizvoda
informacijske sigurnosti.
10/2013 FER - Zavod za primijenjeno računarstvo
3
LITERATURA ZA KOLEGIJ:
1. Thomas R.Peltier, Justin Peltier, John Blackley, "Information Security Fundamentals",
CRC Press LLC, 2005
2. Michael E. Whitman, Herbert J. Mattrd, "Principles of Information Security", Course
Technology, Cengage Learning, 2009
3. Keith D. Willet, "Information Assurance Architecture", CRC Press, 2008
4. Donald L. Pipkin, "Information Security", Prentice Hall PTR, 2000
5. Andrew Blyth, Gerald L, Kovacich, "Information Assurance", Springer-Verlag London
Limited, 2001 6. Charles P. Pfleger, “Security in Computing”, Prentice Hall PTR, 1997
7. Schneier, B., “Applied Cryptography”, (2nd
ed.), Wiley 1996.
8. S. Castano, M. G. Fugini, G. Martella, P. Samarati, "Database Security", ACM Press, 1995
9. Harold F. Tipton, Micki Krause, "Information Security Management", Handbook, 4th edition,
CRC Press LLC, 2000
10. Menzies, A.J., von Oorschot, P.C., and Vanstone, S.A. “Handbook of Applied Cryptography”,
CRC Press, NY, 1996.
11. Douglas R. Stinson, “Cryptography: Theory and practice”, CRC Press, 1995.
12. Deborah Russell, G.T. Gangemi Sr., “Computer Security Basic, O‟Reilly & Associates, Inc.,
1991
13. Steven L. Shaffer, Alan R. Simon, “Network Security”, Academic Press, Inc, 1994
14. Glen Bruce, Rob Dempsey, “Security in Distributed Computing”, Prentice Hall PTR, 1997
15. Simson Garfinkel, Gene Spafford, “Web Security & Commerce”, O‟Reilly & Associates, Inc.,
1997.
16. Richard Barkserville, “Designing Information System Security”, John Wiley & Sons, 1988
17. Sushil Jajodia, "Data Base Security XII", Status and Prospects, Kluwer Academic Publisher,
1999
18. V. Atluri, S. Jajodia, B. George, "Multilevel Secure Transaction Processing", Kluwer Academic
Publisher, 2000.
10/2013 FER - Zavod za primijenjeno računarstvo
4
1. Definiranje informacijske sigurnosti, problemi, ciljevi i načela.
Informacijska imovina.
Stanje i problemi:
Organizacije se suočavaju s brojnim sigurnosnim prijetnjama poput računalnih
prijevara, špijunaţe, sabotaţe, vandalizma, poţara, poplave i sl.
Šteta nanesena organizaciji u obliku zloćudnog koda, računalnog hakiranja i
uskraćivanja usluge je sve prisutnija pojava.
Financijski gubici vezani na sigurnosne upade povećavaju se iz godine u godinu i
iznose bilione dolara. Oko 60% napada se dogaĎa izvana ( kroz Internet), a oko
40% napada dolazi iznutra.
U vrijeme globalne ekonomije, stalnih promjena rizika kojima su izloţene tvrtke,
uspostave suradnje meĎu tvrtkama, on-line trgovine informacijska sigurnost postaje
sve više poslovni problem koji treba omogućiti i unaprijediti poslovanje.
Uloga informacijske sigurnosti naţalost još nije dovoljno definirana u mnogim
tvrtkama. Mnogi vide informacijsku sigurnost kao mjesto troška.
Rješenje:
Definiranje, planiranje, projektiranje, implementacija, odrţavanje i poboljšavanje
informacijske sigurnosti i sigurnosti informacijskih sustava
Informacijska sigurnost pored ovih navedenih ciljeva treba stvoriti i priliku za
planiranje i ostvarenje novih poslovnih ciljeva, te kao takva mora biti integralni dio
korporativnog upravljanja i poslovnog planiranja.
Što je sigurnost ?
Općenito, sigurnost je "kvaliteta ili stanje sigurnosti - osloboĎenost od opasnosti".
Uspješna organizacija treba imati slijedeće razine sigurnosti kako bi se zaštitile njezine
aktivnosti i njezin rad:
Fizička sigurnost, koja štiti fizičke stvari, objekte, ili područja od neovlaštenog
pristupa ili zlouporabe.
Sigurnost osoblja, koja štiti pojedince ili grupe pojedinaca koje su ovlaštene pristupiti
organizaciji i njenim aktivnostima (operativnom radu)
Operativna sigurnost, koja štiti elemente i specifičnosti pojedinih operacija ili serije
nekih aktivnosti
Sigurnost komunikacija, koja štiti komunikacijski medij, tehnologiju i sadrţaj.
Mreţna sigurnost, koja štiti mreţne komponente, veze i sadrţaje.
Informacijska sigurnost, koja štiti informacijsku imovinu.
Slika 1-3 pokazuje da informacijska sigurnost uključuje prostrana područja i to upravljanje
informacijskom sigurnošću, sigurnost računala i podataka kao i mreţnu sigurnost. Kako bi
zaštitila informaciju i njezine pripadne sustave organizacije trebaju implementirati alate i
programe kao što su politika, podizanje svijesti , izobrazba i trening djelatnika, te tehnologija.
10/2013 FER - Zavod za primijenjeno računarstvo
5
Osnovni pojmovi
Podatak je skup prepoznatljivih znakova zapisanih na odreĎenom mediju.
Informacija je podatak s odreĎenim značenjem, odnosno saznanje koje se moţe prenijeti u
bilo kojem obliku (pisanom, audio, vizualnom, elektronskom ili nekom drugom).
Računalni sustav je skup koji se sastoji od sklopovske opreme, programske opreme
(operacijski sustav, aplikacijski programi i sl.) i podataka.
Informacijski sustav je svaki sustav kojim se prikupljaju, pohranjuju, čuvaju, obraĎuju,
prikazuju, dohvaćaju i isporučuju informacije tako da budu dostupne i upotrebljive za
svakoga tko ima pravo njima se koristiti.
Informacija je poslovna imovina
Informacija je jedna jedinstvena imovina koja je vlasništvo organizacije.
Informacijska tehnologija omogućava tvrtkama da koriste svoju informacijsku
imovinu.
Biznis, danas, prikuplja više informacija nego ikad prije.
Ključna svojstva informacije
Raspoloživost
Točnost
Autentičnost
Povjerljivost - privatnost
Cjelovitost (integritet)
Korisnost
Vlasništvo
Informacijska imovina
10/2013 FER - Zavod za primijenjeno računarstvo
6
Informacijska imovina su sva ona sredstva koja pohranjuju informaciju, prenose informaciju,
kreiraju informaciju, koriste informaciju ili su informacija sama za sebe.
Takvu imovinu predstavlja i informacijski sustavi.
Sredstva organizacije se mogu stoga grupirati u slijedeće kategorije:
Ljudi omogućavaju da organizacija radi, oni dobavljaju informaciju, odrţavaju
sustave i dr. Oni su kreatori, potrošači i oni koji vode brigu o informacijama
organizacije, oni uključuju zaposlenike i ugovorne djelatnike, svatko tko doprinosi
vrijednosti organizacije u konačnici.
Posjed označava fizičku imovinu organizacije. Ta imovina najčešće ima najveću
vrijednost u knjigovodstvenim knjigama.
Informacija odnosi se na one stavke koje razlikuju organizaciju od organizacije.
Infrastruktura odnosi se na osnovne servise koji se zahtijevaju za rad organizacije,
kao što su električna struja, komunikacije, transport, i dr.
Reputacija je vrijednost dobrog imena, reputacije.
Komponente informacijskog sustava
Kao što je pokazano na Slici 1-5 informacijski sustav (IS) je mnogo više nego hardver; to je
zapravo skup od softvera, hardvarea, podtaka, ljudi, procedura i mreţa kako bi se osigurala
upotreba informacija kao imovine organizacije.
Softver
Hardver
Podatci
Ljudi
Procedure (procesi, aktivnosti)
Mreže
10/2013 FER - Zavod za primijenjeno računarstvo
7
Računlna sigurnost, sigurnost informacijskih sustava i informacijska sigurnost
Sigurnost računala (Computer Security -1970)
Sigurnost podataka (Data Security - 1980)
Sigurnost informacija, Informacijska sigurnost (Information Security - 1983)
Sigurnost informacijskih sustava (IS Security - 1988)
Sigurnost poslovanja (Enterprise protection – Enterprise Security Architecture,
Industrial Security - 1995)
Osnovne grupe razvoja sigurnosti mogu se podijeliti na:
IT orijentirana sigurnost
Poslovno orijentirana sigurnost
(informacijska sigurnost je poslovni problem, čije rješenje unapreĎuje poslovanje)
Što je računalna sigurnost ?
Sigurnost je zapravo multidimenzionalni koncept:
privatnost,
ograničenje fizičkog pristupa,
povjerljivost,
inegritet sadrţaja (podataka i programa)
raspoloţivost aplikacija (programa i podtaka)
CIA model
politika pristupa (autorizacija),
upravljanje rizicima,
Što je i što nije informacijska sigurnost ?
Postoji više definicija i pristupa u definiranju informacijske sigurnosti koji imaju isti cilj, a
polaze iz različitih pogleda na sigurnost:
informacijske operacije
zaštitu informacija i
ostvarenje ciljeva poslovanja.
→Informacijska sigurnost se ponekad povezuje sa informacijskim operacijama koje štite i
brane informacijski sustav kako bi osigurale njegovu raspoloţivost, integritet,
autentifikaciju, povjerljivost (tajnost) i neporecivost. Informacijska sigurnost takoĎer
uključuje:
oporavak informacijskih sustava
detekciju i odvraćanje napada
primjenu zakonskih propisa koji se odnose na privatnost, računalni kriminal,
računalnu forenziku i slično.
10/2013 FER - Zavod za primijenjeno računarstvo
8
Naziv "informacijska operacija" se odnosi na akciju koja se poduzima da bi se djelovalo
na protivnike informacija ili informacijskih sustava kroz obranu vlastitih informacija i
informacijskih sustava.
→Informacijska sigurnost je zaštita informacija od velikog broja prijetnji radi osiguranja:
kontinuiteta poslovanja,
smanjenja poslovnog rizika i
povećanja prihoda od investicija i poslovnih prilika.
Na mnogim mjestima se pod informacijskom sigurnošću razmatra povjerljivost, integritet i
raspoloţivost informacija (CIA-model).
Pragmatični pristup:
Zašto vaša tvrtka investira vrijeme i resurse u program informacijske sigurnosti ?
Što se očekuje od vas, specijalista informacijske sigurnosti ?
o potrošiti što manje novaca,
o osigurati odgovarajuće sigurnosne mjere (kontrole)
Definicija za pragmatični pristup:
→ Omogućiti ostvarenje ciljeva poslovanja na siguran način, u kojem su zadovoljeni
regulatorni i sigurnosni zahtjevi kroz ugradnju odgovarajućih kontrola, upravljanje
rizicima, te kroz podizanje sigurnosne kulture i svijesti u organizaciji.
Kako bi se provela gornja izjava specijalisti informacijske sigurnosti unutar organizacije
moraju imati slijedeće zadatke:
Pomoći biznisu da dosegne svoje ciljeve na siguran, troškovno isplativ i učinkovit
način
Osigurati minimalno vrijeme ispada kritičnih poslovnih funkcija zbog pojave
sigurnosnih incidenata
Osigurati minimalno izlaganje povjerljivosti (tajnosti) podataka zbog sigurnosnih
incidenta
Osigurati usklaĎenost prema regulatornim propisima i vanjskim revizijama u
različitim područjima informacijske sigurnosti
Osigurati točno, relevantno i konzistentno izvješćivanje o sigurnosti te o brizi i svijesti
o informacijskoj sigurnosti
Osigurati učinkovito upravljanje resursima u organizaciji što uključuje ljude i budţet
Stoga je informacijska sigurnost:
• Način razmišljanja
• Beskonačan poslovni proces
• Upravljanje rizikom
• Jamstvo poslovnog uspjeha
• Odgovornost svakog zaposlenika
Informacijska sigurnost nije:
10/2013 FER - Zavod za primijenjeno računarstvo
9
• Odgovornost samo IT-a
• Problem koji se rješava samo tehnologijom,
• Konačno odredište – 100% sigurnost nije moguća
Filozofija informacijske sigurnosti je dakle sadrţana u slijedećem:
• Vaţnost i kritičnost informacija se stvara u glavama poslovnih ljudi, a ne u njihovim
sustavima
• Sveopći pristup (holistički) sigurnosti je preduvjet za informacijsku sigurnost
• Sama tehnologija i alati ne mogu osigurati kompletno rješenje sigurnosti
• Ljudi su najveći problem u implemetaciji informacijske sigurnosti
• To je proces , a ne proizvod, koji nikada ne završava.
Informacijka sigurnost uključuje:
Računalnu i mreţnu sigurnost (uz korištenje IT-a)
Zaštitu svih oblika pohrane, prijenosa i obrade informacija
Sigurnost procesa koji se izvode nad tim informacijama - sigurnost informacijskih
sustava
Zaštitu poslovnih procesa i ciljeva organizacije koja koristi informacijske sustave svih
oblika
Rizikom upravljan spoj ljudi, procesa, tehnologije i organizacije u cilju ostvarenja
njezinih poslovnih ciljeva
Stoga se informacijska sigurnost i njezine različite komponente i njihovi meĎusobni odnosi
mogu se prikazati kao na slici 1.2.
10/2013 FER - Zavod za primijenjeno računarstvo
10
Slika 1.2. Informacijska sigurnost u kontekstu
Što je sigurnost informacijskih sustava ?
Sigurnost informacijskih sustava obuhvaća primjenu mjera za zaštitu podataka koji su u
obradi, ili su pohranjeni, ili je u tijeku njihov prijenos, od gubitka povjerljivosti, cjelovitosti i
raspoloţivosti, te radi sprječavanja gubitaka cjelovitosti ili raspoloţivosti samih sustava.
Općenito se moţe reći da sigurnost informacijskih sustava obuhvaća sve što i informacijska
sigurnost u širem smislu, samo primijenjeno u uţim tehnološkim okvirima (IT).
“Jedini informacijski sustav koji je zaista siguran je onaj koji je ugašen, isključen iz
napajanja, zaključan u sefu od titana, zakopan u betonskom bunkeru, te okruţen nervnim
plinom i dobro plaćenima naoruţanim čuvarima. Čak ni tad, ne bih se baš kladio na
njega.”
Eugene Spafford
Direktor Computer Operations, Audit and Security Technology (COAST)
Purdue University
Ciljevi sigurnosti informacijskog sustava
Autentifikacija (Autentification
Kontrola pristupa (Access control).
Nadzorni zapisi (Audit trail)
10/2013 FER - Zavod za primijenjeno računarstvo
11
Povjerljivost (Confidentiality
Cjelovitost (Integrity):
Raspoloživost (Availability)
Neporecivost (Nonrepudtaion)
Sigurnost je poslovni proces
Neki od aspekata informacijske sigurnosti o kojima treba voditi računa ovaj poslovni proces
su:
Pristup
Identifikacija
Autentifikacija
Autorizacija
Informacijska sigurnost je poslovni zahtjev
Biznis mora zaštiti svoju investiciju u informacijsku imovinu.
Zaštiti poslovnu imovinu ili će biti predmet tuţbe dioničara,
Zaštiti informacije o osobama o kojima vode evidenciju kako ne bi pretrpjele privatnu
tuţbu zbog kršenja privatnosti.
Dodatni aspekti informacijske sigurnosti kako bi se provela adekvatna zaštita:
Odgovornost -
Podizanje svijesti (awarness) -
Administracija -.
Poslovni model sustava informacijske sigurnosti
Programi informacijske sigurnosti trebaju uzeti u obzir kako su tvrtka, njezino osoblje,
procesi i tehnologija meĎusobno povezani i kako meĎusobno djeluju , te kako voĎenje i
upravljanje tvrtkom (governance), kultura, ljudski faktor i arhitektura podupiru ili
oteţavaju mogućnost tvrtke da zaštiti svoje informacije i upravlja rizikom koji dovodi do
kršenja informacijske sigurnosti i sigurnosti IS-a
Struktura modela
Model je orijentiran prema poslovnom rješenju upravljanja informacijskom sigurnošću.
Njegova potpunost i dinamičnost čini ga da informacijska sigurnost bude predvidiva i
proaktivna.
Struktura modela dana je na donjoj slici:
10/2013 FER - Zavod za primijenjeno računarstvo
12
USC - University of Sothern California
Ukoliko se bilo koji dio modela mijenja ili se upravlja na neodgovarajući način to izaziva
neravnoteţu modela koja predstavlja potencijalni rizik.
Elementi modela
1. Dizajn tvrtke i strategija - Tvrtka predstavlja mreţu ljudi, imovine i procesa koji
meĎusobno djeluju jedan na drugog prema definiranim ulogama koje ostvaruju
zajednički cilj.
2. Ljudi - ljudski element predstavlja ljudske resurse i sigurnosne probleme koji ih
okruţuju:
Strategiju zapošljavanja (pristup, pozadinska provjera, intervjui, uloge i
odgovornost)
Problemi zaposlenih (lokacija ureda, pristup alatima i podatcima, izobrazba,
trening i podizanje svijesti, kretanje unutar tvrtke)
Prekid radnog odnosa (razlozi napuštanja tvrtke, vrijeme izlaza, uloge i
odgovornosti, pristup sustavima, pristup drugim zaposlenicima)
3. Proces - Proces uključuje formalne i neformalne mehanizme ( velike i male,
jednostavne i sloţene) koji osigurava da se model izvršava, te da se osigura veza na
sve dinamičke meĎuveze.
a. Ovi procesi identificiraju, mjere, upravljaju i nadziru rizik, raspoloţivost,
integritet i povjerljivost (CIA),
b. te osiguravaju nuţnu odgovornost (atentifikaciju, autorizaciju i auditing).
Kako bi ovi procesi doprinijeli i pogodovali napretku tvrtke oni moraju:
Ostvarivati poslovne zahtjeve i moraju se podudarati sa politikom sigurnosti
Razmatrati pojavnost noviteta (ljudi, tehnologija,..), te trebaju biti prilagodljivi
zahtjevima za promjenama
10/2013 FER - Zavod za primijenjeno računarstvo
13
Biti dobro dokumentirani te izkomunicirani s odgovarajućim ljudskim
resursima
Biti periodički revidirani (pregledani), nakon što su uspostavljeni, kako bi se
osigurala njihova učinkovitost i djelotvornost
Gore navedene aktivnosti direktno proizlaze iz procesnih zahtjeva norme ISO
27001 za realizaciju PDCA (Plan-Do-Check-Act) ţivotnog ciklusa Sustva
upravljanja informacijskom sigurnošću (ISMS).
4. Tehnologija - ovaj element modela sastoji se od svih alata, aplikacija i infrastrukture
koje čine procese učinkovitijim i djelotvornijim.
Dinamičke meĎuveze izmeĎu elementa modela
Akcije i ponašanje ovih meĎuveza mogu ovaj model dovesti ili izbaciti iz stanja ravnoteţe
koja osigurava informacijsku sigurnost. Ove dinamičke meĎuveze su:
1. VoĎenje i upravljanje (Governing) - To se odnosi na voĎenje tvrtke i zahtjeva
strateško vodstvo.
2. Kultura - Kultura je uzorak koji se sastoji od ponašanja, vjerovanja, pretpostavki,
odnosa i načina kako se provodi poslovanje (na primjer provoĎenje poslovanja na
etičan, moralan način).
3. Omogućavanje i podrška - Ova meĎuveza povezuje element tehnologije i element
procesa. Jedan od načina pomoći, da se ljudi usklade s tehničkim sigurnosnim
mjerama, politikama i procedurama, je da su procesi upotrebljivi i lagani za korištenje.
4. Nastanak (Emergence) - Nastanak što podrazumijeva pojavu, izviranje, razvijanje,
narastanje i evoluciju što se odnosi na primjere u ţivotu tvrtke (sigurnosni incidenti i
katastrofe), a koji nemaju razuman uzrok te čiji je rezultat nemoguće predvidjeti i
kontrolirati.
5. Ljudski faktori - Ljudski faktor kao dinamička veza predstavlja interakciju i "gap"
izmeĎu tehnologije i ljudi, te je kao takva kritična za program sigurnosti.
6. Arhitektura - Sigurnosna arhitektura je sveobuhvatna i formalna enkapsulacija
(omatanje) ljudi, procesa, politika i tehnologije što čini praktičnu arhitekturu
sigurnosti tvrtke (vidi konceptualni model).
Upotreba modela
Zakonski i regulatorni zahtjevi
Globalizacija
Rast i proširenja
Organizacijske sinergije
Pojava i razvoj novih tehnologija
Ekonomija trţišta
Ljudski resursi
Sve prisutne izmjene prijetnji i ranjivosti
Inovacije
NSTISSC sigurnosni model (McCumber kocka)
10/2013 FER - Zavod za primijenjeno računarstvo
14
Principi sigurnosti informacijskih sustava (OECD)
Svijest o informacijskoj sigurnosti
Odgovornost
Odziv
Etika
Demokracija
Procjena rizika
Dizajn i implementacija sigurnosnih mjera
Upravljanje sigurnošću
Procjenjivanje
Informacijska sigurnost: Da li je to umjetnost ili znanost ?
Danas, u sloţenim informacijskim sustavima, implementacija informacijske sigurnosti se
često opisuje kao kombinacija umjetnosti i znanosti.
Sigurnost kao umjetnost
Ne postoje čvrsta i brza pravila koja reguliraju instalaciju različitih sigurnosnih mehanizama,
a isto tako ne postoje općenita i univerzalna usvojena rješenja za potpuna rješenja sigurnosti.
Sigurnost kao znanost
10/2013 FER - Zavod za primijenjeno računarstvo
15
Tehnologija koja je razvijena od računalnih znanstvenika i inţenjera - tehnologija je
dizajnirana za rigorozne zahtjeve na performanse sustava- čini informacijsku sigurnost
znanošću jednako tako kao i umjetnošću.
Sigurnost kao sociološka znanost
Treći pogled na informacijsku sigurnost odnosi se na sigurnost kao sociološku znanost, koja
ujedinjuje neke komponente umjetnosti, znanosti i dodaje drugu dimenziju u razmatranje.
Sociološka znanost ispituje ponašanje pojedinaca u interakciji sa sustavom, bez obzira da li su
to sociološki sustavi ili u ovom kontekstu informacijski sustavi.
10/2013 FER - Zavod za primijenjeno računarstvo
16
2. Ranjivosti informacijske imovine, prijetnje i napadi
Potreba za sigurnošću
Prvo poslovne potrebe
o Zaštita funkcionalnosti organizacije
o Omogućava sigurni rad aplikacija koje su implementirane na IT sustavima
organizacije
o Zaštita podataka koje organizacija skuplja i koristi
o Zaštita tehnološke imovine u organizaciji
Prijetnje
poznavati sebe, to znači biti upoznat sa informacijama koje treba zaštititi , kao i sa
sustavima koji pohranjuju, prenose ili obraĎuju informaciju i
poznavati prijetnje kojima ste izloţeni.
U kontekstu informacijske sigurnosti, prijetnja je objekt, osoba, ili drugi entitet koji
predstavlja stalnu opasnost za imovinu organizacije.
Computer Crime and Security Survey, (CSI/FBI) iz 2006.
17% ljudi na Zemlji što iznosi oko 1,1 milijardi ljudi koristi neki oblik pristupa
Internetu.
72 % organizacija (uglavnom velikih korporacija i vladinih agencija) detektiralo
sigurnosne proboje sa Interneta u zadnjih 12 mjeseci,
52 % anketiranih je identificiralo neovlašteno korištenje računala
Tablica 2-1 Prijetnje informacijskoj sigurnosti
Kategorija prijetnje Primjeri 1. Djelo ljudske pogreške ili propusta Nesreće, greške djelatnika
2. Kompromitacija intelektualnog vlasništva Piratstvo, povreda autorskog prava
3. Namjerno djelo kršenja granica Neovlašteni pristup i/ili skupljanje podataka
4. Namjerno djelo iznude informacija Otkupnina ili otkrivanje informacija
5. Namjerno djelo sabotaţe ili vandalizma Uništenje sustava ili informacija
6. Namjerno djelo kraĎe Ilegalno posvojenje ureĎaja ili informacija
7.Namjerni softverski napadi Virusi, crvi, makro-i, DoS, Trojani
8. Prirodne sile Vatra, poplava, zemljotres, grmljavina
9. Odstupanja u kvaliteti usluge ISP, električna energija, problemi WAN usluga
10.Tehnički zastoj hardvera ili greške Greške ureĎaja
11. Tehnički softverski propust ili greške Greške u programu (bugs), greške programiranja
12. Tehnološka zastarjelost Zastarjela ili neaţurna tehnologija
Djelo ljudske pogreške ili propusta
Sprečavanje:
provoĎenjem treninga osoblja
podizanjem svijesti o informacijskoj sigurnosti,
10/2013 FER - Zavod za primijenjeno računarstvo
17
primjenom kontrola (sigurnosnih mjera), koje kreću od jednostavnih do sloţenijih
procedura
Kompromitacija intelektualnog vlasništva
Intelektualno vlasništvo je definirano kao "vlasništvo ideja te nadzora nad dodirljivom
ili virtualnom prezentacijom tih ideja".
Kršenje - softversko piratstvo - jedan trećina sveg softvera koji se koristi piratske
prirode
Zaštita:
Tehnički mehanizmi:digitalni vodeni ţigovi, ugraĎeni kodovi, kodovi za pravo
kopiranja, te čak namjerni smještaj loših sektora na medij
Licence
Organizacije za zaštitu od softverskog piratstva (BSA (www.bsa.org),
SIIA(www.siia.net ) i dr)
Proces on-line registracije
Namjerno djelo kršenja granica
konkurentsko istraţivanje (competitive intelligence) - WEB pretraţivanje - legalno
kad se preĎu granice onoga što je zakonski i etično tada se to naziva industrijska
špijunaţa
prijetnja nacionalnoj sigurnosti - špijunaţa Vlade
gledanje preko ramena- povreda privatnosti, povjerljivosti
prekršitelji - hakeri (ekspertni (Kevin Mitnick) i nevješti), script kiddies, pocket
monkey, craker, phreaker
Zaštita:
oznaka granice virtualnog područja organizacije
principi autentifikacije i autorizacije
Namjerno djelo iznude informacija
Ucjena je poznata u kraĎi brojeva kreditnih kartica
Student je otkrio kako skinuti knjige od jedne on-line digitalne knjiţare
Kompenzacija za neobjavljivanje
Namjerno djelo sabotaže ili vandalizma
uništiti imovinu ili nauditi ugledu same organizacije
ugroziti povjerenje potrošača, reputaciju organizacije
preoblikovanja Weba
vandalizam unutar mreţe- hacktivist ili cyberactivist operacije
kibernetički terorizam - napad na infrastrukturu ((opskrba energijom, vodom i dr.)
10/2013 FER - Zavod za primijenjeno računarstvo
18
Namjerno djelo kraĎe
ilegalno preuzimanje tuĎeg vlasništva - bez znanja njihovih vlasnika
Fizička kraĎa
Elektronička kraĎa
Namjerni softverski napadi
Zloćudni (maliciozni) kod ili zloćudni softver, ponekad se nazivaju malware
o virusi,
o crvi,
o trojanski konji (trojani),
o logičke bombe i
o zadnja vrata (back doors).
Značajani incidenit malicioznog koda u povijesti su DoS (Denial of Service) napadi
koji je proveo Mafiboy na Amazon.com , CNN.com, yahoo.com i dr.
Virusi
Program koji je sada pod kontrolom virusa, provodi plan virusa, a taj je da se sam
replicira na druge ciljne sustave i programe
Otvaranje inficiranog e-maila-a (attachment files)
Razmjena disketa izmeĎu sustava
Makro i boot virusi
Zaštita:
anti virusni softver
Crvi
Crv je maliciozni program koji se sam replicira bez potrebe postojanja programske
okoline.
Robert Morris ,. Code Red, Sircam, Nimda i Klez
MS_Blaster, MyDoom i Netsky
moţe redistribuirati na sve e-mail adrese koje pronaĎe na sustavu
moţe instalirati na sve Web posluţitelje koje to računalo moţe dohvatiti
kopije crva se instaliraju na te dijeljene servere koji inficiraju sve korisnike koji im
pristupaju.
Trojanski konji (Trojani)
Trojanski konji su softverski programi koji skrivaju svoje postojanje, a otkrivaju svoje
postojanje i ponašanje kada se aktiviraju (Happa99.exe).
10/2013 FER - Zavod za primijenjeno računarstvo
19
Zadnja vrata ili upadna vrata (back door, trap door)
Crvi ili virusi postavljaju navedena vrata u sustavu, što omogućava napadaču da
pristupi sustavu s posebnim pravima ( Subseven i Back Orifice).
Polimorfizam
Polimorfistička prijetnja je prijetnja koja kroz vrijeme mijenja svoj način
pojavljivanja prema ant-virusnim programima
Obmana vezana uz viruse i crve
Kako odrediti da li su oni fikcija ili stvarnost ?
Posjetiti CERT Coordination Centre na www.cert.org, Urban Legend Reference Pages
na www.snopes.com/inboxer/hoaxes/hoaxes.asp ili Hoax Busters Web stranicu na
hoaxbusters.ciac.org.
Prirodne sile
Vatra
Poplava
Potres
Grmljavina
Odronjavanje zemlje ili blata
Tornado ili jaki olujni vjetar
Uragan ili tajfun
Tsunami
Elektrostatičko praţnjenje (ESD
Kontaminacija od prašine
10/2013 FER - Zavod za primijenjeno računarstvo
20
Zaštita
Pripremiti planove za izvanredne situacije (Planove kontingencije)
Planovi za opravak od katastrofa (DRP - Disaster Recovery Plan)
Planovi za kontinuitet poslovanja (BCP - Bussines Continuity Plan)
Planovi za odgovor na incidente (IRP - Incident Response Plan).
Odstupanja u kvaliteti usluge
Degradacija usluge je jedan oblik narušavanja raspoloţivosti
o Problemi Internetske usluge (Web hosting ,SLA)
o Problemi komunikacijskih i drugih dobavljača usluge (telefonske usluge,
usluge opskrbe vodom, usluge otpadnih voda, odvoz smeća, kabelska
televizija, dobava plina i dr.)
o Neispravnosti opskrbe električnom energijom (spike, surge, brownout,
blackout, fault - UPS, potiskivači prenapona)
o Tehnički zastoj hardvera ili greške (proizvoĎač distribuira opremu koja ima
poznati ili nepoznati nedostatak, grešku)
o Tehnički softverski propust ili greške (trap door, netestirani kod, ne detektirane
i neriješene greške i dr. - Bugtraq na www.securityfocus.com,)
o Tehnološka zastarjelost (analizu tehnologije, ispravno planiranje)
Napadi
Napad je djelo, akcija koja iskorištava priliku postojanja ranjivosti kako bi se
kompromitirao IS sustav koji trebamo zaštititi (agenti prijetnji)
Zloćudni kôd (izvoĎenje virusa, crva, Trojana i aktivnih Web skripti - skrivene
softverske aplikacije – bot, spyware i adware- koje su dizajnirane da rade izvan
pogleda korisnika - napadi socijalnog inţenjeringa, kraĎa identiteta)
Tablica 2-2 Vektori napada
Vektor Opis IP pretraţivanje i
napad
Inicirani sustav ispituje slučajno ili lokalno područje IP adresa i napada neku od
poznatih ranjivosti za koju znaju hakeri ili ih prepušta prethodnom eksploitu kao
što je Code Red. Back orifice i dr.
Pretraţivanje Web-a Ako inficicirani sustav ima pravo pisanja na bilo koju Web stranicu tada će on
inficirati sav sadrţaj Web datoteka (.html, .asp, .cgi, i dr.) tako da korisnik koji
pretrţuje te stranice postaje zaraţen.
Virus Svaki inficirani stroj inficira neke izvodljive ili skript datoteke na svim
računalima na koja on moţe pisati sa virusnim kodom koji izaziva infekciju
Nezaštićena dijeljena
sredstva
Koristeći ranjivost datotečnog sustava upravljanja datotekama, kao i načina na
koji suti sustavi konfigurirani, inficirani strojevi kopiraju virusnu komponentu na
sve lokacije (sredstva, datoteke) koje oni mogu dohvatiti.
Masovni mail Slanjem e-mail infekcije na adrese koje su naĎene u adresaru, inficirani strojevi
inficiraju mnoge korisnika, čiji programi za čitanje maila automatski izvode
program i inficiraju druge sustave.
Simple Network
Management Protocol
(SNMP)
Koristeći široko poznate i uobičajene lozinke koje su bile implemntirane u rane
verzije ovog protokola /a koje su se koristile za upravljanjem mreţom ili
računalom) , program koji napada mogao je dobiti kontrolu nad tim ureĎajem.
Mnogi ponuĎači su otklonili tu ranjivost sa softverskim dogradnjama.
10/2013 FER - Zavod za primijenjeno računarstvo
21
Obmane-prijevare (napad zamaskiran sa naoko legitimnom porukom sa priključenim
stvarnim virusom - napad na suradnike u poslu i na svoje prijatelje)
Zadnja vrata (Back Doors) (dizajner i osoblje za odrţavanje - trap door, isključeni
zapisi - log )
Razbijanje lozinke (krekanje, dictionary attack)
Gruba sila (sve moguće kombinacije, napad na lozinku i na ključ kriptiranja -
ograničavaju broj neuspjelih prijava)
Riječnik (riječnik umjesto liste svih mogućih kombinacija - dodatni brojev i/ili
specijalni znakovi)
Uskraćivanje usluge (DoS) i distribuirano uskraćivanje usluge (DDoS )
(preopterećenje, "rušenje" sustava, napad na ciljani sustav iz više lokacija (zombi
računala ) u isto vrijeme - DDoS - oruţje za masovno uništavanje na Internetu)
Zavaravanje (Spoofing) (krivotvorenje izvorne IP adrese)
10/2013 FER - Zavod za primijenjeno računarstvo
22
Čovjek-u-sredini (Man-in-the-middle, TCP hijacking ) (koristi IP spoofing da
prisluškuje kao i da mijenja, briše , preusmjerava, dodaje, krivotvori ili skreće
podatke,
Neželjena pošta (spam) (djelotvoran napad zlonamjernog koda, gubljenje računalnih i
ljudskih resursa - filtriranje za e-mail, brisanje)
Poštanska bomba (drugi oblik e-mail napada, što je ujedno i DoS napad - socijalni
inţenjering, nedostatci u SMTP-u)
Njuškala (sniffers) (nadziru (prate) putovanje podataka kroz mreţu, paketni sniferi)
Socijalni inženjering (proces korištenja socijalnih vještina kako bi se uvjerilo ljude da
otkriju osjetljive podatke, ljudi su najslabija veza)
Kriminalna prijevara (phishing) (pokušaj dobivanja osobne ili financijske informacije
od pojedinca - URL manipulacija, krivotvorenje Web lokacije, telefonski phishing.)
Pharming (preusmjeravanje legitimnog Web prometa prema nelegitimnoj lokaciji
kako bi se dobila privatna informacija - DNS cache poisoning)
Vremenski napad (iskorištava sadrţaj pričuvne memorije Web pretraţivača i sprema
maliciozne kolačiće (cookies) na sustav klijenta prikuplja informacije, odreĎivanje
ključeva i algoritma enkripcije.)
10/2013 FER - Zavod za primijenjeno računarstvo
23
10/2013 FER - Zavod za primijenjeno računarstvo
24
3. ANALIZA, UPRAVLJANJE I NADZOR RIZIKA
Stanje i ciljevi:
kompetitivna prednost (primjena IT u ranim danima)
kompetitivna nepogodnost (isključivi oslonac na IT danas)
rizik je mogućnost nastanka gubitka za organizaciju
projektirati i kreirati sigurnu okolinu za poslovne procese (rješenje kroz upravljanje
rizikom)
Kako nastaje sigurnosni rizik ?
.
Promjene u načinu poslovanja:
potreba minimiziranja zastoja tj. prekida u poslovnom procesu radi dinamične i
konkurentne sredine
informacija ima stratešku vaţnost u poslovanju
RAZLOG PORASTA INTERESA I POTREBE ZA UPRAVLJANJEM SIGURNOSNIM RIZICIMA porast ranjivosti imovine IS-a
porast troškova zaštite i neučinkovita zaštita
porast broja prijetnji i nastanak novih oblika prijetnji
teško uočavanje prijetnji
postojanje stalnog (prikrivenog) rizika
PREPREKE NA KOJE SE NAILAZI PRI PLANIRANJU UNAPREĐENJA SIGURNSOTI
nedostatak vremena i sloţenost tehnologije
slaba podrška menadţmenta
troškovi
ljudski potencijali
nedostatak alata i rješenja
vanjski i unutarnji utjecaji
manjkavost
zaštite
manjkavost
zaštite
prijetnje
incidenti
posljedice
gubici
slučajnosti vanjski i unutarnji utjecaji
manjkavost
zaštite
manjkavost
zaštite
manjkavost
zaštite
10/2013 FER - Zavod za primijenjeno računarstvo
25
nastanak novih grana privreĎivanja što uzrokuje i nastanak novih izvora prijetnja i
ugroţavanja informacija
razvoj novih poslovnih aktivnosti čija uspješnost neposredno ovisi o stupnju sigurnostl
globalizacija trţišta i korištenje otvorenih računalnih mreţa (Internet)
Slika 2. Razlozi oteţanom uočavanju sigurnosnog rizika
RAZLOZI (NE)BRIGE ZA SIGURNOSNI RIZIK
oteţano uočavanje rizika
veličina problema (veliki broj različitih tipova rizika, velik broj mjesta na koja
rizici utječu)
rizik je često opisne naravi, a takav se teţe razumije (još teţe kvantificira)
prikriveni rizik je slabo uočljiv
bijeg od stvarnosti ("pa neće se baš nama ili sada dogoditi, konzervativni pogled
na sustav)
opterećenost drugim problemima
rizik je apstraktni pojam
top mendţment
voditelji odjela, djelatnici
nedostatak
znanja i novcapoznati
problemi tajnosti
manji gubici
imovine
povremene
nesreće povremeni
prekidi u radu
slabosti
procesa
potencijalni
gubici
slabosti upravljačkog
sustavaslučajni vanjski događaji
povremene ljudske greškenepredviĎene
greške opreme
top mendţmenttop mendţmenttop mendţment
voditelji odjela, djelatnicivoditelji odjela, djelatnici
nedostatak
znanja i novcapoznati
problemi tajnosti
manji gubici
imovine
povremene
nesreće povremeni
prekidi u radu
slabosti
procesa
potencijalni
gubici
potencijalni
gubici
slabosti upravljačkog
sustavaslučajni vanjski događaji
povremene ljudske greškenepredviĎene
greške opreme
slučajni vanjski događaji
povremene ljudske greškenepredviĎene
greške opreme
10/2013 FER - Zavod za primijenjeno računarstvo
26
Koncept rizika
Komponente rizika:
Prijetnja - mogućnost za pojavu neţeljenog dogaĎaja
Posljedice - rezultat izvršenja neţeljenog dogaĎaja
Rizik
Prijetnja Posljedice
Izvor
prijetnje
Događaj
prijetnje
Očekivani gubitci
AND
AND
Vjerojatnost
Izvori prijetnje se mogu klasificirati na:
Prirodne
Tehničke
Ljudske
Scenario poslovnog rizika koji je vezan na snjeţnu oluju koja izaziva prekid eleketrične
mreţe Data centra koji je nuţan za obavljanje poslovne funkcije :
Prijetnja:
Vjerojatnost : 25% da nastupi prekid električne mreţekao posljedica oluje
Izvor prijetnje: snjeţna oluja
DogaĎaj prijetnje: prekid električne mreţe
Posljedice:
Očekivani gubitak prihoda kao rezultat nerada Data centra i ureda: 2.5 M$
Mjerenje veličine rizika:
Kvantitativno (numeričke veličine – novčani iznos)
Kvalitatitvno (skala veličina: Low, Medium , High)
10/2013 FER - Zavod za primijenjeno računarstvo
27
Prikaz upravljanja rizikom
Upravljanje rizikom je proces identificiranja ranjivosti u informacijskim sustavima
organizacije te poduzimanja razumnih koraka koji trebaju osigurati povjerljivost, cjelovitost i
raspoloţivost svih komponenata informacijskog sustav organizacije.
Kako bi pobijedili mi moramo poznati sebe i poznati neprijatelja (kineski general Sun
Tzu Wu).
Uloge zainteresiranih strana
o U organizaciji svi moraju biti zainteresirani
o Skupina za informacijsku sigurnost
o Menadţment i korisnici
o IT skupina
Odgovornost za:
o Vrednovanje kontrola rizika
o OdreĎivanje koje su od kontrola za organizaciju troškovno učinkovitije
o Nabava i instalacija potrebnih kontrola
o Osigurati da kontrole ostaju učinkovite i nakon njihove instalacije
Periodički pregledi upravljanja
Donošenje odluke
o smanjiti rizik
o prihvaćanju rizika
o prijenos rizika
Ključna pitanja:
o Što se moţe dogoditi (dogaĎaj prijetnje) ?
o Ukoliko se prijetnja realizira, koliko ona moţe biti štetna (utjecaj prijetnje) ?
o Kako se često ona moţe dogoditi (frekvencija pojave prijetnje, godišnje) ?
o Koliko su izvjesni odgovori na gornja pitanja ( prepoznavanje neizvjesnosti) ?
10/2013 FER - Zavod za primijenjeno računarstvo
28
Proces smanjenja rizika
Čimbenici razumijevanja sigunosnog rizika
Prijetnje RanjivostiIskoristi
Zaštiti od Povećava Povećava Izlaže
ImovinaRiziciKontrole
UkazujeIspunjava Povećava Ima
Sigurnosni
zahtjeviUtjecaj na
poslovanje
Smanjuje
10/2013 FER - Zavod za primijenjeno računarstvo
29
Popis zadataka koje u svrhu procjene rizika treba provesti su:
1. planiranje i pripreme (razjasniti način na koji će se sprovesti metode rada)
2. odreĎivanje timova i njihovih zadataka (odgovornost za pojedine zadatke, odabir i
broj sudionika procesa izbor-a)
3. prikupljanje podataka
3.1. utvrĎivanje poslovne imovine i procjene njihove vrijednosti
3.2. utvrĎivanje mogućih prijetnja za poslovnu imovinu
3.3. utvrĎivanje vjerojatnosti da prijetnje djeluju na imovinu
4. procjena prikupljenih podataka
4.1. procjena imovine
4.2. procjena ranjivosti, prijetnja i njihova utjecaj na imovinu
4.3. utvrĎivanje vjerojatnosti nastanka i djelovanja prijetnja
5. mjerenje i odreĎivanje rizika
6. izrada izvješća
7. odreĎivanje potrebnih protumjera
8. odreĎivanje preostalog rizika
Funkcijski elementi sustava upravljanja sigurnosnim rizikom
Metode za procjenu sigurnosnog rizika IS-a : BS, CRAMM, COBRA, OCTAVE, NIST,
NASA, FMEA, GAO, RuSecure, ALE, FIPS, CORA, FRAP, COBIT i dr
Sustav upravljanja sigurnosnim
rizikom
10/2013 FER - Zavod za primijenjeno računarstvo
30
Koraci u procesu upravljanja rizikom
provesti utvrĎivanje i
procjenu rizika
utvrditi metodologiju
rada i potrebne alate
odreĎivanje i primjena
sigurnosnih mjera
pratiti i procjenjivati sigurnost, rizike
i unapreĎivati performanse,
djelovati na smanjenju rizika, uvoditi
spoznaju o vaţnosti osiguravanja
izrada scenarija nesreća,
plana u slučaju nesreće
analizirati utjecaj
prijetnja na poslovanje
definirati radne timove,
odrediti područje i način
djelovanja
odrediti, zahtjeve, ciljeve
i politiku sigurnosti,
obučiti članove
poslovodstva uspostaviti upravljačku
strukturu
planirati, odrediti ciljeve,
zadatke i odgovornosti
provesti procjenu rizika
uvtrditi kritične čimbenike
rizika
odabrati metodologiju i alate
provesti procjenu
izvjestiti
odlučitelje o
rezultatima
pratiti
učinkovitost
zaštite i
poboljšavati
sigurnost
10/2013 FER - Zavod za primijenjeno računarstvo
31
Dijagram srazmjera rizika i troška
Tablica 3. Strategije upravljanja sigurnosnim rizikom
izbjegavanje
- moţda i nasigurniji oblik umanjivanja rizika, ne poništava se izvor prijetnja, već moguće
djelovanje na poslovne vrijednosti
- najčešći postupci kod izbjegavanja rizika
- udaljavanje, npr. alokacija mjesta djelovanja u sigurna područja
- odvajanje (npr. fizičko odvajanje djela računalne mreţe)
- selekcija (npr. zaposlenika)
- skrivanje ili prikrivanje (npr. poslovnih rezultata ili opreme) itd .
smanjenje
- provodi se djelovanjem mjera zaštite na čimbenike rizika
- popraćeno znatnim ulaganjima
- postiţe se dobra razina sigurnosti
- temelji se na stvaranju zalihosti u informacijskom sustavu
- pitanje brzine odziva sustava zaštite
- pitanje brzini obnavaljanja u slučaju nesreće
- preporuča se samo onda ako su iscrpljene ostale mogućnosti
- danas najčešće korištena strategija, zbog
- nezanenja i nerazumijevanje
- nepoznavanje ostalih strategija
- loše analiza mogućih alterantiva
prenošenje
- znači prenijeti odgovornost za moguće gubitke na drugog
- ne djeluje se na čimbenike rizika, već nadoknaĎuje nastali gubitak.
- nedostaci
- što je duţe vrijeme povrata gubitka to su oni veći
- informaciju je teško financijski procijeniti
- infomacija mijenja svoju vrijednost u vremenu
- vrlo visoke premije za osiguravanje, koje mogu premašiti objektivne rizike
- ne preporuča se informacijsku imovinu
- korisno kod zaštite materijalne imovine i imovines trţišnom vrijendošću
prihvaćanje
- nakon iscrpljivanja svih ostalih mogućnsoti
- oslanja se na (ne)vjerojatnost nenastupanja nesreća.
- ne preporuča se prije sprovedene analize da se ne bi prevarili u subjektivnm procjenama
- u odreĎenoj mjeri i područjima donosi znatne uštede i moţe predstavljati dobar način
upravljanja rizicima
- nedostatak kod strategije prihvaćanja rizika je što postoji povećana mogućnost
iskorištavanja slabosti ako informacija o nepostojanju zaštite procuri u javnost.
- iznad granice koja se tolerira rizik primjenjuje se neki od postupaka umanjivanja
rizika
troškovi rizici
Cilj
max min
iznos
troškova
veličina
rizika
10/2013 FER - Zavod za primijenjeno računarstvo
32
Procjena rizika
Procjena rizika pridruţuje relativnu veličinu rizika ili ukupnu veličinu rizika za svaku
informacijsku imovinu.
Faktori rizika
Rizik je
Vjerojatnost pojave ranjivosti
Pomnoţeno sa
Vrijednošću informacijske imovine
Minus
Postotak smanjenja rizika postojećim kontrola
Plus
Neizvjesnost u poznavanju trenutnih ranjivosti
Kvantitativna procjena rizika- pojmovi i definicije
Godišnji očekivani gubitak (GOG)
JOG * GUP = GOG gdje je,
JOG – jednostruki godišnji gubitak uz pojavu jedne prijetnje godišnje.
GUP – učestalost pojave prijetnje u toku jedne godine
Uspostavlja osnova za analizu trošak/dobiti.
Godišnja učestalost pojave prijetnje (GUP)
To je veličina koja daje frekvenciju pojave prijetnji koja se očekuje kroz godinu.
Faktor izlaganja (kompromitacije) (FI)
Ovaj faktor predstavlja mjeru veličine gubitka ili utjecaja prijetnje na vrijednost
informatičkog sredstva.. Taj faktor se koristi u računaju JOG veličine.
Informacijsko sredstvo
Informacijsko sredstvo je dio informacijskog sustava koje organizacija mora imati kako bi
obavila svoju poslovnu misiju.
10/2013 FER - Zavod za primijenjeno računarstvo
33
Kvalitativnost/Kvantitativnost
Tehnike analiza rizika i procjene ne mogu se promatrati binarno, kao kvantitativne ili
kvalitativne, nego prema stupnju u kojem se neki elementarni faktori kao vrijednost sredstva,
faktor izlaganja (kompromitiranja sredstva) i frekvencija prijetnja mogu imati pridruţene
kvantitativne vrijednosti.
Vjerojatnost
Ovaj pojam opisuje šansu ili mogućnost da se dogodi neki dogaĎaj, odnosno da se dogodi
gubitak ako se taj dogaĎaj desi.
Rizik
Potencijal za pojavu štete ili gubitka, koji se najbolje izraţava kao odgovor na četiri pitanja :
1. Što se moţe dogoditi (dogaĎaj prijetnje) ?
2. Ukoliko se prijetnja realizira, koliko ona moţe biti štetna (utjecaj prijetnje) ?
3. Kako se često ona moţe dogoditi (frekvencija pojave prijetnje, godišnje) ?
4. Koliko su izvjesni odgovori na gornja pitanja ( prepoznavanje neizvjesnosti) ?
Analiza rizika
Analiza treba identificirati prijetnju ranjivosti, povezujuću prijetnju sa sredstvom,
identificirati potencijal i prirodu neţeljenog rezultata, te identificirati i vrednovati sigurnosne
mjere koje smanjuju rizik.
Procjena rizika
Ovaj pojam podrazumijeva pridruţivanje vrijednosti informacijskom sredstvu, učestalost
prijetnji kroz godinu, posljedice (tj. faktor izlaganja-FI), jednostruki godišnji gubitak i dr.
Upravljanje rizikom
Ovaj pojam podrazumijeva cjelokupni proces, analizu rizika i procjenu rizika, te samo
upravljanje što uključuje proces pridruţivanja prioriteta, financiranja, implementiranja i
odrţavanja sigurnosnih mjera.
Sigurnosne mjere (zaštitni mehanizmi)
Ovaj pojam podrazumijeva mjere i mehanizme koji smanjuju rizik a djeluju kroz detekciju,
prevenciju ili minimizaciju gubitaka koji su povezani sa specifičnom pojavom prijetnje ili
cijele kategorije prijetnji. Sigurnosne mjere se ponekad zovu i kontrole, zaštitne mjere.
Učinkovitost sigurnosnih mjera (zaštitnih mjera)
Ovaj pojam predstavlja stupanj, izraţen u postocima 0 do 100 %, prema kojem sigurnosna
mjera smanjuje ranjivost.
10/2013 FER - Zavod za primijenjeno računarstvo
34
Jednostruki očekivani gubitak (JOG) ili izlaganje (kompromitiranje sredstva)
JOG = VS * FI gdje je,
VS - vrijednost sredstva
FI - faktor izlaganja
JOG - jednostruki očekivani gubitak
Prijetnja
Definira dogaĎaj (poţar, kraĎu, računalni virus i dr) čija pojava ima neţeljene rezultate.
Neizvjesnost
Neizvjesnost je tipično mjera inverzna u odnosu na povjerljivost, a to znači ako je
povjerljivost (uvjerenje) nisko, neizvjesnost je visoka.
Ranjivost
Ovaj pojam podrazumijeva nepostojanje ili slabost sigurnosnih mjera koje smanjuju rizik
Razlozi za provoĎenje analize rizika
Poboljšana briga o sigurnosti..
Identificira sredstva, ranjivost i kontrolu. Poboljšana osnova za donošenje odluka.
Opravdanje troškova za sigurnost.
Koraci analize rizika
Identifikacija računarskih (informatičkih) sredstava.
OdreĎivanje ranjivosti.
Procjena vjerojatnosti pojave i eksploatacije ranjivosti.
Izračunavanje očekivanog godišnjeg gubitka.
Pregled primjenjivih kontrola i njihovih cijena koštanja.
Projekcija godišnjih ušteda prouzrokovanih uvoĎenjem kontrola.
Identifikacija sredstava - Registar sredstava informacijskog sustava
Sklopovi (hardware)
Programi (software)
Podaci
Ljudi
Dokumentacija
Pomoćni i potrošni materijal
10/2013 FER - Zavod za primijenjeno računarstvo
35
Identifikacija ranjivosti sredstava i prijetnji
Pitanja koja treba razmatrati:
Koji su učinci od nenamjernih grešaka ?.
Koji su učinci tvrdoglavih zlonamjernih korisnika unutar organizacije (insiders) ?
Koji su učinci vanjskih korisnika (outsiders) ?
Koji su učinci prirodnih i fizičkih nepogoda ?
Sredstva i sigurnosna svojstva
Sredstvo Tajnost Integritet Raspoloţivost
Sklopovi (HW) Preopterećenost
Uništenje
Uplitanje (provala)
Greška
KraĎa
Uništenje
Neraspoloţivost
Programi (SW) KraĎa
Kopiranje
Piratstvo
Trojanski konj
Modifikacije
Uplitanje (provala)
Brisanje
Preseljenje
Korištenje isteklo
Podaci Otkrivanje
Pristup izvana
Izvedeni
Oštećenje
- programska
greška
- sklopovska
greška
- korisnička greška
Izbrisani
Preseljeni
Uništenje
Ljudi Otišli
U mirovini
Završili posao
Na dopustu
Dokumentacija Izgubljena
Ukradena
Uništena
Pomoćna oprema i
materijal
Izgubljeno
Ukradeno
Oštećeno
PredviĎanje vjerojatnosti pojave
Vjerojatnost, iz promatranja podataka opće populacije.
Vjerojatnost, iz promatranih podataka za specifični sustav
Procjena broja pojava u danom vremenskom intervalu.
Procjena vjerojatnosti iz tabele..
Delphi pristup.
10/2013 FER - Zavod za primijenjeno računarstvo
36
Rangiranje vjerojatnosti pojave
Frekvencija Iznos
Više od jednom dnevno 10
Jednom dnevno 9
Jednom u svaka tri dana 8
Jednom tjedno 7
Jednom u dva tjedna 6
Jednom mjesečno 5
Jednom svaka četiri mjeseca 4
Jednom godišnje 3
Jednom u tri godine 2
Manje od jednom u tri godine 1
Izračunavanje nepokrivenih godišnjih troškova (Očekivani godišnji gubitak)
Slijedeća pitanja pomažu u identifikaciji izvora dokučivosti i nedokučivosti cijene koštanja:
Koje su zakonske obaveze da se sačuva tajnost ili integritet podataka ?
Da li oslobaĎanje tih podataka uzrokuje štetu osobi ili organizaciji? Da li postoji
mogućnost zakonske akcije?
Da li neovlašteni pristup tim podacima moţe ugroziti buduće poslovne mogućnosti ?
Moţe li dati konkurentu neku nezasluţenu prednost ? Kakav bi bio gubitak u prodaji ?
Koji je psihološki utjecaj na nedostatak računalnog servisa ? Sramota ?, Gubitak
kredibiliteta ? Gubitak posla ? Na koliko kupaca će to imati utjecaja ? Kolika je to
vrijednost ?
Kolika je vrijednost pristupa podacima ili programima ? Da li bi se ta obrada mogla
odloţiti ? Da li se ta obrada moţe izvesti negdje drugdje ? Koliko bi koštalo da imamo
mogućnost obrade negdje drugdje ?
Kolika je vrijednost za pristup podacima i programima od strane nekog drugog ? Koliko je
konkurent spreman platiti za taj pristup ?
Koji problemi mogu proizaći iz gubitka podataka ? Da li mogu biti nadomješteni ? Da li
se mogu rekonstruirati ? Sa koliko potrebnog rada ?
Pregled novih kontrola
kriptografske kontrole
sigurnosni protokoli
kontrola razvoja programa
kontrola uvjeta izvoĎenja programa
mogućnosti zaštite operacijskih sustava
identifikacija
autentifikacija/ovjera
izgradnja i uvoĎenje sigurnih operacijskih sustava
10/2013 FER - Zavod za primijenjeno računarstvo
37
kontrola pristupa bazama podataka
kontrola raspoloţivosti baza podataka
kontrola i nadzor zaključivanja o podacima u bazi
višerazinske kontrole za podatke, baze podatka, mreţe i operacijske sustave
kontrola osobnih računala, proceduralne, fizičke, sklopovske i programske
kontrola pristupa mreţi
kontrola cjelovitosti mreţe
fizičke kontrole i dr.
Uštede kroz uvoĎenje projekta sigurnosti (Return of Investment - ROI)
Tablica: Opravdanost nabave programa za sigurnost pristupa
___________________________________________________________________________
Stavka Iznos
Rizik: otkrivanje povjerljivih podataka
tvrtke, izračun na temelju krivih (izmjenjenih) podataka
Cijena obnove ispravnosti podataka: 1000 000 $ (VS)
10 % vjerojatnost na godinu (1 u 10 god. - GUP = 0.1) $100 000 (GOG)
Učinkovitost programa kontrole: 60 % -$60 000 (FI = 40 %)
Troškovi nabve programa +$25 000
Očekivani godišnji troškovi zbog gubitka i kontrole
$100 000-$60 000+$25000 $65 000
Ušteda: $100 000 - $65 000 $35 000
Tablica: Analiza troškovi/dobit za nadomjestak mreţnog pristupa
Stavka Iznos
Rizik
Novlašteni pristup podatcima na kom. liniji):
$100 000 (VS) uz 2% vjerojatnosti na godinu $2 000
Neovlašteno korištenje rač. sredstava (aplikacije)
$10 000 (VS) uz 40% vjerojatnost na godinu $4 000
Godišnji očekivani gubitak (GOG) $6 000
Učinkovitost mreţne kontrole: 100 % (FI = 0%) -$6 000
Troškovi kontrole
Hardware ($50 000 uz 5 godišnju amortizaciju) +10 000
Programi ($20 000 uz 5 godina amortizacije) + 4 000
Podrška(ljudi) (svaku godinu) +40 000
Godišnji troškovi $54 000
Očekivani godišnji troškovi:
6 000-6 000+54 000 $54 000
Ušteda: $6 000 - $54 000 (gubitak) -48 000
10/2013 FER - Zavod za primijenjeno računarstvo
38
Kvalitativna procjena rizika
Matrica vrijednosti imovine i vrijednosti prijetnji i ranjivosti:
Vrijednost
imovine
Razina prijetnje
Mala Srednja Velika
Razina ranjivosti
M S V M S V M S V
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
Veličina rizika izraţena je u skali od 0 do 8, gdje je 8 veličina najvećeg rizika koji se moţe
promatrati u skali :
Low (M) : 1 - 2
Midle( S): 3 - 5
High (V) : 6 - 8
100%razina
sigurnosti
(nije moguća) 100%
Malo napora
(velika
učinkovitost)
TROŠKOVI
RAZINA
SIGURNOSTI
Odnos troškova i dobiti
10/2013 FER - Zavod za primijenjeno računarstvo
39
DOBIT OSTVARENA SIGURNOSNIM MJERAMA
Dobit
postignuta
sigurnosnim
mjerama
Troškovi uvoĎenja sigurnosnih
mjera
mjera
Cilj djelotvornog upravljanja IT rizika mora biti
optimalna sigurrnost glede poslovnog upravljanja , a
ne u pogledu tehničkih mogućnosti
Ušteda
zbog
sigurnosnih
mjera
Dobit zbog
sigurnosnih mjera
Prosječni gubici zbog
sigurnosnih incidenata
Troškovi zbog uvoĎenja
sigurnosnih mjera
10/2013 FER - Zavod za primijenjeno računarstvo
40
Rasprava o upravljanju rizikom
Svaka organizacija nema volju niti budţet da upravlja sa svakom ranjivošću primjenjujući
kontrole, stoga svaka organizacija mora odrediti svoju razinu rizika s kojom će ţivjeti.
Apetit za rizikom
Apetit za rizikom definira količinu i prirodu rizika koju je organizacija spremna
prihvatiti, budući organizacije vrednuju odnos izmeĎu perfektne sigurnosti i
neograničenog pristupa informacijskoj imovini.
Rezidualni rizik
Rezidualni rizik je kombinirana funkcija od:
(1) prijetnje umanjene za dio koji je smanjen kontrolom,
(2) ranjivosti umanjenje za ranjivost koja je smanjena kontrolom i
(3) imovine umanjene za vrijednost imovine koja je zaštićena primjenom kontrole.
Dokumentiranje rezultata
skup preporučenih kontrola,
10/2013 FER - Zavod za primijenjeno računarstvo
41
svaki par informacijska imovina-prijetnja mora imati dokumentiranu strategiju
kontrole
rezultat strategije kontrole za svaki par informacijska imovina-prijetnja u Akcijskom
planu. (opcija)
o Odgovornost
o Hardverske i softverske zahtjeve
o Procjenu budţeta,
o Detaljnu vremensku skalu
Argumenti protiv analize rizika
Netočnost/nepreciznost
Pogrešan osjećaj preciznosti
Nepromjenjivost
Nema znanstvene podloge
Zaključak
podizanje svijesti/brige o sigurnosti
identifikacija sredstava, ranjivosti i kontrola
daje podlogu za donošenje odluka
opravdava troškove za sigurnost
Preporučena praksa za kontrolu rizika
planirani troškovi trebaju biti opravdani
svaka kontrola ili zaštitna mjera djeluje na više od jednog para imovina-prijetnja
uravnoteţeni miks koji će osigurati najveću moguću vrijednost za mnoge parove
imovina-prijetnja
kada je kontrola dodana u matricu, ona nesumnjivo mijenja godišnji očekivani
gubitak (GOG, ALE)
trajni proces traţenja načina kako dizajnirati sigurnosnu arhitekturu,
Osnovni principi upravljanja rizikom
Ocjena rizika i odreĎivanje potreba za njihovim upravljanjem
Uspostava točke centralnog upravljanja
Implementacija odgovarajućih politika i odgovarajućih kontrola
Promocija brige o sigurnosti kroz kontinuirano praćenje i ocjenu rizika
Nadzor i vrednovanje politike i učinkovitosti sigurnosnih mjera (kontrola)
Nakon ocjene rizika njihovih poslovnih operacija, organizacija treba:
Uspostaviti (donijeti) sigurnosne politike i odabrati sigurnosne mjere;
Povećati brigu korisnika za politike i sigurnosne mjere
Nadgledati učinkovitost politika i kontrola
10/2013 FER - Zavod za primijenjeno računarstvo
42
Upotrebiti dobivene rezultate kako bi se modificirale politike i kontrole koje su potrebne.
Korist od procjene i upravljanja sigurnosnim rizikom
MeĎu neposredne rezultate upravljanja rizikom ubrajaju se:
definirane odgovornosti zaposlenika za informacije
klasifikacija informacija po vaţnosti
uspostava kontrole pristupa podacima
uspostavljeni postupci u slučaju nesreće
zadovoljenje pravne regulative
zadovoljenje trţišnih pravila i zahtjeva poslovnih partnera
formalna i neformalna priznanja za poduzete aktivnosti itd.
U posredne koristi od upravljanja rizikom ubrajaju se :
- kvalitetnije donošenje odluka u poduzeću
- postupak obrade informacija je vidljiviji
- dostupnost informacijama je povećana
- doprinos informacija u uspjehu poduzeća je veći
- imidţ na trţištu
- razumijevanje prijetnja, rizika i njihovih financijskih posljedica
Što nakon procjene rizika ?
razvoj operativnih postupaka za uspostavljanje sigurnog rada IS-a - najbolje prakse -
norme sigurnosti - BS ISO/IEC 17799, ISO/IEC 15408, ISO 27001/2, Common
Criteria, NIST i dr.
zaposlenike se obučava za odgovorni stav prema sigurnosti
sigurnost se redovito procjenjuje,
sprovode se stalne procjene a i nezavisna revizija uvedenog sustava
izbor kontrolnih mjera sigurnosti i politike zaštite nije odreĎen samo rezultatima
procjene rizika nego i drugim poslovnim potrebama koje propisuje norma ili standard.
unapreĎenje kulture sigurnosti kroz cijelu poslovnu organizaciju
primjene metrika sigurnosti za uspostavu neprekidnog mjerenja informacijske
sigurnosti u cilju unapreĎenja sigurnosti
Zaključak
Sigurnost u poslovnoj organizaciji je strateška orijentacija
Proces upravljanja rizikom je integralni dio svakog programa informacijske sigurnosti
Proces iziskuje financijski trošak
Dovodi do isplativog programa informacijske sigurnosti u organizaciji.
10/2013 FER - Zavod za primijenjeno računarstvo
43
Metodologija procjene sigurnosnog rizika
1. Uvodni dio
Metodologija procjene rizika je dokument koji opisuje i predstavlja sustavan način na koji se
provodi procjena sigurnosnog rizika pri uspostavi ISMS-a (Information Security Management
System).
Proces procjene rizika se opisuje se kroz nekoliko etapa:
Uspostava tima za procjenu rizika
Postavljanje opsega projekta i planiranje provoĎenja procjene
UtvrĎivanje informacijske imovine
Kategoriziranje potencijalnog gubitka (Impact analysis)
UtvrĎivanje prijetnji i ranjivosti
UtvrĎivanje postojećih kontrola
Analiza podataka i proračun rizika
1.1. Pojam procjene sigurnosnog rizika
Procjena sigurnosnog rizika uključuje razmatranje:
poslovne štete koja moţe nastati kao rezultat sigurnosnih nesreća, uzimajući u obzir
potencijalne posljedice gubitka povjerljivosti, cjelovitosti ili raspoloţivosti informacija ili
imovine
realnih vjerojatnosti da će do tih incidenta doći, u kontekstu prevladavajućih prijetnja i
ranjivosti, te trenutačno implementiranih kontrolnih mehanizama (sigurnosnih kontrola).
1.2. Svrha
Metodologija procjene sigurnosnog rizika razvijena je kao alat i vodič kroz proces procjene
rizika prilikom oblikovanja i implementacije ISMS sustava prema ISO 27001 sigurnosnoj
normi.
1.3. Uspostava tima za procjenu rizika
Preporučuje se sljedeća podjela zaduţenja članovima projektnog tima
Uloga Odgovornost
Voditelj organizacije ili org. jedinice
UtvrĎuju vrijednost imovine i potencijalni utjecaj prijetnji na imovinu.
Application Team
UtvrĎuju vjerojatnost djelovanja prijetnja na informacijsku imovinu kao i njenu ranjivost
Project team leader Proračunava vrijednost rizika
Operations team - Izvode tehnička sigurnosna rješenja i utvrĎuju njihove troškove; oblikuju operativne sigurnosne kontrole i utvrĎuju njihove troškove
IT manager Odlučuje o razini prihvatljivog rizika
10/2013 FER - Zavod za primijenjeno računarstvo
44
1.4. Postavljanje opsega procjene rizika i plan provođenja
1.4.1. Postavljenje opsega procjene rizika
Opsegom se definira naziv sustava, procesi koje sustav izvodi, odgovornosti za funkcioniranje
sustava, elementi koje sadrţi, kontakt podaci i drugi podaci relevantni za sustav.
1.4.2. Plan provoĎenja procjene Aktivnosti procjene rizika provode se kroz niz skupnih i pojedinačnih sastanaka. Plan aktivnosti sastoji se od sljedećeg:
uvod u procjenu rizika
utvrĎivanje uloga i odgovornosti
utvrĎivanje inf. imovine i scenarija sigurnosnih incidenta
utvrĎivanje prijetnji (potencijalnih opasnosti za sustav)
utvrĎivanje utjecaja prijetnji na inf. imovinu (djelovanja prijetnje na imovinu nakon iskorištavanja njene ranjivosti)
utvrĎivanje ranjivosti (slabosti prema utjecaju prijetnji)
utvrĎivanje vjerojatnosti nastupanja prijetnji (vjerojatnost da će prijetnja iskoristiti slabosti zaštite)
procjena rizika (kombiniranje veličina za rizik)
rasprave o preporučenim mjerama
završni sastanak i prihvaćanje izvješća
Kroz sastanke se utvrĎuje:
koju inf. imovinu treba zaštititi
kolika je njihova vrijednost za Naručitelja
koji se dogaĎaji želi izbjeći
radi čega dolazi do štete
koja je posljedica izloženost inf. imovine prijetnjama
što činimo da smanjimo vjerojatnost nastupanja nesreće
kojim postupcima možemo smanjiti vjerojatnost nesreća u budućnosti
koliki rizik možemo prihvatiti i kad treba reagirati (uvoĎenjem zaštite)
koja je strategija bavljenja rizikom pogodna
primjerene kontrolne zaštitne mjere (sigurnosne kontrole)
2. Proces procjene rizika
2.1. Identifikacija i vrednovanje informacijske imovine
.
Vlasnik sustava čiji je Opseg predmet procjene treba osigurati informacije o sustavu,
njegovim procesima i imovini kao i postojeću zaštitu..
10/2013 FER - Zavod za primijenjeno računarstvo
45
2.1.1. Popis informacijske imovine
nematerijalnu
baze podataka
softver
aplikacijski i sistemski softver
servise (računalni i komunikacijski servisi, ostali servisi za podršku rada).
opremu ili fizičku imovinu
računala i komunikacijska oprema
ostala tehnička oprema
Osim toga u inf. imovinu mogu se uključiti:
osoblje,
osjetljiva poslovna dokumentacija,
mediji za pohranu podataka
kao i različite kontrole i procedure koje imaju vrijednost za poslovanje.
2.1.2. Vrednovanje informacijske imovine
nedostupnost podataka/informacija
otkrivanje podataka/informacija
slučajna ili namjerna promjena informacija/podataka
uništenje podataka/informacija
2.1.3. Kategoriziranje potencijalnog gubitka (Impact analysis)
Utjecaj (impact) i potencijalne posljedice koje bi, kroz ugrožavanje informacijske imovine, imalo na poslovanje razmatraju se kroz aspekte:
osobne sigurnosti (Personal safety)
osobnih informacija (Personal information)
pravne regulative (Legal and regulatory obligations)
zakonskih obaveza (Law enforcement)
ekonomskih i komercijalnih interesa (Commercial and economic interests)
financijskog gubitka (Financial loss )
ometanja aktivnosti (Disruption to activities)
javnog reda (Public order)
meĎunarodnih odnosa (international relations)
obrane (Defence)
security and intelligence
politika i procesa javnog servisa (Policy and operations of public service)
upravljanja i aktivnosti poslovne organizacije (Management and operations of
organisation)
gubitak ugleda i imidţa (Loss of goodwill)
10/2013 FER - Zavod za primijenjeno računarstvo
46
2.2. Utvrđivanje prijetnji i ranjivosti
Analiza prijetnji i ranjivosti promatra mnoge potencijalne sigurnosne probleme koji mogu
imati posljedice na sustav.
2.2.1. Prijetnje
Prijetnje su potencijalni uzrok neţeljenog dogaĎaja (sigurnosnog incidenta) koji moţe imati
za posljedicu štetu za sustav, imovinu ili organizaciju.
Kategorije prijetnji grupiraju se na sljedeća područja:
logička infiltracija
komunikacijska infiltracija
kvarovi na opremi
pogreške radi zaposlenika
fizičke prijetnje
Svaka kategorija prijetnji procjenjuje se u odnosu na svaku skupinu inf. imovine koristeći
razine:
vrlo niska (very low)
niska (low)
srednja (medium)
visoka (high)
vrlo visoka (very high)
Vjerojatnost Značenje
vrlo niska
(very low) Očekuje se da će se incident dogoditi prosječno ne više od jednom u 10 godina.
niska (low) Očekuje se da će se incident dogoditi prosječno jednom u 3 godine.
srednja
(medium) Očekuje se da će se incident dogoditi prosječno jednom godišnje.
visoka (high) Očekuje se da će se incident dogoditi prosječno jednom u četiri mjeseca.
vrlo visoka
(very high) Očekuje se da će se incident dogoditi prosječno jednom mjesečno.
2.2.2. Ranjivost imovine
Ranjivost je slabost zaštite koju će prijetnja iskoristiti da ostvari utjecaj i djelovanje na
osobine informacijske imovine.
10/2013 FER - Zavod za primijenjeno računarstvo
47
Razine ranjivosti su odreĎene za svaku prijetnju prema pojedinoj skupini inf. imovine:
niska (low)
srednja (medium)
visoka (high)
Utjecaj prijetnje Značenje
visoka (High) Ako se dogodi incident, postoji šanse veća od 66% da se ostvari najgori
scenarij.
srednja (Medium)
Ako se dogodi incident, postoji šansa u razmaku od 33% do 66% da se
ostvari najgori scenarij.
niska (Low) Ako se dogodi incident, postoji šansa koja nije veća od 33% da se ostvari najgori scenarij.
2.3. Utvrđivanje stanja implementacije sigurnosnih kontrola
Postojeće sigurnosne kontrole svrstavaju se u jednu od kontrolnih skupina koje definira ISO
17799 /ISO 27002 norma.
Sigurnosne kontrole mogu biti svrstane u sljedeće skupine:
implementirana
planira se implementirati
djelomično implementirana
razmatra se
nije implementirana
nije primjenjiva
ne planira se implementirati
prijetnja je transferirana
prijetnja je prihvatljiva
Podaci utvrĎeni u ovoj etapi koriste se prilikom planiranja načina djelovanja na rizik.
2.4. Proračun rizika
Razine rizika su odreĎene kombiniranjem:
vrijednošću hardvera, softvera i informacija
razine vjerojatnosti da će prijetnja djelovati na inf.imovinu
razine ranjivosti inf.imovine s obzirom na utvrĎene prijetnje
Proračun je automatiziran upotrebom CRAMM programskog alata.
Veličina rizika (MoR ) reprezentira se na skali od 1 - 7.
10/2013 FER - Zavod za primijenjeno računarstvo
48
MoR u iznosu 1 ili 2 ukazuje da trebaju biti poduzete samo osnovne sigurnosne kontrole. S
druge strane vrijednosti 7 implicira da trebaju biti poduzete brojne sigurnosne kontrole.
Dobiveni se podaci koriste prilikom izbora potrebnih sigurnosnih kontrola kao i strategije
upravljanja rizikom.
2.5. Izvješće o procjeni rizika
Izvješće o procjeni rizika sastoj se od:
elemenata koje zahtijeva ISO 27001 sigurnosna norma,
prikaza nedostatka sustava,
manjkavosti zaštite,
popisa osjetljive informacijske imovine,
utjecaja prijetnji na imovinu i poslovanje te
sugestije potrebnih poboljšanja.
Poslovodstvo treba odobriti rezultate procjene na temelju kojih će u narednoj etapi biti
poduzete korektivne mjere.
Saţeto izvješće ako i svi detaljni podaci o pojedinim etapama procjene potrebno je označiti
kao poslovnu tajnu, odgovarajuće ih zaštiti te ih osigurati za potrebe certifikacije i budućih
procjena rizika.
10/2013 FER - Zavod za primijenjeno računarstvo
49
Matrica rizika
Threat Very
Low
Very
Low
Very
Low Low Low Low Medium Medium Medium High High High
Very
High
Very
High
Very
High
Vuln. Low Medium High Low Medium High Low Medium High Low Medium High Low Medium High
Asset Value
1 1 1 1 1 1 1 1 1 2 1 2 2 2 2 3 2 1 1 2 1 2 2 2 2 3 2 3 3 3 3 4 3 1 2 2 2 2 3 2 3 3 3 3 4 3 4 4 4 2 2 3 2 3 3 3 3 4 3 4 4 4 4 5 5 2 3 3 3 3 4 3 4 4 4 4 5 4 5 5 6 3 3 4 3 4 4 4 4 5 4 5 5 5 5 6 7 3 4 4 4 4 5 4 5 5 5 5 6 5 6 6 8 4 4 5 4 5 5 5 5 6 5 6 6 6 6 7 9 4 5 5 5 5 6 5 6 6 6 6 7 7 7 7 10 5 5 6 5 6 6 6 6 6 6 7 7 7 7 7
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 50
4. Strategija, ciljevi i arhitektura sigurnosti
Prvi korak u upravljanju i uspostavi sigurnosti informacijskih sustava je u odreĎivanju
prihvatljivog rizika za organizaciju.
Koje se komponente (zadaci) poslovanja ne mogu izvoditi bez IT-a?
Kako i da li poslovanje zavisi od očuvanja povjerljivosti, integriteta i
raspoloţivosti informacija ?
Koje su posljedice na poslovanje u slučaju sigurnosnih incidenata?
i dr.
Strategija treba ukazati kako će organizacija postići svoje sigurnosne ciljeve.
Kod donošenja i usvajana sigurnosne strategije uzeti u obzir sljedeće:
Svjesnost da postoje zakonske i regulatorne obveze, te da su novi propisi na
horizontu;
Svjesnost da na trţištu postoje nesigurni proizvodi i usluge koji su uzroci kršenja
informacijske sigurnosti;
Organizacija mora uspostaviti sveopću informacijsku sigurnost, kroz realizaciju
sigurnosnih zahtjeva, i to kroz usvajanje odgovarajućih politika i mijenjanje
kulture ponašanja prema informacijskoj sigurnosti;
Trošenje na sigurnost treba biti što racionalnije, te mora preuzeti naprednu
tehnologiju uz što niţe troškove.
U poslovanju postoji kontinuirani porast sigurnosnih zahtjeva, ali dolazak novih
tehnologija odvija se još i brţe;
Organizacija treba odvojiti nepoţeljne osobe od pristupa poslovnom sustavu, dok
istovremeno mora omogućiti veći pristup, kroz distribuciju i integrirani pristup,
što većem broju svojih klijenata.
Sigurnosna arhitektura
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 51
Poslovni pogled Kontekstualna sigurnosna arhitektura
Pogled arhitekta Konceptualna sigurnosna arhitektura
Pogled dizajnera Logička sigurnosna arhitektura
Pogled graditelja Fizička sigurnosna arhitektura
Pogled trgovca Komponentna sigurnosna arhitektura
Pogled operativnog menadţera Operativna sigurnosna arhitektura
Slika 1. SABSA model sigurnosne arhitekture
U definiranju IT sigurnosne strategije ključne su prve dvije razine,
kontekstualna i konceptualna.
Kontekstualna arhitektura
Kontekstualna razina daje odgovore na pitanja:
Što se ţeli zaštiti?
Zašto je potrebna zaštita u smislu ciljeva potrebnih sigurnosnih mjera (kontrola)?
Kako se ţeli postići zaštita u smislu tehnološke i upravljačke sigurnosne
strategije?
Tko je uključen u upravljanje sigurnošću u smislu odnosa i povjerenja meĎu
subjektima?
Gdje se ţeli postići zaštita kroz koncept sigurnosnih domena?
Kada se ţeli realizirati sigurnost u smisli ţeljenog vremena i odreĎenog perioda
vremena?
OdreĎivanje sigurnosnih zahtjeva
OdreĎivanje sigurnosnih zahtjeva provodi se kroz odreĎivanje poslovnih pokretača i
poslovnih atributa:
1. Poslovni pokretači (Business drivers)
Koje su to potrebe koje treba poslovanje u pogledu sigurnosti, koje doprinose
uspješnosti poslovanja, većem profitu, i dr.
Ovi poslovni pokretači zapravo predstavljaju zahtjeve poslovnog procesa na
sigurnost.
2. Poslovni atributi (Business attributes) Vezani su na poslovne pokretače, a predstavljaju poslovnu vrijednost koja se dobije
kao rezultat sprječavanja rizika koji ugroţavaju poslovanje.
Korisnički (točnost, pristupačnost, pravovremenost,....)
Upravljački (mjerljivost, odrţivost, isplativost, djelotvornost,..)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 52
Operativni ( raspoloţivost, detektiranost, oporavljivost,...)
Upravljanje rizikom (odgovornost, tajnost, integritet,..)
Zakonski/regulatorni ( usklaĎenost, zakonitost, ..)
Strateško tehnički ( jednostavnost, proširljivost, portabilnost,...)
Strateško poslovni ( brand, reputacija, upravljivost, RoI, ....)
Konceptualna arhitektura
Poslovni atributi iz kontekstualne arhitekture predstavljaju konceptualizaciju
stvarnog poslovanja te formiraju jezgru konceptualne sigurnosne arhitekture.
Pruţaju dobru metriku za postizanje ciljeva (sigurnosnih zahtjeva) koji su
odreĎeni poslovnim procesima.
Postizanje ovih ciljeva postiţe se kroz uspostavu ciljeva sigurnosnih mjera
(kontrola) koje trebaju realizirati ostale razine sigurnosne arhitekture (SABSA
model).
Te kontrole se implementiraju kroz politike, organizacijsku strukturu, procese,
procedure, praksu te kroz tehničke sustave (sklopove i programe).
U realizaciji ovih kontrola treba se pridrţavati ciljeva sigurnosnih mjera iz
najbolje prakse koja je izraţene kroz slijedeće standarde:
o ISO/IEC 17799/27002: ˝Code of Practice for Information Security
Management˝;
o ISO/IEC 21827: ˝Systems Security Engineering Capability Maturity
Model˝;
o CoBiT: ˝Control Objective for Information and related Technology˝;
o BS 25999-1:2006: ˝Business Continuity Management˝.
Sigurnosnu arhitekturu na konceptualnoj razini najbolje je pokazati kroz više razina
zaštite informacijske imovine.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 53
Odgovornost, organizacija, politika
Procedure & praksa, Upravljanje sigurnošću, Edukacija & Podizanje svijesti,
Sigurnost osoblja, Sigurnost dokumentacije, Revizija sigurnosti, BCP
Fizička sigurnost
Sklopovska sigurnost
Sigurnost sistemskih programa
Sigurnost aplikacijskih programa
Kriptografska sigurnost
Informacijska imovina
Slika 2. Višerazinska arhitektura sigurnosti
Ova konceptualna arhitektura predlaţe skup bazičnih sigurnosnih servisa koji se mogu
proširiti, a proizlaze iz kontekstualne arhitekture, te koji trebaju biti detaljno razraĎeni na
razini logičke sigurnosne arhitekture SABSA modela koju treba razraditi na taktičkoj i
operativnoj razini cjelokupne sigurnosti informacijskog sustava.
Model informacijske sigurnosti
Da bi se pristupilo cjelovitoj izgradnji sigurnosnog sustava potrebno je realizirati
sigurnosni model koji obuhvaća sve sigurnosne servise i mehanizme koji su dani unutar
standarda ISO 7498-2 koji definira sigurnosnu arhitekturu – tehnološku osnovicu. Osim
tehnološke osnovice cjelokupni okvir informacijske sigurnosti treba nadopuniti sa
sustavom organizacije te sustavom upravljanja informacijskom sigurnošću koje treba
realizirati u skladu sa normom ISO 17799/BS 7799-2. Prema tome se potpuni model
sigurnosnog sustava sastoji od tri cjeline:
Organizacijskog sustava
Sustava upravljanja
Tehnološkog sustava
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 54
Poslovna strategija i ciljevi
Sigurnosni zahtjevi
Sigurnosna strategija i ciljevi
Organizacijaska struktura
Organizacijski sustav Podjela posla -role
Edukacija korisnika
Upravljanje propisima
Sustav upravljanja Upravljanje sredstvima
Upravljanje rizikom
Upravljanjem tehnologijom
Ocjena funkcionalnosti
Tehnološki sustav
Validacija i autentifikacija
Zaštitna funkcionalnost
(Sigurnosni servisi)
Kontrola pristupa
Integritet podataka
Povjerljivost podataka
Anti DoS
Funkcionalnost detekcije
Funkcionalnost odgovora
Funkcionalnost oporavaka
Vrednovanje sigurnosnog sustava
Sigurnosna arhitektura sustava, koji implementira gore navedeni model, sastoji se od
nekoliko osnovnih blokova, prikazanih na slici 2.2 , koji čine okvir sveobuhvatnog
rješenja sigurnosti. Prikazani model je jedan od načina prikaza pojedinih komponenti, te
u kakvom su one meĎusobnoj vezi.
Slika 2.2 Model sigurnosne arhitekture
Povjerenje Kontrola
Sigurnost Raspoloživost
IntegritetKontrola
pristupaOporavak
Tajnost Kontinuiranost
Autentifikacija Postojanost
Neodbacivanje Konzistentnost
Performanse
Fizièki pristup Pristup mreži
Upravljanje
Mjerenje
Monitoriranje i detekcija
Promjene upravljanja
Nadzor
Osnova
Sigurnosna polit ika Sigurnosna naèela Sigurnosni kriteriji i standardi Izobrazba
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 55
Osnova proizlazi iz poslovne i sigurnosne strategije. Povjerenje odreĎuje
sigurnosne servise i funkcije koje se moraju implementirati kako bi se postiglo
povjerenje u informacijski sustav, a kontrola zahtjeva uspostavu sustava
upravljanja i nadzora sigurnošću (ISMS- Information Security Management
System). Ovako prikazani model odgovara konceptualnoj razini SABSA
modela.
Planiranje sigurnosti - sigurnosne arhitekture
Planiranje sigurnosti kroz izradu programa informacijske sigurnosti počinje sa:
kreiranjem ili pregledom politika, standarda i prakse u području informacijske
sigurnosti
odabir i kreiranje sigurnosne arhitekture te
detaljan nacrt sigurnosnog plana provedbe programa informacijske sigurnosti.
Politika informacijske sigurnosti, standardi i prakse
Olikovanje politike je teško budući politika mora učiniti slijedeće:
Nikada ne smije biti u sukobu sa zakonom
Mora biti potpora na sudu, ako je izazvana
Mora biti ispravno administrirana kroz širenje (distribuciju) i dokumentirano
prihvaćanje.
Definicije
Politika je plan ili usmjerenje akcija koje se koriste kako bi se prenijele
instrukcije s razine najvišeg menadţmenta (Uprave) na one koji donose odluke,
poduzimaju akcije te provode druge aktivnosti
Standardi su detaljne naredbe što se mora učiniti kako bi bili usklaĎeni s
politikom.
Prakse (radne upute), procedure i smjernice, opisuju stvarno i učinkovito kako se
uskladiti s politikom..
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 56
Politike se donose kako bi poduprle misiju, viziju i strateško planiranje
organizacije
Politika informacijske sigurnosti osigurava pravila za zaštitu informacijske
imovine organizacije
Menadţment mora definirati tri vrste sigurnosne politike prema NIST 800-14
(National Institute of Standards and Technology`s Special Publication):
Politike informacijske sigurnosti organizacije
Problemski orijentirane specifične politike
Sistemski orijentirane specifične politike
Politike, da bi bile učinkovite i zakonski provedive moraju zadovoljiti slijedeće
kriterije:
o Distribucija (širenje)
o Pregled (čitanje).
o Razumijevanje
o Sukladnost (sporazum)
o Jednolikost provoĎenja
Politika informacijske sigurnosti organizacije (EISP)
EISP je takoĎer poznat kao krovna (glavna) politika sigurnosti, politika sigurnosti
organizacije, IT sigurnosna politika ili politika informacijske sigurnosti.
EISP se temelji i direktno podupire misiju, viziju, postavlja strateške smjernice i
usmjerava organizaciju i daje ton za sve sigurnosne napore.
EISP je dokument na razini izvršnog menadţmenta, koji je pisan od ili u suradnji
sa IT direktorom (CIO) organizacije.
EISP se treba mijenjati najčešće kada postoji promjena u strateškim smjernicama
organizacije
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 57
EISP vodi razvoj, implementaciju i upravljanje programa sigurnosti u
organizaciji.
Pridruţuje odgovornost za različita područja sigurnosti, uključujući sistemsku
administraciju, odrţavanje politika informacijske sigurnosti, te praksu (ponašanje)
i odgovornost korisnika.
Ukazuje i na sukladnost sa zakonom.
Upotreba posebnih kazni (penala) i disciplinskih postupaka
Elementi EISP-a
Pregled filozofije sigurnosti u organizaciji
Informacija o strukturi organizacije informacijske sigurnosti u organizaciji i
pojedincima koji izvršavaju uloge u informacijskoj sigurnosti
Potpuno razumljiva odgovornost za sigurnost koja je podijeljena izmeĎu svih
sudionika u organizaciji (zaposlenici, ugovorni suradnici, partneri i posjetitelji)
Potpuno jasna odgovornost za sigurnost koja je jedinstvena za svaku ulogu unutar
organizacije
Tablica 5-1 Komponete EISP-a
Komponenta Opis Izjava o svrsi To je odgovor na pitanje " Čemu sluţi ova politika ?". daje radni okvir koji
pomaţe čitaocu da razumije namjeru dokumenta.
"Ovaj dokument će:
Identificirati elemente dobre sigurnosne politike
Objasnit potrebu za informacijsku sigurnost
Specificirati različite kategorije informacijske sigurnosti
Identificirati odgovornosti za informacijsku sigurnost i uloge
Identificirati odgovarajuću razinu sigurnosti kroz standarde i
smjernice
Ovaj dokument uspostavlja sveprisutnu sigurnosnu politiku i smjernice za našu
organizaciju. Od pojedinih odjela se očekuje da postave standarde, smjernice i
operativne procedure (radne upute) koje se pridrţavaju i referenciraju ovu
politiku kako bi zadovoljili svoje specifične i pojedinačne potrebe ".
Sigurnosni elementi
informacijske tehnologije
Definira informacijsku sigurnost. Na primjer:
"Zaštita povjerljivosti, cjelovitosti i raspoloţivosti informacija dok su u obradi,
prijenosu i pohrani kroz upotrebu politike, obrazovanja i vjeţbe, tehnologije.
..".
Ova sekcija moţe dati i prikaz definicija sigurnosti i filozofija kako bi pojasnili
politiku.
Potreba za sigurnost
informacijske tehnologije
(IT sigurnost)
Daje informaciju o vaţnosti informacijske sigurnosti u organizaciji te obvezu
(zakonsku ili etičku) za zaštitom ključnih informacija bez obzira da li se one
odnose na korisnike, zaposlenike ili na trţište.
Odgovornosti i uloge u
sigurnosti informacijske
tehnologije
Definira organizacijsku strukturu koja treba podrţati informacijsku sigurnost
unutar organizacije. Identificira kategorije osoba sa odgovornostima za
informacijsku sigurnost (IT odjel, uprava, korisnici) te njihove odgovornosti
što uključuje i odrţavanje ovog dokumenta.
Reference na druge
standarde i smjernice za
Ispisuje druge standarde koji utječu ili na koje se utječe sa ovim dokumentom
politike, moţda kroz uključivanje relevantnih zakona i drugih politika.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 58
informacijsku
tehnologiju
Problemski orijentirane specifične politike (ISSP)
ISSP (Issue-Specific Security Policy) su:
1. Usmjerene su prema specifičnim područjima tehnologije (koje su navedene u
nastavku)
2. Zahtijevaju učestale izmjene
3. Sadrţe izjave o stavovima organizacije za specifičan problem
ISSP moţe pokriti slijedeće teme:
Elektroničku poštu
Korištenje Interneta
Specifičnu minimalnu konfiguraciju računala za obranu od virusa i crva
Zabrana na hakiranje ili testiranje sigurnosnih kontrola organizacije
Kućna upotreba računalne opreme organizacije
Korištenje osobnih ureĎaja na mreţi organizacije
Korištenje telekomunikacijske tehnologije (faks i telefoni)
Korištenje ureĎaja za foto kopiranje.
Postoji više načina kreiranja i upravljanja ovim politikama unutar organizacije. MeĎu
njima najčešća su slijedeći:
1. Zasebni ISSP dokumenti, svaki je skrojen za poseban problem
2. Jedan sveobuhvatni ISSP dokument koji pokriva sve probleme
3. Modularni ISSP dokument koji unificira kreiranje politike i njeno administriranje
, odrţavajući zahtjeve za svaki specifičan problem.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 59
Tablica 5-2 daje jedan primjer ISSP-a koji se moţe koristiti kao model.
Tablica 5-2 Područja razmatranja za politiku korištenja telekomunikacija
1. Izjava politike
a. Opseg i primjenjivost
b. Definiranje tehnologije koja se razmatra
c. Ogovornosti
2. Ovlašteni pristup i korištenje ureĎaja
a. Korisnički pristup
b. Pravedna i odgovorna upotreba
c. Zaštita privatnosti
3. Zabranjena upotreba ureĎaja
a. Razorna upotreba ili zlouporaba
b. Upotreba u kriminalne svrhe
c. Napadni i uznemiravajući materijali
d. Autorska prava, licence, intelektualno vlasništvo
e. Ostala ograničenja
4. Upravljanje sustavima
a. Upravljanje pohranjenim materijalima
b. Nadzor poslodavca
c. Zaštita od virusa
d. Fizička sigurnost
e. Kriptiranje
5. Kršenje politike
a. Procedure izvješćivanja o kršenju politike
b. Penali (kazna) za povredu politike
6. Pregledi politika i izmjene
a. Redoviti pregledi procedura za izmjenu politika
b. Zakonska odricanja
7. Ograničenja odgovornosti
a. Izjava o odgovornosti
b. Ostala odricanja od odgovornosti ako su potrebna
Sistemski orijentirane specifične politike (SysSP)
SysSP (System-Specific Policy) često djeluju kao standardi ili procedure koje se koriste
kada konfiguriramo ili odrţavamo sustave.
SysSP moţe se podijeliti:
smjernice upravljanja i
tehničke specifikacije ili
se mogu kombinirati u jedan jedinstveni dokument politike.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 60
Smjernice upravljanja SysSP
dokument koji kreira menadţment kako bi usmjeravao implementaciju i
konfiguriranje tehnologije te
kako bi ukazao na ponašanje ljudi u organizaciji na način da se podrţi
informacijska sigurnost.
Sistemski orijentirane politike mogu se razvijati istovremeno sa ISSP politikama,
ili se mogu pripremiti prije nego na njih vezane ISSP politike.
Mnoge organizacije preferiraju da razvijaju ISSP i SysSP politike u tandemu, tako
da se operativne procedure i korisničke upute kreiraju istovremeno.
Tehničke specifikacije SysSP
sistemski administrator mora kreirati politiku koja će implementirati politiku
upravljanja
Liste kontrole pristupa (ACL)
Tablice sposobnosti (CL)
Matrica kontrole pristupa
Politike pravila konfiguriranja
Kombinacija SysSP-ova
Mnoge organizacije kreiraju jedan dokument koji kombinira smjernice
upravljanja i tehničke specifikacije.
Praktično je imati te specifikacije zajedno. To je zapravo hibrid koji kombinira
politiku sa proceduralnim smjernicama kako bi se pogodovalo implementatorima
sustava.
Upravljanje politikom
Politike su ţivi dokumenti koje treba upravljati i njegovati, budući se one
konstantno mijenjaju i rastu.
Takvi dokumenti moraju biti ispravno distribuirani, čitljivi, razumljivi, i
jednolično primjenljivi, te upravljani.
Kako bi zadrţali valjanost sigurnosnih politika organizacija mora imati odgovorne
osobe, raspored pregleda, postupak podnošenja preporuka za preglede, datum
izdavanja politike kao i datum njene revizije.
Projektiranje sigurnosne arhitekture
Kako bi mogli procijeniti da li je ili nije radni okvir/sigurnosni plan na putu
ostvarenja zahtjeva organizacije moramo imati odreĎena saznanja o
komponentama sigurnosne arhitekture.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 61
Područja (sfere) sigurnosti
.
Informacijska sigurnost se projektira i implementira na tri razine: politike, ljudi
(edukacija, trening i program podizanja svijesti) i tehnologija, što se obično
označava kao PPT (policy, people, technology).
Poredak ovih kontrola slijedi iz procjene i vrednovanja rizika.
Prije bilo koje uspostave tehničke kontrole ili druge zaštitne mjere , politike koje
definiraju filozofiju upravljanja koja vodi sigurnosni proces, moraju biti
prethodno uspostavljene.
Razine kontrola
Upravljačke kontrole
o uspostavljaju smjer i opseg sigurnosnog procesa
o ukazuju na dizajn i implementaciju procesa sigurnosnog planiranja te na
upravljanje sigurnosnim programom
o upućuju na upravljanje rizikom,
o na pregled sigurnosnih kontrola,
o opisuju opseg zakonske sukladnosti,
o te postavljaju smjernice za odrţavanje cijelog sigurnosnog ţivotnog
ciklusa.
Operativne kontrole
o planiranje oporavka od katastrofe i odgovori na incidente.
o osobna i fizičku sigurnost
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 62
o razvoj edukacije, treninga i programa za podizanje svijesti o
informacijskom sigurnosti
o odrţavanje hardverskih i softverskih sustava te
o očuvanje integriteta podataka.
Tehničke kontrole
o logičke kontrole pristupa,
o identifikacija, autentifikacija, autorizacija,
o odgovornost (uključujući revizijske zapise -audit trails),
o kriptografija te
o klasifikacija informacijske imovine i korisnika.
Obrana po dubini
više razina sigurnosnih kontrola i zaštitnih mjera koje mogu biti organizirane kroz
politiku, edukaciju i trening te kroz tehnologiju
sprečavamo da greška jednog sustava kompromitira sigurnost informacija, što
nazivamo redundancija koja se moţe implementirati na različitim točkama kroz
sigurnosnu arhitekturu,
Sigurnosna granica (perimetar)
definira granicu izmeĎu vanjske granice sigurnosti organizacije i početak
vanjskog svijeta
elektronički sigurnosni perimetar i fizički sigurnosni perimetar
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 63
Unutar sigurnosnih perimetara organizacija moţe uspostaviti sigurnosne
domene, ili područja povjerenja
Ključne komponente za planiranje sigurnosnog perimetra
o sigurnosne stijene,
o demilitarizirana zona (DMZ),
o posrednički posluţitelji (proxy server) i
o sustavi za detekciju upada.
Sigurnosne stijene (firewalls)
Sigurnosna stijena je ureĎaj koji selektivno odvaja informacije koje izlaze ili
ulaze u organizaciju, u njen informacijski sustav.
Sigurnosne stijene mogu biti na razini
o filtriranja paketa,
o filtriranja stanja paketa (stateful packet filtering), te
o filtriranje na aplikativnoj razini.
Kreiranje sigurnosnog perimetra
Demilitarizirane zone (DMZ)
Buffer prema vanjskom napadu se često naziva demilitariziran zona (DMZ)
DMZ je područje bez ljudi izmeĎu vanjske i unutrašnje mreţe;
Mjesto gdje neke organizacije smještaju svoje Web posluţitelje.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 64
Posrednički poslužitelji (proxy)
Alternativa za podmreţu sigurnosnih stijena ili DMZ-u je posrednički posluţitelj
ili proxy sigurnosna stijena
Proxy posluţitelj provodi akcije u ime drugog sustava
Proxy server moţe bit zaštićen i tako postaje obrambeno računalo (bastion host)
koji je smješten u javno dostupno područje mreţe (DMZ)
Sustavi za detekciju upada (IDS)
Detekcija neovlaštene aktivnosti unutar unutrašnje mreţe ili pojedinačnih
računala
Host-based IDS (HIDS)
Network-based IDS (NIDS)
Katalog potpisa mogućih napada
Baza "normalnih" aktivnosti
Hibridno rješenje
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 65
5. OSNOVE KRIPTOGRAFIJE. PROTOKOLI, TEHNIKE I
ALGORITMI
Osnove kriptografije
Kriptografija grčkog je porijekla i sastoji se od dvije riječi :
KRIPTOS tajan, skriven
GRAFIEN pisati
Kriptoanaliza
Kriptologija Pojmovi i terminologija
Prijenosni medij
Izvorni tekst (plaintext)
Kriptirani tekst (ciphertext)
Enkripcija (E)
Dekripcija(D)
Ključ šifriranja (K, KE )
Ključ dešifriranja (K, KD )
C = E(P) i P = D(C)
Sustavi za enkripciju i dekripciju nazivaju se kriptosustavi.
Algoritmi enkripcije
simetrična enkripcija
C = E(K,P).
P = D(K,E(K,P)).
asimetrična enkripcija
P = D(KD, E(KE,P))
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 66
Enkripcija
Kriptografski ključevi
Moderna kriptografija se ne oslanja na tajnost algoritma enkripcije. Ključ koji se koristi u
kriptografskoj transformaciji treba biti jedina stavka koja treba zaštitu. Taj princip je postuliran
od Kerckhoffs-a u prošlom stoljeću.
Upravljanje ključevima (key management) ima najveće značenje u enkripciji. Stoga je potrebno
postaviti slijedeće pitanja:
Gdje se ključevi generiraju ?
Kako se ključevi generiraju ?
Gdje su ključevi uskladišteni ?
Kako su oni dospjeli tamo ?
Enkripcija Dekripcija
Izvorni
tekst
Šifrirani
tekst
Izvorni tekst
Enkripcija Dekripcija
Ključ
Izvorni
tekst
Šifrirani
tekst
Izvorni
tekst
(a) Simetrični kripto sustav
Enkripcija Dekripcija
Ključ enkripcije
KE Ključ dekripcije
KD
Izvorni tekst Šifrirani tekst Izvorni tekst
(b) Asimetrični kripto sustav
Enkripcija sa ključevima
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 67
Gdje se ključevi stvarno koriste ?
Kako se ključevi opozivaju i zamjenjuju ?
Kriptografija je vrlo rijetko potpuno rješenje za sigurnosni problem IS-a. Kriptografija je
translacioni mehanizam, koja obično pretvara sigurnosni problem u komunikaciji u
problem upravljanja ključevima, a samim time u problem računarske sigurnosti.
Prvi poznati sustavi kriptiranja:
SKITALE kojeg su koristili Grci u 9. stoljeću p.n.e.
Ceasar-ova šifra koja se bazira na translaciji slova abecede.
"Vigner-ova šifra".
Osnovni pojmovi i primjene:
Privatnost
Autentifikacija
Identifikacija
Razmjena ključeva
Digitalni potpisi
Kriptoanaliza
pokušaj razbijanja jedne poruke
pokušaj prepoznavanja uzorka u šifriranoj poruci, kako bi mogao razbiti slijedeće
poruke primjenjujući prethodno pronaĎeni algoritam dekripcije
pokušaj da se pronaĎe opća slabost enkripcijskog algoritma, bez potrebe dohvata
bilo koje poruke
Probijena enkripcija
Enkripcijski algoritam moţe biti probijen, što znači da uz dosta vremena i podataka
analitičar moţe odrediti algoritam.
Predstavljanje znakova poruke izvornog teksta
SLOVO: A B C D E F G H I J K L M
KOD: 0 1 2 3 4 5 6 7 8 9 10 11 12
SLOVO: N O P Q R S T U V W X Y Z
KOD: 13 14 15 16 17 18 19 20 21 22 23 24 25
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 68
Vrste enkripcija:
supstitucija,
transpozicija.
Jednoabecedne šifre (Supstitucija)
Caesar-ova šifra
ci = E(pi) = pi + 3
Puna transalcija Caesar-ove šifre je:
Izvorni tekst: A B C D E F G H I J K L M N O P R S T U V W X Y Z
Šifrirani tekst: d e f g h i j k l m n o p r s t u v w x y z a b c
Upotrebom ove enkripcije poruka
TREATY IMPOSSIBLE
postaje
wuhdwb lpsrvvleoh
Ostale jednoabecedne substitucije
ABCDEFGHIJKLMNOPQRSTUVWXYZ
key
Na primjer:
ABCDEFGHIJKLMNOPQRSTUVWXYZ
k e y a b cd f ghi j l mn op q r s t u v w xz
key = spectacular.
ABCDEFGHIJKLMNOPQRSTUVWXYZ
s p e c t a u l rbd f g h i j kn moq v w x yz
key = adgj
ABCDEFGHIJKLMNOPQRSTUVWXYZ
a d g j
mod 26
ABCDEFGHIJKLMNOPQRSTUVWXYZ
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 69
a d g j mp s vybe h k n q twz c f i l o r ux
Šifre višeabecedne supstitucije
E1(T) = a i E2(T) = b dok E1(X) = b i E2(X) = a. dakle, E3 je prikazan kao prosjek od E1 i
E2.
Pretpostavimo dva enkripcijska algoritma kako je dole pokazano.
Tablica za neparne pozicije (mod 26)
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
a d g j n o s v y b e h k n q t w z c f i l o r u x
Tablica za parne pozicije (mod 26)
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
n s x c h m r w bg l q v a f k p u z e j o t y d i
TREAT YIMPO SSIBL E
Višeabecedna
substitucija
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 70
fumnf dyvtv czysh h
Vigenere tablica
Ţelimo šifrirati poruku “but soft, what light through yonder window break” koristeći
ključ juliet.
j u l i e t j u l i e t j u l i e t j u l i e t j u l i e t j u l i e t j u l i
BUTSO FTWHA TLIGH TTHRO UGHYO NDERW INDOW BREAK
Vinegere tabela je skup od 26 permutacija.
j u l i e t j u l i e t j u l i e t j u l i e t j u l i e t j u l i e t j u l i
BUTSO FTWHA TLIGH TTHRO UGHYO NDERW INDOW BREAK
k o ea s y c q s i ...
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 71
Perfektna šifra supstitucije
One-Time Pad
Dugi nizovi (slijedovi) slučajnih brojeva
Vernam-ova šifra
Poruka: VERNAM CIPHER
Numerički ekvivalenti:
V E R N A M C I P H E R
21 4 17 13 0 12 2 8 15 7 4 17
Sekvenca dvoznamenkastih slučajnih brojeva:
76 48 16 82 44 03 58 11 60 05 48 88
Rezultat:
19 0 7 17 18 15 8 19 23 12 0 1
t a h r s p i t x m a b
XOR ili druga
kombinirajuća
funkcija
Kombinirajuća
funkcija
Ista serija brojeva
Duga, neponavljajuća
serija brojeva
Izvorni tekst kriptirani tekst Izvorni tekst
...134549273
Vernam-ova šifra
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 72
Binarna Vernam-ova šifra
Na primjer, binarni broj:
101101100101011100101101011100101
Slučajnim binarni niz:
101111011110110101100100100110001
Kriptirani tekst:
000010111011101001001001111010100
Generatori slučajnih brojeva
Linerni kongruencijski generator slučajnog broja
ri+1 = (a * ri + b) mod n
Duge sekvence iz knjiga
Korištenje dvostruke poruke
Kriptoanalitički alati:
distribucija frekvencija
indeksi koincidencije
razmatranje visoko vjerojatnih pojava slova i riječi
analiza ponovljivih uzoraka
upornost, organizacija, genijalnost i sreća.
Transpozicije (permutacije)
Stupčaste transpozicije
c1 c2 c3 c4 c5
c6 c7 c8 c9 c10
c11 c12 c13 .......
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 73
Rezultirajući šifarski tekst se dobije prolazom po stupcima
c1 c2 c3 c4 c5
c6 c7 c8 c9 c10
c11 c12 c13 .......
Dužina ove poruke je multipl od pet, tako da svi stupci izlaze jednake dužine. Ako poruka
nije multiple od dužine redova, zadnji stupci bitće kraći. Slabo učestalo slovo X se koristi da
se ispune kratki stupci.
Složenost enkripcije/dekripcije
Grupe dva, tri slova i ostali uzorci (digram, trigram..)
Digrami Trigrami
_______ _______
EN ENT
RE ION
ER AND
NT ING
TH IVE
ON TIO
IN FOR
TF OUR
AN THI
OR ONE
___________________________
Algoritam dvostruke transpozicije
Rezultat prvi transpozicije:
tssoh oaniw haaso lrsto (i(m(g(h(w
(u(t(p(i(r s)e)e)o)a) m)r)o)o)k) istwc nasns
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 74
Rezultat druge transpozicije:
t n o (m (i m)t s s i l (g (r r) w x s w r (h s) o) c x o
h s (w e) o) n x h a t (u e) k) a x o a o (t o) i s x a s (i (p a) s n x
Šifriranje niza i bloka znakova (Stream & Block ciphers)
Šifriranje niza znakova (Stream cipher)
Prednosti enkripcije niza su:
(+) Brzina transformacije
(+) Niska propagacija greške.
Y
ISSOPMI
Izvorni tekst
wdhuw
Šifrirani tekst
Šifriranje niza
Ključ
(Opcionalno)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 75
Nedostatci šifriranja niza su:
(-) Niska difuzija.
(-) Sumnjičavost na zloćudna umetanja i izmjene
Šifriranje bloka znakova (Block cipher)
Prednosti:
(+) Difuzija.
(+) Imunost na umetanja..
Nedostatci:
(-) Sporost enkripcije.
(-) Propagacija greške.
Svojstva dobrog šifriranja
Shanon-ova svojstva
1. Iznos(veličina) potrebne tajnosti treba odrediti iznos odgovarajućeg rada za
enkripciju i dekripciju.
2. Skup ključeva i algoritam enkripcije ne smije biti sloţen (kompliciran).
IH
Ključ
(Opcionalno)
XN OI
TP
DF
ES
FG
HJ
KL
Izvorni
tekst
po
Šifrirani
tekst ba
cd
fg
hj
fr
Šifriranje bloka
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 76
3. Implementacija procesa mora biti što jednostavnija.
4. Greška u šifriranju ne smije propagirati i prouzročiti uništenje daljnje informacije,
poruke.
5. Veličina šifriranog teksta ne smije biti veća od teksta izvorne poruke.
Konfuzija i difuzija
Sa čime i kako rade kriptoanalitčari ?
Samo šifrirani tekst
Potpuni ili djelomični izvorni tekst
Šifrirani tekst bilo kojeg izvornog teksta
Algoritam i šifrirani tekst
Sigurni enkripcijski sustavi
Brute force attack
Princip najmanjeg posla
Teški problemi: Sloţenost
o NP-complete problemi,
o Galois-ova polja
o Faktorizacija velikih brojeva
Sustavi za enkripciju upotrebom javnih ključeva
1976 Diffie i Hellman predloţili su novu vrstu enkripcijskih sustava.
Motivacija
Konvencionalni sustavi:
n * (n-1)/2 ključeva.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 77
Svojstva sustava
Dva ključa: javni ključ i privatni ključ
P = D(kPRIV, E(kPUB, P)).
P = D(kPUB, E(kPRIV, P)).
Rivest-Shamir-Adelman (RSA) enkripcija
Dva ključa, d i e se koriste za dekripciju i enkripciju. Izvorni tekst P se kriptira
kao
Pe mod n.
Ključ za dekripciju je odabran tako da je
(Pe)d mod n = P.
Hash algoritmi
E D
F A
B C
Novi ključevi koje treba
dodati
Kreiranje novih privatnih kanala
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 78
Hash algoritam je kontrola koja štiti podatke od različitih izmjena
Hash funkcija proizvodi reducirani oblik tijela podataka.
Saţetak (digest) ili kontrolna vrijednost.
Sigurni hash algoritam(SHA)
ulazne podatke duţine koja je manja od 264
bitova reducira na 160 bitova(digest).
W(0), W(1),.. W(15), su 32 bitne riječi (512 bitova)
Svaki blok je ekspandiran od 16 riječi na 80 riječi sa
W(t) := W(t-3) W(t-8) W(t-14) W(t-16) , za t := 16 do 79
Inicijalizacija : H0 := 67452301, H1 := EFCDAB89, H2 := 98BADCFE,
H3 := 10325476 i H4 := C3D2E1F0 (izraţeno heksadecimalno).
Zadnji blok od 16 riječi, 160 bitni digest je pet riječi H0 H1 H2 H3 H4.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 79
Sigurni sustavi korištenjem tajnog ključa (simetrični sustavi)
Simetrični sustavi imaju nekoliko poteškoća:
Kod svih kripto sustava sa ključevima, ako je ključ otkriven (ukraden, pogoĎen,
kupljen ili na drugi način kompromitiran) napadač moţe neposredno dekriptirati
informaciju koja im je dostupna.
Distribucija ključeva postaje problem.
Broj ključeva se povećava sa kvadratom korisnika koji izmjenjuju tajnu informaciju.
Simetrični sustavi, opisani kao konvencionalni, prije pojave javnog ključa, su
relativno slabi, ranjivi na različite kriptoanalitičke napade.
Data Encryption Standard (DES)
Pregled DES algoritma
Koristi supstitucije i permutacije (transpozicije) (repetitivno kroz 16 ciklusa).
Izvorni tekst se kriptira kao blok od 64 bita.
Ključ je dug 64 bita, stvarni ključ 56-bitova.
Algoritam proizlazi iz dva koncepta Shanon-ove teorije tajnosti informacije
(konfuzije i difuzije),
Dvije različite šifre primjenjuju se alternativno (Shanon –ova produkt šifra)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 80
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 81
Detalji enkripcijskog algoritma
Ulaz u DES po blokovima 64 bita
Inicijalna permutacija bloka
Ključ se reducira od 64 na 56 (bez paritetnih bitova:8,16, ..64)
Započinje ciklus (16 puta)
Blok od 64 bita u dvije polovice (lijevu i desnu)
Polovice se proširuju na 48 bitova (proširene permutacije)
56 bitni ključ se reducira na 48 bitova (permutirani izbori)
Ključ se pomiče lijevo i permutira
Ključ se kombinira sa desnom, pa sa lijevom polovicom
Nova desna polovica, stara desna postaje nova lijeva.
16-ti ciklus , konačna permutacija, inverzija inicijalne permutacije (rezultat
enkripcije)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 82
RIJNDAEL KRIPTOGRAFSKI ALGORITAM (AES)
Simetrična blok enkripcija
Vrste algoritma:
Ovdje je razraĎen AES-128 tip algoritma (duţina ključa 128 bita . 4 riječi od 32 bita
svaka).
Opis algoritma
Pseudo kod
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 83
Uloga Rijndel internih funkcija:
SubBytes ima zadatak postizanja enkripcije uz primjenu nelinearne substitucije..
ShiftRows i MixColumns moraju izvršiti miješanje bajtova na različita mjesta
izvornog teksta (Shanon).
AddRoundkey osigurava neophodnu tajnu, slučajnost distribucije poruke.
Brza i sigurna implementacija
Vidjeli smo da su interne Rijdaelove funkcije vrlo jednostavne i rade unutar malog
alegabrskog prostora (GF(28)). Kao rezultat toga, implementacija tih funkcija moţe se
učiniti vrlo djelotvorno.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 84
Zaloţni ključ i Clipper kriptiranje (program)
Clipper program (MOSAIC)
Nazivi: Clipper, Capstone, Skipjack, MOSAIC, Tessera, Fortezza, i Escrowed
Encryption Standard (EES).
Koncept: zaloţni ključ
Snaga kriptografskih algoritama
Mjerenje jakosti kriptografskih algoritama je neka vrsta umjetnosti, koja katkada počiva
na čvrstim matematičkim osnovama, a drugi puta leţi na intuiciji i iskustvu. Kriptografski
algoritmi mogu biti:
Enkripcija Dekripcija
Ključ Izvorni tekst
Izvorni tekst Šifrirani tekst
(a) Konvencionalna enkripcija
Enkripcija Dekripcija
Ključ Izvorni tekst
Izvorni tekst Šifrirani tekst
Zaloţna
agencija Dekripcija
Ključ
(b) Zaloţna enkripcija
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 85
Empirijski sigurni
Sigurni uz dokaz
Bezuvjetno sigurni
Algoritam je empirijski siguran kao je on odrţiv (nije probijen) u nekom vremenu
testiranja.
Dokazano sigurni algoritmi mogu ponuditi ono što daje računarska sigurnost, tj dokazanu
sigurnost. Dokazana sigurnost je izraţena unutar okvira sloţene teorije. Neki algoritam je
siguran ukoliko je proboj algoritma barem toliko teţak kao rješavanje drugog problema
za koji se zna da je teţak.
Bezuvjetno sigurni algoritmi ne mogu biti probijeni od strane napadača čak i uz primjenu
neograničenih računarskih resursa.
Šifarski tekst je zapravo rezultat od XOR bit operacije izmeĎu niza bitova čistog teksta i
niza bitova ključa. Primatelj provodi XOR nad šifarskim tekstom bit po bit uz isti niz
bitova ključa, kako bi dobio izvorni tekst (Vernamov-a šifra).
Šifarski tekst Ključ = Izvorni tekst Ključ Ključ = Izvorni tekst
Paţnja !
Šifarski tekst 1 Šifarski tekst 2 = Izvorni tekst 1 Ključ Izvorni tekst 2 Ključ
= Izvorni tekst 1 Izvorni tekst 2
Osmišljanje dva preklapajuća izvorna tekst i nije teški kriptoanalitički problem.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 86
UPOTREBA KRIPTIRANJA U PROTOKOLIMA SIGURNE
KOMUNIKACIJE
Protokoli za rješavanje problema sigurnosti u informacijskim sustavima
Protokoli za distribuciju (uspostavu) ključeva
Protokoli za uzajamno dogovoreni ključ: ključevi koji su uspostavljeni bez
pomoći treće strane.
Protokoli za transport ključeva: ključevi koji su generirani i distribuirani od
treće strane.
Diffie-Hellman protokol
Diffie-Hellman protokol je protokol za meĎusobno dogovoreni ključ. Dvije strane A
(Alice) i B (Bob) koje ne dijele tajnu konstruiraju same tajni ključ za dijeljene(za
simeričnu enkripciju). Diffie-Hellman je bio prvi algoritam sa javnim ključem otkriven
1976.
Uspostava simetričnih ključeva
Izmjena simetričkih ključeva bez servera
o ključ enkripcije ili glavni ključ,
o ključ sjednice ili prometa
Izmjena simetričnih ključeva upotrebom servera (Needham-Schroeder
protocol)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 87
Gore navedena komunikacija je opisana slijedećim porukama:
(1) - (P,R,Ip)
(2) - E(Ip,R,KPR, E(KPR,P),KR)),KP)
(3) - E((KPR,P), KR)
KR i KP su ključevi komunikacije sa distribucijskim centrom te ga na početku posjeduju
korisnici P i R.
Certifikati
Slično u realnom ţivotu netko potvrĎuje za drugog da je to autetična osoba, isto takao
treća povjerljiva strana potvrĎuje vezu identitteta i javnog ključa, kroz korištenje
digitalnih potpisa i hash funkcije
Distribucijski
centar
Pavao Rina
(1)Daj mi ključ za
komunikaciju
sa Rinom
(2) Ovdje je ključ za
tebe i kopija za
Rinu
(3) Rina distribucijski centar mi
je dao ovaj ključ (KPR) za našu
privatnu komunikaciju
Distribucija ključa kroz distribucijski centar (Needham-Schroeder
Protokol)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 88
Digitalni potpisi
Digitalni potpis mora zadovoljiti dva primarna uvjeta:
Nekrivotvorljivost. Ako osoba P potpisuje poruku M s potpisom S(P,M), tada
je nemoguće za svakoga da proizvede par [M, S(P,M)]
Autentičnost. Ako osoba R primi par [M, S(P,M)] poslan od P, R moţe
kontrolirati da je potpis stvarno od P. Samo P je mogao kreirati ovaj potpis, i
potpis je usko vezan na poruku M.
Dodatna dva svojstva su potrebna za transakcije koje se izvršavaju uz pomoć
digitalnih potpisa:
Neizmjenjivost. Nakon što je odaslana poruka, M se ne moţe promijeniti niti
od S, R ili od napadača.
Nemogućnost ponovne upotrebljivosti. Prethodno prezentirana poruka će biti
trenutno detektirana od R.
Enkripcijski sustavi javnog ključa
D( E(M,-),-) = M = E( D(M,-),-)
R S
M
D:KS
Za autentičnost,
nekrivotvorljivost
Dekriptira M
Sprema
kopiju za
buduće
nesuglasice
D:KS
M
Asimetrični digitalni potpis
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 89
SSL (Secure Socket Layer) protokol
Namjena:
SSL je višenamjenski protokol za slanje kriptiranih informacija preko Interneta. To je
zapravo sloj dodan izmeĎu TCP/IP protokola i aplikacijskog sloja.
Dok je zadaća TCP/IP protokola slanje ispravnih anonimnih paketa izmeĎu klijenta i
posluţitelja, SSL dodaje:
autentifikaciju,
neporecivost za obje strane putem digitalnih potpisa,
povjerljivost i
integritet (putem MAC-a) informacija koje se šalju.
S R
D:KS
M
Za autentičnost
nekrivitvorljivost
E:KR Za tajnost
Dekripcija
(tajnost) M
D:KS
Dekripcija
(autentičnost) M
Sačuvaj
kopiju za
buduće
nesuglas.
M
D:KS
Dvostruka enkripcija u asimetričnom digitalnom potpisu
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 90
Napadi:
Onemogućuje man-in-the-middle napad kada strane u biti ne znaju s kim
zapravo komuniciraju.
SSL sadrţi zaštitu i protiv replay napada kada napadač snimi poruku izmeĎu
dvije strane i reemitira ju.
Sadrţi čak i podršku za kompresiju podataka prije enkripcije.
Glavna primjena SSL-a :
Zaštita komunikacija preko Internet-a gdje osigurava privatnost, autentičnost i
integritet poruka koje se prenose izmeĎu dvije strane
SSL se koristi pri prijenosu osjetljivih informacija ( e-mail poruke, privatne
informacije ), ali i za obavljanje sigurnih transakcija preko Internet-a (
prijenos brojeva kreditnih kartica, elektroničkog novca - elektroničko plaćanje
)
SSL sadrţi sve što je potrebno za sigurnu razmjenu podataka preko mreţe,
jednostavan je za uporabu i široko je prihvaćen od strane korisnika. HTTP
osiguran SSL-om naziva se HTTPS.
Svaki SSL server mora imati SSL server certifikat. Kada se pretraţivač spoji
na web server koristeći SSL protokol, server šalje pretraţivaču svoj javni
ključ u X.509 v3 certifikatu.
TLS (Transport Layer Security)
TLS je protokol vrlo sličan SSL-u 3.0. sa par razlika u izboru i korištenju enkripcijskih
algoritama.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 91
6. POSTUPCI DIGITALNE IDENTIFIKACIJE I AUTENTIFIKACIJE
IDENTIFIKACIJA
Identifikacija je osnova za sve aspekte sigurnosti. Svi korisnici, bilo to informacijska sredstva
ili korisnici IS-a moraju imati jedinstveni identifikator.
Identifikacija unutar tvrtke
Vrsta identifikacije koju koristi tvrtka uvjetuje sve ostale sigurnosne procese. U globalnoj tvrtki
postoji odreĎen broj stvari na koje se treba osvrnuti. Zbog velikog broja stavaka za primjenu
identifikatora uvodi se pojam upravljanja imenima.
Jednoznačnost
Identifikatori moraju biti jednoznačni kako bi se korisnik mogao pozitivno identificirati.
Univerzalnost
Ista vrsta (tip) identifikatora treba biti raspoloţiva za sve korisnike – pojedince, sustave,
ili programe – sve što zahtjeva pristup informacijama.
Provjerljivost (verifikacija)
Treba postojati jednostavan i standardiziran postupak provjere identifikatora radi
jednostavnosti arhitekture standardnog sučelja .
.
Nekrivotvorljivost
Identifikator mora biti teţak za krivotvorenje kako bi se spriječilo krivo predstavljanje
Prenosivost (Transportabilnost)
Identifikator mora biti prenosiv sa lokacije na lokaciju sa kojih korisnik treba pristup.
Lakoća korištenja
Identifikator mora biti jednostavan za korištenje u svim transakcijama koje ga
zahtijevaju.
.
Izdavanje identifikatora
Privatno izdavanje
Privatno izdavanje identifikatora daje organizaciji najvišu razinu kontrole.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 92
Javno izdavanje
Javno izdavanje zahtjeva razinu povjerenja u organizaciju koja izdaje
identifikaciju.
Područje upotrebe
Područje upotrebe pokazuje kako široko će se koristiti identifikator, a prema tome koliko
široko će on biti prihvaćen.
Usko područje
Usko područje korištenja identifikatora općenito daje više kontrole lokalnom
administriranju sustava.
Veliko područje
Veliko područje smanjuje broj potreba za identifikacijom i autentifikacijom.
Koncept jedne prijave (single-sign-on SSO) se zaniva na području koje uključuje
sve što bi korisnik mogao trebati.
Administriranje identifikatora
Administriranje identifikatora uključuje kreiranje i opoziv identifikatora, proces
distribucije identifikatora, te integraciju identifikatora u autentifikaciju, autorizaciju i
administraciju sustava.
Centralizirana administracija
Distribuirana administracija
Mogućnosti implementacije
Identifikacija mora biti raspoloţiva svim pristupnim metodama.
Standardi imenovanja (označavanja) identifikatora
Standardi imenovanja su izgraĎeni na X.500, OSI standardu za usluge imenika
(directory service: Active directory, LDAP).
Smart kartice
Smart kartice se mogu koristiti kako za fizičku identifikaciju tako i za
elektroničku (digitalnu) identifikaciju
Fizička identifikacija se zahtjeva kako bi se osigurala fizička sigurnost.
Elektronička (digitalna) identifikacija se koristi za svaki elektronički
pristup.
Infrastruktura javnog ključa (PKI)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 93
Infrastruktura javnog ključa (PKI) je sustav koji koristi certifikate koji su
zasnovani na kriptografiji javnog ključa za autentifikaciju identifikatora.
Greške identiteta
Greške identiteta dolaze od konfuzije identifikatora za dva različita pojedinca. To moţe
biti da identifikatori nisu jedinstveni ili zbog nepaţnje od strane ljudi koji ih usporeĎuju.
Upute (vodič) za izbor identifikatora (Check list)
Odrediti što će se koristiti za identifikatore
Odlučiti tko će izdavati identifikatore
Postaviti zahtjeve neophodne za izdavanje identifikatora
Odrediti zahtjeve na identifikaciju za svaku klasu transakcija
Odrediti kako će se identifikacija administrirati
Izlistati zahtjeve za izdavanje.
Odrediti razloge za opoziv.
Odlučiti kako će se informacija o identifikatorima implementirati i koristiti
AUTENTIFIKACIJA
Autentifikacija je postupak verifikacije identiteta korisnika. Korisnici uključuju pojedine osobe,
računalne ureĎaje i sredstva.
Aautentifikacijska funkcija F :
F (autentifikacijska informacija) = očekivani rezultat
Faktori autentifikacije
Faktori koji se mogu koristiti za autentifikaciju identiteta nekog entiteta su oni faktori
koji su jedinstveni za taj specifični entitet.
Osnovni faktori o Nešto što znate – dijeljena tajna, lozinka, nešto što korisnik i
autentifikator znaju.
o Nešto što imate – fizički ID (npr. identifikacijska kartica, token, smart
kartica)
o Nešto što jeste – mjerljiva svojstva (otisak prsta, facijalne karakteristike,
boja glasa..)
Implicitni faktori
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 94
Implicitni faktori su atributi entiteta koji se mogu odrediti bez interakcije sa
entitetom.
o Fizička lokacija o Logička lokacija.
Višestruki faktori
Općenito korištenje više faktora u autentifikaciji transakcija daje jaču
autentifikaciju..
Modeli autentifikacije
Autentifikacija je verifikacija identiteta kako bi se spriječila impersonalizacija (krivo
predstavljanje), te kako bi se osigurala razina povjerenja koja je nuţna za korištenje ovlaštenja
(autorizacija). Vrsta zahtijevane autentifikacije zavisit će od kvalitete identifikatora, pristupne
metode, i zahtijevanih ovlaštenja (privilegija).
Višestruka autentifikacija
U modelu višestruke autentifikacije svaka aplikacija ima potpun kontrolu korištenog
identifikatora za entitet i metode za autentifikaciju.
Jednostruka autentifikacija (SSO)
Jednostruka autentifikacija po sjednici, single sign-on (SSO), velika je prednost za
korisnike.
Višerazinska autentifikacija
Višerazinska autentifikacija je proces koji zahtjeva različite vrsta autentifikacije koje
ovise o metodi pristupa, zahtijevanim sredstvima, te zahtijevanim dozvolama.
OPCIJE AUTENTIFIKACIJE
Razina i vrsta autentifikacije zavisi od vrste identifikatora, pristupne metode, zahtijevane
autorizacije, te područja koje je pokriveno autentifikacijom.
I Dvo-strana autentifikacija
Dvo-strana autentifikacija moţe imati jedno-smjernu i dvo-smjernu shemu.
Autentifikacijska informacija moţe biti ili statička (napr. fiksna lozinka) ili dinamička (npr. one-
time lozinka OTP)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 95
Lozinke
Ponovljive lozinke su najraširenija metoda za autetifikaciju danas (PAP).
One-time Pasword (OTP)-lozinke za jednu upotrebu je strategija korištenja
lozinke samo jednom, pa i ako je ona uhvaćena , ona se ponovo ne koristi.
Lozinke Pobude-Odziva (CHAP) su druga metoda kojom se rješava problem
njuškanja lozinki po mreţi.
Pobuda /odziv (CHAP)
Shema autentifikacije pobuda/odziv je shema zasnovana na lozinkama u kojoj
server postavlja pitanje korisniku - to znači postavlja izazov(pobudu)- a korisnik
mora odgovoriti na odgovarajući način ili autetifikacija završava u grešci.
OTP lozinke
Lozinka je valjana samo za jednu sjednicu autentifikacije-ne prije i ne poslije
(S/KEY).
Token kartica
UreĎaj koji donosi lozinke. Token kartica generira različiti niz od osam znakova
svaki puta kada se upotrijebi, pa je ona specijalni slučaj OTP sheme. (SecureID,
od RSA Security )
Smart kartice
Naziv smart kartica opisuje komplet malog, veličine kreditne kartice,
elektroničkog ureĎaja koji se koristi za pohranu podataka i identifikaciju.
Osnovne karakteristike pametnih kartica
Podjela prema tehnologiji za pohranu podataka
Magnetske kartice
Kapacitivne kartice
Optičke kartice
Poluvodičke tehnologije
o Memorijske kartice
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 96
o Procesorske kartice
Podjela prema načinu uspostavljanja komunikacije za memorijske i procesorske
kartice
Kontaktno sučelje
Beskontaktno sučelje
Kartice s dva sučelja
Svrha pametnih kartica
Ručni ureĎaji za autentifikaciju (HHAD)
HHAD su prenosivi ureĎaji, obično u veličini kreditnih kartica, koji imaju
lokalno spremište podataka i mogučnost računanja.
Kartice zasnovane na sekvenci.
Kartice zasnovane na vremenu
Kartice zasnovane na certifikatima
Biometrijska autentifikacija
Biometrička autentifikacija koristi jedinstvenost izvjesnih fizičkih svojstava i
karakteristika pojedinaca, kao što su otisci prstiju, slika roţnice oka, uzorak glasa ili
facijalne karakteristike. Ta fizička svojstva ili karakteristike mogu se reprezentirati
digitalno kao biometrični podatak ili biometrika.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 97
Osnove biometrike
Kako se ispituju biometrijski uzorci koji su povezani s ljudima ?
Kako je taj uzorak spremljen ?
Što čini podudarnost izmeĎu prezentirane biometrike - "ponuĎenog
uzorka" i upisanog predloška ?
Vaţna sovstva:
o Veličina pogrešnog prihvaćanja (FAR - false acceptance
rate) , dio pogrešno prihvaćenih podudarnosti za ne upisane
osobe i
o Veličina pogrešnog odbacivanja (FRR - false rejection
rate), dio pogrešno odbačenih podudarnosti za legalno
upisane osobe
Otisci prstiju
Digital Persona U.are.U Pro fingerprint scanner.Fingerprint scanners can be attached to USB ports as an external peripheral or they can be embedded within devices.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 98
Skaniranje duţice oka (Iris scan)
PPP AUTENTIFIKACIJA
PPP protokol (Point-to-Point Protocol) osigurava standardnu metodu za enkapsulaciju
informacije mreţnog protokola na linijama od točke-do-točke. Da bi se uspostavila veza
preko komunikacijske linije, svaki kraj linije mora prvo razmijeniti Link Control Protocol
(LCP) pakete kako bi dogovorio konfiguraciju veze koja se ţeli uspostaviti. On uključuje
i protokol autentifikacije.
PAP
PAP, Pasword Autetification Protocol (RFC 1334), osigurava jednostavnu metodu
za korisnika za uspostavu njegova identiteta koristeći dvosmjernu razmjenu, kako
je pokazano na slici 5.1.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 99
Slika 5.1 Dvo-smjerna PAP razmjena
CHAP
CHAP, Challenge Handshake Autetification Protocol (RFC 1994) je tro-smjerna
razmjena koja se koristi da se verificira korisnika na PPP vezi (vidi sliku 5.2).
Slika 5.2 Tro-smjerna CHAP razmjena
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 100
EAP
Proširivi autetifikacijski protokol (Extensible Authetification Protocol –EAP) (RFC
2284) je općeniti autetifikacijski protokol koji podrţava višestruke autetifikacijske
mehanizme.
Autentifikacijska razmjena je pokazana na slici 5.3.
Slika 5.3 Tro-smjerna EAP razmjena
RADIUS
Sa RADIUS-om (Remote Access Dial In user Service – RFC2138) autentificiraju se
udaljeni korisnici, koji se spajaju preko biranih linija.
Tipična RADIUS autetifikacijska sjednica u dial-in uvjetima radi kako je dano na slici
5.4
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 101
S/KEY i OTP
Ideja je da korisnik i usluţno mjesto svako konstruira dugu listu OTP lozinki, svaka
slijedeća proizašla je iz predhodne.
S – inicijalna lozinka plus dodatak (salt)
H – hash funkcija (MD4 ili MD5)
xi – elemet u listi lozinki
N – broj ulaza u listi
i = 1, .., N
x1 = H(S)
x2 = H(H(S))
= H(H(x1))
xi = H(xi – 1)
II Autentifikacija kroz povjerljivu treću stranu
Kerberos
Kerberos je mreţni autentifikacijski sustav (RFC 1510) koji omogućuje
verifikaciju identiteta entiteta u otvorenoj i nezaštićenoj mreţi koji koristi treću
povjerljivu stranu (opisan kasnije u mreţnoj sigurnosti).
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 102
X.509 PKI infrastruktura
PKI infrastruktura specificirana je od strane ITU (International Telecomunication
Union kroz X.509 standard (ITU97) (prije CCITT X.509), te definira okvir za
provoĎenje autetifikacije kroz mreţu korištenjem kriptografije javnog ključa.
.
Slika 5.7 X.509 certifikacijska hierarhija
PGP (Pretty Good Privacy) povjerljivi model
PGP (Zimmerman 1995) je familija softwarea koji je razvio Philip R. Zimmerman
za zaštitu i sigurnost elektroničke pošte, kroz enkripciju njenog sadrţaja i
autentificiranje njenog pošiljaoca.
Slika 5.8 PGP mreţa povjerenja
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 103
III Autentifikacija u VPN-u
Uloga autentifikacije u VPN-u je da se verificira identitet strana uključenih u uspostavu VPN
tunela.
Autetifikacija izmeĎu prospojnika
Autentifikacija klijent-prospojnik
Slika 5.9 Autentifikacija u VPN-u
Upravljanje autentifikacijom
Upravljane autentifikacijom treba biti jednostavno i integrirano u upravljanje
identifikatorima.
Autentifikacijski server
Autentifikacijski server je sustav koji kontrolira autentifikaciju za potrebe IS
tvrtke. On sadrţi centralni repozitorij identifikatora, te odgovarajućih autentifikacijskih
metoda za svaki identifikator koje su zasnovane na pristupnoj metodi i zahtijevanim
ovlaštenjima.
Narušavanje autentifikacije
Autentifikacija zahtjeva da entitet koji se autentificira šalje potvrde (vjerodajnice) entitetu
koji provodi autentifikaciju.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 104
Direktni napadi
Direktni napadi su direktni napadi na sam proces autentifikacije.
o PogaĎanje je postupak pogaĎanja autentifikacijskih tokena sve dok se ne
pogodi jedan ispravan.
o Razbijanje (cracking) je proces stvarnog izračunavanja lozinki. Ipak
treba reći, da je termin "cracking" često korišten kada je to ustvari
pogaĎanje lozinki.
Indirektni napadi
o Njuškanje je proces prisluškivanja dok se sam identitet autentificira, te
prihvat autentifikacijske informacije.
o Dohvat i odgovor je proces dohvata autentifikacijske komunikacije i
odgovor na nju, tako da autentifikator misli da se entitet reautentificira.
o Otimanje sjednica (Session Hijacking) je kraĎa sjednice nakon što je
provedena autentifikacija.
Socijalni (društveni) napadi
Napadi na pojedince u pokušaju da oni obznane token za autorizaciju.
o Socijalni inţenjering je proces uvjeravanja nekoga da je sigurno otkriti
ţeljenu informaciju.
o Istraţivanje je proces otkrivanja korisničke pozadine kako bi se skupilo
dovoljno osobnih informacija koje bi omogućile odreĎivanje vjerojatnih
tokena.
o Pretraţivanje je proces fizičkog pretraţivanja za tokene koji pripadaju
korisnicima.
o Prisluškivanje je proces promatranja korisnika koji unosi token.
Upute (vodič) za izbor i primjenu autetifikacije (Check list)
Odrediti odgovarajuće metode za autentifikaciju unutar tvrtke
Standardizirati autentifikacjske postupke kroz cijelu tvrtku
Zahtjevanu autetifikaciju treba zasnovati na:
o Pristupnoj metodi
o Zahtijevanoj informaciji
o Zahtijevanom ovlaštenju
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 105
PKI – infrastruktura javnog ključa (PUBLIC KEY
INFRASTRUCTURE)
PKI ima tri osnovna procesa:
cerifikaciju,
validaciju,
i opozivanje certifikata.
PKI arhitektura
Slika 5.10 PKI arhitektura
Certifikacija
Certifikacija objedinuje korisnički identitet sa njegovom relevantnom informacijom
(ponekad se informacija ne odnosi na identitet nego i na druge atribute korisničkog
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 106
entitetea). Da bi osigurao autentičnost i integritet takvog objedinjenja, CA potpisuje
dokumenat sa svojim privatnim ključem.
U toku certifikacije dogaĎa se nekoliko koraka:
CA mora verificirati da je informacija koja treba biti sadrţana u digitalnom certifikatu
autentična i točna.
Generiranje parova ključeva. Korisnički javni ključ mora biti uključen u certifikat.
Često korisnik sam generira par ključeva te šalje samo svoj javni ključ CA-u.
CA potpisuje certifikat sa privatnim ključem. To proizvodi dvije stvari: certifikat je
potvrĎen od CA, a i integritet certifikata je zaštićen.
Nakon što je digitalni certifikat kreiran i potpisan od CA, korisnik moţe dobiti
certifikat od CA.
Validacija
Certifikat mora biti validiran prije nego mu se vjeruje. Validacija certifikata
uključuje slijedeće korake:
Provjerava se integritet kroz verifikaciju digitalnog potpisa koristeći javni ključ od
CA.
Provjerava se valjanost intervala digitalnog certifikata.
Provjerava se CRL lista od CA kako bi bili sigurni da certifikat nije opozvan.
Opoziv certifikata
Cerifikat se moţe opozvati prije njegovog isteka vaţenja, ukoliko postane neupotrebljiv
zbog nečega, npr. kada se otkrije privatni ključ, ili informacija unutar njega više nije
valjana.
CA opoziva certifikat uključujući ga u listu opozvanih certifikata koja se naziva lista
opozvanih certifikata (CRL)..
CA čini CRL poznatom objavljivanjem u dobro poznatom repozitoriju. CRL se aţurira
periodički.
Modeli povjerenja
Izvrsna matematička svojstva kriptografije javnog ključa ne mogu riješiti problem kako
se povjerenje ugraĎuje i delegira u PKI infrastrukturi.
Neki ljudi imaju viziju jednog globalnog PKI preko cijele kugle. Drugi vide
konfederaciju PKI-ova zasnovanih na političkim strukturama kao što su nacije i
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 107
graĎanstvo. Neki drugi preferiraju model u kojem, povjerenje smješteno u CA je
ograničeno za specifične namjene za koje se uspostavlja CA.
Model jednog CA povlači jedan PKI za cijeli svijet, gdje svatko koristi jedan CA kako bi
dobio i verificirao certifikat.
Hijerarhijski model ima jedan root CA koji nastavno delgira povjernje drugim CA-
ovima u hierhijaskoj formi. PEM (Privacy Enchanced Mail – RFC 1422) i DNSSEC
(Secure Domain Name System – RFC 2065) koriste taj pristup.
Distribuirani modeli pretpostavljaju da su svi CA-ovi kreirani jednako. Svaki CA ima
svoju vlastitu domenu povjernja i odgovoran je za konfiguriranje svojih vlastitih ključeva
u aplikaciju. (PGP).
Problem unakrsne certifikacije (cross certification).
Unakrsni certifikat
Sigurnosna politika u domenama usklaĎena i usvojena
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 108
7. KONTROLA PRISTUPA i TOKA - MATEMATIČKI MODELI SIGURNOSTI
Kontrola pristupa
Računalni sustavi upravljaju pristupom podatcima i dijeljenim resursima kao što su
memorija, štampači, diskovi i dr. Oni moraju osigurati pristup tim resursima primarno
zbog očuvanja integriteta informacijske sigurnosti, a ne toliko za očuvanje njegove
povjerljivosti.
Subjekti i objekti
SubjektZahtjev za
pristupom
Referentni
monitor Objekt
Osnovni model kontrole
pristupa
Možemo specificirati:
Što je dozvoljeno subjektu da radi, ili
Što moţemo učiniti sa pojedinim objektom.
Operacije pristupa
Modovi pristupa
Na osnovnoj razini subjekti mogu pregledavati ili mijenjati objekte. Prema tome
definiramo dva moda pristupa:
Pregled – gleda se samo sadrţaj objekta
Izmjena – mijenja se sadrţaj objekta.
Pristupna prava i atributi
Mod/prava
pristupa Izvedi Dodaj Pročitaj Zapiši
Pregled X X
Izmjena X X
Prava pristupa u Bell-LaPadula modelu
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 109
Odnosi izmeĎu pristupnih prava i pristupnih atributa za Multics.
Data segmenti Segmenti direktorija
Čitaj r Status r
Izvedi e Status, promjeni w
Čitaj, piši w Dodaj a
Piši a Pretraţi e
Unix
Politika pristupne kontrole je izraţena kroz tri operacije :
Čitaj – čitanje datoteke
Piši – pisanje u datoteku
Izvedi – izvedi (program) datoteku
Ove operacije se razlikuju od BLP modela. Na primjer, operacija pisanja UNIX-a ne
uključuje pristup za čitanje.
Kada se primjenjuju prava pristupa na direktorij, tada ta prava imaju slijedeće značenje:
Čitaj – ispis sadrţaja direktorija
Piši – kreiraj ili promjeni ime datoteke u direktoriju
Izvedi – pretraţi direktorij
Vlasništvo
Odgovornost za postavljanje te politike pristupa::
Vlasnik resursa odreĎuje kome se dozvoljava da ima pristup. Takva se politika
naziva diskreciona budući je upravljanje pristupom u nadleţnosti vlasnika.
Politika na razini sustava odreĎuje tko ima pravo na pristup. Iz jasnih razloga
takva politika se naziva obvezatna (mandatory).
Struktura kontrole pristupa
S kao skup subjekta
O kao skup objekta
A kao skup pristupnih operacija
Matrica kontrole pristupa
M = (Mso)sS, oO i Mso podskup od A
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 110
Primjer takve matrice je dan u donjoj tablici:
Subjekti/objekti Bill.doc Edit.exe Fun.com
Ana izvedi Izvedi, čitaj
Bojan Čitaj, piši Izvedi Izvedi, čitaj, piši
Sposobnosti
Svakom subjektu se pridjeljuju sposobnosti , čime se definiraju pristupna prava
subjekta.
Poteškoće:
Teško je doći do spoznaje tko ima dozvolu pristupa za dani objekt
Vrlo je teško opozvati sposobnosti, budući treba odrţavati zapise (trag) o svakoj
dodjeli sposobnosti drugim subjektima (trećim stranama).
Liste za kontrolu pristupa (ACL)
ACL spremaju pristupna prava na objekte sa samim objektima.
Pristupne liste su pogodne za operacijske sustave koji upravljaju objektima (resursima)
računalnog sustava.
Sustavi za kontrolu pristupa
Funkcijski, oni se sastoje od dviju komponenti:
1. Skup politika i pravila pristupa: informacija smještena u sustavu, za koju postoje
pravila pristupnih modova koja se moraju poštivati kad subjekti pristupaju
objektima.
2. Skup kontrolnih procedura (sigurnosnih mehanizama) koji provjeravaju upit
(zahtjeve za pristup) prema postavljenim pravilima ( proces validacije upita);
upiti tada mogu biti odobreni, odbačeni ili modificirani, filtrirani za neovlaštene
podatake.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 111
Sigurnosne politike
Osnovne politike su:
1. Politika minimalnih privilegija
2. Politika maksimalnih privilegija
U zatvorenim sustavima dozvoljavaju se samo eksplicitno ovlašteni (autorizirani)
pristupi.
U otvorenim sustavima zahtjevi koji nisu eksplicitno zabranjeni su dozvoljeni.
Sigurnosna politika:
Centralizirana
Decentrlizirana
Moguće su i meĎu politike:
Hierarhijski decentralizirana autorizacija,
Vlasništvo.
Kooperativna autorizacija.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 112
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 113
Politike kontrole pristupa
Mandatna (MAC)
Diskreciona (DAC)
Mandatna politika
. Klasifikacijske razine su napr.:
0 = Neklasificirano
1 = Povjerljivo
2 = Tajno
3 =Vrlo tajno
Kategorije :
Nuclear – Nato – Inteliligence
Production – Personnel – Engineering _ Administration
SC = (A,C)
A je klasifikacijska razina, a C je kategorija.
SC = (A,C) i SC‟ = (A‟, C‟) :
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 114
SC SC‟
onda i samo kao su ispunjeni slijedeći uvjeti:
A A‟ i C‟ C
Tako je realcija:
(2, Nuclear) (3, (Nuclear, nato)
ispravana, verificirana, dok
(2, (Nuclear, nato)) (3, Nato)
nije .
Diskreciona politika
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 115
Opoziv propagiranih prava
Mandatne i diskrecione politike nisu meĎusobno isključive.
Autorizacijska pravila (pravila ovlaštenja)
Matrica autorizacije.
Ulaz u matrici A[i,j]
Primjer matrice autorizacije dan je u tablici 1.1.
Kontrole pristupa:
pristup ovisan o imenu (tablica 1.1)
kontrole koja zavisi od sadržaja.
Sigurnosno pravilo :
(s, o, t, p)
kontrola na bazi ovisnosti konteksta
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 116
Dodjela ili opoziv pristupnih prva zahtjevan od nekoliko opunomoćenika ,
sigurnosna pravila mogu biti šestorke :
(a,s,o, t,, p, f)
gdje je a opunomoćenik (subjekt) koji dodjeljuje s prava (o,t,p), dok je f
zastavica kopiranja koja opisuje mogućnost da s dalje prenosi prava (o,t,p)
na druge subjekte.
Pridruženje pomoćnih procedura (AP) sigurnosnim pravilima,
Potpuniji oblik autorizacijskih pravila je :
(a,s,t,o,p,f,{Ci,APi})
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 117
Kontrola pristupa temeljena na ulogama (RBAC-Role Based Access
Control)
Matrica pristupa direktno radi sa pristupnim pravima i dodjelom ili opozivom pristupa
resursima (objektima IS-a) prema pojedinačnim dozvolama za subjekte:
Fino podešavanje
Veliki trošak upravljanja i administriranja za velik broj korisnika i resursa
Djelomično rješenje - korisničke grupe
RBAC - Koncept grupiranja korisnika ,gdje korisnici dijele slične pristupne sposobnosti :
Lakše administriranje
Reprezentacija upravljanja pristupom u stvarnom svijetu.
Generalizirani oblik modela za kontrolu pristupa (simulacije DAC i MAC
politika).
Osnove RBAC-a su:
Dozvole (prava) su pridruţene ulogama,
Korisnicima se pridruţuju uloge i
Odluka o pristupu se donosi na temelju članstva korisnika u primjenjivoj ulozi.
Slika: Osnovni odnosi izmeĎu uloga, korisnika, dozvola i operacija.
RBAC kao općeniti model kontrole pristupa podrţava dva dobro poznata sigurnosna
principa:
Razdvajanje dužnosti (separation of duty)
Najmanjih prava (least privilege).
Veze korisnika, uloga i dozvola
Konceptualno, ova pridruţenja mogu se sjediniti sa dvije Bool-ove matrice - UR
{korisnici, uloge} i PR {dozvole, uloge} definirane kao :
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 118
Gdje simbolizira operator pridruţivanja njegove lijeve strane na desni operand, a u, r
i p su skupovi korisnika, uloga i dozvola kojima upravljamo.
Slika 8.2 Pridruţenje korisnik-uloga i dozvola-uloga kroz matrični prikaz
Pregled odnosa u RBAC modelu
Formalno, pregledi korisnik-uloga mogu se prikazati preslikavanjem ur i njegog inverza
ur-1
što je definirano kao
ur:USERS →2ROLES
ur−1
:ROLES →2USERS
Skup uloga koje su pridruţene danom korisniku definiran je kao
user_assigned_roles{u) = {r∊ROLES | UR[u, r] = true}.
Pregledi dozvole-uloge mogu se prikazati preslikavanje pr i njegove inverzije pr-1
što je
definirano kao
pr−1
: PERMISSIONS → 2, ROLES
pr−1
: ROLES → 2.{PERMISSION}
Skup uloga kojima je pridijeljena pojedina dozvola dan je sa:
permission_assigned_roles(p) = {r ∊ ROLES | PR[p, r] = true}.
Skup dozvola pridruţenih pojedinoj ulozi dan je sa:
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 119
role_assigned_permissions(r) = {p ∊ PERMISSIONS | PR[p, r] = true}.
Hijerarhijski RBAC
Matematički gledano hijerarhija uloga predstavlja parcijalno ureĎen odnos izmeĎu uloga
(ROLES x ROLES) što se označava simbolom ≥. Svaki par vezanih uloga (tj. r1, r2 ∊
ROLES) takav da je r1 ≥ r2 opisan slijedećim svojstvima:
r1 je pridruţena seniorska ulogu u odnosu na r2
r2 je pridruţena juniorska uloga u odnosu na r1
r1 usvaja dozvole od r2 pored svojih vlastitih dozvola. To uključuje da su korisnici
sa seniorskom ulogom r1 automatski podskup korisnika sa juniorskom ulogom r2 .
Odnosi korisnika i njihovih dozvola u seniorskim i juniorskim ulogama
Relacija parcijalnog ureĎenja ≥ definirana na skupu hijerarhijskih uloga takoĎer je
opisana realcijom naslijeĎivanja.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 120
SIGURNOSNI MEHANIZMI
Odvajanje politike od mehanizama:
Diskusija o pravilima pristupa neovisno od mehanizama implementacije.
UsporeĎivanje različitih politika kontrole pristupa ili različitih mehanizama
implementacije iste politike.
Izgradanja mehanizama sa mogućnošću implementacije različitih politika.
Neispravne implementacije :
1. Odbacivanje dozvoljenih pristupa.
2. Dodjela zabranjenih pristupa.
Vanjski mehanizmi
Cilj :
o Minimizirati moguće prekršaje;
o Minimizirati moguće naknadne štete;
o Osigurati procedure oporavka.
Interni mehanizmi
1. Autentifikacija.
Nešto što korisnikzna (lozinke, kod )
Nešto što je vlasništvo korisnika (mad. kartice, baĎ, i dr)
Fizičke karakteristike korisnika (otisci , potpis, glas, i dr.)
2. Kontrole pristupa .
3. Mehanizmi nadzora.:
Faza zapisivanja, gdje su zapisani svi upiti o pristupu i njihovi odgovori
(kako ovlašteni tako i odbačeni);
Faza izvješćivanja, gdje se provjeravaju izvješća iz predhoden faze kako
bi se detektirali mogući prekršaji ili napadi.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 121
MATEMATIČKI MODELI SIGURNOSTI
Zadaća modeliranja sigurnosti je proizvesti visoku razinu, programski neovisnog
konceptualnog modela počevši od specifikacija zahtjeva koji opisuju potrebnu zaštitu
informacijskog sustava.
Sigurnosni modeli zasnovani na teoriji konačnih automata
Ukoliko ţelimo govoriti o specifičnom svojstvu sustava, kao što je sigurnost, koristeći
model konačnog automata, moramo:
Identificirati sva stanja koja zadovoljavaju to svojstvo (sigurnost računalnog
sustava)
Provjeriti da li sva stanja tranzicije zadrţavaju i dalje to svojstvo.
Ako su ispunjene gore navedene stavke, i ako je sustav počeo iz inicijalnog stanja
koje je bilo sigurno, tada moţemo indukcijom dokazati da se svojstvo sigurnosti
sustava zadrţava zauvijek.
Matematički modeli
Podjela:
diskrecioni
nediskrecioni (mandatni) modeli.
Diskrecioni modeli upravljaju pristupom korisnika informacijama na osnovi korisničkog
identiteta i specificiranih pravila, za svakog korisnika i svaki objekt, te dozvoljenog
načina pristupa korisnika objektu.
Nediskrecioni (mandatni) sigurnosni modeli upravljaju pristupom pojedinaca
informacijama na osnovu klasifikacija subjekata i objekata u informacijskom sustavu.
Modeli
OS
sigurnost
DB
sigurnost
Diskreciona
politika
Mandatna
politika
(tajnost)
Mandatna
politika
(cjelovitost)
Kontrola
toka
informacija
Kontrola
pristupa
Matrica
pristupa * * * *
Take-
Grant * * * *
Aktivnost-
Entitet * * * *
Wood i
dr. * * *
Bell-
LaPadula * * * * *
Biba
* * * * *
Dion
* * * * *
Sea View
* * * * * *
Jajodia-
Sandhu * * * *
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 122
Smith-
Winslett * * * *
Rešetka
(Denning) * *
Ostale podjele:
Ciljani sustav: na primjer, modeli za zaštitu OS-a, modeli za zaštitu baza podataka ili
oboje
Vrsta politike: mandatna ili diskreciona.
Adresirani pogledi na sigurnost: tajnost ili cjelovitost
Vrste kontrola: neki modeli su orijentirani na kontrolu direktnog pristupa, indirektnog
pristupa ili kontrolu toka informacija.
U opisu modela sigurnosti bit će razmatrani slijedeći aspekti:
Subjekti.
Objekti.
Načini pristupa.
Politike.
Autorizacije/ovlaštenja.
Administrativn prava.
Axiomi.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 123
Elementi modela sigurnosti u sigurnosnom sustavu
Procesi Kontrola
operacija
administriranja
Zahtjevi za
operacijama admin.
Kontrola
pristupa
Zahtjevi za
pristupom
Zahtjev
odbačen
Autorizacija
Aksiomi i
politike
Zahtjev
odbačen
Objekti
Administrativna
prava
Zahtjev
autoriziran
Načini
pristupa
Zahtjev
autoriziran
Subjekti
Korisnici Administratori sigurnosti
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 124
Harrison-Ruzzo-Ullman (HRU) model matrice pristupa
Stanje autorizacije/ovlaštenja
Q = (S,O,A), gje je:
S je skup subjekata, koji predstavljaju aktivne entitete koji koriste sredstva sustava, te
od kojih se sustav mora zaštititi.
O je skup objekata, koji predstavljaju entitete koji se moraju zaštititi. Takav skup se
sastoji i od pasivnih entiteta(sredstva sustava) i od aktivnih entiteta (subjekata).
A je matrica pristupa. Redovi matrice odgovaraju subjektima, a stupci objektima.
Element matrice A[s,o] sadrţi podatke o načinu pristupa za koje je ovlašten subjekt s
kad pristupa objeku o.
Matrica pristupa
Subjekti/Obje
kti
O1 ... Oj ... Om
S1 A[s1,o1] A[s1,oj] A[s1,om]
.
.
Si A[si,o1] A[si,oj] A[si,om]
.
.
Sn A[sn,o1] A[sn,oj] A[sn,om]
Načini/modovi pristupa
čitaj,
piši,
dodaj,
izvedi,
“vlastitost” privilegija (pokazuje na vlasništvo).
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 125
Operacije
Primitivne operacije nad matricom pristupa
Operacije
Uvjeti Rezultirajuće stanje Q’=(S’,O’,A’)
Unesi r u A[si,oj] si S
oj
S „ = S
O‟ = O
A‟[si,oj] = A[si,,oj] U {r}
A‟[sm,ok] = A[sm,,ok] k j, m i,
Izbriši r iz A[si,oj] si S
oj
S „ = S
O‟ = O
A‟[si,oj] = A[si,,oj] - {r}
A‟[sm,ok] = A[sm,,ok] k j, m i,
Kreiraj subjekt si si S S' =S { si}
O' = O { si}
A'[s,o] = A[s,o] s S, o
A‟[si,o] = o '
A‟[s,oj] = s S'
Kreiraj objekt oj oj O S „ = S
O' = O {oj}
A'[s,o] = A[s,o] s S, o
A‟[si,oj] = s S'
Uništi subjekt si si S
S' = S - { si}
O' = O - { si}
A'[s,o] = A[s,o] s S', o '
Uništi objekt oj oj oj S
S „ = S
O' = O - {oj}
A'[s,o] = A[s,o] s S', o '
Naredbe
Command c(x1, ... , xk)
if r1 u A[xs1, xo1] and
r2 u A[xs2, xo2] and .
.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 126
rm u A[xsm, xom] and
then op1
op2
.
.pn
end
Q = Q0 op1* Q1 op2
* … opn
* Qn = Q'
command CREATE(process, file)
create object file
enter O into A(process, file)
end.
command CONFERread(owner,friend,file)
if O in A[owner,file]
then enter R into A[friend, file]
end.
command REVOKEread (owner, friend, file)
if O in A[owner,file]
then delete R from A[exfriend, file]
end.
command NEWCREATE(process,file)
create object file
enter O into A[process, file]
enter R into A[process,file]
enter W into A[process, file]
end.
Administriranje ovlaštenja/autorizacije
Neka m bude generički mod pristupa:
o Ovlaštenje m* u A[s,o] matrice pokazuje da je s ovlašten za dodjelu
privilegije m na objekt o drugim subjektima.
comand TRANSFERread (subjekt1, subjekt2, file)
if R* in A[subjekt1,file]
then enter R into A[subjekt2, file]
end.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 127
o Ovlaštenje m+ u A[s,o] matrice pristupa ukazuje da s moţe prenijeti
drugim subjektima privilegije na objektu o, ali time gubi privilegiju i
mogućnost za daljnju dodjelu.:
Command TRANSFER-ONLYread(subjekt1, subjekt2, file)
if R+ in A[subjekt1,file]
then delete R+
from A[subjekt1,file]
enter R+
into A[subjekt2 ,file]
end.
Primjena modela
S O A[s,o]
P1 F1 Own, R, W
P1 F2 E, R+
P1 M1 R, W, E
P1 P2 Ctrl
P2 F1 R, W
P2 M1 W
P3 F1 R, W, E+
P3 F2 Own, E
P3 M2 W, E
a)
P1
P2
P3
F1 Own,R,W
F2 E, R+
M1 R,W,E
P2 Ctrl
F1 R,W
M1 W
F1 R,W,E+
F2 Own, E
M2 W, E
M1 W
b)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 128
F1
F2
M1
P1 Own,R,W
P2 E, R+
P3 R,W,E
P4 Ctrl
P1 R,W
P2 W
P1 R,W,E+
P2 Own, E
P3 W, E
P4 W
c)
Alternativne metode spremanja matrice pristupa a) tablica s poljima (S,O,A), b)
lista sposobnosti, c) ACL lista
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 129
Problemi s diskrecionim modelima
Program P
.........
.........
read f1
write f2
A
B
C
D
Datoteka f1 Datoteka f2
vlasnik x vlasnik y
(x, write, f2)
(a)
Program P
.....
.....
read f1
write f2
A
B
C
D
A
B
C
D
vlasnik x vlasnik y
(x, write, f2)
datoteka f1 datoteka f2
(b)
Primjer Trojanskog konja: (a) program P sadrţi skriveni kod za pristup datoteci f1 i f2;
y moţe dodjeliti pravo pisanja na f2; (b) nakon što korisnik x započne program, korisnik
y ima pristup informaciji koja je prenesena iz datoteke f1(na koju korisnik y nema pravo
čitanja) u f2 (koju on moţe čitati).
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 130
Nediskrecioni (mandatni) modeli sigurnosti
Bell-LaPadula model (BLP)
.
Sigurnosna razina :
klasifikacija
skup kategorija.
Klasifikacija je element skupa koji se sastoji od četiri elementa: Vrlo tajno(TS);
Tajno(S); Povjerljivo(C); Neklasificirano(U). To je potpuno ureĎen skup za koji vrijedi:
TS > S > C > U.
Skup kategorija je podskup nehierarhijskog skupa elemenata ( područja primjene
informacija ili područja pripadnosti podataka). Primjeri kategorija mogu biti Nato,
Nuklearni odjel, Kripto zavod i dr.
Skup sigurnosnih razina formira rešetku , koja je parcijalno ureĎena prema relaciji
dominacije ().
Sigurnosna razina L1=(C1,S1) je viša ili jednaka (dominira) nad sigurnosnom
razinom L2=(C2,S2) onda i samo ako vrijede slijedeće relacije:
C1C2 i S1S2, gdje C odgovara klasifikaciji, S skupu
kategorija.
Za dvije sigurnosne razine L1 i L2 za koje ne vrijedi da je L1L2 niti L2L1 kaţemo da
nisu usporedive.
Sigurnosna razina korisnika(subjekta) koja se naziva čistoća(clearance) korisnika.
Sigurnosna razina objekta odraţava osjetljivost informacija koju on sadrţi.
Modovi pristupa:
Samo za čitanje
Dodavanje
IzvoĎenje: izvedi objekt (program)
Čitaj-piši : piši u objekt.
Stanje sustava
Stanje sustava je opisano četvorkom (b,M,f,H) gdje su :
b je trenutni skup prava.
M je matrica pristupa koja opisuje prava subjekta na svakom objektu.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 131
f je funkcija razine koja svakom subjektu i objektu pridruţuje njegovu razinu
sigurnosti.
H je hijerarhija trenutnih objekata.
Operacije
dobiti pravo : mijenja se b – dodjeljuje se odgovarajuća trojka u b
oduzeti pravo: mijenja se b - ukida se odgovarajuća trojka u b
dati pravo: prijenos prava sa jednog objekta na drugi
povući pravo: oduzeti dana prava
kreirati objekt: aktiviranje neaktivnog objekta i uključivanje u hijerarhiju H
kao čvora
brisanje objekta: brisanje čvora iz H, a to povlači i brisanje svih prava po
objektu
mijenjanje nivoa sigurnosti subjekta
mijenjanje nivoa sigurnosti objekt
Aksiomi
Svojstvo jednostavne sigurnosti ili svojstvo “ne-čitaj-od-gore”
o (ss property– simple security)
Svojstvo zvijezde (*-property) ili svojstvo “ne-piši-na-dolje”
Princip neuznemiravanja
Svojstvo diskrecijske sigurnosti (ds-property )
Proširena verzija Bell-LaPadula modela:
nedostupnost neaktivnih objekata
prepisivanje neaktivnih objekata .
Ova svojstva (pravila) mogu se prikazati slikovito prema sigurnosnom dijagramu toka
koji je dan na slici 12.1.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 132
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 133
8. SIGURNOST I ZAŠTITA PROGRAMA I OPERACIJSKIH SUSTAVA
Greške:
nenamjerne ljudske greške
namjerne greške – zloćudni kod
Sve programske greške ne moţemo izbjeći, iz dva razloga:
Kontrola programa se još uvijek provodi na razini pojedinačnog programa i
programera. Nepredvidive greške. često puta i programer moţe neke greške i
sakriti.
Drugo, programiranje i programsko inţenjerstva se mijenjaju i razvijaju puno
brţe nego tehnike u računarskoj sigurnosti..
Virusi i drugi zloćudni kod
Virus
o Tranzietni virus
o Rezidentni virus
Trojanski konj
Logička bomba
Vremenska bomba
Vrata upada ili zadnja vrata(back door)
Crv.
Zec
Kako se virusi priključuju (veţu) na programe
Dodani virusi
Originalni
program
Virusni kod Virusni
kod
Originalni
program
+ =
Virus koji se dodaje na program
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 134
Virusi koji okružuju program
Virusni
kod
Originalni
program
Virusni kod
Dio (a)
Originalni
program
Virusni kod
Dio (b)
Fizički Logički
Virus okružuje program
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 135
Integrirani virusi i zamjene
Kako virusi dobivaju kontrolu ?
Jednostavnom zamjenom programa T na disku sa virusom V
Promjenom pokazivača u tablici datoteka tako da se locira V umjesto T
Originalni
program
Virusni
kod
Modificirani
program
+ =
Virus integriran u program
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 136
Kvaliteta virusa:
teţak za detekciju
teţak za uništenje ili deaktiviranje
široko područje širenja
mogućnost reinfekcije
lakoća kreiranja
strojno neovisan (neovisan i od OS-a)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 137
Smještaj za viruse (dom):
Boot sektor virusi
Memorijski rezidentni virusi
Ostala domišta za viruse
o Aplikacioni program ( word procesor, tablični kalkulatori, ..
Macro virusi
o Biblioteke programa
o Kompilatori, loaderi, linkeri, debugeri
Virusni potpisi
(a) Prije infekcije
Bootstrap
loader
Inicijalizacija
sustava
Boot sektor
Drugi sektori
(b) Poslije infekcije
Virus
kod
Inicijalizacija
sustava
Bootstrap
Loader
Boot sektor
Drugi sektori
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 138
Akcije:
smještaj
izvoĎenje
širenje
Potpis - izdajnički uzorak
Memorijski uzorci
Uzorci izvoĎenja
Uzorci prijenosa
Polimorfni virusi
Sprečavanje od virusne infekcije
Anti-virusni software
Napadi virusa koriste (exploit) nedostatak kontrola integriteta informacijskog sustava.
Kako bi se obranili moramo sami uključiti te kontrole. Neki od rapoloţivih zaštitnih
mehanizama su specifični za viruse, ali oni općenito adresiraju integritet. Strategija
obrane treba imati slijedeće komponente:
Prevenciju: zaustavljanje infekcije sustava.
Detekciju: detektiranje virusa koji su infektirali sistem.
Reakciju: restauriranje sustava do čistog stanja.
Administrativne mjere i briga korisnika su vaţne za uspješnu zaštitu od virusa.
Fizičke i administrativne kontrole
Postavljanje zaštite pisanja
Karantenska računalima sa anti-virusnim softverom
Vatrozidovi (firewall) opremljeni virusnim scanerima
Anti-virusni software treba uključiti u svaku login skriptu korisnika.
Korištenje programa za kontrolu integriteta
Plan za izvanredne situacije (contigency plan)
Kriptografska kontrolna suma
Kada sigurnosni sustav zna kako izgleda objekt koji zaštićuje, on ne mora znati kako
izgleda napadač. On treba pregledati izmjene u objektu.
Kontrolna suma datoteke se usporeĎuje sa uskladištenom vrijednošću.(VACINE)
Detektira i nepoznate viruse
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 139
Pogodno za korištenje tamo gdje se u organizaciji koriste standardni, već razvijeni
programi
Skaneri
Kada sigurnosni sustav ne zna kako izgleda objekt koji štiti, budući je on legitimno
izmijenjen, on mora znati kako izgleda napadač, ili kako se on ponaša. Jedino tada on
može provjeriti njegovu prisutnost.
Skaneri pretraţuju datoteke za postojanje uzoraka (virusnih potpisa) koji
identificiraju poznati računalni virus.
Polimorfni virusi ugroţavaju tehnike prepoznavanja uzoraka,
Makro virusi donose svoj problem
Napredni skaneri sve više kreću prema prepoznavanju ponašanja, tj. semantičkim
svojstvima , umjesto niza bitova koji definiraju uzorak.
Problem pozitivne greške
Preporuke
Koristiti samo komercijalne programe iz pouzdanih i dobro poznatih dobavljača.
Testirati sve nove programe na izoliranim računalima.
Napraviti boot disketu i spremiti na sigurno.
Napraviti i zadrţati kopije sistemskih datoteka za izvoĎenje.
Koristiti skanere virusa redovito.
Neke istine i nejasnoće o virusima:
Virusi mogu inficirati sustave koji nisu PC/MS-DOS/Windows.
Virusi mogu modificirati i skrivene datoteke te "read only" datoteke.
Virusi se mogu pojaviti u datotekama podataka (CONFIG.SYS i MAKRO)
Virusi se mogu širiti i drugim putem osmi disketa (mreţe, bulletin boards,..)
Virusi ne mogu ostati u memoriji nakon potpunog gašenja i paljenja kod boot-a.
Virusi ne mogu inficirati sklopove.
Virusi mogu biti dobroćudni
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 140
Namjerni ciljani zloćudni kod (specifičan kod)
Vrata upada (trapdoor)
o zaboravi ih odstraniti
o namjerno ih ostavlja zbog testiranja
o namjerno ih ostavlja zbog odrţavanja završenih programa
o namjerno ih ostavlja u programu kao tajni način pristupa programima nakon
što su oni prihvaćeni za produkciju.
Napad komadića (salami attack)
Tajni kanali (covert channels): programi koji ispuštaju informacije
o Memorijski (file lock)
o Vremenski (CPU dodjela)
Kontrola, zaštita od programskih prijetnji
modularnost,
nezavisno testiranje,
zatvorenost , enkapsulacija
skrivanje informacije
upravljanje konfiguracijom
dokaz ispravnosti programa, verifikacija
pridrţavanje standarda, ISO9000 i dr
Kontrole putem operacijskih sustava
o povjerljivi operacijski sustavi,
o meĎusobna zaštita programa, pa se svaki posebno štiti,
o ograničeni programi, obzirom na pristup sredstvima
o zapis o pristupima sredstvima i dr.
Administrativne procedure
o standardi za razvoj programa i njihovo provoĎenje
o sigurnosni nadzor
o odvajanje duţnosti ( projektant, programer, operater, ..) i dr.
Razvoj sigurnog softvera (SA - software assurance)
Mnogi od navedenih problema informacijske sigurnosti spomenutih u ovom
poglavlju imaju svoj uzrok u softverskim elementima sustava (IS-a).
Razvoj sustava i u softvera u njima se obično provodi korištenjem odreĎene
metodologije, kao što je primjerice SDLC (System Development Life Cycle).
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 141
Sigurnost softvera i SA baza znanja (Department of Homeland Security) - Secure
Software Assurance Common Body of Knowledge - SwA CBK smjernice)
Principi projektiranja softvera
o Postoje tehnike izgradnje koje sistematično izbjegavaju nedostatke, što
predstavlja vrh današnjih istraţivanja, ali do danas ne postoji potpuna
metoda koja bi omogućila izgradnju tih sustava bez nedostataka koji se
koriste u kršenju sigurnosti sustava(J.H.Saltzer i M.D. Schroeder).
o Opći sigurnosni principi (J.H.Saltzer i M.D. Schroeder)
a. Ekonomičnost mehanizma
b. Dodjela pogrešno-sigurno
c. Potpuno posredovanje
d. Otvoreni dizajn
e. Razdvajanje prava
f. Najmanje pravo
g. Najmanje zajedničkih mehanizama
h. Psihološka prihvatljivost
i.
Sigurnosni problemi u razvoju softvera (John Viega)
o Prekoračenje spremnika (Buffer Overrun) (DoS napad, izvoĎenje nekih
naredbi, gubi se cjelovitost (integritet), nove prilike od posljedice greške)
o Ubacivanje naredbe (Command Injection) (ne provjeravanje ulaza
podataka - Hello&del *.*)
@echo off
set /p myVar _ "Enter the string"
set someVar=%myvar%
echo %somevar%
o MeĎu lokacijski scenarij (Cross-ite Scripting (XSS)) (dogaĎa se kada
aplikacija , koja se izvodi na Web-u, skuplja podatke od korisnika kako bi
ih ukrala - napadač programira zlonamjerni link i smješta ga na ciljni
server, skuplja podatke i završava s ispravnim odgovorom )
o Nedostatak u obradi grešaka (nepredviĎeni scenarij - neočekivani način
ponašanja sustava - ranjivost koja se iskorištava)
o Nedostatak u zaštiti mrežnog prometa (bez ţične mreţe su instalirane bez
ili sa malo zaštite (enkripcije), korištenje hub-ova umjesto switch-eva,
priključak snifera - periodično ispitivanje, podizanje svijesti )
o Nedostatak u sigurnoj pohrani i zaštiti podataka (kontrola pristupa, hard
kodiranje“ lozinki, ključeva kriptiranja i druge osjetljive informacije u
program)
o Nedostatak upotrebe kriptografski jakih slučajnih brojeva (generatori
slučajnih brojeva - moţe se predvidjeti)
o Problemi formatiranja niza (Napadč moţe ugraditi znakove koji znače
direktive formatiranja (npr. %x, %d, %p, dr.) u maliciozni ulaz
(argument) za printf direktivu u C jeziku)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 142
o Neadekvatnost kontrola promjena (jedino ovlaštene izmjene mogu biti
unesene u sustav)
o Krivi pristup datoteci (substituira laţnu datoteku kao legitimnu datoteku
- zaštititi ne samo lokaciju datoteka nego i metodu i komunikacioni kanal
za pristup)
o Kriva upotreba SSL-a (loša implementacija, Manjkavosti u korištenju
sigurnog HTTP-a, kroz validaciju Certifikacijskog tijela (CA), validaciju
samog certifikata, te validaciju informacije iz CRL
o Curenje informacija (preko zaposlenika - upozorenja djelatnicima)
o Greške cijelih brojeva (overflows/underflows) (greške cijelih brojeva
omogućava napadaču da pokvari druga područja memorije, preuzimajući
kontrolu nad aplikacijom- krivo računanje, greške, rušenje sustava ili dr.)
o Uvjeti natjecanja (sukob pristupa istom sredstvu sustava, programske
dretve - izmjena datoteka u vremenu od kreiranja do korišenja)
o SQL injekcija (ne provodi se validacija korisničkog ulaza prije nego se
provodi upit u relacionu bazu podataka - unos "JOE OR 1=1" - svi
korisnički ID-ovi i njihova imena)
Accept USER-ID from console;
SELECT USERID, NAME FROM USERS WHERE USERID =
USER-ID;
o Povjerljivo razrješavanje mrežne adrese (kompromitiranje DNS
posluţitelja, mijenjanje valjane IP adrese - laţan web - prikupljanje
osjetljivih informacija - moţe se postaviti drugi posluţitelj da odgovara
kao stvarni DNS posluţitelj)
o Neautentificirana razmjena ključa ( simetrični sustavi - razmjena posebni
kanali ili sustav javnih ključeva -kvarenje repozitorija javnih ključeva,
osoba preuzima USB sa ključevima a ne radi u organizaciji, vlastiti kripto
sustavi javnog ključa
o Korištenje magičnih URL-ova i skrivene forme (HTTP je protokol bez
garantirane isporuke - problem razmjene sa Web aplikacijom kroz
višestruke interakcije - osjetljiva informacija je uključena u "magični"
URL (npr. autentifikacijski ID se šalje kao parametar u URL-u, za
razmjenu koja slijedi) ili je uključena u polju skrivene forme na HTML
stranici - dohvatljiva je na mreţi ako je u čistom tekstu - spoofing ili
otimanje sjednice , izmjena podataka i dr.)
o Upotreba slabog sustava temeljenog na lozinkama (politika lozinki, broj
neispravnih unosa, pohrana lozinke na lako pristupna mjesta - podizanje
jakosti lozinke )
o Slaba uporabljivost (sluţbenim načinom ili nesluţbeni (lakši) način -
samo jedan način i to siguran način - trening i podizanje svijesti)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 143
ZAŠTITA I SIGURNOST OPERACIJSKIH SUSTAVA
UsklaĎenost (podudarnost) izmeĎu fizčkih stanja sustava i autoriziranih stanja modela
osigurana je sigurnosnim mehanizmima
Osnovni koncepti operacijskih sustava
OS funkcije :
Upravljanje procesima i procesorom.
Upravljanje sredstvima.
Supervizija.
.
OS funkcije orjentirane na podršku sigurnosti:
Korisnička identifikacija/autentifikacija
Zaštita memorije
Nadzor pristupa sredstvima rač. sustava
Kontrola toka informacija
Zapisi i nadzor (Auditing)
Aplikacije
Operacijski sustav
Asemblerski stroj
Firmware stroj
Sklopovski
stroj
Razine arhitekture računalnog sustava
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 144
Korisnička identifikacija/autentifikacija
Sustavi zasnovani na lozinkama. .
Sustavi bazirani na upitu-odgovoru.
- Funkcije polinoma. - Funkcije zasnovane na transformaciji nizova znakova
- Funkcije zasnovane na jednostavnim kriptografskim algoritmima
Sustavi sa dvostrukom autentifikacijom (hand-shaking)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 145
Autentifikacioni sustavi bazirani na “onom što je korisnik”
o Sustavi računalnih faksimila.
o Sustavi zasnovani na otisku prsta.
o Sustavi zasnovani na prepoznavanju glasa.
o Sustavi zasnovani na svojstvu rožnice oka
Autentifikacija bazirana na lozinkama
Osnovni kriteriji:
Korištenje najmanje osam znakova, u općenito dugim lozinkama;
Upotreba numeričkih i alfanumeričkih znakova
Upotreba velikih i malih slova (ako sustav razlikuje)
Upotreba specijalnih znakova tipkovnice (na primjer &, @,%);
Spajanje dviju riječi koje ne koreliraju te skraćivanje rezultirajuće riječi na duţinu
n-1, gdje je n odobrena duţina lozinke, te tada ubaciti specijalni simbol;
Izbor stranih riječi;
Upotreba niza znakova tipkovnice koja se lako moţe spremiti (na primjer, zadnja
četiri znaka drugog reda, slova u trećem stupcu tipkovnice i td.);
Izbor naziva koji se odnose na hobi pojedinca, njihovo spajanje
Uvijek izabrati lako zapamtive nazive
Prva riječ Druga riječ Specijalni znak Lozinka
town pick _ town_pi
felix soon @ felix@soon
brain stormy & brain&sto
dog hot ! hot!dog
Korisnici trebaju:
Izabirati lozinke pridrţavajući se gornjih kriterija
Upamtiti svoju lozinku, nikada je ne pisati
Nikada ne otkrivati lozinke
Mijenjati svoje lozinke često i regularno.
Otkrivanje lozinki
Datoteka
lozinki
Mehanizam dodatka (salt)
DES Kriptirana lozinka Dodatak
Dodatak
Lozinka
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 146
Zaštita memorije
Zahtjevi na zaštitu:
Konkurentni pristupi
Zatvorenost (samo za programe)
Sklopovski mehanizmi za zaštitu i nadzor dijeljenja memorije:
Adresa ograde
Relokacije
Granični registri (baza/granica)
Straničenje (paging)
Segmentacija
Kriptirana lozinka Dodatak DES
Usporedba
Unesena
lozinka od
korisnika
Datoteka lozinki
Kriptirana lozinka
Kreiranje i validacija lozinki u UNIX-u
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 147
Adresa ograde
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 148
Relokacija
za vrijeme kompilacije
za vrijeme punjenja programa u memoriju (statička relokacija)
za vrijeme izvoĎenja (dinamička relokacija)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 149
Zaštita upotrebom baznih registara
Vrijednosti granica:
1. Registri granica.
2. Registri baza/granica.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 150
Zaštita područja programa
Dva para registara
Arhitekturom oznaka (Tagged architecture).
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 151
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 152
U nastavku je dana tablica arhitekture oznaka (tag-ova).
Oznaka Memorijska riječ
R Podatak
RW podatak
X Instrukcija
RW Podatak
X Instrukcija
R Podatak
X Instrukcija
X instrukcija
X Instrukcija
X Instrukcija
X Instrukcija
X Instrukcija
Dijeljenje memorijskih područja
Parovi registara:
za instrukcije - zajedničko područje
za podatke – privatna područja
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 153
Straničenje (Paging)
.
Pn = L DIV Sp
Po = L MOD Sp
L – logička adresa
Sp – veličina stranice
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 154
Dozvoljene operacije ( prava) na stranici
“samo za čitanje”,
“čitanje/pisanje”,
“samo za izvoĎenje”.
Implementacija
zaštitni bitovi u tabeli stranica
podrţava dijeljenje programa
"čisti " kod – samo za čitanje
Problemi
dekompozicija programa
različitost prava objekata u stranici
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 155
Segmentacija
Segmenti – logički entiteti
glavni program
procedure, funkcije
polja
i dr.
Dijeljnje programa:
tabela segmenata svakom korisniku
zaštitni bitovi u tabeli
istovrsnost objekta u stranici
"čisti" kod
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 156
Straničenje nasuprot segmentiranju
Segmentiranje
homogenost zahtjeva – jedinstveni segment
snaţnije dijeljnje (procedure, funkcije, polja,.)
Straničenje
raznovrsnost objekata - heterogenost
Straničenje i segmentiranje
dijeljenje programa
"čisti" kod
isti modovi pristupa (operacija)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 157
Upravljanje i nadzor pristupa sredstvima RS/IS-a
Zaštita od neovlaštenog pristupa
Memorijska zaštitta , CPU i dijeljenje programa - sklopovski
Ostala sredstva (datoteke, ureĎaji.) – sklopovski, programski moduli OS-a
Moduli imaju slijedeće zadatke:
kontrola pristupa
kontrola toka podataka
mehanizni nadzora i revizije
Mehanizmi kotrole pristupa
Identifikacija sredstava
Identifikacija procesa
operacija nad sredstvima
o CPU: izvoĎenje
o Memorijski segmenti: čitaj/piši
o Ulazni ureĎaji: čitaj
o Izalazni ureĎaji: piši
o Trake: čitaj/piši
o Datoteke podataka: kreiraj, otvori, čitaj, piši, dodaj, zatvori, izbriši
o Datoteke programa: čitaj/piši, izvedi.
Način rada:
Pristupne hierarhije
Matrica zaštite ( matrica pristupa).
Pristupne hierarhije
privilegirani modovi
o privilegirani i korisnički
o hierarhija zaštitnih razina –pristupna domena
gnijezda programskih jedinica
<U5<<<U1>U2>U3><U4>> (U1 ne moţe pristupiti objektima U4)
princip minimalnih privilegija
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 158
Matrica zaštite (Matrica pristupa)
A[Si,Oj]
Tehnike implementacije
Tabela
Pristupne liste
Liste sposobnosti (Capability Lists)
Liste ovlaštenje-stavka (Authority-item lists)
Mehanizmi brava-ključ (Lock-key)
Matrica zaštite smještena u tabelu
Subjekti Objekti Prava
S1 O1 A(S1, O1)
S2 O2 A(S2, O2)
. . .
Sk Or A(Sk, Or)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 159
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 160
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 161
Zaštita datoteka
razina dijeljenja – zahtjev na mehanizme
nema dijeljena – nepotrebni mehanizmi
kompromis – nadzor dijeljena
o mehanizmi lozinki
o prava vlasništva
o A-lista svakoj datoteci
o kategorije korisnika
vlasnik
grupa
ostali korisnici
o Polje prava – kategorija korisnika
UNIX ( primjer: rwx r-x r--)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 162
MEHANIZMI KONTROLE TOKA INFORMACIJA U
PROGRAMIMA
Tokovi:
eksplicitni tokovi
y := f(x1,.,xn),
implicitni tokovi
if f (xm+1, .., xn) then y := f(x1, .., xm).
Bell-LaPadula model
o p (ss-property)
o p o‟.( + *-property)
o1 ... om p o’1 ... o’n (višerazinski BLP model)
o1 ... om = donja granica
o‟1 ... o‟n = gornja granica
Kontrolni mehanizmi za vrijeme izvoĎenja
Kontrolni mehanizmi u kompilaciji
Izolacija
o Metoda višestrukog prostora eksploatira virtualnu glavnu memoriju za svakog
korisnika sustava
o Metoda virtualnog stroja
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 163
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 164
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 165
IZGRADNJA SIGURNIH OPERACIJSKIH SUSTAVA
Rješenje zasnovano na sigurnosnoj jezgri
Sigurnosna jezgra mora zadovoljiti slijedeća svojstva:
Potpunost: Izvodeći sve pristupe informacijama sustava;
Izolacija: Jezgra mora biti zaštićena od probijanja.
Verificiranost: Kod sigurnosne jezgre mora se verificirati kako bi se dokazalo
da on implementira sigurnosne zahtjeve i politike koje su opisane u
sigurnosnom modelu.
Sustavi sa sigurnosnom jezgrom: UCLA Secure UNIX, Kernelized Secure
Operating System (KSOS) i Secure XENIX, sa namjerom da prošire osnovne
zaštitne mehanizme UNIX-a.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 166
Sigurnosna jezgra podrţava i nadzire slijedeće funkcije:
Multiprocesiranje.
Preklapanje domena izvoĎenja.
- jezgra, supervizor, korisnik
Zaštita memorije..
U/I operacije
Prednosti :
Izolacija i separacija. Sigurnosni mehanizmi su odvojeni od OS-a i od
korisničkog prostora; zaštita od korisničkog/sistemskog upada je veća;
Smanjena veličina i verifikacija. Jezgra je mala, koja je odgovorna samo za
sigurnosne funkcije, pa se stoga moţe formalno verificirati.
Izmjenjivost. Moguće izmjene sigurnosnih mehanizama su lagane za
implemnetaciju i testiranje.
Potpuni nadzor. Svi pristupi se provode pod kontrolom sigurnosne jezgre.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 167
9. SIGURNOST BAZA PODTAKA i TRANSAKCIJSKA OBRADA
Koncepti baza podataka
Data Base Management System (DBMS).
Konceptualni modeli (ER – model)
Logički modeli (Hierrhijski, mrežni, relacioni, objketni)
Shema baze podtaka(konceptualna i logička)
Jezici (DDL. DML, QL)
Dijelovi DBMS_a
DDL kompilacija
Obrada DML instrukcija
Upiti u bazu podataka
Upravljanje bazom podataka
Upravljane datotekama
Skup tabela daje podršku funkcionalnosti ovih modula:
Tablice opisa baze podtaka
Tablice autorizacije (ovlaštenja)
Tablice konkurentnih (istovremenih) pristupa
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 168
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 169
Sigurnosni problemi u radu sa bazama podataka
Postizanje sigurnosti u uvjetima baza podataka znači identificiranje prijetnji i
izbor politika (“što” se od sigurnosti očekuje) i mehanizama ( “kako” će sigurnosni
sustav postići sigurnosne ciljeve). To takoĎer uključujepostizanje jamstva sigurnosnog
sustava ( “kako dobro” će sigurnosti sustav ispuniti sigurnosne zahtjeve i izvršiti
očekivane funkcije).
Prijetnje na sigurnost baza podataka
Kršenje sigurnosti baza podataka se satoji od neodgovarajućeg (neovlaštenog)
čitanja, izmjene ili brisanja podataka. Posljedice se mogu kategorizirati u u tri kategorije:
Neovlašteno oslobaĎanje informacija
Neovlaštena izmjena podataka.
Odbacivanje usluga. (DoS)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 170
Sigurnosne prijetnje se mogu klasificirati prema načinu na koji mogu nastatti:
Prirodne ili slučajne nepogode.
Greške ili bug-ovi u HW i SW.
Ljudske greške.
Kršenje sigurnosti uključije dvije klase korisnika:
Ovlašteni korisnici koji zlorabe svoja prava i ovlaštenja
Neprijateljski agenti, neovlašteni korisnici (insideri i outsideri)
Zahtjevi na zaštitu baza podataka
Zaštita od neovlaštenog pristupa
Zaštita od zaključivanja (inference)
Integritet (cjelovitost) baza podataka
Operativni integritet podataka
Semantički integritet podataka
Odgovornost i nadzor
Autentifikacija (ovjera) korisnika
Upravljanje i zaštita osjetljivih podataka
Višerazinska zaštita
Zatvorenost
Sigurnosne kontrole
Zaštita baze podataka se postiţe kroz slijedeće sigurnosne mjere:
Kontrola toka
Kontrola zaključivanja o podacima
Kontrola pristupa
Kontrola toka
Tok izmeĎu objekta X i objekta Y se dogaĎa kad naredba čita vrijednost iz X i upisuje
vrijednost u Y. Kontrola toka provjerava da informacija koja je sadrţana u nekom
objektu (npr. izvješću) ne odlazi eksplicitno (kroz kopiranje) ili implicitno (preko grupe
instrukcija koje uključuju meĎu objekte) u niţe štićene objekte.
Kontrola zaključivanja
Kontrola zaključivanja usmjerena je na zaštitu podataka od indirektne detekcije.
Kanal zaključivanja je kanal gdje korisnici mogu naći podatak X i tada ga koriste
da bi dobili Y kao Y = f(X).
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 171
Glavni kanali zaključivanja u sustavu su:
1. Indirektni pristup.
SELECT X FROM r WHERE Y = value
2. Korelacioni podaci.
3. Nepostojeći podaci.
Statističko zaključivanje
Statistički napadi mogu se suzbiti kroz dvije vrste kontrole:
1. Perturbacija podataka.
2. Kontrola upita.
Kontrola pristupa
1. Skup politika i pravila pristupa: informacija smještena u sustavu, za koju postoje
pravila pristupnih modova koja se moraju poštivati kad subjekti pristupaaaju
objektima.
2. Skup kontrolnih procedura (sigurnosnih mehanizama) koji provjeravaju upit
(zahtjeve za pristup) prema postavljenim pracilima ( proces validacije upita);
upiti tada mogu biti odobreni, odbačeni ili modificirani, filtrirani za neovlaštene
podtake.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 172
Arhitektura DBMS koji uključuje sigurnosna svojstava
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 173
Slijedeće uloge su uključene u upravljanju sigurnosnim sustavom:
Upravljač aplikacije , je odgovoran za razvoj i odrţavanje biblioteke programa;
DBA, koji upravlja konceptualnom i internim shemama baze podataka.
Časnik za sigurnost, koji definira autorizacije za pristup i/ili sigurnosne aksiome
kroz pravila u odgovarajućem jeziku (ponekad DDL ili DML);
Nadzornik, koji je odgovoran za provjeru sekvenci zahtjeva i upita o pristupu,
kako bi detektirao moguća kršenja autorizacije.
Izgradnja sigurnosti baze podataka
1. Na vanjskoj razini (fizička sigurnost)
2. Na internoj razini ( logička sigurnost)
Zaključak
Sumarno, u razvoju sigurnosnog sustava potrebno je razmatrati slijedeće ključne
aspekte:
Svojstava stvarne okoline skladišnih medija i obrade. paţljiva analiza je potrebna za
odreĎivanje stupnja zaštite koja je ponuĎena i zahtjevana od sustava: a to su
sigurnosni zahtjevi;
Zaštitni mehanizmi izvan okoline obrade. To su administrativne i fizičke mjere
kontrole koje doprinose učinkovitosti sigurnosnih mjera;
Unutarnji mehanizmi zaštitite DB-a. Oni djeluju nakon što je uspješno provedena
kontrola logina-a i autentifikacije za korisnika;
Fizička organizacija uskladištene informacije;
Sigurnosna svojstva koja su osigurana od strane operacijskog sustava i od sklopova;
pouzdanost sklopova i programa;
Administrativni, ljudski i organizacijski aspekti.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 174
RASPOLOŢIVOST I INTEGRITET BAZA PODATAKA
Dimenzije raspoloţivosti ili integriteta :
Integritet baze podtaka:
Integritet elemenata:
Točnost elementa
Zaštitna svojstva od operacijskog sustava
bazičnu sigurnost za baze podtaka,
DBMS mora poboljšati i unaprijediti te kontrole.
Dvo-fazno aţuriranje podtaka
Tehnika izmjene (ažuriranja)
faza namjere,
faza izručenja (commiting)
Primjer za dvo-fazno aţuriranje
Zahtjev iz odjela za računovodstvo, za 50 kutija papirnatih spojnica.
1. Skladište provjerava bazu podtaka dali postoji traţena količina od 50 kutija. Ako ne
zahtjev se odbija i transakcija završava.
2. Ako postoji dovoljno kutija na skladištu, smanjuju se količine sa skladišta u bazi
podtaka . (107 – 50 = 57).
3. Skladište naplaćuje konto nabave odjela (takoĎer i u bazi) za 50 kutija papirnatih
spajalica.
4. Skladište provjerava preostalu količinu (57) kako bi se odredilo da li su količine pale
ispod točke naručivanja. Budući da je, zahtjev za novom nabavom se generira, te se
postavlja zastavica “ u naruĎbi” u bazu podataka.
5. Priprema se nalog za isporuku kako bi se 50 kutija odaslalo u odjel za računovodstvo.
Odrţavanje vrijednosti u sijeni
Faza namjere:
1. Provera vrijednosti COMMIT-FLAG-a u bazi podataka. Ako je postavljen, ova faza
se ne moţe provesti. Provjeri broj kutija na skladištu, i ako se zahtjeva više nego je na
skladištu, zastavi postupak.
2. Izračunaj TCLIPS = ONHAND – REQUISITION.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 175
3. Uzmi BUDGET, tekuči proračun koji je preostao za odjel. Izračunaj TBUDGET =
BUDGET – COST, gdje je COST cijena za 50 kutija spajalica.
4. Provjeri da lije TCLIPS ispod koločine za novu narudţbu; ako da postavi TREODER
= TRUE; inače TREODER = FALSE.
Faza izručenja (commit phase)
1. Postavi COMMIT-FLAG u bazu podataka.
2. Kopiraj TCLIPS to CLIPS u bazu podataka.
3. Kopiraj TBUDGET u BUDGET u bazu podtaka.
4. Kopiraj TREODER u REODER u bazu podtaka.
5. Pripremi bilješku za isporuku spjalica u odjel računovodstva. Indiciraj u log –
datoteku da je transakcija završila. Ukloni zastavicu COMMIT-FLAG.
Redundancija/Interna konzistetncija
Detekcija greške i kodovi za ispravak
Polja u sjeni
Oporavak
zapisi
back-up
Konkurentnost/konzistencija
Agent A postavlja naredbu za aţuriranje:
SELECT (SEAT-NO = „11D‟)
ASSIGN „MOCK, E‟ TO PASSENGER-NAME
dok agent B postavlja seqvencu za aţuriranje
SELECT (SEAT-NO = „11D‟)
ASSIGN „LAWRENCE, S‟ TO PASSENGER-NAME
Rješenje: DBMS tretira cijeli upit-izmjena ciklus kao jednu nedijeljivu operaciju.
Monitori
Usporedba područja
Ograničenja stanja
Ograničenja prijelaza (tranzicije)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 176
OSJETLJIVOST PODATAKA
Nekoliko faktora čini podatke osjetljivim:
Prirodno (inherentno) osjetljivi
Iz osjetljivih izvora
Deklarirana osjetljivost
Osjetljivi atribut ili osjetljivi slog
Osjetljivi u odnosu na prethodno otkrivene podtake.
Odlučivanje o pristupu
Odluke na sigurnosnoj politici koja definira politiku pristupa.
Faktori odlučivanja
- raspoloţivost podataka,
- prihvatljivost pristupa,
- autetentičnost korisnika..
Vrste otkrivanja podatka
Stvarni podatak
Granice
Negativan rezultat
Postojanje
Vjerovatne vrijednosti
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 177
Zaključno o djelomičnom otkrivanju
Uspješna sigurnosna strategija mora zaštitit i direktno i indirektno otkrivanje
podatka.
Sigurnost nasuprot preciznosti
Problemi zaključivanja o podacima
Napadi:
Direktni napad
List NAME where
SEX = M DRUGS = 1
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 178
Manje jasni upit je:
List NAME where
(SEX = M DRUGS = 1)
(SEX M SEX F)
(DORM = AYRES)
Indirektni napad
Indirektni napad pokušava zaključiti na rezultat na osnovi jednog ili više
statističkih rezultata
Obrana:
Slučajni uzorak
Slučajna smetnja u podatcima
Analiza upita
Zaključak o problemu zaključivanja
Rješenja za kontrolu slijede tri puta.
Obustavi(potisni) jasno osjetljivu informaciju.
Trag što korisnik zna.
Maskiranje podataka.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 179
VIŠERAZINSKE BAZE PODATAKA
Diferencirana sigurnost
Svojstva sigurnosti baze podataka:
Sigurnost pojedinog elementa
Dvije razine-osjetljivo i neostjetljivo – neodgovarajuće.
Sigurnost agregacije (skupa) – suma, brojenja, ili grupa vrijednosti
Zrnatost (granularitet, finoća)
Problemi sigurnosti
Integritet
Tajnost
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 180
Prijedlozi rješenja za višerazinsku zaštitu
Particioniranje (podjela)
Kriptiranje
Integrirano zaključavanje (Integrity Lock)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 181
Oznaka osjetljivosti mora biti :
nekrivotvorljiva.
jedinstvena
skrivena.
Zaključavanje osjetljivosti (Sensitivity lock)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 182
SIGURNE DBMS ARHITEKTURE
Sigurni DBMS :
„visoki sustav‟
„višerazinski‟
Višerazinske arhitekture:
Arhitektura povjerljivog subjekta (Trusted Subject Architecture)
Woods Hole arhitektura
Integrirano zaključavanje (Integrity Lock architecture))
Jezgrasta arhitektura (Kernelized architecture)
Replicirane arhitekture (Replicated architecure)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 183
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 184
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 185
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 186
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 187
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 188
TRANSAKCIJSKA OBRADA U VIŠERAZINSKIM BAZAMA PODATAKA
Sigurnosni protokoli za transakcijsku obradu zajedno sa ograničenjima Bell-LaPadula
ograničenjima moraju biti osloboĎeni od svih tajnih kanala (covert channels).
Problemi postojećih rješenja u tradicionalnim uvjetima
U obje situacije (locking i timestamping) kad god postoji natjecanje za podatkovne
elemente od strane transakcija koje se izvode sa različitih pristupnih klasa, transakcija
niţe pristupne klase je ili zakašnjela ili suspendirana kako bi se osigurala ispravno
izvoĎenje. U takvom scenariju dvije transakcije koje se izvode na visokoj i niskoj razini
mogu stvoriti kanal za prijenos informacija sa visoke razine na nisku selektirajući neki
podatkovni element prema unaprijed usvojenom kodu.
High: lock2[x], r2[x] lock2[y], w2[y]
Low: w1[x] bit će zakašnjen
Slika 3.1 Tajni kanal uz 2PL protokol
TO protokol takoĎer je ranjiv na isti odljev tajnih informacija. Pretpostavimo da je
ts(T1) < ts(T2). Budući da T1 pokušava upisati x nakon što je T2 pročitao x, ta operacija
pisanja se odbija budući je vremenska oznaka čitanja od x rts(x)) > ts(T1) te zbog toga T1
mora biti abortirana. Budući high transakcija moţe selektivno prouzročiti (odnosno
koordinirati) da low transakcija abortira uspostavljen je tajni kanal za prijenos high
informacija.
Signalni kanal, ipak, se moţe ukloniti ukoliko high transakcija ne postavlja lock na low
podatak ili da oslobodi lock kada low transakcija zahtjeva low podatkovni elemenat.
Slično u slučaju TO kanal se moţe ukloniti ukoliko high transakcija ne mijenja
vremensku oznaku čitanja na low podatkovnom elementu. MeĎutim to moţe dovesti do
povijesti dogaĎaja koja je označena na slici 3.2.
High: T2, z r2[x] r2[y], w2[z]
Low: T1, x, y w1[x], w1[y]
Slika 3.2 Neserijabilna povijest dogaĎaja
Povijest dogaĎaja nije serijabilna budući je pripadni serijabilni graf sadrţi ciklus prikazan
na slici 3.3. (strelica od T1 prema T2 postoji zbog konfliktnih operacija r2[x] i w1[x] gdje
r2[x] prethodi w1[x], te strelica od T2 prema T1 postoji zbog konfliktnih operacija w1[y] i
r2[y].
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 189
T1 T2
Slika 3.3 Graf serijabilnosti za povijest sa slike 3.2
Revidirani zahtjevi
RasporeĎivač (scheduler) koji implementira protokol konkurentnih pristupa u
višerazinskom sustavu baza podataka mora zadovoljiti slijedeća ključna svojstva:
1. mora osigurati ispravno izvoĎenje transakcija
2. mora sačuvati sigurnost ( tj. da mora biti osloboĎen tajnih kanala)
3. mora biti implementiran kroz nepovjerljivi kod
4. te mora izbjegnuti izgladnjenje (starvation).
Komercijalna rješenja
Kako tri glavana ponuĎača povjerlivih DBMS-a (Sybase, Oracle i Informix) rješavaju
ove probleme.
Sybase kontrolu konkurentnih pristupa koristi obični 2PL koji kako je pokazano nije
siguran.
Informix koristi rješenje koje dozvoljava da transakcija postavlja write lock na low
podatkovne elemente iako high transakcija drţi read lock na tom podtakovnom
elelmentu.
Povjerljivi Oracle u drugu ruku koristi kombinaciju zaključavanja i tehnike
multiverzioniranja..
Istraţivanja
Postoji dosta istraţivačkih radova koji se odnose na rješenja za:
repliciranu i
jezgrastu arhitekturu višerazinskih DBMS sustava.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 190
Replicirane arhitekture kao što je poznato proizvode višerazinski DBMS iz
jednorazinskog DBMS-a.. Izazov je kako kreirati prokol za kontrolu replika da bi se
zadovoljilo svojstvo serijabilnosti za jednu kopiju podatkovnih elemenata.
Jezgrasta arhitektura poboljšava tu situaciju učinkovitosti korištenja resursa.
Kroz upotrebu jezgraste arhitekture predloţena su neka od slijedećih rješenja:
Slabiji kriteriji ispravnosti
Korištenje analize transakcija za postizanje serijabilnosti
Sigurni Commit protokoli (S2PL i SEP)
i dr.
Slabiji kriteriji ispravnosti. Moguće je zauzeti stav da je tradicionalni zahtjevi ispravnosti
preoštri za MLS baze podataka.
Korištenje analize transakcija za postizanje serijabilnosti. Tu se koristi prethodnica
rasporeĎivača koja analizira transakcije na skupove čitanja i pisanja te ih prosljeĎuje
rasporeĎivaču prema specifičnom poretku kako bi se zadovoljila serijabilnost.
Sigurni Commit protokoli (S2PL i SEP). Jajoida i McCollum su predloţili algoritam za
sigurni 2PL (S2PL) protokol, dok je Alturi sa suradnicima predloţio sigurni EP (SEP)
algoritam.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 191
10. SIGURNOST RAČUNALNIH MREŢA I DISTRIBUIRANIH
SUSTAVA
Prijetnje računalnim mreţama
Sigurnosni problemi:
Dijeljenje.
Složenost sustava.
Nepoznate granice(perimetar).
Mnogo točaka napada.
Anonimnost.
Nepoznati put.
Analiza sigurnosnih prijetnji
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 192
Dijelovi mreţe:
lokalnii čvorovi, povezani preko
lokalnih komuniakcionih veza na
lokalne računalne mreže, koje takoĎer imaju
lokalna spremišta podataka,
lokalne procese, i
lokalne ureĎaje. Lokalna mreţa je takoĎer spojena na
mrežne prospojnike (gateway), koji daju pristup preko
mrežnih komunikacijskih linija do
mrežno kontroliranih sredstava,
mrežnih usmjerivača (rutera), i
mrežnih resursa, kao što su baze podataka.
Prijetnje:
Čitanje komunikacije od A do B.
Izmjena komunikacije od A na B.
Krivotvorenje komunikacije koja navodno dolazi od A do B.
Spriječitii komunikaciju od A do B..
Spriječiti sve komunikacije koje prolaze kroz neku točku..
Čitanje podataka na C ili D
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 193
Izmjeniti ili uništiti podatke na C ili D..
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 194
Prijetnje su:
presretanje (prihvat) podataka u prijenosu,
pristup programima ili podacima na udaljenim računalima,
izmjena podataka ili programa na udaljenim računalima,
izmjena podtaka u prijenosu,
umetanje komunikacije u ime drugog korisnika (impersonizacija,)
umetanje ponovljene prethodne komunikacije,
blokiranje odreĎenog prometa,
blokiranje sveukupnog prometa,
izvoĎenje programa na udaljenom računalu.
Kategorije prijetnji:
priključak na ţicu (wiretapping),
impersonizacija (predstavljne u ime drugog),
kršenje tajnosti poruke,
kršenje integriteta poruke,
hacking,
kršenje integriteta koda,
odbacivanje usluga (DoS).
Priključenje na ţicu (Wiretapping)
Pasivno priključenje
Aktivno priključenje.
Kabel
Mikrovalovi
Satelitske komunikacije
Optičko vlakno
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 195
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 196
Impersonizacija (predstavljanje u ime drugoga)
U ovom predstavljanju napadač ima nekoliko izbora:
pogaĎa identitet i detalje autentifikacije cilja napada
prikuplja identitet i detalje autentifikacije cilja iz prethodne komunikacije
zaobilazi ili onemogućava mehanizme autentifikacije na ciljnom računalu
koristi cilj napada koji ne zahtjeva autentifikaciju
koristi cilj čiji su podatci za autentifikaciju poznati
Autentifikacija narušena pogaĎanjem
Autentifikacija narušena sa prisluškivanjem
Atentifikacija narušena izbjegavanjem
Nepostojeća autentifikacija
Dobro-znana autentifikacija
Povjerljiva autentifikacija
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 197
Kršenje tajnosti poruke
Kriva isporuka
Izlaganje (exposure)
Analiza toka prometa na mreži
Kršenje integriteta poruke
Krivotvorenje poruka
Napadač moţe
o izmjeniti sadrţaj poruke
o promijeniti bilo koji dio sadrţaja poruke
o moţe zamjeniti cijelu poruku
o ponovo upotrebiti staru poruku
o izmjeniti stavrni izvor poruke
o preusmjeriti poruku
o uništiti ili izbrisati poruku
Izvori napada:
o aktivni priključak na ţicu
o Trojanski konj
o impersonizacija
o zaposjednuto računalo
o zaposjednuta stanica
Šum
Hacking
Integritet koda
Prijenos datoteka sa WWW :
Korisnik tipično ne razmišlja što prenesena datoteka zapravo sadrţi.
Ponekad se punjenje datoteke (prijenos) dogaĎa bez odobrenja korisnika.
Ponekad se punjenje dogaĎa i bez korsnikova znanja.
Problemi dizajna i razvoja sustava:
Ne postojanje dobro definirane sigurnosne politike
Nedostatk sigurnosnih mehanizama koji su uvijek uključeni.
Nedostatak sigurnosnih mehanizama koji su neprobojni.
Nedostatak sigurnosnih mehanizama koji su mali i jednostavni.
Kao posljedica, nedostatak referncijskog monitora.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 198
Nedostatak povjerlive računalne baze (TCB)..
Nedostatak kontrole integriteta sutava koji se izvodi.
Nedostatak modularnosti i ograničenja područja.
Nedostatk obrane po dubini.
Nedostatak logiranja i praćenja.
Odbacivanje usluga (DoS)
Povezanost
Preopterećenje (Flooding)
Problemi usmjeravanja
Prekid usluge
Kontrole mreţne sigurnosti (Sigurnosni mehanizmi)
Enkripcija
Enkripcija veze (Link enkripcija)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 199
Enkripcija sa kraja na kraj (End-to-End enkripcija)
.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 200
Usporedba metoda kriptiranja
Kontrola pristupa
Zaštita portova
Automatski povratni poziv (call-back)
Različita pristupna prava
Tihi modem.
Autentifikacija u distribuiranim sustavima
Dva problema:
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 201
Kako jedno računalo moţe biti sigurno u autentičnost udaljenog računala ?
Kako računalo moţe biti sigurno u autentičnost korisnika na udaljenom računalu ? Ili
obratno, kako korisnik moţe biti siguran u autentičnost udaljenog računala ?
Digital-ova distribuirana autentifikacija
Arhitektura je djelotvorna protiv slijedećih prijetnji:
impersonizacija posluţitelja
prihvat ili modifikacija podataka koji se izmjenjuju izmeĎu posluţitelja
ponavljanje prethodne autentifikacije
Kerberos
DCE
SESAME
CORBA ( Common Object Request Broker Architecture)
Kontrola prometa na mreţi
Dodavanj (punjenje) prometa (Pad Trafic)
Kontrola usmjeravanja
Integritet podataka na mreţi
Protokoli
Kontrolne sume
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 202
Paritet
Mnogo mudriji kodovi greške Na aplikacijskoj razini program moţe izračunati hash
vrijednost ili kriptografsku kontrolnu sumu.
Digitalni potpisi
Javno bilježništvo
Zaključno sigurnosne kontrole su:
enkripcija,
kontrola pristupa,
autentifikacija korisnika,
autentifikacija distribuiranih sustava,
kontrola prometa,
integritet podataka.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 203
PRIVATNA ELEKTRONIČKA POŠTA
Zahtjevi i rješenja
Prijetnje elektroničkoj pošti:
prihvat poruke (tajnost)
prihvat poruke (isporuka u blokovima)
prihvat poruke i naknadni odgovor
izmjena sadrţaja poruke
izmjena izvora poruke
krivotvorenje sadrţaja poruke od “outsidera”
krivotvorenje izvora poruke od “outsidera”
krivotvorenje sadrţaja poruke od primaoca
krivotvorenje izvora poruke od primaoca
odbacivanje prijenosa poruke
Zaštite :
tajnost poruke ( poruka nije izloţena na putu do primaoca)
integritet poruke (ono što primaoc vidi je ono što je poslano)
neodbacivanje (neporecivost) (pošiljaoc se nemoţe odreći da nije poslao poruku)
PEM – Privacy Enhanced (Eletronic) Mail
Osnova:
enkripcija.
Certifikat (X.509)
integracija sa postojećim e-mail-om
Format poruke:
Proc-Type - poljeje tipa obrade - tip poboljšanja privatnosti.
Dek-Info - tip izmjene ključa (simetrični, ili asimetrični)
Key-Info ključ enkripcije poruke
PEM standard :
enkripcija (DES, RSA)
Hash poruke (MD2, MD5)
digitalni potpis
ostali MD4, IDEA, El Gmal
PEM osigurava:
autentičnost
neodbacivanje
integritet (hash funkcija-MIC)
tajnost
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 204
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 205
Proširenje (osim teksta) :
glas,
video
grafika
PEM (raspoloţivost)
Cambridge i University of Michigan
BBN, RSA-DSI, Trusted Information Systems
Problemi:
krajnje točke (primaoc-pošiljaoc)
upravljanje ključevima (hierarhija)
PGP (Pretty Good Privaacy)
Osnova:
PEM
jednostavnost upravljanja ključevima (prsten ključeva),
prijateljski odnosi
PEM algoritmi (DES,RSA,IDEA i dr).
Problem:
- prevelik krug prijatelja (prijatelj prijatelja)
- nedirektni prijatelji
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 206
S/MIME (Secure/Multipurpose Internet Mail Extensions)
PEM je bio rani IETF standard za sigurni prijenos poruke i imao je dva nedostatka. Prvi
je bio nekompatibilnost sa MIME standardom poruke i perspektivnim PKI ( Public Key
Infrastructure) zahtjevima.
Slično PEM-u, S/MIME radije govori o specifikaciji nego o proizvodu (kao što je PGP).
S/MIME je za razliku od PEM-a uspješno zaţivio na trţištu.
S/MIME izgraĎen na standardu kriptiranja javnim ključem, dok PEM koristi znakovno
orijentirane protokole. To nije fundamentalna, već implementacijska razlika.
Postoje tri verzije S/MIME od kojih se samo druga i treća koriste u praksi:
1. S/MIME verzija 1 je objavljena 1995 godine.
2. S/MIME verzija 2 je objavljena 1998 godine.
3. S/MIME verzija 3 je objavljena 1999 godine. Razlike izmeĎu verzija 2 i 3 nisu
fundamentalne i mogu se zajedno koristiti. Verzija 3 je predloţena kao internet
standard.
Vaţno je napomenuti da S/MIME koristi mehanizme digitalnog potpisa, enkripcije i
digitalne omotnice za sigurni prijenos poruke. Tehnologija u S/MIME-u je slična onoj u
PGP-u. Ipak postoje dvije fundamentalne razlike izmeĎu njih.
PGP i S/MIME koriste različite formate poruka.
PGP i S/MIME rade izmjenu javnih ključeva i certifikaciju javnog ključa na dva
fundamentalno različita načina:
o PGP se oslanja na korisnika da izmjenjuje javne ključeve i PGP
certifikate da bi se ostvarilo povjerenje izmeĎu njih.
o S/MIME se oslanja na X.509 certifikate koji su izdani od CA.
Obje razlike vode u situaciju u kojoj PGP i S/MIME implementacije. nisu kompatibilne.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 207
SIGURNOSNE STIJENE (Firewalls)
Izgradnja sigurnosnih stijena
Sigurnosna stijena je specijalni oblik referencijskog monitora:
uvjek uključen
neprobojan
mali i dovoljno jednostavan za strogu analizu.
Što je sigurnosna stijena ?
Vatrozid je proces koji filtrira sav promet izmeĎu zaštićene “unutrašnje” mreţe i
manje povjerljive “vanjske” mreţe.
Implementacija:
“ ono što nije posebno zabranjeno je dozvoljeno” i
“ ono što nije izravno dozvoljeno je zabranjeno “.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 208
Vrste sigurnosnih stijena
zaštitni usmjerivači (screening routers)
opunomoćeni prospojnik (proxy gateways)
straţe (guards)
Zaštitni usmjerivači (Screening routers)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 209
Svojstva :
filtriranje na razini paketa (zaglavlje)
pravila zaštite – uvjeti filtriranja
osiguranje valjanosti unutrašnjih adresa
kontrola prometa po aplikaciji (mreţna adresa i adresa porta)
adresa koju vidi usmjerivač je zapravo kombinacija mreţne adrese i broja
porta aplikacije. ( npr. 100.50.25.325 za SMTP )
Opunomoćeni prospojnik (Proxy Gateway)
Svojstva:
simulira (prave) efekte aplikacije prema unutra i prema van (pseudo
aplikacija)
mogućnost pregleda (zaštite) prenosa podataka, (prihvatljive komande
aplikacije stiţu na odredište)
Primjeri primjene :
Tvrtka ţeli uspostaviti on-line listu cijena tako da outsideri mogu vidjeti proizvode s
ponuĎenim cijenama. Ona ţeli biti sigurna da outsider ne moţe mijenjati listu cijena
ili proizvoda, te da outsider moţe pristupiti samo listi cijena, a ne niti jednoj drugoj
osjetljivoj datoteci iznutra.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 210
Škola ţeli dozvoliti svojim studentima da dohvaćaju bilo koju informaciju sa WWW
–a na Internetu. Kako bi pomogla u osiguranju djelotvornije usluge, ona ţeli znati
koji se siteovi posjećuju, te koje se datoteke sa tih siteova dohvaćaju; pa će popularne
datoteke biti lokalno cache-irane.
Vladina agencija plaća za skupljanje statistike u korist svojih graĎana. Ona ţeli da te
informacije budu raspoloţive samo graĎanima. Prepoznajući da ona ne moţe
spriječiti graĎana od prosljeĎivanja informacije strancu, vlada će implementirati
politiku s dozvolom isporuke podataka samo na odredište s adresama unutar
zemlje.
Tvrtka s više ureda ţeli kriptirati dio podataka svih e-mailova na adrese svojih drugih
ureda. (Odgovarajući proxy na udaljenom kraju će odstraniti enkripciju)
Tvrtka ţeli dozvoliti za svoje djelatnike pristup preko biranih linija, bez izlaganja
svojih resursa od login napada od strane udaljenih nedjelatnika.
Specijalne funkcije:
prijava na sustav sa jakom autentifikacijom (pobuda-odgovor)
jedinstveno korisničko sučelje- heterogeni sustavi
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 211
Straţa (Guard)
Svojstva:
sofisticirana opunomoćeni (proxy) vatrozid
pravila-raspoloţivo znanje( identitet korisnika, prethodne akcije i dr.)
izračunljivost uvjeta kontrole
sloţenija sigurnosna politika
Primjeri primjene:
Sveučilište ţeli dozvoliti svojim studentima korištenje e-maila do granice od
odreĎenog broja poruka ili odreĎenog broja znakova u vremenu od odreĎenog
broja dana.
Škola ţeli da njezini studenti pristupaju WWW-u, ali zbog male brzine njezinih
veza na WWW ona će dozvoliti samo odreĎeni broj znakova za dohvat
(download) ( a to znači da će dozvoliti tekstualni mod i jednostavnu grafiku, a
neće dozvoliti sloţenu grafiku, animacije, glazbu i slično).
Biblioteka ţeli učiniti raspoloţivim izvjesne dokumente, te kako bi podrţala fer
korištenje autorskih prava, dozvolit će korisniku korištenje odreĎenog broja prvih
znakova dokumenta, a nakon toga će traţiti uplatu pristojbe
Tvrtka ţeli dozvoliti svojim djelatnicima dohvat datoteka preko FTP-a, kako bi
spriječila uvoĎenje virusa ona će proslijediti sve ulazne datoteke kroz ispitivač na
postojanje virusa.
Usporedba vrsti sigurnosnih stijena
Screening router Proxy Gateway Guard
Najednostavniji Nešto sloţeniji Najsloţeniji
Vidi samo adrese i vrstu
protokola usluge
Vidi potpuni tekst
komunikacije
Vidi puni tekst
komunikacije
Poteškoća u nadzoru i
praćenju
Moţe pratiti aktivnost Moţe pratiti aktivnost
Zaštita zasnovana na
pravilima veze
Zaštita zasnovana na
ponašanju proxy-a
Zaštita zasnovana na
interpretaciji sadrţaja
poruke
Sloţena pravila
adresiranja čine
konfiguriranje oteţanim
Jednostavni proxy se
moţe substituirati za
sloţena pravila
adresiranja
Sloţena funkcionalnost
guarda moţe
ograničiniti jamstvo
sigurnosti
Tablica 9.3 Usporedba vrsti sigurnosnih brana
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 212
Što sigurnosna stijena moţe, a što ne moţe blokirati ?
Treba drţati na umu:
Sigurnosna stijena moţe zaštiti okolinu samo ako on kontrolira cijelu granicu.
Sigurnosna stijena ne štiti podatke izvan granice (perimetra).
Sigurnosne stijene su najvidljiviji dio instalacije prema vani, pa su one i
najprivlačniji cilj za napade.
Sigurnosne stijene su dizajnirani za odbijanje napada, ali oni nisu nedokučivi.
Sigurnosne stijene moraju biti ispravno konfigurirani.
Sigurnosne stijene provode samo malu kontrolu nad sadrţajem koji se proslijeĎuje
u unutrašnjost.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 213
VIRTUALNE PRIVATNE MREŢE (VPN)
Slika 1.2 Virtualno privatno umreţavanje
Motivi za VPN
Široka pokrivenost (sveprisutnost)
Smanjenje troškova
Sigurnost
E-trgovanje (E-Commerce)
VPN tehnologije
Tuneliranje
Autentifikacija
Kontrola pristupa
Sigurnost podataka
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 214
Slika 1.3 VPN tehnologije
Tuneli
Tuneliranje
Slika 4.1 Tunel unutar mreţe
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 215
Slika 4.2 Enkapsulacija na trećoj razini
Integritet podataka i tajnost
Integritet podataka
Tajnost
Protkoli za VPN tuneliranje
Namjena:
kapsulacija jednog protokola unutar drugog
transport privatno adresiranih paketa kroz javnu infrastrukturu
osiguraje integriteta i tajnosti podataka
Slika 4.3 Udaljeni korisnik pristupa mreţi koristeći PPP
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 216
Slika 4.4 Udaljena veza korisnika kroz tuneliranje na drugoj razini
IPsec protokol
Slika 4.9 IPsec tunel
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 217
VIŠERAZINSKA SIGURNOST NA MREŢAMA
Principi:
mandatna kontrola pristupa
označavanje subjekata i objekata
povjerenje
Svojstva u pristupu podatcima (Bell-La-Padula):
Jednostavno svojstvo sigurnosti (ss-property) koje kaţe da niti jedan korisnik
nesmije čitati podatke na razini koja je viša od one za koju je osoba ovlaštena.
Svojstvo zvijezde (*-property) koje kaţe da niti jedna osoba nesmije pisati podatke
na razinu koja je niţa od razine na koju je osoba pristupila.
Povjerljivo mreţno sučelje (Trusted Network Interface - TNI)
Slika 9.39 pokazuje grafički strukturu povjerljive računalne baze (trusted computing
base-TCB) za operacijski sustav.
Povjerljivo sučelje za mreţe razvijeno je, na način sličnom operacijskim sustavima, kako
je pokazano na slici 9.40.
odgovara za sredstva koja kontrolira
svaki host ima svoje sučelje (različito)
zaštićuje se od hosta koji se priključuje bez TNI-a
Mreţa i mreţno sučelje moraju osigurati slijedeće:
Sigurne višerazinske hostove (računala)
Označeni izlaz.
Kontrola klasifikacije prije oslobaĎanja podataka.
Integritet podataka.
Zatvorenost.
Zaštitu od kompromitiranja linije.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 218
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 219
Rushby i Randell dizajn mreţe:
kriptografsko odvajanje hostova
jedinstven ključ za svaku sigurnosnu razinu
neizmjenjeni operacijski sustav
sva sigurnost u TNI
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 220
Sigurna komunikacija
Alternativni pogled na mreţnu sigurnost dan je od Walker-a :
mreţa povjerljivih i nepovjerljivh hostova
povjerljivi hostovi sa više sigurnosnih razina (mandatna politika pristupa)
nepovjerljivi hostovi istu razinu sigurnosti
hostovi odgovorni za verifikaciju sigurnosti vlastitih komunikacija
nepouzdanost komunakcije – sigurnosni problem
potvrda prijema (tajni kanal ?)
Rješenje nepouzdanosti komunikacije:
uvoĎenje komunikacijskog servera (XS) na povjerljivom hostu (niska razina)
prijenos unutar povjerljivog hosta pouzdan
potvrda prijema od XS
Komunikacija s nepovjerljivim hostom:
ne moţe koristiti gornju tehniku ( ne provodi pristupnu politiku – ista
sigurnosna razina)
uvodi se povjerljivi mrežni menaĎer (slika 9.43)
povjerljivi menaĎer moţe kršiti svojstva BLP modela (rigorozna inspekcija
koda)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 221
Zaključno o mreţnoj sigurnosti
Sigurnosna pitanja:
tajnost,
integritet,
autentičnost i
raspoloţivost.
Enkripcija (snaţan alat)
enkripcija veze (transaprentna)
enkripcija sa kraja na kraj (upravljana od korisnika)
Prijenosni protkoli – očuvanje integriteta podataka
Ranjivost:
pristup od neovlaštenih korisnika ili čvorova
impersonizacija ovlaštenih korisnika ili čvorova
Mjere:
kontrola pristupa i
tehnike autentifikacije
Problem mreţne sigurnosti - uspostava povjerenja udaljenog čvora
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 222
Napadač na mreţnu sigurnost:
Da li je to najslabija veza ?
Da li imam vještine da to prihvatim?
Da li je to vrijedno truda ?
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 223
11. SUSTAVI ZA RANO OTKRIVANJE NAPADA (IDS/IPS -
Intrusion Detetction/Prevention Systems)
DEFINIRANJE SUSTAVA ZA DETEKCIJU UPADA
Detekcija upada je proces praćenja dogaĎaja koji se zbivaju u računalnom sutavu ili
računalnoj mreţi te njihovoj analizi za otkrivanje sigurnosnih problema.
Pojam i definicija detekcije
Naziv detekcija se takoĎer koristi u vojnom okruţenju za nadzor fizičkih entiteta (kao što
su komunikacijski kabeli) za detekciju provaljivanja ili drugih fizičkih izmjena. Vojni
standardi opisuju sistemske funkcije i testove za to područje.
Ovdje ćemo pod detekcijom upada smatrati funkcije praćenja (nadzora), detekcije i
odgovora koje su usmjerene na aktivnosti u računalnim sustavima i mreţama.
KONCEPT SUSTAVA ZA DETEKCIJU UPADA
Arhitektura
Odvojena od sustava koji se štiti:
Kako bi se spriječilo uspješnog napadača da onemogući IDS sa brisanjem
slogova zapisa.
Kako bi se spriječilo uspješnog napadača od izmjene rezultata IDS-a kako bi
prikrio svoju prisutnost.
Kako bi se smanjilo opterećenje koje proizlazi iz rada IDS-a na operativnom
sustavu.
Sustav koji izvodi IDS - host računalo,
Sustav ili mreţa koji se motri - ciljni sustav.
Strategija motrenja
Monitori zasnovani na hostu skupljaju podatke iz izvora interno na računalu,
obično na razini operacijskog sustava.
Mrežni monitori skupljaju mreţne pakete.
Monitori aplikacije skupljaju podatke iz aplikacije koja se izvodi.
Monitori cilja funkcioniraju malo različito od dosad navedenih, budući oni
generiraju svoje vlastite podatke.
Vrste analiza
Detekcija zlouporabe – Stroj gleda i traţi nešto što je definirano da bude "loše".
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 224
Detekcija anomalija – Stroj gleda i traţi nešto što je rijetko ili neobično.
Slika 2.2 Generički IDS
Vremenski raspored
Intervalni/Batch mod
Stvarno vrijeme
Ciljevi detekcije
Odgovornost
Odgovornost (accountability) je sposobnost povezivanja aktivnosti ili
dogaĎaja unatrag sa odgovornom stranom
Odgovor
U detekciji upada, odgovor se dogaĎa kada analiza proizvede rezultat koji
zahtjeva akciju.
o zapis rezultata analize u log datoteku,
o okidači za alarme za različite predodreĎene vrste upada,
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 225
o izmjena IDS-a na ciljanom sustavu,
o skretanje paţnje putem tiska,
o poruke vatrozidovima (firewalls) ili usmjernicima (routerima).
Problemi upravljanja
Centralizacija
Centralizirano izvještavanje i upravljanje arhitekturom.
Integracija sa alatima za upravljanje mrežom
Sagledavanje detekcije upada kao funkcije upravljanja mreţom
OdreĎivanje strategije za detekciju upada
Optimalna strategija:
Kritičnost ili osjetljivost sustava koji se štiti
Priroda sustava (na primjer, sloţenost sklopovske i programske platforme)
Priroda sigurnosne politike organizacije
Razina prijetnji u okolini u kojoj sustav radi
SHEME ZA PROVOĐENJE ANALIZE
Za dobivanje bogatih izvora informacija suočeni smo sa monitoriranjem, a
slijedeći korak na krugu detekcije upada je analiza tih informacija. Kroz ovu
analizu suočeni smo s problemima detekcije upada: Što se dogaĎa, i da li smo
zainteresirani za to ?
Razmišljanja o upadima
Definiranje analize
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 226
Slika 4.1 Opći model upravljanja sigurnosnim sustavom
Ciljevi
Značajno zastrašivanje (odvraćanje)
Kontrola kvalitete izgradnje sigurnosnog sustava i njegove administracije
Korisna infromacija o aktualnim napadima
Podrţani ciljevi
Kako svaki od navedenih ciljeva usmjerava specifične funkcionalne zahtjeve za
IDS sustave:
Zahtjevi
o odgovornost,
o detekcija u stvarnom vremenu i odgovor.
Podciljevi
o zadrţati informaciju u formi koja podrţava forenzičarsku analizu
mreţe.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 227
o zadrţavanje znanja o performansama sustava ili identificiranje
problema koji djeluju na performanse.
o arhiviranje i zaštita integriteta slogova dogaĎaja zbog zakonskih
obaveza.
Postavljanje prioritetnih ciljeva
Odnosi
U nekom trenutku , ciljevi i zahtjevi mogu biti u konfliktu.
Detektiranje upada
Ljudski detektor
Vanjski dogaĎaji
Prethodnica upada
o napadač koji ima temeljni sustav za buduće napade
o znakovi smještaja Trojanskog konja
o probijene sistemske datoteke
o novlašteni ID u datoteci lozinki
Tvorevina upada
o njuškala (snifers) lozinki po log datotekama,
o neobjašnjene greške rač. sustava,
o oštećene datoteke,
o nenormalni uzorci korištenja računalnih sredstava,
o nered u zapisima za obračun,
o neuobičajena razina mreţnog prometa.
Motrenje napada u stvarnom vremenu
Otvara vrata blokirnaju napada te drugim adaptivnim odgovorima na
detektirane probleme.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 228
AUTOMATIZIRANI ALATI ZA DETEKCIJU UPADA
Slika 6.1. Struktura IDS-a
Namjera automaiziranih alata :
evidentirati pokušaje kršenja sigurnosti ili off-line ili on-line prijetnje koje
se obraĎuju iz revizijskih podataka u stvarnom vremenu
o prijetnje vanjskih napadača (intrudera)
o prijetnje unutarnjih napadača (ovlaštenih korisnika koji koriste
računalna sredstava na neovlašten način)
o ovlašteni korisnici koji zlorabe svoje pristupne privilegije
(misfeasors).
Metode:
metoda usporedbe profila korisničkih aktivnosti (detekcija anomalija),
metode poznatih napada (detekcija zlouporabe),
kombinacije gornjih metoda.
Faze aktivnosti:
prihvaća revizijske zapise od jednog (više) host računala
izdvaja ono što je relevantno za analizu,
generira profil aktivnosti koji usporeĎuje sa svojom internom bazom.
o baza anomalija usporedba je statističkog tipa;
o baza zlouporabe usporedba uključuje prepoznavanje uzoraka.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 229
rezultat analize se sprema u IDS bazu podataka
izmjena revizijskih zapisa kod analize modela ponašanja
Rješenja:
uvoĎenje pozadinskih vrata (trapdoor) za uljeze (napadače) (dummy ID i magična
lozinka koja okida alarm ukoliko se koristi)
definirati pravila koja definiraju uzorke ponašanja za klase korisnika –normalno i
abnormalno ponašanje (razvoj ekspertnih IDS-a.)
formiranje korisničkog profila koji se periodički aţurira na osnovi korisničkog
ponašanja (adaptivno učenje).
kodificirati ranjivost sustava i scenarij poznatog napada u sigurnosna pravila
korištenje modela zasnovanog na zaključivanju (model prethodno definiranih
poznatih napada)
pristupi, koji nisu zasnovani na sumnji, definiraju prihvatljiva ponašanja
koriste potencijal neuronskih mreţa kako bi adaptivno reagirali na napad upada
monitori pojava i monitori ponašanja za specijalne upade (virusi).
Postojeći alati i prototipovi rješenja:
Mnogi IDS sustavi su zasnovani na analizi revizijskih zapisa koje osigurava
operacijski sustav ačunala (OS).
Primjeri su:
SRI – ov IDES,
NSA-ov MIDAS,
Haystack Laboratories –ov Haystack System,
Los Almos national Laboratory –ov Wisdom & Sens (W&S),
AT&T-ov Compute Watch,
Planning Research Corporation-ov Information Security Officer's
Assitant (ISOA).
Pristup zasnovan na ekspertnom sustavu: IDES sustav
Osnovni razlozi :
Mnogi postojeći informacijski sustavi imaju sigurnosne rupe koje ih čine ranjivim
na prijetnje upada. Često je ne moguće označiti ili ukloniti ove rupe, iz tehničkih
ili ekonomskih razloga.
Postojeći sustavi sa poznatim sigurnosnim rupama ne mogu biti lako zamijenjeni
sa sigurnim ustavima budući oni često zavise o aplikacijskom sustavu ili
supstitucija zahtjeva značajni ekonomski ili tehnički napor.
Razvoj apsolutno sigurnih sustava je ekstremno teţak posao, a često i nemoguć.
Čak i jako sigurni sustavi su ranjivi na zlouporabu od strane legitimnih korisnika.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 230
IDES je real-time sustav koji spada u kategoriju sustava koji su zasnovani na iskustvu i
učenju koje se dobiva kroz promatranje, a ne na čvrstim pravilima.
Osnove IDES-a
IDES koristiti rješenje kroz ekspertni sustav, uz pretpostavku da eksploatacija ranjivosti
za zloporabu sustava vodi abnormalnom korištenju (anomaliji) sustava.
Odnosi izmeĎu prijetnji i ponašanja
Pokušaj upada.
Maskiranje.
Upadi od strane legitimnih korisnika.
Širenje podataka od strane ovlaštenih korisnika.
Zaključivanje od strane ovlaštenih korisnika.
Trojanski konji.
Virusi.
Odbacivanje usluga (DoS).
Analiza anomalijskog ponašanja
Definiranje modela za detekciju upada zahtjeva profile i pravila koja treba
odrediti.
Metrika
Brojač dogaĎaja
Vremenski interval
Mjerenje sredstava
Statistički modeli
Operacijski model. On je zasnovan na pretpostavci da se anomalija
moţe odrediti usporedbom nove promatrane vrijednosti od x sa
čvrstim ograničenjem
Model prosjeka i standardne devijacije. On je zasnovan na
pretpostavci da bi nova promatrana vrijednost bila smatrana
“normalnom” ako ona leţi unutar povjerljivog intervala:
avg d x stdev
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 231
gdje je avg prosječna veličina, a stdev je standardna devijacija, a d
je parametar.
Multivarijantni model. On je sličan modelu prosjeka/standardnoj
devijaciji, izuzev činjenici da je on zasnovan na korelaciji izmeĎu dve
ili više mjera (metrika).
Markovljev model. Ovaj model razmatra svaki tip dogaĎaja (korisnički
zahtjev) kao varijablu stanja, te koristi matricu promjene stanja za
krakterizaciju učestalosti tranzicije meĎu stanjima.
Model vremenskih serija. Ovaj model, koristeći brojač dogaĎaja i
mjerenje sredstava te metriku intervala, uzima u obzir poredak te
vrijeme intervala koji se dogodio izmeĎu observacija kao i vrijednosti
tih observacija (opaţanja).
Svojstva profila
Slika 6.2 Hijerahija elemenata za koje se mogu definirati profili ponašanja
Profili su definirani u odnosu na subjekte koji izvode akcije prema objektima na kojima
se te akcije izvode, te prema vrsti akcije.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 232
Prijava na sustav (login) i profili aktivnosti sekcije (session)
Učestalost prijave.
Učestalost lokacija.
Posljednja prijava.
Trajanje sekcije.
Izlaz sekcije.
CPU po sekciji, I/O po sekciji, stranice po sekciji, i td.
Greške lozinki.
Greške lokacija.
Profili izvoĎenja naredbi i programa
Učestalost izvoĎenja.
CPU po programu, I/O po programu, i td.
Odbačeno izvoĎenje.
Zasićenje programskih resursa.
Profili pristupa datotekama
Profili pristupa datoteka se mogu definirati u odnosu na:
Učestalost read, vrite, create i delete operacija.
Pročitani/zapisani slogovi.
Greške read, write, create i delete operacija.
Iscprljenost dadtotečnih resursa.
Profili pristupa bazama podataka:
"retrive", "update", "insert" i "delete" pristup mora se razmatrati za slogove u
relaciji,
"create" i "delete" mod za cijelu realciju.
"Retrive" operacije na bazi podtaka odgovaraju "file read" operacijama;
"update", "insert" i "delete" operacije odgovaraju "file write" operacijama.
Korištenjem baze podataka i skupa procesa IDES nadgleda:
Prijetnje upada;
Maskiranje;
Upad u sustav od strane vanjskih korisnika;
Prijetnje zaključivanja i agregacije;
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 233
Kanale za širenje informacija: prate se dva tipa tajnih kanala: memorijski
kanali, koji uključuju zasićenje računalnih sredstava i izuzetnih uvjeta; te
vremenskih kanala (koji vode do zakljiučivanja o svojstvima korištenja
sistemskog vremena);
Odbacivanje usluga (DoS);
Popratni efekti: prouzročeni virusima, crvima, ili sličnim programima koji
dovode do DoS ili oštećenja podataka i programa.
IDES model
IDES sigurnosni model sadrţi slijedeće elemente (slika 6.3):
1. Subjekte: inicijatore aktivnosti sustava koji se monitorira (nadgleda).
2. Objekte: to su sredstva sa kojima radi informacijski sustav: a to su entiteti na
kojima se izvode akcije.
3. Revizijski slogovi (audit records). to su slogovi zapisa akcija koje zahtjevaju
korisnici na sustavu koji se nadgleda.. Svaki slog se sastoji od šestorke tipa:
(subjekt, akcija, objekt, uvjet-izuzeća, korištenje resursa, vrijeme)
gdje je:
Akcija: operacija pristupa (npr. login, logout, read, execute);
Subjekt: subjekt koji je zahtjevao akciju;
Objekt: objekt koji se zahtjeva od akcije;
Uvjet izuzeća: opisuje moguće izuzeće koje se vraća subjektu u slučaju
djelomičnog/potpunog odbijanja zahtjeva za izvoĎenje akcije od strane
sustava. Taj uvjet moţe biti, pored jasnog opravdanja za odbijanje servisa
koji se vraća korisniku, i slijedeći motiv koji se ne vraća korisniku iz
sigurnosnih razloga (budući korisnik iz toga moţe zaključiti na
informaciju iz danog motiva);
Korištenje sredstava: Lista kvantitativnih elemenata od kojih svaki daje
iznos korištenja svakog sredstva. Na primjer, broj linija ili štamapnih
stranica, broj pročitanih/zapisanih slogova, vrijeme korištenja CPU-a ili
I/O jedinica, trajanje sekcije;
Vrijeme: pojava akcije izvoĎenja
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 234
Slika 6.3 Elementi IDES modela
4. Profili: strukture koje opisuju (karakteriziraju) ponašanje subjekata nad objektima
u formi metričkih ili statističkih modela.
Profil aktivnosti opisan je desetorkom:
(ime varijable, uzorak akcije, uzorak izuzeća, uzorak korištenja sredstava, period, tip varijable, prag, uzorak subjekta, uzorak
objekta, vrijednost)
gdje je:
Ime varijable: ime varijable;
Uzorak akcije: odgovara nula ili više akcija u revizijskom slogu (npr.,
"login", "read", "execute", i td.);
Uzorak izuzeća: odgovara poljima uvjeta izuzeća u revizijskom slogu;
Uzorak korištenja sredstava: odgovara polju korištenja sredstva
revizijskog zapisa;
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 235
Period: opisuje duţinu vremenskog perioda na koji se odnosi period
nadgledanja: npr. dan, sat, minuta. Ta komponenta je nula ako period nije
fiksiran;
Tip varijable: definira metrički ili statistički model na kojem se definira
profil: na primjer brojač dogaĎaja ili model prosjek/standardna devijacija;
Prag: parametar koji definira granicu (granice) koji se koristi u
statističkom testiranju kako bi se odredila anomalija.
Uzorak subjekta: odgovara polju subjekta na revizijskom zapisu;
Uzorak objekta: odgovara polju objekta na revizijskom slogu (zapisu);
Vrijednost: vrijednost najnovijih observacija (promatranja) i parametara
koji se koriste u statističkom modelu kako bi prezentirali distribuciju
prethodnih vrijednosti.
5. Zapisi anomalije: to su slogovi koji opisuju nelegitimno ponašanje korisnika
Anomalijski zapisi su definirani sa trojkama oblika :
(dogaĎaj, vrijeme, profil)
gdje je:
DogaĎaj indicira dogaĎaj koji je pokrenuo anomaliju.
Vrijeme.
Profil je profil aktivnosti prema kojem je odreĎena anomalija.
6. Pravila za izvoĎenje aktivnosti: ona opisuju akcije koje se moraju izvesti kada su
zadovoljeni dani uvjeti.
Pravila aktivnosti se mogu grupirati u četiri klase:
Pravila revizijskog zapisa.
Pravila za periodičko ažuriranje aktivnosti.
Pravila zapisa anomalije.
Pravila za periodičku analizu anomalija.
Modeli profila aktivnosti (ponašanja) i upravljanje profilima aktivnosti
Modeli profila su uzorci koji se koriste za definiranje novih profila aktivnosti.
Dakle, svaki profil aktivnosti je kreiran na osnovi nekog modela profila, uz
specifikaciju subjekta i objekta na koji se profil odnosi.
Arhitektura sustava IDES
IDES baza podataka sadrţi (slika 6.4):
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 236
Revizijski podatak. To se odnosi na revizijski zapis koji se šalje IDES-u od strane
nadgledanog sustava. On je smješten u tabelu i ispitan kako bi aţurirao aktivni ili
anomalijski podatak;
Aktivni podatak. Sadrţi veličinu aktivnosti koja se provodi od strane korisnika za
pojedinačnu varijablu koja se mjeri.Tabela razmatranih upada se koristi za svaku
varijablu. Podatci se periodički koriste za aţuriranje korisničkih profila, a koji se
odnose na danu varijablu;
Arhivirani podatak. To su ispitani revizijski podatci, koji su već obraĎeni za
potrebe aţuriranja ili analizu anomalije. Oni su smješteni u tablicu i periodički
odstranjivani;
Podatak profila. On definira profile normalnog ponašanja svakog korisnika ili
grupe korisnika. On je smješten u skup tablica (je dana za svaki razmatrani upad
za svaku varijablu);
Podatak rasporeda. On pokazuje period aţuriranja svakog profila te datum
posljednjeg aţuriranja profila. On je spremljen u skup tablica (jedna za upade za
svaku varijablu koja se mjeri);
Anomalijski podatak. To je anomalijski zapis koji se vidi u modelu. Oni su
smještenu u skup tablica ( po jedna za svaki tip anomalije).
Procesi koji implementiraju IDES komuniciraju jedan sa drugim kroz bazu IDES-a. Oni
su:
Prijemnik. On implementira IDES protokol.
Detektor anomalije. On uzima zapis koji se odnosi na revizijski podatak i aţurira
aktivni podatak.
Arhivar. On periodički back-upira podatke;
Ažurnik profila. Ovaj proces aţurira profile na osnovi aktivnog podatka na kraju
vremenskog perioda koji se odnosi na profil koji se razmatra;
Čistač (reset) aktivnog podatka. Skupljena aktivnost unutar perioda se ugraĎuje u
globalnu aktivnost, broj perioda se povećava za jedan, a aktivnost se postavlja na
0;
Administratorsko sučelje. IDES sučelje zasnovano na Windows sustavu,
osigurava:
o monitor stanja, koji pokazuje trenutno stanje IDES-a;
o monitor anomalija, koji pokazuje abnormalno ponašanje odreĎeno u
sustavu za mjeru (ili mjere) koje su se dogodile u prošlosti ili u
sadašnjosti;
o monitor upita, koji dozvoljava administratoru da pristupa IDES bazi,
upotrebom prethodno definiranih SQL upita.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 237
Slika . 6.4 Struktura IDES prototipa
. IDES prototip radi na drugom stroju od nadgledanog sustava. To donosi prednosti u
smislu:
Performansi. Prisustvo IDES-a ne povećava vrijeme odziva;
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 238
Sigurnost. IDES se moţe zaštitti u odnosu na nadgledani sustav, tako da korisnici
nadgledanog sustava ne mogu pristupiti IDES-u kako bi ga ispiatali i izmjenili.
Integracija. IDES se moţe lako prilagoditi različitoj okolini i integrirati.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 239
IDES je pokazao:
dobru snagu u razlikovanju izmeĎu normalnog i abnormalnog ponašanja
korištenja sustava,
upotreba prototipa je pokazala nizak broj pogrešnih alarma,
te prilično zadovoljavajući postotak detekcije sigurnosnih prekršaja.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 240
12. Fizička sigurnost i sigurnost osoblja
Pored do sada navedenih kontrola iz domene tehničkih kontrola, jednako tako su vaţne
sigurnosne mjere koje pokrivaju područje fizičke sigurnosti kao i sigurnost vezanu na
osoblje.
Fizička sigurnost
Fizička sigurnost zahtjeva dizajn, implementaciju i odrţavanje protumjera koje
štite fizičke resurse organizacije.
To uključuje fizičku zaštitu ljudi, hardvera kao i svih elemenata i resursa koji
podrţavaju kontrolu i nadzor informacija u svim njezinim stanjima (prijenos,
pohrana i obrada).
Stoga je fizička sigurnost jednako tako vaţna za uspješan program informacijske
sigurnosti kao i logička sigurnost koja se postiţe tehnološkim mjerama
Prema Donn B. Parker-u postoji sedam glavnih izvora fizičkog gubitka:
1. Ekstremne temperature: zagrijavanje, hladnoća
2. Plinovi: ratni plinovi, komercijalna para, vlaţni ili suhi zrak, lebdeće čestice
3. Tekućine: voda, kemikalije
4. Ţivi organizmi: virusi, bakterije, ţivotinje, insekti
5. Projektili: opipljivi objekti u kretanju, objekti nakrcani energijom
6. Micanje: propadanje, sjecanje, drmanje, vibracije, fluks, protočni valovi,
odvajanje, klizanje
7. Energetske anomalije: električni udari ili greške, magnetske, statički
elektricitet, zastarjelost strujnih krugova, radijacija, grmljavina, radijske,
mikrovalovi, elektromagnetske, atomske
Odgovornost u organizaciji:
o Opći menadžment
o IT menadžment
o Menadžment za informacijsku sigurnost
Kontrole fizičkog pristupa
Zidovi, ograde i vrata
Straţe
Psi
ID kartice i klučevi
Ljudska zamka (mantrap)
Elektronički nadzor
Alarmi i alarmni sustavi
Sobe za računala i kabineti za oţičenje
Unutrašnji zidovi i vrata
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 241
Zaštita od poţara
Najvaţnija briga organizacije u fizičkoj sigurnosti je zaštita ljudi i njihovih
ţivota. Najveća prijetnja toj zaštiti je vatra.
Detekcija poţara i odgovor
Greške u opskrbi komunalija, u opskrbi energentima i strukturalni lomovi
Dobava komunalija, kao što je grijanje, ventilacija, klimatizacija, električne
energije, vode i drugih usluga imaju značajan utjecaj na siguran rad opreme i
ureĎaja.
Presretanje podataka
Metode presretanja podataka:
o direktno motrenje,
o presretanje podataka u prijenosu, te
o elektromagnetski prihvat podataka.
Mobilni i prenosivi sustavi
Mobilno računarstvo zahtjeva čak i više sigurnosti nego ureĎaji koji su smješteni
fiksno u zgradama.
Preporuke:
Ne ostavljati računalo u nezaključanom vozilu, čak i ako je u ili pred garaţaom, i
ne ostavljati ga na vidljivom mjestu i akao je vozilo zaključano. Najbolje ga je
ostaviti u prtljaţniku. Ako nemate prtljaţnik pokrite ga da nije uočljiv.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 242
Parkirne garaţe su pogodno mjesto za kraĎu iz automobila. Stoga se treba
pridrţavati gore navedenih uputa.
Treba biti svjestan da visoka temperatura moţe prouzrokovati štetu na računalu.
Svoje računalo nosite u torbi koja ne ukazuje na njega. U pokretu uvijek ga nosite
sa sobom.
Kod odlaska na ručak ili pauzu, nikada ne ostavljajte laptop u sobi, uzmite ga sa
sobom.
Zaključajte laptop u svom uredu za vrijeme vaše odsutnosti. Koristite kabel za
zaključavanje ako ne mate svoj vlastiti ured, ili stavite laptop u zaključani ormar.
Ne dozvoljavajte da se stranac mota oko vašeg računala. Ponudite pomoć i
odvedite ga do odredišta.
Označite svoje računalo bojom koja će omogućiti lako razlikovanje od drugih i
laku identifikaciju.
Razmotrite kupovinu jednog od novih alarma protiv kraĎe.
Treba paziti da automatska prijava moţe omogućiti lopovu da šalje
neodgovarajuće poruke sa vaše mail adrese.
Napravite još danas pričuvne kopije, pohranite kopije u uredu ili kući.
Sigurnost računalstva na daljinu
Računalstvo na daljinu postaje sve popularnije, uključuje sve varijante koje su
udaljene od organizacijske opreme uključujući i telecommuting (rad od kuće).
Telecommuting je rad na daljinu koji koristi Internet, birane veze, iznajmljene
veze od točke do točke za vezu izmeĎu ureda, te druge mehanizme povezivanja.
Posebna razmatranja vezana na prijetnje fizičke sigurnosti
Prvo od ovih razmatranja je donošenje odluke da li fizičku sigurnost razvijati u
kući ili je eksternalizirati.
Socijalni inţenjering
Upravljanje inventarom
Upravljanje popisom računalne opreme je vaţan dio fizičke sigurnosti.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 243
Sigurnost i osoblje
Zaposlenici smatraju da je program informacijske sigurnosti manifestacija Big
Brother odnosa, te imaju pitanja kao:
o Zašto menadţment nadzire moj rad i moj e-mail ?
o Da li će osoblje za informacijsku sigurnost pregledati moj tvrdi disk kako bi
došli do dokaz za moj otkaz ?
o Kako ja mogu dobro obavljati svoj posao i na vrijeme kad sam dobio dodatna
kašnjenja prouzročena od primjene tehnologije informacijske sigurnosti ?
Pozicioniranje i popuna sigurnosnih funkcija osobljem
" Ljudi koji rade i ljudi koji nadziru ne trebaju izvještavati zajedničkom
menadţeru".
Funkcija informacijske sigurnosti se moţe smjestiti unutar slijedećih
funkcionalnih cjelina:
o IT funkcije, kao jedna od pod funkcija kao što su mreţe, razvoj aplikacija i
help desk
o Funkcija fizičke sigurnosti kao suradnička funkcija fizičke zaštite ili usluga
zaštite
o Funkcija osiguranja i upravljanja rizicima
o Pravni odjel
Popunjavanje osobljem funkcija informacijske sigurnosti
Selekcija osoblja za informacijsku sigurnost se temelji na odreĎenom broju
kriterija, od kojih su neki pod kontrolom organizacije dok drugi nisu.
To je pitanje ponude i potraţnje na trţištu radne snage. Najčešće zahtjevi ne prate
ponudu pa tu prazninu treba popuniti kroz najam i konzultacije vanjskih experata,
tj uz visoku cijenu. Kada se na trţištu pojavi odgovarajuća ponuda tada se moţe
izvršiti popuna unutar organizacije.
Kvalifikacije i zahtjevi
Glavni menadţment u organizaciji mora imati znanja o vještinama i
kvalifikacijama kako za pozicije u informacijskoj sigurnosti tako i za IT pozicije
koje imaju utjecaj na informacijsku sigurnost.
Visoki menadţment mora znati nešto više o potrebama budţeta za funkcioniranje
informacijske sigurnosti i pozicija unutar nje. To omogućava menadţmentu da
donosi dobre poslovne odluke kako za funkciju informacijske sigurnosti tako i za
IT funkciju koja je nositelj mnogih inicijativa u informacijskoj sigurnosti.
Glavni menadţment i IT menadţment trebaju osigurati odreĎenu razinu utjecaja i
ugleda funkcije informacijske sigurnosti , posebno u ulozi CISO-a.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 244
Kada zapošljavamo specijaliste informacijske sigurnosti, organizacije često traţe
pojedince koji razumiju slijedeće:
o Kako organizacija radi na svim razinama
o Da je informacijska sigurnost redovito problem upravljanja a da je rijetko
isključivo tehnički problem
o Kako raditi s ljudima i suraĎivati s krajnjim korisnicima, te da shvate vaţnost
jake komunikacije i vještine pisanja
o Ulogu politike u provoĎenju napora sigurnosti, kao i ulogu edukacije i
treninga zaposlenika i drugih ovlaštenih korisnika kao dijela sveukupnog
rješenja, a ne kao dijela problema
o Najvaţnije IT tehnologije (ne neophodno na razini eksperta već opće
poznavanje)
o Terminologiju IT-a i informacijske sigurnosti
o Prijetnje kojima je izloţena organizacija, te kako te prijetnje mogu postati
napadi
o Kako zaštiti imovinu organizacije od napada na informacijsku sigurnost
o Kako se poslovna rješenja (uključujući i rješenja temeljena na tehnologiji)
mogu primijeniti da bi se riješili problemi informacijske sigurnosti
Ulaz u profesiju informacijske sigurnosti
osoblje koje je prethodno radilo na provoĎenju zakona ili vojnim poslovima u
nacionalnoj sigurnosti ili na zadatcima kibernetičke sigurnosti (cyber-security,
Interent Security), koji su se pomaknuli u poslovno orijentiranu informacijsku
sigurnost
osoblje iz područja tehničkih profesionalaca - mreţni eksperti, programeri,
administratori baza podataka, sistemski administratori - koji su se našli na
poslovima primjene informacijske sigurnosti i procesa
studenti visokog obrazovanja koji se educiraju za selektirane programe za rad u
području informacijske sigurnosti.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 245
Pozicije u informacijskoj sigurnosti
Područja:
o ono koje definira programe informacijske sigurnosti,
o ono koje gradi sustave i kreira programe koji implementiraju kontrole
informacijske sigurnosti unutar definiranih programa informacijske
sigurnosti i
o one koji administriraju sustave za upravljanje i programe koji su kreirani.
.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 246
Rukovoditelj informacijske sigurnosti (CISO, CSO)
Upravlja cjelokupnim programom informacijske sigurnosti za organizaciju
Koncipira ili odobrava politike informacijske sigurnosti
Radi zajedno sa CIO-om na izradi strateških planova, razvija taktičke planove, te
radi sa sigurnosnim menadţerom na operativnim planovima
Na osnovu raspoloţivih sredstava razvija budţet za informacijsku sigurnost
Postavlja prioritete za kupnju i implementaciju projekata informacijske sigurnosti
i tehnologije
Donosi odluke i preporuke za zapošljavanje, unajmljivanje i otpuštanje
sigurnosnog osoblja
Djeluje kao glasnogovornik tima za informacijsku sigurnost
Najčešća kvalifikacija za ovu vrstu pozicije je CISSP (Certified Information
Systems Security Professional) akreditacija
Sigurnosni menadţer
Sigurnosni menadţeri su odgovorni za svakodnevne operacije i izvoĎenje
programa informacijske sigurnosti.
Oni provode ciljeve i zadatke koji su identificirani od CISO-a te rješavaju
identificirane probleme sa tehničarima.
Upravljanje tehnologijom zahtijeva razumijevanje tehnologije , ali ne traţi
iskustvo u konfiguriranju , u radu i rješavanju problema koji su vezani na
tehnologiju.
Kvalifikacije CISSP ili CISM, a tehnički eksperti imaju GIAC (Global
Information Assurance Certification).
Sigurnosni tehničar
konfiguriranja sigurnosnih stijena,
implementacije i korištenja IDS-a, implementacije sigurnosnog softvera,
dijagnosticiranje i rješavanje problema, te
koordinaciju sa sistemskim i mreţnim administratorima kako bi osigurali da je
sigurnosna tehnologija organizacije ispravno implementirana.
tehničke vještine; eksperti, certificirane osobe sa tehničkim iskustvom
Vjerodajnice profesionalaca informacijske sigurnosti
(ISC)2 certifikacija
o Interantional Information System Security Certification Consortium
(ISC)2 (vidi na www.isc2.org)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 247
o CISSP (Certified Information Systems Security Professional),
SSCP(Systems Security Certified Practitioner) i CAP (Certification and
Acredition Profesional).
ISACA certifikacija
o Information Systems Audit and Control Association (ISACA)
(www.isaca.org)
o CISA certifikacija za profesionalce u reviziji, umreţavanju i sigurnosti i
CISM certifikat za profesionalce u upravljanju informacijskom
sigurnošću.
SANS Global Information Assurance Certification (GIAC) certifikacija
o System Administration, Networking, and Security (SANS) (
www.giac.org).
o Danas moţete dobiti različite GIAC certifikate odvojeno ili moţete obaviti
cjelovitu certifikaciju koja je poznata kao GIAC Security Engineer (GSE).
CompTIA Security+
o CompTIA (www.comptia.org) je uvela prve tehnički profesionalne
ITcertifikacije neovisne od ponuĎača - A+ serije.
Certified Computer Examiner (CCE)
o Certified Computer Examiner (CCE) je certifikacija računalne forenzike
koju osigurava international Society of Forensic Examiners
(www.isfce.org) .
IISFA Certified Information Forensic Investigator (CIFI)
o International Information Security Forensic Association
(iisfa.aboveboardconsulting.com) promovira ispit za Certified Information
Forensic Investigator (CIFI).
Ostale certifikacije vezane na sigurnost
o Prosoft
o RSA Security
o CheckPoint
o Cisco
o BrainBench
o i dr.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 248
Troškovi certifikacije
Savjeti za specijaliste informacijske sigurnosti
Uvijek upamtite: Biznis prije tehnologije.
Kada ispitujete problem, prvo treba pogledati na izvor problema, utvrdite koji
faktori utječu na problem, tada pogledajte na politiku organizacije koja bi vas
mogla dovesti rješenja koje ne ovisi od tehnologije; tada koristite tehnologiju.
Vaš posao je zaštita informacija i informacijskih sustava organizacije.
Budi slušan, a ne opaţen. Informacijska sigurnost treba podrţavati rad krajnjih
korisnika a ne obrnuto.
Znajte više od onoga što govorite, i budite vještiji od onoga što mislite da jeste.
Govorite korisnicima, ne oko njih. Dok govorite sa korisnicima koristite njihov
jezik, ne svoj.
Vaša edukacija nikada ne završava.
Politike zapošljavanja i prakse
Opisi poslova
Intervjui
Pozadinske provjere
Ugovori zaposlenika
Orijentacija kod novog zapošljavanja
Sigurnosni trening na poslu
Vrednovanje performansi rada
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 249
Otpust
o Pristup sustavima organizacije mora biti onemogućen.
o Zamjenjivi mediji moraju se vratiti.
o Tvrdi diskovi moraju biti zaštićeni.
o Brave na kabinetima za pohranu se moraju promijeniti.
o Brava na vratima ureda se mora promijeniti
o Kartica za dozvolu pristupa mora biti povučena.
o Personalne stvari moraju se povući sa lokacije organizacije.
Sigurnosna razmatranja za nezaposlene
Privremeni zaposlenici
Ugovorni zaposlenici
Konzultanti
Poslovni partneri
Strategije interne kontrole
Razdvajanje duţnosti
Kontrola dva čovjeka
Rotacija posla ili rotacija zadatka
Obavezni godišnji odmori
Princip najmanjih privilegija
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 250
Privatnost i sigurnost osobnih podataka
Organizacija je po zakonu obavezna da zaštitit podatke zaposlenika koji su
osjetljivi ili osobni.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 251
13. ZAKONSKI, ETIČKI i PROFESIONALNI ASPEKTI
INFORMACIJSKE SIGURNOSTI
Kako bi se umanjila odgovornost i smanjio rizik od elektroničkih i fizičkih prijetnji,
te kako bi se smanjili svi gubici koji proizlaze iz zakonskih akcija, specijalisti
informacijske sigurnosti moraju razumjeti postojeće zakonsko okruţenje, moraju biti
upoznati sa postojećim zakonima i propisima, te moraju motriti na nove probleme
koji se mogu pojaviti.
. Zakoni i etika u informacijskoj sigurnosti
Zakoni su pravila koja zahtijevaju ili zabranjuju izvjesna ponašanja u društvu; oni
proizlaze iz etike koja definira društveno prihvatljivo ponašanje.
Ključna razlika izmeĎu zakona i etike je da zakoni nose sankcije vlasti dok etika
ne.
Etika je zasnovana na kulturi morala: čvrsti moralni odnos ili prilagodba pojedine
grupe.
Obveza odgovornosti organizacije
Iako ne postoji kršenje Kaznenog zakona, još uvijek postoji obveza odgovornosti
(liability) organizacije.
Organizacija primjenjuje mjere - due care. Due care se provodi kada organizacija
osigurava da svaki zaposlenik zna što je prihvatljivo a što neprihvatljivo
ponašanje, te zna koje su posljedice nezakonitih ili neetičnih aktivnosti.
Organizacija primjenjuje mjere - due diligence - zahtjeva da organizacija izvrši
opravdan napor kako bi zaštitila druge.
Politika nasuprot zakona
Politika mora zadovoljiti pet kriterija:
Diseminacija (distribucija) - Organizacija mora demonstrirati da je relevantna
politika spremna i raspoloţiva za pregled od strane zaposlenika.
Pregled (čitanje) - Organizacija treba demonstrirati da je tako distribuirana
politika u inteligentnoj (razumljivoj) formi za sve zaposlenike.
Shvaćanje (razumijevanje) - Organizacija mora demonstrirati da zaposlenik
razumije zahtjeve i sadrţaj politike.
UsklaĎenost (suglasnost) - Organizacija mora demonstrirati da zaposlenik
prihvaća usklaĎenost s politikom, kroz djelovanje ili potvrdu.
Uniformno provoĎenje - Organizacija mora demonstrirati da se politika jednako
provodi bez obzira na status ili raspored zaposlenika.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 252
Vrste zakona
GraĎansko pravo (civil law)
Kazneno pravo (criminal law)
Privatni zakon (private law)
Javni zakon (public law)
Zakoni u području sigurnosti informacija
o Općeg računalnog i kriminaliteta (computer crime)
o Privatnosti
Privatnosti informacija o potrošačima, korisnicima usluga, pacijentima,
klijentima banaka
KraĎa identiteta
o Izvoz tehnologije i industrijska špijunaţa
o Intelektualna prava i kopiranje
o Financijski izvještaji
o Sloboda pristupa informacijama
o Drţavni i regionalni propisi
Zakonska osnova informacijske sigurnosti u RH
Zakon o informacijskoj sigurnosti
o Zakon utvrĎuje pojam informacijske sigurnosti, mjere i standarde
informacijske sigurnosti, područja informacijske sigurnosti, te nadleţna
tijela za donošenje, provoĎenje i nadzor mjera i standarda informacijske
sigurnosti.
o Zakon propisuje mjere i standarde za područja informacijske sigurnosti:
Sigurnosna provjera
Fizička sigurnost
Sigurnost podataka
Sigurnost informacijskog sustava
Sigurnost poslovne suradnje
o Zakon se primjenjuje na drţavna tijela, tijela jedinica lokalne i područne
(regionalne) samouprave te na pravne osobe s javnim ovlastima, koje u
svom djelokrugu koriste klasificirane i neklasificirane podatke.
Zakon o tajnosti podataka
o Zakonom utvrĎuju pojam klasificiranih i neklasificiranih podataka,
stupnjevi tajnosti, postupak klasifikacije i deklasifikacije, pristup
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 253
klasificiranim i neklasificiranim podacima, njihova zaštita i nadzor nad
provedbom ovog Zakona.
o Stupnjevi tajnosti klasificiranih podataka su:
VRLO TAJNO
TAJNO
POVJERLJIVO
OGRANIČENO
o Zakon se primjenjuje na drţavna tijela, tijela jedinica lokalne i područne
(regionalne) samouprave, pravne osobe s javnim ovlastima te pravne i
fizičke osobe koje, u skladu sa ovim Zakonom, ostvare pristup ili
postupaju s klasificiranim i neklasificiranim podacima
Zakon o zaštiti osobnih podataka
o Zakonom ureĎuje zaštita osobnih podataka o fizičkim osobama te nadzor
nad prikupljanjem, obradom i korištenjem osobnih podataka u Republici
Hrvatskoj.
o Prateće uredbe /provedbeni propisi ovog zakona :
Uredba o načinu pohranjivanja i posebnim mjerama tehničke
zaštite posebnih kategorija osobnih podataka (NN 139/04)
Uredba o načinu voĎenja i obrascu evidencije o zbirkama
osobnih podataka (NN 105/04)
o Zakon definira način obrade osobnih podataka s naglaskom na obradu
posebnih kategorija podataka, davanje podataka korisnicima, iznošenje
podataka izvan granica RH, voĎenje zbirki osobnih podataka, zaštitu
prava, nadzor nad obradom, a sadrţi i kaznene odredbe.
Zakon o obveznim odnosima
o Riječ je o osnovnom, općem zakonu kojim se reguliraju ugovorni odnosi,
koji zbog svoje pravne prirode ne sadrţi kazne – ali nepoštivanje njegovih
odredbi dovodi do odgovornosti za štetu, a neka ponašanja mogu
predstavljati i kazneno djelo (npr. prijevara).
o Odredbe ovoga Zakona primjenjuju se na sve sudionike pravnog prometa
Kazneni zakon
o Pokriva odredbe poglavlja Konvencije o kibernetičkom kriminalitetu o
tajnosti, nepovredivosti i dostupnosti podataka spremljenih na računalima
i samih računala.
o Neovlašteno otkrivanje profesionalne tajne - Članak 132
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 254
o Nedozvoljena uporaba osobnih podataka - Članak 133
o Povreda tajnosti, cjelovitosti i dostupnosti računalnih podataka, programa
ili sustava – Članak 223. (1. i 2. dio)
o Računalno krivotvorenje – članak 223.a
o Računalna prijevara – Članak 224.a
o Izdavanje i neovlašteno pribavljanje poslovne tajne - Članak 295.
o Kazneno zakonodavstvo Republike Hrvatske primjenjuje se na svakoga
tko počini kazneno djelo na njezinu području ali i izvan njenog područja
(vidi članak 14.).
Zakon o pravu na pristup informacijama
o Ovim se Zakonom ureĎuje pravo na pristup informacijama koje posjeduju,
raspolaţu ili nadziru tijela javne vlasti, propisuju načela prava na pristup
informacijama, izuzeci od prava na pristup informacijama i postupak za
ostvarivanje i zaštitu prava na pristup informacijama
o Odredbe ovoga Zakona primjenjuju se na sve domaće i strane pravne i
fizičke osobe koje zahtijevaju pristup informacijama koje posjeduju,
kojima raspolaţu ili koje nadziru tijela javne vlasti te na sama tijela javne
vlasti
Zakon o elektroničkom potpisu
o Ovim se Zakonom ureĎuje pravo fizičkih i pravnih osoba na uporabu
elektroničkog potpisa u upravnim, sudskim i drugim postupcima, poslovnim i
drugim radnjama, te prava, obveze i odgovornosti fizičkih i pravnih osoba u svezi
s davanjem usluga certificiranja elektroničkog potpisa, ako posebnim zakonom
nije drukčije odreĎeno. o Prateći propisi Zakona o elektroničkom potpisu :
Pravilnik o mjerama i postupcima uporabe i zaštite elektroničkog potpisa
i naprednog elektroničkog potpisa, sredstava za izradu elektroničkog
potpisa, naprednog elektroničkog potpisa i sustava certificiranja i
obveznog osiguranja davatelja usluga izdavanja kvalificiranih certifikata
(NN 54/02)
Pravilnik o tehničkim pravilima i uvjetima povezivanja sustava
certificiranja elektroničkih potpisa (NN 89/02)
Pravilnik o registru davatelja usluga certificiranja elektroničkih potpisa
koji izdaju kvalificirane certifikate (NN 54/02)
o Odredbe ovoga Zakona primjenjuju se na sve fizičke i pravne osoba koje koriste elektronički potpis u upravnim, sudskim i drugim postupcima, poslovnim i drugim radnjama.
Zakon o elektroničkoj trgovini
o Ovim se Zakonom ureĎuje kojim se ureĎuje pruţanje usluga informacijskog
društva, odgovornost davatelja usluga informacijskog društva, te pravila u vezi sa
sklapanjem ugovora u elektroničkom obliku.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 255
o Odredbe ovoga Zakona primjenjuju se na sve pravne ili fizičke osobe koje
pruţaju usluge informacijskog društva.
Zakon o elektroničkoj ispravi
o Ovim se Zakonom ureĎuje pravo fizičkih i pravnih osoba na uporabu
elektroničke isprave u svim poslovnim radnjama i djelatnostima te u postupcima
koji se vode pred tijelima javne vlasti u kojima se elektronička oprema i
programi mogu primjenjivati u izradi, prijenosu, pohrani i čuvanju informacija u
elektroničkom obliku, pravna valjanost elektroničke isprave te uporaba i promet
elektroničkih isprava. o Odredbe ovoga Zakona primjenjuju se na sve pravne ili fizičke osobe koje koriste
elektroničke isprave u svojim poslovnim radnjama.
Zakon o telekomunikacijama o Ovim se Zakonom ureĎuje područje telekomunikacija i radijskih
komunikacija, način i uvjeti obavljanja telekomunikacijskih usluga i djelatnosti, prava i obveze davatelja i korisnika telekomunikacijskih usluga, izgradnja, održavanje i uporaba telekomunikacijske infrastrukture i opreme, radijske opreme i telekomunikacijske terminalne opreme, upravljanje radiofrekvencijskim spektrom, adresnim i brojevnim prostorom u Republici Hrvatskoj, elektromagnetska kompatibilnost, zaštita podataka u telekomunikacijama te obavljanje nadzora i kontrole u telekomunikacijama.
o Odredbe ovoga Zakona primjenjuju se na davatelje i korisnike telekomunikacijskih usluga.
Internacionalni zakoni i zakonodavna tijela
Konvencija Europskog vijeća (EC) o kibernetičkom kriminalu
Sporazum o aspektima intelektualnog vlasništva u trgovinskim odnosima (TRIPS
- Agreement on Trade-related Aspects of Intelectual property Rights)
Zakon o pravima digitalnog kopiranja (DMCA - Digital Millenium Copyright
Act)
Etika i informacijska sigurnost
Za razliku od medicinske i zakonske grane, polje informacjkse tehnologije i polje
informacijkse sigurnosti nemaju obvezujući etički kod ponašanja. Umjesto toga
profesionalna udruţenja (ACM - Association for Computing machinery, ISSA -
Information System Security Association) rade na uspostavi etičkog koda ponašanja
Etičke razlike izmeĎu kultura
o Povreda licenciranog softvera
o Nedozvoljeno korištenje
o Zloupotreba korporacijksih resursa
Etika i obrazovanje
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 256
o Ispravno etičko i zakonsko obrazovanje je ključno za stvaranje
informiranog, dobro pripremljenog i niskorizičnog korisnika.
Odvraćanje od neetičnog i nezakonitog ponašanja
o Uzroci neetičnog i ilegalnog ponašanja:
Neupućenost
Nesretni slučaj
Namjera
o Odvraćanje
Strah od penalizacije:
Vjerojatnost da će te biti uhvaćeni:
Vjerojatnost da će penalizacija biti evidentirana
Etički kodeks i profesionalne organizacije
Profesinalna
organizacija
Web adresa Opis Fokus
Association of
Computing
Machinery(ACM)
www.acm.org Kod od 24 zapovijedi Etika sigurnosnih
profesionalaca
Information Systems
Audit and Control
Association (ISACA)
www.isaca.org Jedno procesno područje
i šest predmetnih
područja koja se
fokusiraju na nadzor
(reviziju),
informacijksku
sigurnost, analizu
poslovnih procesa i
planiranje IS-a
Zadatci i znajne koje se
zahtjeva od
profesionalaca za
reviziju informacijksih
sustava
Information Systems
Security Association
(ISSA)
www.issa.org Profesionalna zajednica
profesionalaca u
sigurnosti
informacijksih sustav
osigurava edukacijkse
forume, publikacije te
mreţu za svoje članove
Razmjena
profesionalnih
informacija u području
informacijske sigurnosti
International
Information systems
Security certifaction
Consortium (ISC)2
www.isc2.org Internacionalni
konzorcij koji je
posvećen poboljšanju
kvalitete profesionalaca
sigurnosti
Zahtjeva od nosioca
njihovog certifikata
pridrţavanje
publiciranog etičnog
kodeksa
SANS Institutes Global
Information Assurance
certification
www.giac.org Dvanaest individualnih
tehničkih certifikata koji
se mogu uvezati u šest
trakova, ili završavaju u
u GIAC Security
Engineer certifikatu
Zahtjeva od nosioca
njihovog certifikata
pridrţavanje
publiciranog etičnog
kodeksa
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 257
14. Planiranje, projektiranje, izgradnja i odrţavanje sustava
informacijske sigurnosti (ISMS)
Izrada programa informacijske sigurnosti počinje sa kreiranjem ili pregledom politika,
standarda i prakse u području informacijske sigurnosti organizacije, nakon čega slijedi
odabir i kreiranje sigurnosne arhitekture te detaljan nacrt sigurnosnog plana provedbe
programa informacijske sigurnosti.
Rješenja za implementaciju informacijske sigurnosti
Pristup odozdo-prema- gore
o tehnička iskustva administratora
o nedostaje podrška uprave i drugih sudionika
Pristup odozgo-prema-dolje
o projekt je iniciran od uprave
o ima dediciranog nositelja,
o dodijeljeno financiranje,
o jasne procese planiranja i implementacije, i
o pomoć kroz utjecaj kulture organizacije.
o formalni razvoj strategije i SDLC
Pridobiti Upravu , osigurati odgovornost
Uključenje i podrška krajnjih korisnika
Formirati razvoji tim
Procesi i procedure moraju biti dokumentirani i integrirani u postojeću kulturu
organizacije
Organizacijska hijerarhija, pristup odozgo prema dolje i odozdo prema gore dani su na
Slici 1-8.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 258
Ţivotni ciklus razvoja sustava (SDLC – System Development Life Cycle)
Informacijska sigurnost mora se upravljati na način koji je sličan kao i svaki drugi
ključni sustav koji se implementira u organizaciji. Jedno od rješenja za implementaciju
sustava informacijske sigurnosti u organizaciji je koristiti varijaciju SDLC-a – ţivotni
ciklus razvoja sustava sigurnosti (SecSDLC).
Metodologija i faze SDLC-a
Tradicinalni SDLC se sastoji od općih faza. Model vodopada (waterfall model) dan je na
Slici 1-9 gdje svaka faza počinje od rezultata i informacija koje su dobivene iz prethodne
faze.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 259
Ţivotni ciklus razvoja sustava sigurnosti (SecSDLC)
Istraživanje (razumijevanje)
o Počinje sa Politikom informacijske sigurnosti organizacije (EISP-
enterprise information security policy) koja skicira implementaciju
programa informacijske sigurnosti u organizaciji.
o Organiziraju se timovi odgovornih menadţera, djelatnika i ugovaratelja;
o Analiziraju se problemi,
o OdreĎuje se opseg projekta, kao i specifični ciljevi i zadatci,
o Definiraju se dodatna ograničenja koja nisu pokrivena politikom.
o Konačno provodi se gruba analiza izvedivosti
Analiza
o Analizu sigurnosnih politika ili programa zajedno sa dokumentiranim
postojećim prijetnjama i njima pridruţenim kontrolama.
o Analizu relevantnih zakonskih odredbi
o Upravljanje rizicima
Logički dizajn
o Stvaraju se i razvijaju nacrti i planovi za informacijsku sigurnost,
o Planiranje kontinuiteta
o Odgovor na incidente
o Oporavak od katastrofe
o ProvoĎenje detaljne analize izvedivosti (u kući , eksternalizacija)
Fizički dizajn
o vrednuje se tehnologija za informacijsku sigurnost
o predlaţu se alternativna rješenja te se
o usvaja konačni fizički dizajn
o odreĎuju se i kriteriji za odabir uspješnih rješenja
o dizajn mjera za fizičku sigurnost
o studija izvodljivosti odreĎuje spremnost organizacije
o pristanak za početak implementacije fizičkog dizajna.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 260
Implementacija
o Sigurnosna rješenja se realiziraju (nabavljaju ili izraĎuju), testiraju,
implementiraju te ponovno testiraju.
o Problemi osoblja se vrednuju,
o Provodi se specifična izobrazba i uvjeţbavanje
o Prezentacija Upravi na konačno odobrenje za upotrebu.
Održavanje i promjene
o Okolina je pod stalnim i često promjenjivim prijetnjama informacijskoj
sigurnosti
o Današnji sustavi informacijske sigurnosti traţe stalni nadzor (monitoring),
testiranje, promjene, aţuriranje i popravke.
o Aplikacijski sustavi koji su razvijeni unutar tradicionalnog SDLC-a nisu
dizajnirani tako da odgovore na različite napade
o Nove prijetnje se pojavljuju, stare se unaprjeĎuju
o Pojava novih i inovativnih tehnologija
Specijalisti sigurnosti i organizacija
Visoki menedžment (Uprava)
o Član Uprave za informatiku - Chief Information Officer (CIO)
o Upravitelj sigurnosti informacijske sigurnosti (CISO-Chief Information
Security Officer)
Projektni tim za informacijsku sigurnost
o Nositelj
o Voditelj tima
o Razvojni inţenjeri za sigurnosne politike
o Specijalisti za procjenu rizika
o Specijalisti informacijske sigurnosti
o Sistemski administratori
o Krajnji korisnici.
Vlasništvo podataka
o Vlasnici podataka
o Čuvar podataka
o Korisnici podataka
Zainteresirane skupine ljudi
Menadžment informacijske sigurnosti i specijalisti
o fokusiran na zaštitu informacijskih sustava organizacije i na zaštitu
pohranjenih informacija od mogućih napada
Menadžment informacijske tehnologije i specijalisti
o fokusiran na troškove stvaranja i rada sustava, lakoću upotrebe za
korisnike sustava, izvoĎenje projekata na vrijeme te na vrijeme odziva za
transakcije
Menadžment organizacije i specijalisti
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 261
o najveći podsjetnik (odgovornost i briga) da svi IT sustavi i informacijska
sigurnost postoje kako bi podrţali misiju cjelokupne organizacije.
Plan provedbe programa informacijske sigurnosti (blueprint)
Taj sigurnosni plan je osnova za dizajn, odabir i implementaciju svih elemenata
programa sigurnosti uključujući:
o implementaciju politika,
o trajno upravljanje politikama,
o programi upravljanja rizicima,
o programi edukacije i treninga, tehnološke kontrole, te
o odrţavanje programa sigurnosti.
Nacrt provedbe cjelokupne strategije informacijske sigurnosti organizacije
Plan sigurnosti specificira zadatke i poredak njihovog izvršenja.
ISO 27000 serija
Jedan od najraširenijih modela sigurnosti je Information technology - Code of
Practice for Information Security Managemnet, - ISO/IEC 27002 (prije ISO/IEC
17799:2005, prije BS 7799-1)
Tablica 5-3 Sekcije norme ISO/IEC 27002
1. Procjena i obrada rizika
2. Sigurnosna politika
3. Organizacija informacijske sigurnosti
4. Upravljanje imovinom
5. Sigurnost osoblja
6. Sigurnost ljudskog potencijala
7. Fizička sigurnost i sigurnost okruţenja
8. Upravljanje komunikacijama i operacijama
9. Kontrola pristupa
10. Nabava, razvoj i odrţavanje informacijskih sustava
11. Upravljanje incidentom informacijske sigurnosti
12. Sukladnost
Svrha ISO/IEC 27002 je "dati preporuke za upravljanje informacijskom
sigurnošću za one osobe koje su odgovorne za iniciranje, implementiranje
ili odrţavanje sigurnosti u svojim organizacijama.
ISO/IEC 27001 (prije BS 7799-2) daje informacije kako implementirati
ISO/IEC 27002 normu te kako uspostaviti Sustav upravljanja
informacijskom sigurnošću (ISMS - Information Security Magement
System). Sveukupna metodologija za taj proces kao i njezini glavni koraci
prikazani su na Slici 5-6.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 262
ISO/IEC 27001 daje detalje implementacije kroz korištenje Plan-Do-
Check-Act ciklusa kao je dano u Tablici 5-4 i kako je prokazano Slikom
5-7.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 263
Tablica 5-4 ISO/IEC 27001 Plan-Do-Chek-Act ciklus
Plan:
1. Definiraj opseg ISMS-a
2. Definiraj politiku ISMS-a
3. Definiraj rješenje za procjenu rizika
4. Identificiraj rizike
5. Procjeni rizike
6. Identificiraj i vrednuj opcije za obradu rizika
7. Odaberi ciljeve kontrola i same kontrole
8. Pripremi izjavu o primjenjivosti (SOA)
Do:
9. Izrada plana obrade rizika
10. Implementacija plana obrade rizika
11. Implementacija kontrola
12. Implementacija programa uvjeţbavanja i
podizanja svijesti
13. Upravljanje operacijama
14. Upravljanje resursima
15. Implementacija procedura za detekciju i
odgovor na incidente
Check:
16. IzvoĎenje procedura nadzora i praćenja
17. Poduzimanje redovitih pregleda učinkovitosti
ISMS-a
18. UtvrĎivanje razine rezidualnog i
prihvatljivog rizika
19. ProvoĎenje internih revizija ISMS-a
20. ProvoĎenje redovitih pregleda ISMS-a od
strane Uprave
21. Zapisivanje akcija i dogaĎaja koji imaju
utjecaja na ISMS
Act:
22. Implementacija identificiranih poboljšanja
23. poduzimanje korektivnih i preventivnih
akcija
24. Primjena naučenih lekcija
25. Razmjena rezultata sa zainteresiranim
stranama
26. Omogućiti postizanje ciljeva poboljšanja
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 264
Iako ISO 27001 daje implementacijske informacije, on jednostavno specificira što
se mora učiniti , ali ne navodi kako to učiniti.
Tablica 5-5 ISO 27000 serija postojećih i planiranih normi
ISO 27000
serija
Status Naslov Komentar
27000 2009 Series Overview and vocabulary Definira terminologiju i riječnik za
norme iz serije
27001 2005 Information Security Management
System Specification
Proizašla iz BS 7799-2
27002 2007 Code of practice for Information
Security Management
Preimenovano iz ISO 17799 koji je
proizašao iz BS 7799-1
27003 2010 Information Security management
Systems Implementation Guidelines
27004 2009 Information Security Management -
Measurements
27005 2008 Information Security Risk
Management
27006 2007 Requirements for Bodies providing
Audit and Certifcation of an ISMS
Uglavnom je namijenjena podršci
akreditaciji certifikacijskog tijela koje
provodi ISMS certifikaciju
Edukacija, trening i podizanje svijesti u informacijskoj sigurnosti
Implementacija programa edukacije, treninga i podizanja svijesti o sigurnosti
(SETA program).
Kontrola (sigurnosna mjera) koja se dizajnira kako bi se smanjio postotak
nesretnih sigurnosnih proboja od strane zaposlenika.
Dodatak općem programu edukacije i treninga
SDLC ciklus mora uključivati uvjeţbavanje korisnika za vrijeme faze
implementacije.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 265
Svrha SETA programa
o Podizanje svijesti
o Razvijanjem vještina i znanja
o Izgradnjom znanja po dubini
Tablica 5-10 Usporedni okvir SETA programa
Edukacija Trening Podizanje svijesti
Atribut Zašto Kako Što
Razina Uvid Znanje Informacija
Cilj Razumijevanje Vještina Izlaganje
Učenje Teoretska nastava Praktična nastava Medijsko
Metoda Seminar Predavanje Brošure novosti
Osnovna literatura Radionica analize
slučajeva
Praktično vjeţbanje Posteri
Mjera testa Pismeni (provjera
naučenog)
Rješavanje problema
(provjera primjene) ispravno ili pogrešno
višestruki izbor
(identifikacijska
provjera)
Vremenski okvir
utjecaja
Dugoročni Posredni Kratkoročni
Edukacija u području sigurnosti
o Formalna razina izobrazbe ili certifikat iz informacijske sigurnosti
o Formalni kolegiji ili specijalistički studiji iz informacijske sigurnosti na
sveučilištu
o Centri izvrsnosti u izobrazbi informacijske sigurnosti
(www.nsa.gov/ia/academia/caemap.cfm?menuID=10.1.1.2); Kennesaw
State˙s Center for Information security education (infosec.kennesaw.edu)
Trening u području sigurnosti
o detaljne informacije i upute kako trebaju provoditi svoje
o u kući ili moţe eksternalizirati program treninga
o alternativa formalnim programima treninga su industrijske konferencije i
programi
Podizanje svijesti u području sigurnosti
o na prvoj liniji korisničkog razmišljanja - je odrţavati ideju informacijske
sigurnosti u korisničkim mislima
o uključuju brošure, sigurnosne postere, video, oglasne ploče, letci,
drangulije-sigurnosni slogani i dr.
Jedan primjer postera dan je na Slici 5-13.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 266
Strategije kontinuiteta
Planiranje nepredviĎenih situacija (contingency planning).
Planiranje koje treba osigurati kontinuiranu raspoloţivost informacijskih sustava
Spremnost i kada se uspješan napad dogodi.
Vrste planova
o planovi odgovora na incidente,
o planovi oporavka od katastrofa i
o planovi kontinuiteta poslovanja
Male organizacije mogu imati jedan jednostavan plan (backup, strategija
oporavka i nekoliko servisnih sporazuma sa dobavljačima usluga)
Planiranje za odgovor na incidente, opravak od katastrofe i kontinuitet poslovanja su
komponente planiranja nepredvidivih situacija, kako je pokazano na Slici 5-14.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 267
Plan za nepredvidive situacije se priprema od strane organizacije kako bi
preduhitrili, reagirali i oporavili se od dogaĎaja koji su prijetnja sigurnosti
informacija i informacijskoj imovini u organizaciji, te kako bi postupno doveli
organizaciju u normalan oblik rada.
Incident je bilo koji jasno identificirani napad na informacijsku imovinu
organizacije koji moţe ugroziti povjerljivost, cjelovitost ili raspoloţivost
informacijske imovine.
Plan za odgovor na incident (IR) upućuje na identifikaciju, klasifikaciju,
odgovor te na oporavak od incidenta.
Plan oporavka od katastrofe (DR) upućuje na pripremu i oporavak od
katastrofe, da li je ona nastala prirodno ili je rezultat ljudske aktivnosti.
Plan kontinuiteta poslovanja (BC) osigurava kontinuiranost odvijanja ključnih
poslovnih funkcija, ukoliko se dogodi katastrofalni incident ili katastrofa.
Primarne funkcije ova tri planiranja su:
o IR plan (IRP) se fokusira na neposredan odgovor,
o DR plan (DRP) se fokusira na oporavak sustava na originalnoj lokaciji,
nakon što se dogodi katastrofa, te je kao takav usko vezan na BC plan.
o BC plan (BCP) se izvodi konkurentno sa DR planom kada je šteta velika ili
traje
Slika 5-15 pokazuje jednostavnu sekvencu dogaĎaja te njihovo preklapanje u odnosu na
aktiviranje njihovih uloga.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 268
Planiranje za nepredvidive situacije slično procesu upravljanja rizikom - mikro
prostor aktivnosti upravljanja rizikom - proces planiranja oponaša proces
upravljanja rizikom proces
Implementacija informacijske sigurnosti
implementacija projekta informacijske sigurnosti traţi vrijeme, napor i mnogo
komunikacije i koordinacije kako uspješno izvesti plan (blueprint) informacijske sigurnosti. implementacije se provodi kroz promjene konfiguracije i operacija informacijskih
sustava
o Procedure (primjerice kroz politike)
o Ljudi (primjerice kroz uvjeţbavanje)
o Hardver (primjerice kroz sigurnosne stijene)
o Softver (primjerice kroz enkripciju)
o Podatci ( primjerice kroz klasifikaciju)
organizacija translatira svoj plan (blueprint) informacijske sigurnosti u projektni
plan.
menadţment organizacije koordinira viziju informacijske sigurnosti i ciljeve sa
svim zainteresiranim stranama koje su uključene u izvoĎenje projektnog plana.
Projektni plan mora opisati kako osigurati i implementirati potrebne sigurnosne
kontrole
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 269
Gdje god je moguće projekti informacijske sigurnosti trebaju slijediti praksu
organizacije u upravljanju projektima
Tehnički aspekti implementacije
Strategije konverzije
o Direktni prelazak
o Fazna implementacija
o Pilotska implementacija
o Paralelan rad
Model bikovog oka
o Problemi rješavaju od općih prema specifičnim,
o Fokus je na sustavnim rješenjima umjesto na individualnim
o Kako je pokazano na slici 10-2 rješenje leţi na procesu razvoja projektnog
plana u četiri razine:
1. Politike
2. Mreţe
3. Sustavi
4. Aplikacije
Eksternalizacija da ili ne ?
organizacija moţe eksternalizirati dio svog programa informacijske sigurnosti.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 270
unajmljuju vanjske konzultante za penetracijsko testiranje te za revizije
programa informacijske sigurnosti
pomoć u nadzoru pokušaja ili uspješnog napada.
VoĎenje i upravljanje tehnologijom i upravljanje promjenama
procesi voĎenja i upravljanja (governance) tehnologijom
o upravljala učincima i troškovima, odreĎivanje učestalost dogradnje
tehničkih sustava, , odobrenje i budţetiranje tehničke dogradnje
proces upravljanja promjenama
o Poboljšava komunikaciju
o UnaprjeĎuje koordinaciju
o Smanjuje neţeljene posljedice
o Poboljšava kvalitetu usluge
o Podiţe sigurnost menadţera u to da su poslovi usklaĎeni sa politikama
Ne tehnički aspekti implementacije
Kultura upravljanja promjenama
o odbojnost prema promjenama
o zaposlenici preferiraju rad na stari način
o stres od uspostave - povećava vjerojatnost pojave grešaka i stvaranja veće
ranjivosti
o smanjiti odbojnost zaposlenika na promjene - Levin-ov model
Odmrzavanje
Pomicanje
Ponovno zamrzavanje
Razmatranje organizacijskih promjena
o Smanjenje otpora na promjene od samog početka
poboljšati interakciju - voditelji projekata komuniciraju, educiraju i
uključuju
informirati zaposlenike o napretku SecSDLC-a
aţurirati i educirati zaposlenike koji je utjecaj promjena - isporučiti
kvalitetan program uvjeţbavanja
uključivanje zaposlenika u projektni plan - zdruţeni razvoj
aplikacija
o Razvoj kulture koja pomaţe promjene
organizacija prihvaća promjene kao dio kulture,
jaka potpora menadţmenta za promjene
Certifikacija i akreditacija sigurnosti informacijskih sustava
Organizacije sve više pronalaze potrebu, kako bi zaštitile osobne i druge podatke koji su
reguliranim zakonom, da njihovi sustavi imaju i formalne mehanizam za njihovu
verifikaciju i validaciju, potvrĎivanje.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 271
Certifikacija nasuprot akreditacije
o akreditacija autorizira IT sustave da obraĎuju, pohranjuju i prenose
informaciju na siguran način
o certifikacija se definira kao " sveobuhvatno vrednovanje tehničkih i ne
tehničkih sigurnosnih kontrola IT sustava koje podupiru proces
akreditacije koji postavlja veličinu do koje pojedini dizajn i
implementacija ispunjava postavljeni skup sigurnosnih zahtjeva"
o Što se postiţe ?
konkurentsku prednost,
sigurnost i povjerenje svojih korisnika
menadţment je identificirao prihvatljivu razinu rizika te da je
osigurao resurse koji kontroliraju neprihvatljivu razinu rizika.
ISO 27001/27002 sustavi certifikacije i akreditacije
Organizacije koje ţele pokazati da njihovi sustavi zadovoljavaju ove
meĎunarodne norme moraju slijediti proces certifikacije koji uključuje slijedeće
faze:
o Prva faza procesa uključuje da se je tvrtka pripremila i da je spremna za
certifikaciju svog ISMS-a
o Druga faza uključuje angaţiranjem jednog od akreditiranih
certifikacijskih tijela da provede reviziju (audit) ISMS-a.
o Certifikat koji se dodjeljuje vrijedi tri godine nakon čega se ISMS mora
recertificirati (treća faza)
Odrţavanje informacijske sigurnosti
Aspekti organizacije i njezine okoline su dinamički Prijetnje koje su procijenjene na početku SecSDLC-a su se vjerojatno promijenile Nove vrste napada, kao što su novi virusi, crvi, DoS napadi Promjena i drugih varijabli unutar i zvan organizacije Promjene koje imaju utjecaj na informacijsku sigurnost organizacije
o Nabava nove imovine, i otpis stare imovine
o Pojava ranjivosti koje su povezane sa novom ili postojećom imovinom
o Pomicanje poslovnih prioriteta
o Formiranje novih partnerskih odnosa
o Razvrgnuće starih partnerskih odnosa
o Odlazak osoblja koje je uvjeţbano i educirano
o Unajmljivanje osoblja
Model odrţavanja zahtjeva odreĎena znanja
o o upravljanju i radu programa informacijske sigurnosti (ISMS-u)
o o različitim metodama koje koristi organizacija za nadgledanje tri glavana
aspekta rizika informacijske sigurnosti: prijetnje, imovina i ranjivosti
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 272
o o digitalnoj forenzici, što predstavlja posebno područje u informacijskoj
sigurnosti.
Model upravljanja informacijskom sigurnošću
Jedan od primjera modela koji mi koristimo je model Sustava upravljanja informacijskom
sigurnošću (ISMS) prema normi ISO 27001 i ISO 27002.
ISO 27002 Code of Practice for Information Security Management preporuča
najbolju praksu u korištenju sigurnosnih kontrola (134 kontrole).
ISO 27001 uvodi model procesa sa koracima koji se nazivaju Pla-Do-Check_Act
(PDCA proces). Ti koraci su dio rješenja sustava upravljanja koje se odnosi na
razvoj, implementaciju i poboljšanje učinkovitosti upravljanja informacijskom
sigurnošću organizacije sa pogledom na upravljanje rizicima.
PDCA proces uključuje slijedeće korake:
1. Plan: Provedi analizu rizika obzirom na ranjivost s kojom je suočena
organizacija
2. Do: Primjeni interne kontrole za upravljanje rizikom
3. Check: Provedi periodičke i učestale preglede kako bi verificirao
učinkovitost kontrola i programa informacijske sigurnosti
4. Act: Izradi plan odgovora na incidente za slučaj potrebe
Upravljanje i nadzor sigurnosnog sustava (ISMS)
Kako bi informacijski sustav bio zaštićen na pravi način potrebno je uspješno
uskladiti, implementirati i nadzirati sve potrebne mjere zaštite, koje se odnose na
ljude, tehnologiju i procese.
Norme koje daju preporuke za uspostavljanje sustava upravljanja sigurnošću
informacija (ISMS- Information Security Management System).
ISMS familija normi
ISO/IEC 27000:2009, Information security management systems - Overview and
vocabulary
ISO/IEC 27001:2005, Information security management systems -Requirements
ISO/IEC 27002:2005, Code of practice for information security management
ISO/IEC 27003, Information security management systems implementation
guidance
ISO/IEC 27004, Information security management - Measurement
ISO/IEC 27005:2008, Information security risk management
ISO/IEC 27006:2007, Requirements for bodies providing audit and certification
of information security management systems
ISO/IEC 27007, Guidelines for information security management systems
auditing
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 273
ISO/IEC 27011, Information security management guidelines for
telecommunication organizations based on ISO/IEC 27002.
MeĎunarodne norme koje nisu pod gore navedenim općim nazivom, a takoĎer
pripadaju ISMS familiji normi su:
ISO 27799:2008, Health informatics - Information security management in health
using ISO/IEC 27002
Sustav upravljanja informacijskom sigurnošću (ISMS)
Sve organizacije, svih vrsta i veličina:
Skupljaju, obraĎuju, pohranjuju i prenose velike količine informacija;
Prepoznaju da su informacije i njima pripadni procesi, sustavi, mreţe i ljudi vrlo
vaţna imovina za postizanje poslovnih ciljeva organizacije,
Suočavaju se sa širokom područjem rizika koji utječu na funkcioniranje njihove
imovine i
Modificiraju rizike kroz implementaciju sigurnosnih kontrola.
Budući se rizici informacijske sigurnosti te učinkovitost kontrola mijenjaju ovisno o
promjenama okoline, svaka organizacija treba:
Nadzirati i vrednovati učinkovitost implementiranih kontrola i procedura
Identificirati pojavu rizika koji se moraju obraditi
Odabrati, implementirati i poboljšavati kontrole kada je to potrebno.
Što je to ISMS ?
Sustav upravljanja informacijskom sigurnošću - ISMS (Information Security
Management System) osigurava model za uspostavu, implementaciju, rad, nadzor,
preglede, odrţavanje i poboljšanje zaštite informacijske imovine u cilju postizanja
poslovnih ciljeva koji su temeljeni na procjeni rizika te na prihvatljivoj razini
rizika za organizaciju na kojima se zasniva učinkovita obrada i upravljanje rizika.
Principi koji takoĎer doprinose uspješnoj implementaciji ISMS-a:
o Podizanje svijesti o razumijevanju i potrebi za informacijskom sigurnošću
o Pridruţivanje odgovornosti za informacijsku sigurnost
o Uključivanje podrške Uprave organizacije i interesa zainteresiranih strana
o UnapreĎenje socioloških vrijednosti
o Procjena rizika odreĎuje odgovarajuće kontrole kako bi se dosegla
prihvatljiva razina rizika
o Sigurnost uključiti kao vaţan element informacijskih sustava i mreţa
o Aktivna prevencija i detekcija incidenata informacijske sigurnosti
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 274
o Osiguranje sveobuhvatnog rješenja za upravljanje informacijskom
sigurnošću i
o Kontinuirana procjena informacijske sigurnosti te provoĎenje izmjena
kada je to potrebno
Procesni pristup
Procesno rješenje za ISMS koje je korišteno u ISMS familiji normi , a koje je bazirano na
principu na koje radi ISO sustavi upravljanja je općenito poznat kao Plan-Do-Check-Act
(PDCA) proces (Deming-ov ciklus) :
a) Plan - postavljanje ciljeva i izrada planova ( analiza situacije u organizaciji,
uspostava sveukupnih ciljeva, razvoj planova koji trebaju realizirati te ciljeve);
b) Do - implementirati planove (učiniti ono što je planirano da se učini)
c) Check - mjeriti dobivene rezultate (mjerenje/nadziranje postignutih rezultata u
odnosu na planirane ciljeve) i
d) Act -Ispravi i poboljšaj aktivnosti (uči iz grešaka na poboljšanju aktivnosti kako
bi se postigli bolji rezultati).
Ovaj proces pokazan je na donjoj slici.
Aktivnosti koje se provode u ovom procesu dane su u sljedećoj tablici:
Plan
(uspostavljanje ISMS)
Uspostavljanje ISMS politike, ciljeva, procesa i procedura važnih za upravljanje rizikom i povećanje informacijske sigurnosti kako bi dali rezultate u skladu s ukupnom politikom i ciljevima organizacije
Do Implementiranje i pokretanje ISMS politike, kontrola i
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 275
( implementacija i pokretanje ISMS) procedura
Check
(nadgledanje i kontrola ISMS)
Procjena i gdje je primjenjivo, mjerenje performansi procesa u odnosu na ISMS politiku, ciljeve i praktično iskustvo te izvještavanje uprave o rezultatima.
Act
(održavanje i unapređivanje ISMS)
IzvoĎenje korektivnih i preventivnih akcija zasnivanih na rezultatima ISMS procjene (audita) i procjene uprave ili ostalim bitnim informacijama, kako bi se ISMS kontinuirano usavršavao.
Zašto je ISMS važan ?
Postiţe veću garanciju sigurnosti u zaštiti informacijske imovine od
informacijskih rizika na kontinuiranoj osnovi
Odrţava strukturiran sveobuhvatan radni okvir za identifikaciju i procjeni rizika
informacijske sigurnosti, odabir i primjenu odgovarajućih sigurnosnih mjera
(kontrola) te mjerenje i poboljšanje njihove učinkovitosti.
Kontinuirano poboljšava kontroliranu okolinu i
Djelotvorno postiţe zakonsku i regulatornu usklaĎenost.
Uspostava, nadzor, održavanje i poboljšanje ISMS-a
Identificirati informacijsku imovinu te njihove sigurnosne zahtjeve
Procijeniti rizike informacijske sigurnosti
Odabrati i implementirati odgovarajuće kontrole kako bi upravljali sa
neprihvatljivim rizicima
Nadzirati, odrţavati i poboljšavati učinkovitost sigurnosnih kontrola koje su
povezane sa informacijskom imovinom koja se štiti.
Identifikacija zahtjeva informacijske sigurnosti
Zahtjevi na informacijsku sigurnost mogu se identificirati kroz razumijevanje:
o Identificirane informacijske imovine i njenih vrijednosti za organizaciju
o Poslovnih potreba za obradom i uskladištenje informacija
o Zakonskih i regulatornih i ugovornih zahtjeva i obveza
Procjena rizika informacijske sigurnosti
ISO/IEC 27005 daje smjernice , uključujući i savjete za procjenu rizika, obradu
rizika, prihvaćanje rizika, komunikaciju rizika, nadzor i pregled rizika.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 276
Odabir i implementacija kontrola informacijske sigurnosti
Sigurnosne kontrole mogu se odabrati iz
o ISO/IEC 27002 norme (134 kontrole), ili
o CRAMM (3000 kontrola), CoBit, ITIL) ili se
o grade nove kontrole kako bi se zadovoljile specifične potrebe
Odabir i implementacija sigurnosnih kontrola se dokumentira u Izjavi o
primjenjivosti (SoA - Statement of Applicability)
Nadzor, održavanje i unapreĎenje učinkovitosti ISMS-a
Organizacija treba odrţavati i unapreĎivati ISMS kroz nadzor i procjenu
performansi prema sigurnosnoj politici organizacije i njenim ciljevima, te treba
izvještavati Upravu za ocjenu postignutih rezultata.
Ovi ISMS pregledi bit će dokaz valjanosti, verifikacije i dokumentiranosti
korektivnih i preventivnih mjera te unapreĎenja koji se temelje na zapisima
nadziranog područja, uključujući nadzor sigurnosnih kontrola.
Kritični faktori uspjeha ISMS-a
Primjeri kritičnih faktora uspjeha su:
Politika informacijske sigurnosti, ciljevi i aktivnosti koje su podešene ciljevima
Rješenje i radni okvir za projektiranje, implementaciju, nadzor i unapreĎenje
informacijske sigurnosti koje je konzistentno s kulturom organizacije
Vidljiva podrška i predanost na svim razinama upravljanja, posebno na razini
visokog menedţmenta
Razumijevanje zahtjeva na zaštitu informacijske imovine koja se postiţe kroz
primjenu upravljanja rizikom informacijske sigurnosti (vidi ISO/IEC 27005)
Učinkovit program podizanja svijesti o informacijskoj sigurnosti, treningu i
edukaciji, informiranje svih zaposlenika i ostalih strana o njihovim obvezama
Učinkovit proces upravljanja incidentima informacijske sigurnosti
Učinkovito rješenje za kontinuitet poslovanja, te
Sustav mjerenja koji se koristi za vrednovanje performansi u upravljanju
informacijskom sigurnošću
Kako će organizacija uspostaviti sustav upravljanja ?
Foformiti vlastiti tim eksperata za informacijsku sigurnost ili
angaţirati vanjske konzultante.
Rrukovoditi se najboljom praksom
o ISO/IEC 27001:2005, Information security management systems -
Requirements
o ISO/IEC 27002:2005 (proizašla iz norme ISO/IEC 17799:2005) , Code
of practice for information security management
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 277
Norma ISO/IEC 27001:2005
0.1 Opći zahtjevi Organizacija će uspostaviti, implementirati, pokrenuti, nadzirati, provjeravati, održavati i unapreĎivati dokumentirani ISMS u skladu s cjelokupnim poslovnim aktivnostima organizacije i rizicima s kojima se ona suočava. Za potrebe ovog meĎunarodnog standarda koristi se PDCA model procesa koji je prethodno prikazan.
0.2 Uspostavljanje i upravljanje ISMS-om
0.2.1 Uspostavljanje ISMS-a
Organizacija mora učiniti slijedeće:
a) Odredititi opseg i granice ISMS-a u kontekstu karakteristika poslovanja, organizacije, lokacije, imovine i tehnologija, uključujući detalje i objašnjenja svakog isključivanja iz ovog opsega (pogledati 1.2)
b) Definirati politiku ISMS-a u kontekstu karakteristika poslovanja, organizacije, lokacije, imovine i tehnologija koja:
1) uključuje strukturu za postavljanje ciljeva i uspostavljanje cjelokupne svijesti o smjernicama i principima postupanja glede informacijske sigurnosti;
2) uzima u obzir poslovne i zakonske zahtjeve, i ugovorne sigurnosne obaveze;
3) je usklaĎena sa upravljanjem rizicima u organizaciji u kojoj se ISMS uspostavlja i održava;
4) uspostavlja kriterije prema kojima će se vrijednovati rizici (vidi 4.2.1c)); i
5) je odobrena od strane uprave.
NAPOMENA: Za potrebe ovog meĎunarodnog standarda , ISMS politika se smatra nadskupom politika informacijske sigurnosti. Ove politike mogu biti opisane u istom dokumentu.
c) Definirati pristup procjeni rizika organizacije.
1) Odabrati metodu procjene rizika pogodnu za ISMS, i poznate zahtjeve na sigurnost poslovnih informacija, pravne i regulatorne zahtjeve,
2) Razviti kriterije za prihvaćanje rizika i odrediti prihvatljive razine rizika. (vidi 5.1f))
Odabrana metoda procjene rizika mora osigurati da procjena rizika daje usporedive i ponovljive rezultate.
NAPOMENA: Postoje različite metodologije za procjenu rizika. Primjeri ovih metodologija su obraĎeni u ISO/IEC TR 13335-3, Information technology – Guidelines for the management of IT Security – Techniques for the management of IT Security.
d) Identificirati rizike
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 278
1) Identificirati imovinu unutar opsega ISMS-a, i vlasnike 1te imovine.
2) Identificirati prijetnje ovoj imovini
3) Identificirati ranjivosti koje bi mogle biti iskorištene od tih prijetnji
4) Identificirati učinak koji gubitak povjerljivosti, integriteta i dostupnosti može imati na ovu imovinu.
1 Pojam „vlasnik“ označava osobu ili entitet koji ima od uprave odobrenu odgovornost za kontrolu
proizvodnje, razvoja, odrţavanja, upotrebe i sigurnost imovine. Pojam „vlasnik“ ne označava da ta osoba u
stvarnosti ima bilo kakva prava vlasništva nad imovinom.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 279
e) Analizirati i vrednovati rizike.
1) Procijeniti učinak na poslovanje koji bi mogao nastati zbog sigurnosnih propusta, uzimajući u obzir gubitak povjerljivosti, integriteta ili dostupnosti imovine.
2) Procijeniti realnu vjerojatnost sigurnosnih propusta nastalih u svjetlu rasprostranjenih prijetnji i ranjivosti, utjecaja asociranih sa ovom imovinom, te trenutno implementiranih kontrola.
3) Procijeniti nivoe rizika.
4) Odrediti da li su rizici prihvatljivi ili zahtijevaju obradu, služeći se uspostavljenim kriterijima za prihvaćanje rizika u 4.2.1c)2).
f) Identificirati i vrednovati opcije za obradu rizika.
Moguće akcije uključuju:
1) Primjenu prikladnih kontrola;
2) Svjesno i objektivno prihvaćanje rizika, osiguravajući da se jasno zadovoljavaju organizacijske politike i kriteriji za prihvaćanje rizika (vidi 4.2.1c)2));
3) Izbjegavanje rizika; i
4) Prenošenje vezanih poslovnih rizika na treće osobe, npr. osiguravatelje, dobavljače.
g) Odabrati ciljeve kontrola i kontrole za obradu rizika.
Ciljevi kontrola i kontrole moraju biti odabrani i implementirani na način da zadovoljavaju zahtjeve identificirane procjenom rizika i procesom obrade rizika. Ovaj odabir mora biti u skladu s kriterijima za prihvaćanje rizika (vidi 4.2.1c)2)), kao i pravnim, regulatornim i ugovornim zahtjevima.
Ciljevi kontrola i kontrole iz Aneksa A moraju biti selektirani kao dio ovog procesa kao pogodne za zadovoljavanje identificiranih zahtjeva.
Ciljevi kontrole i kontrole iz Aneksa A moraju biti odabrane kao dio ovog procesa primjereno pokrivanju identificiranih zahtjeva.
NAPOMENA: Aneks A sadrži iscrpan popis ciljeva kontrola i kontrola koje su ocjenjene kao učestalo relevantne u organizacijama. Korisnici ovog meĎunarodnog standarda su usmjereni na Aneks A, kao na početnu točku za izbor kontrola, kako se sa sigurnošću ne bi previdjela neka važna kontrola.
h) Dobiti odobrenje uprave za predloženi nivo rezidualnog rizika
i) Dobiti ovlaštenje uprave za implementaciju i rad ISMS
j) Pripremiti izjavu o primjenjivosti
Izjava o primjenjivosti mora biti pripremljena, što uključuje slijedeće:
Ciljevi kontrola i odabrane kontrole u 4.2.1g) i razlozi odabira
Ciljevi kontrola i trenutno implementirane kontrole (vidi 4.2.1e)2)); i
Isključivanje bilo kojeg cilja kontrole i kontrole u Aneksu A i opravdanje za njihovo isključenje.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 280
NAPOMENA: Izjava o primjenjivosti pruža sažetak odluka o obradi rizika. Opravdavanje isključenja pruža unakrsnu kontrolu da ni jedna kontrola nije nehotično ispuštena.
0.2.2 Implementiranje i rad ISMS-a
Organizacija mora učiniti slijedeće:
a) Formulirati plan za obradu rizika koji identificira odgovarajuće akcije uprave, resurse, odgovornosti i prioritete za upravljanje rizicima informacijske sigurnosti (vidi 5).
b) Implemetirati plan za obradu rizika kako bi dostigao ciljeve odabranih kontrola, što uključuje uzimanje u obzir financiranja,i raspodjele uloga i odgovornosti.
c) Implementirati kontrole odabrane u 4.2.1g) kako bi zadovoljila ciljeve kontrola
d) Odrediti način mjerenja efikasnosti odabranih kontrola ili grupa kontrola i definirati način na koji će ta mjerenja biti upotrebljena u procjeni efikasnosti kontrola, tako da rezultiraju usporedivim i ponovljivim rezultatima (vidi 4.2.3c)).
NAPOMENA: Mjerenje efikasnosti kontrola omogućava rukovoditeljima i osoblju odreĎivanje uspjeha dostizanja ciljeva kontrola.
e) Implementirati programe obuke i podizanja svijesti o informacijskoj sigurnosti (vidi5.2.2)
f) Upravljati radom ISMS-a
g) Upravljati resursima za ISMS (vidi 5.2)
h) Implementirati procedure i druge kontrole sposobne za omogućavanje trenutne detekcije sigurnosnih dogaĎaja i odgovor na sigurnosne incidente (vidi 4.2.3a)).
0.2.3 Nadziranje i provjera ISMS-a
Organizacija mora učiniti slijedeće:
a) Izvršavati, nadzirati i provjeravati procedure i ostale kontrole da bi:
1) Trenutno uočavala greške u rezultatima procesiranja;
2) Trenutno uočavati pokušaje proboja i uspješne proboje sigurnosti i sigurnosne incidente;
3) Omogućiti upravi da ustanovi da li se ljudima povjerene ili informacijskim tehnologijama implementirane sigurnosne aktivnosti izvršavaju prema očekivanjima.;
4) Pomagati u detekciji sigurnosnih dogaĎaja i upotrebom indikatora spriječavati sigurnosne incidente; i
5) Ustanovljavati da li su akcije poduzete za rješavanje proboja sigurnosti bile efikasne.
b) Izvoditi redovitu provjeru efikasnosti ISMS-a (uključujući zadovoljavanje ISMS politike i ciljeva, i provjeru sigurnosnih kontrola) uzimajući u obzir rezultate sigurnosnih prsudbi (audita), incidente, rezultate mjerenja efikasnosti, prijedloge i povratne informacije zainteresiranih strana.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 281
c) Mjeriti efikasnost kontrola kako bi se provjerilo da su zadovoljeni sigurnosni zahtjevi.
d) Provjera procjena rizika u planiranim intervalima i provjera rezidualnog rizika i ustanovljenog prihvatljivog nivoa rizika, uzimajući u obzir promjene:
1) Organizacije;
2) Tehnologija;
3) Poslovnih ciljeva i procesa;
4) Identificiranih prijetnji;
5) Efikasnosti implementiranih kontrola; i
6) Vanjske dogaĎaje, kao promjene pravnog ili regulatornog okriženja, ugovornih obaveza, i socijalnog ozračja.
e) Izvoditi interne prosudbe (audite) u planiranim intervalima (vidi 6)
NAPOMENA: Interne prosudbe, nazivane i prosudbe prve strane, se izvode od, i u ime same organizacije, za interne potrebe
f) Izvoditi provjeru ISMS-a od strane uprave na redovnoj bazi kako bi se osigurala adekvatnost opsega i identifikacija unapreĎenja ISMS-a (vidi 7.1).
g) Nadopunjavanje sigurnosnog plana kako bi u obzir uzimao rezultate nadzora i provjera aktivnosti.
h) Bilježenje akcija i dogaĎaja koji bi mogli imati učinak na efikasnost izvoĎenja ISMS-a (vidi 4.3.3)
0.2.4 Održavanje i unapređivanje ISMS-a
Organizacija mora redovito:
a) Implementirati uočena poboljšanja ISMS-a
b) Poduzeti odgovarajuće korektivne i preventivne radnje u skladu s 8.2 i 8.3. Primjeniti znanja stečena iz iskustva drugih ili vlasite organizacije.
c) Obavijestiti uvjetima prikladnom detaljnošću sve zainteresirane strane o uvedenim izmjenama i poboljšanjima, te prema potrebi usaglasiti načine postupka.
d) Osigurati da poboljšanja postignu namjeravane ciljeve.
0.3 Zahtjevi za dokumentaciju
0.3.1 Općenito
Dokumentacija mora sadržavati zapise o odlukama uprave, osiguravati slijedivost svih postupaka do odluka uprave ili politika i osigurati da su zapisani rezultati ponovljivi.
Važno je biti u mogućnosti demonstrirati vezu od odabranih kontrola do rezultata procjene rizika i postopka obrade rizika, a potom nazad do ISMS politika i ciljeva.
ISMS dokumentacija mora uključivati:
a) Dokumentirane izjave ISMS politike (vidi 4.2.1b)) i ciljeve;
b) Opseg ISMS (vidi 4.2.1a));
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 282
c) Procedure i kontrole koje podupiru ISMS;
d) Opis metodologije procjene rizika (vidi 4.2.1c));
e) Izvještaj procjene rizika (vidi 4.2.1c) do 4.2.1g));
f) Plan obrade rizika (vidi 4.2.2b));
g) Organizaciji potrebne dokumentirane procedure koje osiguravaju efikasno planiranje, rad i kontrolu procesa informacijske sigurnosti, te opisuju kako mijeriti efikasnost kontrola (vidi 4.2.3c));
h) Zapise zahtjevane ovim meĎunarodnim standardom (vidi 4.3.3); i
i) Izjavu u primjenjivosti
NAPOMENA 1: Termin „dokumentirana procedura“ koji se pojavljuje u ovom standardu označava da je procedura uspostavljena, dokumentirana, implementirana i održavana.
NAPOMENA 2: Širina ISMS dokumentacije može varirati od jedne do druge organizacije uslijed:
- veličine organizacije i vrste aktivnosti kojima se bavi; i
- Opsega i kompleksnosti sigurnosnih zahtjeva postavljenih pred sustav kojim se upravlja
NAPOMENA 3: Dokumenti i zapisi mogu biti u bilo kojoj formi ili na bilo kojoj vrsti medija
0.3.2 Kontrola dokumenata
Dokumenti zahtijevani od ISMS-a moraju biti zaštićeni i kontrolirani. Mora biti uspostavljene dokumentirana procedura koja će odrediti akcije uprave potrebne kao bi se:
a) Odobrila adekvatnosti dokumenta prije upotrebe
b) Pregled i dopuna dokumenata dokumenata prema potrebi i njihovo ponovljeno odobravanje
c) Osiguralo da su identificirane izmjene i trenutna revizija statusa dokumenata
d) Osigurati da su relevantne verzije primjenjivih dokumenta dostupne na mjestu upotrebe
e) Osigurati da dokumenti ostanu čitki i lako prepoznatljivi
f) Osigurati da dokumenti budu dostupni onima koji ih trebaju, da su transportirani, pohranjeni i odloženi u skladu s primjenjivim procedurama za njihovu klasifikaciju
g) Osigurati da su identificirani dokumenti vanjskog porijekla
h) Osigurati da je distribucija dokumenata kontrolirana
i) Spriječiti upotrebu zastarjelih dokumenta i
j) Ukoliko su iz bilo kog razloga sačuvani, dodijeliti im odgovarajuću identifikaciju
0.3.3 Kontrola zapisa
Moraju se uspostaviti i održavati zapisi koji pružaju dokaze o usklaĎenosti sa zahtjevima i efikasnom radu ISMS-a. Bit će zaštićeni i kontrolirani. ISMS će u obzir uzimati sve relevantne regulatorne i zakonske zahtjeve i ugovorne obveze. Zapisi će ostati čitki, lako prepoznatljivi i dostupni. Kontrole potrebne za identifikaciju, pohranu, zaštitu,
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 283
pretraživanje, vrijeme čuvanja, i odbacivanja zapisa bit će dokumentirane i implementirane.
Čuvat će se zapisi o izvršavanju procesa kako je navedeno u 4.2 kao i sve pojave značajnih sigurnosnih incidenta vezanih uz ISMS.
PRIMJER
Primjeri zapisa su knjiga posjetitelja, izvještaji s prosudbi (audita) i popunjeni obrasci za dozvolu pristupa.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 284
1 Odgovornost uprave
1.1 Obveza uprave
Uprava će pruţiti dokaz svoje opredijeljenosti uspostavi, implementaciji, radu,
nadziranju, provjeri, odrţavanju i unapreĎivanju ISMS-a:
a) Uspostavljanjem ISMS politike;
b) Osiguravanjem da su ciljevi i planovi ISMS uspostavljeni;
c) Uspostavljanjem funkcija i odgovornosti za informacijsku sigurnost;
d) Prenošenjem kroz organizaciju značenja o ispunjavanju sigurnosnih ciljeva i zadovoljavanju sigurnosnih politika , zakonskih odgovornosti i potrebe za konstantnim unapreĎivanjem;
e) Pružanjem dostatnih sredstava za uspostavljanje, implementaciju, rad, nadzor, provjeru, održavanje i unapreĎivanje ISMS (vidi 5.2.1);
f) Odlučivanjem o kriterijima za prihvaćanje rizika i prihvatljivoj razini rizika;
g) Osiguravanje provoĎenja internih prosudbi (audita) ISMS (vidi 6; i
h) ProvoĎenjem provjera ISMS od strane uprave (vidi 7).
1.2 Upravljanje sredstvima
1.2.1 Dodjeljivanje sredstava
Organizacija će odrediti i osigurati sredstva potrebna za:
a) uspostavljanje, implementaciju, rad, nadzor, provjeru, održavanje i unapreĎivanje ISMS;
b) osiguranje da procedure informacijske sigurnosti podržavaju poslovne zahtjeve;
c) identificiranje i udovoljavanje zakonskim i regulatornim zahtjevima i ugovornim sigurnosnim obvezama;
d) održavanje primjerene sigurnosti ispravnom upotrebom svih implementiranih kontrola;
e) izvoĎenje provjera kada je neophodno, te prikladno reagiranje na rezultate tih provjera; i
f) gdje je zahtijevano, unapreĎivanje efikasnosti ISMS.
1.2.2 Obučavanje, razina svijesti i stručnosti
Organizacija će osigurati da je svo osoblje kojem su dodijeljene odgovornosti definirane ISMS-om stručno za izvršavanje zahtjevanih zadataka tako što će:
a) Odrediti neophodne kompetencije za osoblje koje izvodi zadatke koji utječu na ISMS;
b) Osigurati obuku ili poduzeti druge akcije (npr. Zapošljavanje kompetentnog osoblja) kako bi zadovoljilo ove potrebe;
c) Procjenjivati efikasnost poduzetih akcija; i
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 285
d) Održavati zapise o edukaciji, obuci, vještinama, iskustvu i kvalifikacijama (vidi 4.3.3).
Organizacija će takoĎer osigurati da svo relevantno osoblje bude svijesno značenja i važnosti svojih aktivnosti vezanih uz infomracijsku sigurnost i svog doprinosa postizanju ciljeva ISMS.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 286
2 Interne prosudbe (auditi) ISMS
Organizacija će u planiranim intervalima izvoditi interne prosudbe ISMS kako bi ustanovila da ciljevi kontrola, kontrole, procesi i procedure ISMS:
a) Udovoljavaju zahtjevima ovog meĎunarodnog standarda i relevantnim zakonima i propisima;
b) Udovoljavaju identificiranim zahtjevima informacijske sigurnosti;
c) Su efikasno implementirani i održavani; i
d) Djeluju kako se od njih očekuje.
Program prosudbe mora biti planiran uzimajući u obzir status i važnost procesa i područja koja se prosuĎuju, kao i rezultate prethodnih prosudbi. Mjerila, opseg, učestalost i metode prosudbe moraju biti definirani. Izbor prosuditelja i izvoĎenje prosudbi moraju osigurati objektivnost i nepristranost procesa prosudbe. Prosuditelji ne smiju prosuĎivati vlastiti rad.
Odgovornosti i zahtjevi za planiranje i provoĎenje prosudbi, izvještavanje o rezultatima i održavanjezapisa (vidi 4.3.3) moraju biti definirani dokumentiranom procedurom.
Uprava odgovorna za područje koje se prosuĎuje mora osigurati da se akcije provode bez nepotrebnog odgaĎanja zbog otklanjanja ustanovljenih nesukladnosti i njihovih uzroka. Naknadne aktivnosti će uključivati provjeru poduzetih akcija i izvještavanje o rezultatima provjere (vidi 8).
NAPOMENA: ISO 19011:2002, Smjernice za prosudbu sustava upravljanja kvalitetom i/ili okolišem mogu pružiti vrijednu pomoć za izvoĎenje ISMS prosudbi.
3 Provjera ISMS od strane uprave
3.1 Općenito Uprava će u planiranim intervalima (minimalno jednom godišnje) provjeravati ISMS organizacije kako bi osigurala njegovu kontinuiranu primjerenost, adekvatnost i efikasnost. Provjera mora uključivati procjenu prilika za unapreĎivanje i potrebe za izmjenama ISMS, uključujući politiku informacijske sigurnosti i ciljeve informacijske sigurnosti. Rezultati ove provjere moraju biti jasno dokumentirani a zapisi održavani (vidi 4.3.3).
3.2 Ulazni podaci za provjeru Podaci koje je potrebno dostaviti upravi za potrebe ove provjere sadržavaju:
a) Rezultate prosudbi i provjera ISMS;
b) Povratne informacije zainteresiranih strana;
c) Tehnike, proizvode ili procedure koje bi se mogle iskoristiti u organizaciji za unapreĎivanje performansi i efikasnosti ISMS;
d) Status preventivnih i korektivnih akcija;
e) Ranjivosti i prijetnje koje nisu adekvatno obraĎene u prijašnjoj procjeni rizika;
f) Rezultate mjerenja efikasnosti;
g) Naknadne akcije iz prethodnih provjera uprave;
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 287
h) Sve promjene koje bi mogle utjecati na ISMS; i
i) Preporuke za unapreĎenje.
3.3 Rezultati provjere Rezultati provjere uprave moraju sadržavati sve odluke vezane uz slijedeće:
a) UnapreĎenje efikasnosti ISMS;
b) Obnavljanje procjene rizika i plana obrade rizika;
c) Izmjene procedura i kontrola koje utječu na informacijsku sigurnost, što je neophodno za reagiranje na interne i eksterne dogaĎaje koji mogu utjecati na ISMS, uključujući izmjene:
1) Poslovnih zahtjeva 2) Sigurnosnih zahtjeva 3) Poslovnih procesa koji utječu na poslovne zahtjeve; 4) Zakonskih i regulatornih zahtjeva; 5) Ugovornih obveza; i 6) Razine rizika i/ili mjerila za njihovo prihvaćanje
d) Potrebe za sredstvima.
e) Poboljšanja načina mjerenja efikasnosti kontrola
4 UnapreĎivanje ISMS
4.1 Kontinuirano unapređivanje Organizacije će kontinuirano unapreĎivati efikasnost ISMS kroz uporabu politike informacijske sigurnosti, ciljeva informacijske sigurnosti, rezultata prosudbi, analiza nadziraniha dogaĎaja, korektivnih i preventivnih akcija i kontrola uprave (vidi 7).
4.2 Korektivna aktivnost Organizacija će poduzeti aktivnosti za uklanjanje uzroka nesukladnosti sa ISMS zahtjevima kako bi spriječila ponavljanje. Dokumentirana procedura za korektivne akcije mora definirati zahtjeve za:
a) Identificiranje nesukladnosti;
b) Ustanovljavanje uzroka nesukladnosti;
c) Procjenu potrebe za aktivnostima koje bi osigurale da se nesukladnost ne ponovi;
d) Ustanovljavanje i implementiranje potrebnih korektivnih akcija;
e) Zapisivanje rezultata poduzetih aktivnosti (vidi 4.3.3): i
f) Provjeru poduzete aktivnosti.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 288
4.3 Preventive aktivnosti Organizacija će odrediti aktivnosti za uklanjanje uzroka koji mogu uzrokovati potencijalne nesukladnosti sa zahtjevima ISMS, kako bi spriječila njihovo pojavljivanje. Poduzete preventivne aktivnosti moraju biti prikladne s obzirom na učinak potencijalnih problema. Dokumentirana procedura za preventivne akcije odreĎuje zahtjeve za:
a) Identificiranje potencijalnih nesukladnosti i njihovih uzroka;
b) Vrednovanje potrebe za poduzimanjem aktivnosti za spriječavanje pojave nesukladnosti;
c) Zapisivanje rezultata poduzete aktivnosti /vidi 4.3.3); i
d) Kontrola poduzete preventivne aktivnosti.
Organizacija će identificirati promjenjene rizike i identificirati zahtjeve za pokretanje preventivne aktivnosti s pažnjom usmjerenom na značaj promjenjenog rizika.
Prioritet preventivnih aktivnosti će se odrediti na osnovu rezultata procjene rizika.
NAPOMENA: Aktivnosti koje sprječavaju poajvu nesukadnosti su često isplativije od korektivnih aktivnosti.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 289
Norma ISO/IEC 27002:2005
Ova norma sadrţi sigurnosne domene, ciljeve kontrola i same kontrole koje se
referenciraju u Dodatku A norme ISO/IEC 27001.
Sigurnosne domene (kategorije) koje su pokrivene ovom normom su:
a) Politika sigurnosti (1);
b) Organizacija informacijske sigurnosti (2);
c) Upravljanje imovinom (2);
d) Sigurnost ljudskog potencijala (3);
e) Fizička sigurnost i sigurnost okruţenja (2);
f) Upravljanje komunikacijama i operacijama (10);
g) Kontrola pristupa (7);
h) Nabava, razvoj i odrţavanje informacijskih sustava (6);
i) Upravljanje sigurnosnim incidentima (2);
j) Upravljanje kontinuitetom poslovanja (1);
k) Sukladnost (3).
U zagradama su navedeni brojevi sigurnosnih ciljeva koje trebaju zadovoljiti predloţene
kontrole. Ukupno ih ima 39.
Svaka glavna sigurnosna kategorija sadrţi:
l) cilj kontrole koji definira što treba postići; i
m) jednu ili više kontrola koje se mogu primijeniti za postizanje tog cilja.
Opisi kontrola imaju sljedeću strukturu:
Kontrola
OdreĎuje specifični kontrolni iskaz za zadovoljenje cilja kontrole.
Smjernice za primjenu
Sadrţe detaljnije informacije koje podrţavaju primjenu kontrola i postizanje cilja
kontrole. Neke od smjernica moţda nisu pogodne u svim slučajevima i zato neki drugi
načini primjene kontrole mogu biti primjereniji.
Ostale informacije
Sadrţe dodatne informacije koje je moţda potrebno razmotriti, primjerice zakonske
okvire i reference na druge standarde.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 290
Politika sigurnosti
1 Politika informacijske sigurnosti
Cilj: Osigurati podršku uprave i njenu usmjerenost ka informacijskoj sigurnosti u skladu s
poslovnim zahtjevima i odgovarajućim zakonima i propisima.
Uprava treba postaviti jasan smjer politike u skladu s poslovnim ciljevima i treba
pokazati podršku i obvezu informacijske sigurnosti tako što će postaviti i odrţavati
politiku informacijske sigurnosti u cijeloj organizaciji.
Organizacija informacijske sigurnosti
1 Unutarnja organizacija
Cilj: Upravljanje informacijskom sigurnošću unutar organizacije.
Potrebno je uspostaviti upravljačku strukturu za pokretanje i kontrolu primjene
informacijske sigurnosti unutar organizacije.
Uprava treba odobriti politiku informacijske sigurnosti, dodijeliti sigurnosne funkcije,
koordinirati i provjeravati primjenu informacijske sigurnosti u organizaciji.
Ako je potrebno, treba uspostaviti i omogućiti izvor stručnog savjeta o informacijskoj
sigurnosti unutar organizacije. Odrţavanje kontakta s vanjskim stručnjacima ili grupama,
uključujući odgovarajuća nadleţna tijela, omogućuje praćenje industrijskih smjerova
kretanja, standarda, metoda procjene i osigurava pogodnu vezu pri obradi sigurnosnih
incidenata. TakoĎer je potrebno poticati multidisciplinarni pristup informacijskoj
sigurnosti.
2 Vanjski suradnici
Cilj: Odrţavanje sigurnosti informacija i opreme za obradu informacija organizacije
kojima pristupaju, koje obraĎuju, prenose ili kojima upravljaju vanjski suradnici.
UvoĎenjem proizvoda ili korištenjem usluga vanjskih suradnika, sigurnost informacija i
opreme za obradu informacija organizacije se ne bi trebala smanjiti.
Potrebno je kontrolirati svaki pristup opremi za obradu informacija organizacije, te
obradu i prijenos informacija od strane vanjskih suradnika.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 291
Tamo gdje poslovanje zahtjeva rad s vanjskim suradnicima kojima je potreban pristup
informacijama i opremi za obradu informacija organizacije ili dobavu ili isporuku
proizvoda vanjskim suradnicima ili trećoj strani, potrebno je provesti procjenu rizika radi
utvrĎivanja sigurnosnih pitanja i zahtjeva za kontrolom. U sporazumu s trećom stranom
potrebno je dogovoriti i odrediti kontrole.
Upravljanje imovinom
1 Odgovornost za imovinu
CIlj: Postizanje i odrţavanje odgovarajuće zaštite imovine organizacije.
Potrebno je obuhvatiti svu imovinu i imenovati vlasnike.
Vlasnici se imenuju za svu imovinu i odreĎuje se odgovornost za odrţavanje
odgovarajućih kontrola. Primjenu odreĎenih kontrola moţe vlasnik prema potrebi
prenijeti na suradnike, meĎutim, vlasnik ostaje odgovoran za ispravnu zaštitu imovine.
2 Klasifikacija informacija
Cilj: Osiguranje odgovarajuće razine zaštite informacija.
Informacija je potrebno klasificirati tako da se omogući uvid u potrebu, prioritete i
očekivani stupanj zaštite pri rukovanju informacijama.
Informacija ima promjenjivi stupanj osjetljivosti i presudnog značaja. Nekim
informacijama će biti potrebna dodatna razina zaštite ili poseban način uporabe. Potrebno
je koristiti sustav klasifikacije informacija za odreĎivanje odgovarajućih razina zaštite i
potrebe za posebnim načinima uporabe informacija.
Sigurnost ljudskog potencijala
1 Prije zaposlenja
Cilj: Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje
njihovih odgovornosti, provjeriti njihovu podobnost za posao koji im je namijenjen i
smanjiti rizik od kraĎe, prijevare ili zloporabe opreme.
Prije zaposlenja potrebno je razmotriti sigurnosne odgovornosti u odgovarajućim opisima
poslova, trajanju i uvjetima zaposlenja.
Potrebno je na odgovarajući način provjeriti sve kandidate za posao, ugovorne suradnike
i korisnike treće strane, posebice za osjetljive poslove.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 292
Zaposlenici, ugovorni suradnici i korisnici treće strane koji koriste opremu za obradu
informacija trebaju potpisati sporazum o njihovim sigurnosnim funkcijama i
odgovornostima.
2 Tijekom zaposlenja
Cilj: Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje
prijetnji informacijskoj sigurnosti, njihovih odgovornosti i obveza kao i opremiti ih za
podršku sigurnosnoj politici organizacije tijekom njihovog normalnog rada i smanjiti
rizik ljudske greške.
Potrebno je odrediti odgovornosti uprave za primjenu sigurnosti tijekom zapošljavanja
pojedinaca.
Svim zaposlenicima, ugovornim suradnicima i korisnicima treće strane treba omogućiti
odgovarajuću razinu svijesti, obrazovanje i obučavanje o sigurnosnim procedurama i
ispravnoj uporabi opreme za obradu informacija radi smanjenja mogućih sigurnosnih
rizika. Potrebno je uspostaviti formalni disciplinski proces za slučajeve ugroţavanja
sigurnosti.
3 Prekid ili promjena zaposlenja
Cilj: Osigurati zaposlenicima, ugovornim suradnicima i korisnicima treće strane uredno
napuštanje organizacije ili promjenu zaposlenja.
OdreĎene odgovornosti trebaju omogućiti zaposlenicima, ugovornim suradnicima i
korisnicima treće strane uredno napuštanje organizacije, povrat opreme i brisanje svih
prava pristupa.
Promjenu odgovornosti i zaposlenja unutar organizacije treba izvesti kao prekid
odgovarajućih odgovornosti ili zaposlenja u skladu s ovim poglavljem i zatim provesti
novo zaposlenje prema opisu u poglavlju 8.1.
Fizička sigurnost i sigurnost okruţenja
1 Osigurana područja
Cilj: Sprječavanje neovlaštenog fizičkog pristupa, oštećenja i ometanje prostora i
informacija organizacije.
Presudna i osjetljiva oprema za obradu informacija treba biti smještena u osiguranim
područjima, zaštićenim odreĎenim granicama sigurnosnog prostora s odgovarajućim
sigurnosnim preprekama i kontrolama ulaza. Opremu je potrebno fizički zaštiti od
neovlaštenog pristupa, oštećenja i ometanja.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 293
Pruţena zaštita treba biti proporcionalna definiranim rizicima.
2 Sigurnost opreme
Cilj: Sprječavanje gubitka, oštećenja, kraĎe ili ugroţavanja imovine i prekida aktivnosti
organizacije.
Oprema treba biti zaštićena od fizičkih prijetnji i prijetnji okruţenja.
Zaštita opreme (uključujući opremu koja se koristi izvan prostora organizacije i
premještanje opreme) je potrebno radi smanjenja rizika od neovlaštenog pristupa
informacijama i zaštite od gubitka ili oštećenja. Ovo se takoĎer odnosi i na smještaj
opreme i njeno odbacivanje. Za zaštitu od fizičkih prijetnji i zaštitu popratne opreme,
primjerice električkog napajanja i oţičenja, mogu biti potrebne posebne kontrole.
Upravljanje komunikacijama i operacijama
1 Operativne procedure i odgovornosti
Cilj: Osigurati ispravan i siguran rad opreme za obradu informacija.
Potrebno je odrediti odgovornosti i procedure za upravljanje i rad opreme za obradu
informacija. Ovo uključuje razvoj odgovarajućih radnih procedura.
Potrebno je primijeniti odvajanje funkcija, gdje je to moguće, radi smanjenja rizika od
nemarne ili namjerne zloporabe sustava.
2 Upravljanje pružanjem usluge treće strane
Cilj: Primjenjivanje i odrţavanje odgovarajuće razine informacijske sigurnosti i pruţanje
usluge u skladu sa sporazumima o pruţanju usluge treće strane.
Organizacija treba provjeriti primjenjivanje sporazuma, pratiti usklaĎenost sa
sporazumom i upravljati promjenama radi osiguranja pruţanja usluga u skladu sa
sporazumom s trećom stranom.
3 Planiranje i prihvaćanje sustava
Cilj: Smanjenje rizika od zastoja u radu sustava.
Planiranje i priprema su potrebni za osiguranje dostupnosti odgovarajućeg kapaciteta i
sredstava za postizanje zahtijevane funkcionalnosti sustava.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 294
Potrebno je predvidjeti zahtjeve za budućim kapacitetom tako da se smanji rizik od
prevelikog opterećenja sustava.
Prije prihvaćanja i uporabe potrebno je definirati, dokumentirati i ispitati operativne
zahtjeve novog sustava.
4 Zaštita od zloćudnog i prenošljivog koda
Cilj: Zaštititi cjelovitost softvera i informacija.
Potrebne su mjere opreza za sprječavanje i otkrivanje uvoĎenja zloćudnog i neovlaštenog
prenošljivog koda.
Softver i oprema za obradu informacija su osjetljivi na uvoĎenje zloćudnog koda, kao što
su računalni virusi, mreţni crvi, trojanski konji i logičke bombe. Korisnici trebaju biti
svjesni opasnosti od zloćudnog koda. Rukovoditelji trebaju, tamo gdje je to moguće,
uvesti kontrole za sprječavanje, otkrivanje i uklanjanje zloćudnog koda i kontrolu
prenošljivog koda.
5 Sigurnosne kopije
Cilj: Odrţavanje cjelovitosti i dostupnosti informacija i opreme za obradu informacija.
Potrebno je osigurati rutinske procedure za primjenu dogovorene politike i strategije
(takoĎer pogledajte 14.1) za izradu sigurnosnih kopija podataka i njihovo pravodobno
ponovno uspostavljanje.
6 Upravljanje sigurnošću mreže
Cilj: Osiguranje zaštite informacija u mreţama i zaštite prateće infrastrukture.
Sigurno upravljanje mreţama, koje mogu obuhvaćati i lokacije izvan prostora
organizacije, zahtjeva paţljivo razmatranje toka podataka, zakonskih propisa, praćenja i
zaštite.
TakoĎer mogu biti potrebne i dodatne kontrole za zaštitu osjetljivih informacija koje se
prenose javnim mreţama.
7 Rukovanje medijima
Cilj: Sprječavanje neovlaštenog otkrivanja, promjene, uklanjanja ili uništenja imovine i
prekida poslovnih aktivnosti.
Potrebno je kontrolirati i fizički zaštititi medije.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 295
Potrebno je odrediti prikladne radne procedure za zaštitu dokumenata, računalnih medija
(primjerice vrpce, diskovi), ulazno-izlaznih podataka i dokumentacije sustava od
neovlaštenog otkrivanja, promjene, uklanjanja i uništenja.
8 Razmjena informacija
Cilj: Odrţavanje sigurnosti informacija i softvera razmijenjenih unutar organizacije i s
trećom stranom.
Razmjene informacija i softvera izmeĎu organizacija trebaju se zasnivati na formalnoj
politici razmjene, koja se izvodi u skladu sa sporazumima o razmjeni i koja treba
odgovarati zakonskim propisima (pogledajte poglavlje 15).
Potrebno je odrediti procedure i standarde za zaštitu informacija i fizičkih medija koji
sadrţe informacije koje se prenose.
9 Usluge elektroničke trgovine
Cilj: Osigurati sigurnost usluga elektroničke trgovine i njihove sigurne uporabe.
Potrebno je razmotriti sigurnosna pitanja vezana uz usluge elektroničke trgovine ,
uključujući on-line transakcije i zahtjeve za kontrolu. TakoĎer je potrebno uzeti u obzir
cjelovitost i dostupnost elektronički izdanih informacija preko javno dostupnih sustava.
10 Nadzor
Cilj: Otkrivanje aktivnosti u vezi neovlaštene obrade informacija.
Potrebno je nadzirati sustave i voditi zapise o sigurnosnim dogaĎajima. Za prepoznavanje
problema informacijskih sustava potrebno je koristiti zapise operatera i zapise o
zastojima.
Organizacija treba poštivati sve zakonske zahtjeve koji se odnose na aktivnosti nadzora i
voĎenja zapisa.
Nadzor sustava treba koristiti za provjeru učinkovitosti prihvaćenih kontrola i
usklaĎenosti sa modelom politike pristupa.
Kontrola pristupa
1 Poslovni zahtjevi za kontrolu pristupa
Cilj: Kontrola pristupa informacijama.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 296
Na osnovu poslovnih i sigurnosnih zahtjeva potrebno je kontrolirati pristup
informacijama, opremi za obradu informacija i poslovim procesima.
Pravila kontrole pristupa trebaju uzeti u obzir politike pruţanja informacija i ovlaštenja.
2 Upravljanje korisničkim pristupom
Cilj: Osigurati pristup ovlaštenih korisnika i spriječiti neovlašteno pristupanje
informacijskim sustavima.
Potrebno je primijeniti formalne procedure za kontrolu dodjeljivanja prava pristupa
informacijskim sustavima i uslugama.
Procedure trebaju obuhvaćati sve faze tijekom trajanja korisničkog pristupa, od početne
prijave novih korisnika do završne odjave korisnika kojima više nije potreban pristup
informacijskim sustavima i uslugama. Posebnu pozornost treba obratiti, ako je potrebno,
potrebi za kontrolom dodjeljivanja povlaštenih prava pristupa, koja omogućuju
korisnicima zaobilaţenje kontrola sustava.
3 Odgovornosti korisnika
Cilj: Sprječavanje pristupa neovlaštenih korisnika i ugroţavanja ili kraĎe informacija i
opreme za obradu informacija.
Za učinkovitu sigurnost bitna je suradnja ovlaštenih korisnika.
Korisnici trebaju biti svjesni svojih odgovornosti za odrţavanje učinkovitih kontrola
pristupa, posebice u vezi uporabe zaporki i sigurnosti opreme korisnika.
Potrebno je primijeniti politiku praznog radnog stola i praznog zaslona radi smanjenja
rizika od neovlaštenog pristupa ili oštećenja papira, medija i opreme za obradu
informacija.
4 Kontrola pristupa mreži
Cilj: Spriječiti neovlašteni pristup mreţnim uslugama.
Potrebno je kontrolirati pristup unutrašnjim i vanjskim mreţnim uslugama.
Korisnički pristup mreţama i mreţnim uslugama ne bi trebao ugroziti sigurnost
mreţnih usluga tako da osigura:
a) odgovarajuća sučelja izmeĎu mreţe organizacije i mreţa u vlasništvu drugih
organizacija i javnih mreţa;
b) primjenu odgovarajućih mehanizama provjere vjerodostojnosti korisnika i opreme;
c) primjenu kontrole korisničkog pristupa informacijskim uslugama.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 297
5 Kontrola pristupa operacijskom sustavu
Cilj: Sprječavanje neovlaštenog pristupa operacijskim sustavima.
Potrebno je koristiti sigurnosnu opremu za ograničenje pristupa operacijskim sustavima
na ovlaštene korisnike. Oprema treba omogućiti sljedeće:
a) provjeru vjerodostojnosti ovlaštenih korisnika u skladu s određenom politikom kontrole pristupa; b) zapisivanje uspješnih i neuspješnih pokušaja provjere vjerodostojnosti kod pristupa sustavu; c) zapisivanje uporabe posebnih sistemskih povlastica; d) aktiviranje alarma u slučaju ugrožavanja politika sigurnosti sustava; e) osiguranje odgovarajućih načina provjere vjerodostojnosti; f) ograničavanje trajanja veze korisnika, ako je potrebno.
6 Kontrola pristupa aplikacijama i informacijama
Cilj: Spriječiti neovlašteni pristup informacijama prisutnim u aplikacijskim sustavima.
Potrebno je koristiti sigurnosnu opremu za ograničavanje pristupa aplikacijskim
sustavima i pristupa unutar njih.
Logički pristup aplikacijskom softveru i informacijama treba ograničiti na ovlaštene
korisnike. Aplikacijski sustavi trebaju:
a) kontrolirati pristup korisnika informacijama i funkcijama aplikacijskog sustava, u skladu s određenom politikom
kontrole pristupa; b) osigurati zaštitu od neovlaštenog pristupa od strane bilo kojeg uslužnog programa, softvera operacijskog sustava i
zloćudnog softvera koji može zaobići ili prijeći preko kontrola sustava ili aplikacije. c) ne ugrožavati ostale sustave s kojima dijele informacijska sredstva.
7 Uporaba mobilnih računala i rad na daljinu
Cilj: Ostvariti informacijsku sigurnost pri uporabi mobilnih računala i opreme za rad na
daljinu.
Potrebna zaštita treba biti proporcionalna rizicima ovih posebnih načina rada. Pri uporabi
mobilnih računala potrebno je razmotriti rizike rada u nezaštićenom okruţenju i
primijeniti odgovarajuću zaštitu. U slučaju rada na daljinu organizacija treba takoĎer
primijeniti zaštitu lokacije s koje se radi i osigurati pogodne uvjete za ovaj način rada.
Nabava, razvoj i odrţavanje informacijskih sustava
1 Sigurnosni zahtjevi informacijskih sustava
Cilj: Sigurnost kao sastavni dio informacijskih sustava.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 298
Informacijski sustavi uključuju operacijske sustave, infrastrukturu, poslovne aplikacije,
standardne proizvode, usluge i korisničke aplikacije. Projektiranje i primjena
informacijskog sustava koji podrţava poslovni proces moţe biti od presudnog značaja za
sigurnost. Prije projektiranja i/ili primjene informacijskih sustava potrebno je odrediti i
uskladiti sigurnosne zahtjeve.
Sve sigurnosne zahtjeve potrebno je odrediti u fazi postavljanja zahtjeva projekta te ih
opravdati, uskladiti i dokumentirati kao dio ukupnog poslovnog slučaja za informacijski
sustav.
2 Ispravna obrada u aplikacijama
Cilj: Sprječavanje grešaka, gubitka, neovlaštene promjene ili zloporabe informacija u
aplikacijama.
U aplikacije, uključujući korisničke aplikacije, potrebno je ugraditi odgovarajuće
kontrole radi osiguranja ispravne obrade. Ove kontrole trebaju sadrţavati provjeru
valjanosti ulaznih podataka, interne obrade i izlaznih podataka.
Dodatne kontrole mogu biti potrebne za sustave koji obraĎuju ili imaju utjecaja na
osjetljive, vrijedne ili ključne informacije. Takve kontrole treba odrediti na temelju
sigurnosnih zahtjeva i procjene rizika.
3 Kriptografske kontrole
Cilj: Zaštita povjerljivosti, vjerodostojnosti ili cjelovitosti informacija uz uporabu
kriptografskih tehnika.
Potrebno je razviti politiku za uporabu kriptografskih kontrola. Upravljanje ključevima
treba podrţati uporabu kriptografskih tehnika.
4 Sigurnost sistemskih datoteka
Cilj: Ostvariti sigurnost sistemskih datoteka.
Potrebno je kontrolirati pristup sistemskim datotekama i izvornom kodu programa, a IT
projekte i prateće aktivnosti izvoditi na siguran način. Treba obratiti pozornost na
izbjegavanje izlaganja osjetljivih podataka u ispitnom okruţenju.
5 Sigurnost u procesima razvoja i podrške
Cilj: Odrţavanje sigurnosti softvera i informacija aplikacijskog sustava.
Potrebno je strogo kontrolirati projektno okruţenje i okruţenje za podršku.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 299
Rukovoditelji odgovorni za aplikacijske sustave trebaju takoĎer biti odgovorni za
sigurnost projektnog okruţenja ili okruţenja za podršku. Oni trebaju osigurati provjeru
svih promjena sustava kako bi se utvrdilo da ne ugroţavaju sigurnost bilo sustava ili
radnog okruţenja.
6 Upravljanje tehničkom ranjivošću
Cilj: Smanjenje rizika od iskorištavanja objavljenih tehničkih ranjivosti.
Upravljanje tehničkom ranjivošću treba primijeniti na učinkovit, sistematski i ponovljivi
način uz mjere koje će potvrditi njegovu učinkovitost. Ova razmatranja trebaju
uključivati operacijske sustave i sve ostale korištene aplikacije.
Upravljanje sigurnosnim incidentom
1 Izvješćivanje o sigurnosnim događajima i slabostima
Cilj: Osiguranje izvješćivanja o sigurnosnim dogaĎajima i slabostima vezanim uz
informacijske sustave na način koji omogućuje pravovremeno izvoĎenje korektivnih
akcija.
Potrebno je primijeniti formalne procedure eskalacije i izvješćivanja o sigurnosnim
dogaĎajima. Svi zaposlenici, ugovorni suradnici i korisnici treće strane trebaju biti
upoznati s procedurama za izvješćivanje o različitim vrstama dogaĎaja i slabostima koje
mogu utjecati na sigurnost organizacijske imovine. Oni trebaju na označenom mjestu
kontakta što je prije moguće izvijestiti o svim sigurnosnim dogaĎajima i slabostima.
2 Upravljanje sigurnosnim incidentima i poboljšanjima
Cilj: Osiguranje primjene dosljednog i učinkovitog pristupa upravljanju sigurnosnim
incidentima.
Za učinkovitu obradu sigurnosnih dogaĎaja i slabosti nakon izvješća o njihovom
nastanku, potrebno je usvojiti odreĎene odgovornosti i procedure. Potrebno je primijeniti
proces neprestanog poboljšavanja na odgovor, nadzor, vrednovanje i ukupno upravljanje
sigurnosnim incidentima.
Kad je potreban dokaz, treba ga prikupiti kako bi se osigurala usklaĎenost s vaţećim
zakonskim propisima.
Upravljanje kontinuitetom poslovanja
1 Stanovišta informacijske sigurnosti pri upravljanju kontinuitetom poslovanja
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 300
Cilj: Ostvariti protumjeru u slučaju prekida poslovnih aktivnosti te zaštititi ključne
poslovne procese od utjecaja velikih zastoja informacijskih sustava ili katastrofa i
osigurati pravodoban nastavak rada.
Potrebno je primijeniti proces upravljanja kontinuitetom poslovanja radi smanjenja
utjecaja na organizaciju i oporavak od gubitka informacijske imovine (koja moţe biti
rezultat, primjerice, prirodnih katastrofa, nesreća, zastoja opreme i namjernih akcija) na
prihvatljivu razinu pomoću kombinacije preventivnih kontrola i kontrola oporavka. Ovaj
proces treba odrediti ključne poslovne procese i spojiti zahtjeve upravljanja
informacijskom sigurnošću za kontinuitet poslovanja s ostalim zahtjevima za
kontinuitetom koji se odnose na funkcije, osoblje, materijale, transport i opremu.
Posljedice nesreća, sigurnosnih neuspjeha, gubitka usluge i dostupnosti usluge trebaju se
podvrgnuti analizi utjecaja na poslovanje. Potrebno je razviti i primijeniti planove
kontinuiteta poslovanja radi osiguranja pravodobnog nastavka bitnih funkcija.
Informacijska sigurnost treba biti sastavni dio ukupnog procesa kontinuiteta poslovanja i
ostalih procesa upravljanja unutar organizacije.
Upravljanje kontinuitetom poslovanja treba sadrţavati kontrole za odreĎivanje i
smanjenje rizika, kao dodatak procesu procjene općenitih rizika, ograničavanje posljedica
štetnih incidenata i osiguranje dostupnosti informacija potrebnih za poslovne procese.
Sukladnost
1 Sukladnost sa zakonskim propisima
2 Sukladnost sa sigurnosnim politikama i standardima i tehnička sukladnost
Cilj: Osigurati sukladnost sustava sa organizacijskim sigurnosnim politikama i
standardima.
Potrebno je redovito provjeravati sigurnost informacijskih sustava.
Ovakve provjere potrebne je izvoditi prema odgovarajućim sigurnosnim politikama i
tehničkim platformama i potrebno je provjeravati sukladnost informacijskih sustava s
primjenjivim standardima o primjeni sigurnosti i dokumentiranim sigurnosnim
kontrolama.
3 Razmatranja revizije informacijskih sustava
Cilj: Sprječavanje kršenja svih pravnih, zakonskih, regulativnih ili ugovornih obveza i
sigurnosnih zahtjeva.
Projektiranje, funkcija, uporaba i upravljanje informacijskim sustavima mogu biti
podvrgnuti zakonskim, regulativnim i ugovornim sigurnosnim zahtjevima.
Od pravnih savjetnika organizacije ili podobnih pravnih stručnjaka treba zatraţiti
savjet o posebnim pravnim zahtjevima. Zakonodavni zahtjevi razlikuju se od drţave
do drţave i mogu se razlikovati za informacije stvorene u jednoj zemlji koje se
prenose u drugu zemlju (primjerice tok podataka izvan granica).
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 301
Cilj: Povećati učinkovitost i smanjiti ometanja od ili prema procesu revizije
informacijskih sustava.
Trebaju postojati kontrole koje će zaštititi operativne sustave i revizijske alate tijekom
revizija informacijskih sustava.
Zaštita je takoĎer potrebna za zaštitu cjelovitosti i sprječavanje zloporabe revizijskih
alata.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 302
Model odrţavanja
fokusiran na napor organizacije u održavanje ISMS sustava
radni okvir za njegovu razradu i raspravu dan je na slici 12-1.
Predloţeni model odrţavanja se temelji na pet područja ili domena:
o Vanjsko nadgledanje
o Unutarnje nadgledanje
o Planiranje i procjena rizika
o Procjena ranjivosti i njihovo uklanjanje
o Spremnost i pregled-provjera
Nadgledanje vanjske okoline
Cilj domene vanjskog nadgledanja unutar modela odrţavanja je osigurati ranu
informaciju o novim prijetnjama , njihovim pojavama, predstavnicima prijetnji
(agentima), ranjivostima.
Slika 12-2 pokazuje glavne komponente procesa vanjskog nadgledanja.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 303
Vanjsko nadgledanje prikuplja obavještajne informacije iz različitih izvora
podataka
o PonuĎači
o CERT organizacije
o Izvori javnih mreţa
CISO mora činiti slijedeće:
o Opskrbiti se s ljudima koji imaju dobro znanje u tehničkom području
informacijske sigurnosti, razumijevanje kompletne IT infrastrukture
organizacije te temeljno poznavanje poslovnih operacija organizacije
o Osigurati dokumentirane i ponovljive procedure
o Uvjeţbati glavno i pričuvno osoblje koje je zaduţeno za zadatke
nadgledanja
o Opremiti pridruţeno osoblje sa ispravnim pristupom i alatima za
provoĎenje funkcije nadgledanja
o Njegovati izvrsnost meĎu analitičarima nadgledanja
o Razviti pogodne komunikacijske postupke za dostavu obraĎenih
informacija do onih koji interno donose odluke
o Integrirati plan odgovora na incidente sa rezultatima vanjskog nadgledanja
i praćenja kako bi se na vrijeme osigurali ispravni odgovori
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 304
Nadgledanje, eskalacija i odgovor na incidente
o integracija procesa nadgledanja u IRP plan
o proces nadgledanja ima tri primarne isporuke
Izdavanje specijalnih biltena upozorenja
Periodičke sumarne izvještaje o prikupljenim vanjskim
informacijama.
Detaljne obavijesti o upozorenjima za najveće rizike.
Skupljanje podataka i upravljanje
o Na lijevoj strani slike 12-3 (razina 0) pokazuje se kakav je tok podataka
za cijeli proces odrţavanja.
o Na desnoj strani slike 12-3 (razina 1) dijagram za prikupljanje vanjskih
podataka pokazuje detaljnije izvore podataka za vanjsko nadgledanje.
Nadgledanje unutarnje okoline
Unutarnje nadgledanje se provodi kroz:
o Izgradnju i odrţavanje inventara mreţnih ureĎaja i kanala, IT
infrastrukture i aplikacija
o VoĎenje procesa IT voĎenja i upravljanja (governance)
o Nadgledanje IT aktivnosti u stvarnom vremenu
o Nadgledanje internog stanja mreţa i sustava organizacije.
Slika 12-4 pokazuje komponente procesa internog praćenja i nadzora.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 305
Obiljeţja mreţe i popis opreme (inventar)
o planiran i potpun popis (inventar) svih mreţnih ureĎaja, komunikacijskih
kanala i računalnih ureĎaja
o vaţno za odrţavanje kontinuiranih operacija
Uloga IT voĎenja i upravljanja ( IT governance)
o povećana briga na utjecaje koje donose promjene
o briga i svijest trebaju biti preneseni na opis rizika koji nastaju zbog promjena.
Rad sustava za detekciju i prevenciju upada
o IDPS sustavi moraju biti integrirani u proces odrţavanja
o Punjenje baze znanja za interno nadgledanje - data mining.
o Analiza prometa- slabosti u sigurnosnom sustavu
Detekcija razlika
o Brzo identificiranje promjena u unutarnjem okruţenju
o Analiza razlika
Planiranje i procjena rizika
Budno paziti na cijeli program informacijske sigurnosti
Identifikacija i planiranje trajnih aktivnosti informacijske sigurnosti koje smanjuju
rizike
Primarni ciljevi ove domene su:
o Uspostava formalnog procesa pregleda programa informacijske sigurnosti
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 306
o Uspostava formalnih procesa identifikacije projekta, selekcije, planiranja i
upravljanja za folow-up aktivnosti informacijske sigurnosti
o Koordinacija sa timovima za IT projekte kako bi se provela procjena rizika
o Ugradnja svijesti o procjeni rizika kroz cijelu
Slika 12-5 prikazuje odnose izmeĎu gore navedenih komponenti.
Planiranje i pregled programa informacijske sigurnosti
o Periodički pregled programa informacijske sigurnosti koji je povezan sa
planiranjem za poboljšanja i proširenje
o Ispitati buduće IT potrebe organizacije te kakav utjecaj imaju te promjene na
informacijsku sigurnost.
Procjena sigurnosnog rizika
o Procjena operativnog rizika informacijske sigurnosti (RA)
o RA je metoda identificiranja i dokumentiranja rizika koji unose u organizaciju
projekti, procesi ili druge akcije, kao i sugestije za kontrolu takovih rizika:
RA mreţne povezanosti
RA biranih modema
RA poslovnog partnera
RA aplikacije
RA ranjivosti
RA privatnosti
RA akvizicije ili zatvaranja
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 307
Ostala RA
Procjena ranjivosti i njezino uklanjanje
Primarni cilj domene procjene ranjivosti i njezino uklanjanje je identificirati,
dokumentirati ranjivosti te njihovo uklanjanje na vrijeme. To se provodi kroz:
o Korištenjem dokumentiranih procedura za procjenu ranjivosti
o Dokumentiranje osnovnih informacija te osiguranje testiranih procedura za
otklanjanje ranjivosti koje su uočene
o Praćenje ranjivosti od momenta kada su identificirane do momenta kada su
otklonjene ili do prihvaćanja rizika gubitka
o Razmjenu informacija o ranjivosti uključujući procjenu rizika te detaljnih
planova za njezino uklanjanje za vlasnike ranjivih sustava.
o Izvještavanje o statusu ranjivosti koje su bile identificirane
o Osiguranje adekvatne razine upravljanja koja uključuje odluku o
prihvatljivom gubitku zbog rizika, zajedno sa nepopravljivom ranjivošću.
o Slika 12-6 prikazuje domenu toka procesa procjene ranjivosti i njezinog
uklanjanja.
Procesi procjene ranjivosti (VA):
o Internet VA ,
o Intranet VA,
o vrednovanje sigurnosnih platformi,
o beţični VA i
o modemski VA.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 308
Procjena ranjivosti Interneta (Internet VA)
Koraci koji se provode u ovom procesu su slijedeći:
o Planiranje, rasporeĎivanje i najava penetracijskog testiranja
o Izbor cilja
o Izbor testa
o Skeniranje
o Analiza
Klasificirati razinu rizika kandidata ranjivosti
Potvrditi postojanje ranjivosti kada se ona smatra značajnom -
instanca ranjivosti.
Dokumentirati rezultate verifikacije kroz spremanje trofeja (obično je
to uzimanje uzorka-screenshot)
o Odrţavanje zapisa
Procjena ranjivosti Intraneta (Intranet VA)
o Koraci - gotovo identični onima iz Internet VA procjene izuzev:
Preferira se testiranje (skeniranje i analiza) izvršava za vrijeme radnog
vremena
Penetracijsko testno skeniranje i analiza trebaju se fokusirati na samo
one sustave najveće vrijednosti, na najkritičnije sustave.
Testiranje za ovu procjenu obično koristi različite, manje stroţe
kriterije od Internet skeniranja
Skaniranje, analiza i odrţavanje zapisa su identični onim iz Internet
VA
o Validacija sigurnosne platforme
Validacija sigurnosne platforme (PSV) je proces koji je dizajniran da
pronaĎe i dokumentira ranjivosti koje su moguće zbog loše
konfiguriranih sustava
Alati - Symantec Enterprise Security manager i NetIQ VigilEnt
Security Manager.
Mogućnost ekstrakcije podataka koji se mogu importirati u bazu
podataka ranjivosti
Procjena ranjivosti bežičnih sustava
Koraci u ovom procesu su:
o Planiranje, rasporeĎivanje i najava bez ţičnog penetracijskog testiranja:
o Izbor cilja: Sva područja unutar organizacije trebaju biti skenirana sa
prenosivim skenerom za beţične mreţe ( kao što je 802.11b)
o Izbor testa: Alati za beţično skeniranje trebaju gledati na sve bez ţične
signale, koji ne zadovoljavaju minimalnu razinu jakosti enkripcije.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 309
o Skeniranje: Skeniranje hodajući treba pregledati cijelo ciljno područje te
treba identificirati sve pristupne točke bez ţične lokalne mreţe (WLAN)
koje nisu kriptografski zaštićene.
o Analiza:
Treba ukloniti pogrešne kandidate ranjivosti
Dokumentirati rezultate verifikacije kroz spremanje trofeja
(obično je to uzimanje uzorka-screenshot)
o Odrţavanje zapisa: Dobro izvješćivanje čini napor za razmjenu
informacija i za follow-up mnogo lakšim.
Procjena ranjivosti modema
o Korištenje skripti napada biranja svih telefonskih brojeva- war dialing
o Koraci :
o Planiranje, rasporeĎivanje i najava testiranja biranih modema: dedicirani
sustav i softver, kao što je PhoneSweep - kontinuirano
o Izbor cilja: Svi telefonski brojevi organizacije trebaju biti u skupu za
testiranje
o Izbor testa: Cijeli skup testova treba se koristiti u produktu za testiranje,
uključujući i testove biranih modema, modema sa povratnim pozivom
(callback) te ureĎaja za faks.
o Skeniranje: Ovo je 24/7 proces. Izvještaji o osnovnoj ranjivosti trebaju se
pripremati dnevno ili tjedno
o Analiza: analitičar sa iskustvom i znanjem treba ispitati rezultate testa -
lista dokumentirane ranjivosti modemske ranjivosti spremne za njihovo
uklanjanje.
Dokumentiranje ranjivosti
o Treba osigurati vezu na informacijsku imovinu koja je obiljeţena u bazi
rizika, prijetnji i napada
o Podatci pohranjeni u bazi ranjivosti trebaju uključiti slijedeće:
Jednoznačni identifikacijski broj (ID) ranjivosti
Vezu na bazu rizika, prijetnji i napada; IP adresa je dobar izbor
Detalje ranjivosti
Datum i vrijeme prijave i aktivnosti uklanjanja ranjivosti
Trenutni status pojave ranjivosti (pronaĎena, izvještena ili
popravljena)
Komentari
Ostala polja - za proces izvještavanja, praćenja i uklanjanja
Uklanjanje (sanacija) ranjivosti
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 310
o Popravak nedostataka koji prouzrokuju pojavu ranjivosti te uklanjanje
rizika koji su povezani s tom ranjivošću
o Uspostava odnosa sa onim tko kontrolira informacijsku imovinu - ključ
uspjeha.
o Rješavanje ranjivosti moţe se izvršiti kroz
prihvat ili prijenos rizika,
uklanjanje prijetnje, ili
popravkom ranjivosti (softverskih zakrpa (patch), zamjenskog
načina rada, promjena lozinke i dr.)
Spremnost i pregled-provjera
Odrţava funkcioniranje programa informacijske sigurnosti kako je dizajniran te
kontinuirano provodi njegovo poboljšanje. To se provodi na slijedeći način:
o Pregled politike
o Pregled programa informacijske sigurnosti
o Probe (provjere)
Odnosi izmeĎu područja ove domene spremnosti i pregleda dani su na slici 12-7
Pregled politike i pregled planiranja
o Periodički pregledavati politike i planove (IRP, DRP, BCP i dr)
Pregled programa informacijske sigurnosti
o Provoditi formalne godišnje preglede
o Koristi rezultate aktivnosti odrţavanja kao i
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 311
o prethodne rezultate pregleda programa informacijske sigurnosti
o Inkrementalno poboljšanje, ili treba pokrenuti novu inicijativu
Probe i ratne igre
o Doprinose vrijednosti planiranja kroz vjeţbanje procedura, identifikaciju
nedostataka, te daju priliku sigurnosnom osoblju da poboljšaju sigurnosne
planove
o Simulacije za testnu okolinu
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 312
Digitalna forenzika
Istraţivanje što se je dogodilo i kao se naziva digitalna forenzika. Forenzika je dosljedna primjena tehnika metodološkog istraţivanja kako bi se
prezentirao dokaz kriminala na sudu ili na nekom drugom mjestu odlučivanja.
Forenzika omogućava istraţitelju da odrede što se je dogodilo kroz
o ispitivanje aktivnosti, o aktivnosti osoba, o fizičkih dokaza i o svjedočenjima koja se odnose na promatrani dogaĎaj.
Fokus na primjenu tehnika forenzike u digitalnoj areni
Digitalna forenzika uključuje
o očuvanje, o identifikaciju, o izolaciju, o dokumentiranje i o interpretaciju računalnih medija za analize dokazivanja i/ili analize izvornog
uzroka tog dogaĎaja
Otkrivanju potencijalnog materijala za dokazivanje. - dokazni materijal (EM
Evidentiary Material)
Digitalna forenzika se koristi zbog:
o Istraţivanje navodnih digitalnih malverzacija o ProvoĎenje analize izvornog uzroka
Organizacija treba izabrati izmeĎu dva pristupa
o Zaštititi i zaboraviti - fokus na detekciju i analizu dogaĎaja o Progoniti i tužiti - fokus na identifikaciju i progon , dodatna paţnja na
prikupljanje i očuvanje potencijalnih EM-ova
Tim za digitalnu forenziku
o Ljudi trenirani da razumiju i upravljaju su forenzičkim procesom
o Prikupljati podatke i tada posao eksternalizirati na analizu
Iskazi i punomoći za pretres
o Forenzički tim organizacije mora zahtijevati dozvolu za ispitivanjem
digitalnog medija za potencijalni EM
o Istraţitelj kreira iskazni zahtjev (iskaz) za punomoć u pretresu digitalnih
medija - prisegnuto svjedočenje
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 313
o Potpisani iskaz, od ovlaštenog tijela, postaje punomoć za pretres - dozvola
za traţenje EM-ova
o Formalna dozvola se dobiva prije nego započinje istraţivanje.
Metodologija za digitalnu forenziku
1. Identifikacija relevantnih stavaka od vrijednosti za dokazivanje (EM)
2. Povlačenje (preuzimanje) dokaza bez izmjene i oštećenja
3. Poduzimanje koraka koji osiguravaju da su dokazi verificirano autentični i
nepromijenjeni od vremena kada su preuzeti
4. Analiziranje podataka bez rizika koji bi doveli do izmjene ili neovlaštenog
pristupa podatcima
5. Izvještavanje o rezultatima nalaza odgovarajućem tijelu vlasti
Ovaj proces je prikazan na slici 12-8.
Identifikacija relevantnih stavaka
o Iskaz ili punomoć kojom se ovlašćuje akcija mora točno navesti koje stavke
dokaza se mogu povući i preuzeti
o Uključeni oni EM-ovi koji se poklapaju sa opisom na ovlaštenju
o Proces identifikacije potencijalnih EM-ova i odreĎivanje njihove moguće
lokacije
Dobava dokaza
o Glavna odgovornost tima za odgovor na incidente (IR) je dobava informacije
bez izmjena
o Napad obrane na integritet i autentičnost dokaza
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 314
o Izazov je pokazati da je osoba pod istragom ona koja je pohranila, koristila i
odrţavala EM (provela neovlaštenu aktivnost)
o Argument za "povući ili na povući" (kabel napajanja)
o On-line nasuprot off-line dobavi podataka
Off-line: Stvarna preslika (image) zapravo datoteka koja sadrţi sve
informacije sa izvornog diska - . originalni disk se sigurno sprema kao
stvarni EM
o upotreba "read-only" hardvera - blokator zapisa
o reeboot sustava sa alternativnim OS-om - specijalni boot diskom Helix
ili Knoppix
o koristiti oboje i blokator zapisa i alternativni boot sustav.
On-line: Uzimanje podataka "u ţivo", koriste mreţne alate
o izvorni sustav ne moţe biti stavljen off-line.
o stvaranje realne kopije (image) moţe uzeti dosta vremena (i po
nekoliko sati)
o Ostali potencijalni dokazi
Nisu svi EM-ovi na sumnjivoj disk jedinici računala
Izmjenjive jedinice, CD-ovi, DVD-ovi, flash jedinice, memorijski chipovi
ili stickovi, ili na druga računala na mreţi, Internetu
EM smješten izvan organizacije je problematičan - nije vlasništvo
Log datoteke su izvor informacija o pristupu i lokaciji EM-a
o Obrada EM-a.
Izbjegnuti zakonske izazove koji bi bili temeljeni na integritetu i
autentičnosti EM-a.
Pratiti njegovo micanje, pohranu ili pristup sve do razrješenja slučaja ili
dogaĎaja (chain of custody ili chain of evidence - Slika 12-9)
Digitalni mediji trebaju biti pohranjeni u skladišta za digitalne medije
Pojedine stavke dokaza moraju se smjestiti u spremnike ili vrećice koje su
elektrostatički zaštićene, označene kao osjetljive na magnetska ili
električna polja i dr.
o Autetntifikacija oporavljenog dokaza
Korištenje kriptografskih alata za saţimanje (hash) podataka
Saţimanjem izvorne datoteke i kopije, istraţitelj potvrĎuje da je kopija
istinita i točna
o Analiza podataka
Aplikacije na trţištu
o AccessData Forensic Tool Kit (FTK) (www.accessdata.com)
o Guidance Software´s Encase (www.guidancecoftware.com)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 315
Prva komponenta faze analize je indeksiranje
o Kreiranje indeksa sveg teksta na disk jedinici (Google Desktop)
Lociranje specifičnih dokumenata ili fragmenata dokumenta
Alati organiziraju datoteke u kategorije , kao što su dokumenti, čiste
preslike (image), izvodljive datoteke i td
Proces indeksiranja troši puno vremena
Razbijanje (krekanje) lozinke - AccessData password recovery Tool Kit
o Izvještaj o nalazima.
Istraţitelji sumiraju svoje nalaze, zajedno s kratkim sadrţajem procedura
istraţivanja u formi izvješća koje podnose odgovarajućem tijelu vlasti.
Povoljan, odgovarajući, iznos informacije o EM-u fleksibilno odreĎuje
istraţitelj od slučaja do slučaja.
Izvještaj je da mora biti dovoljno detaljan da omogućuje osobi sličnih znanja
da ponovi analizu i da dobije isti rezultat.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 316
Procedure dokazivanja
o U informacijskoj sigurnosti mnoge operacije su fokusirane na politiku
o U digitalnoj forenzici, fokus je na procedurama
o Rezultati forenzičkog istraţivanja mogu završiti na kaznenom (računalni
kriminal) ili prekršajnom sudu (otpust zaposlenika zbog kompromitirajućeg
sadrţaja - kršenje politike)
o Za kaznena djela (računalni kriminal), istraga, analiza i izvješćivanje se
obično provodi od tijela za provoĎenje zakona (policije, odvjetništva,
Uskoka,..).
o Stroge procedure za obradu potencijalnog dokaznog materijala (EM) mogu
smanjiti vjerojatnost da organizacija izgubi slučajeve
o Organizacija mora razviti specifične procedure, zajedno sa smjernicama za
korištenje tih procedura
o Dokument politike treba specificirati
Tko moţe provoditi istraţivanje
Toko autorizira istraţivanje,
Koji se dokumenti iskaza pod zakletvom zahtijevaju
Koji se dokumenti traţenja punomoći zahtijevaju
Koji se digitalni mediji smiju uzeti i odnijeti s lokacije
Koju metodologiju treba slijediti
Koji postupci se zahtijevaju za lanac čuvanja ili lanac dokaza
Kakav treba biti format konačnog izvještaja, i prema kome ga treba uputiti
o Kreiranjem i korištenjem ovih politika i procedura, organizacija se na najbolji
način štiti od sporova sa zaposlenicima
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 317
15. UPRAVLJANJE SIGURNOSNIM INCIDENTIMA I
KONTINUITET POSLOVANJA (BCMS)
I. UPRAVLJANJE SIGURNOSNIM INCIDENTIMA
Ključna komponenta programa sigurnosti organizacije je dobro strukturirano rješenje za
upravljanje sigurnosnim incidentima. Pri tome pod sigurnosnim incidentima
podrazumijevamo incidente koji su vezani na narušavanje ciljeva informacijske
sigurnosti (povjerljivost, integritet, raspoloţivost, neporecivost i dr.)
Ciljevi
Detekcija sigurnosnih dogaĎaja
Identifikacija sigurnosnih incidenata, njihova procjena i odgovor na odgovarajući
i učinkovit način
Minimiziranje negativnih posljedica na organizaciju i na njezine poslovne
operacije primjenom odgovarajućih sigurnosnih kontrola, kao dio odgovora na
incidente, po mogućnosti u vezi s odgovarajućim elementima Plana kontinuiranog
poslovanja (BCP)
Brzo učenje iz pojave sigurnosnih incidenata i njihovog upravljanja.
Procesi
Plana i pripreme
Upotrebe
Pregleda i analize
Poboljšanja
Plan i priprema
Izrada i dokumentiranje politike upravljanja sigurnosnim incidentima
Izrada i detaljno dokumentiranje sheme za upravljanje sigurnosnim
incidentima
Aţuriranje politike informacijske sigurnosti te politike upravljanja rizicima na
svim razinama
Uspostava odgovarajuće organizacijske strukture za upravljanje sigurnosnim
incidentima tj. formiranje Tima za odgovor na sigurnosne incidente (ISIRT -
Information Security Incident Response Team)
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 318
Informiranje svih djelatnika organizacije o postojanju sheme za upravljanje
sigurnosnim incidentima
Upotreba
Detekcija i izvješćivanje o pojavi sigurnosnih
Skupljanje informacija koje su vezane na sigurnosni dogaĎaj
Odgovor na sigurnosni incident:
o Neposredno u stvarnom vremenu ili vrlo blizu stvarnog dogaĎaja
o Ako je sigurnosni incident pod kontrolom treba provesti aktivnosti koje
dovode do potpunog oporavka od katastrofe/prekida kroz neko
prihvatljivo vrijeme
o Ukoliko sigurnosni incident nije pod kontrolom treba potaknuti "krizne"
aktivnosti (npr. poziv vatrogasnoj brigadi, ili aktiviranje Plana
kontinuiranog poslovanja (BCP))
o Provesti forenzičku analizu
o Ispravno zapisati sve aktivnosti ili odluke radi daljnje analize
o Zatvaranje incidenta po njegovom rješavanju.
Pregled i analiza
ProvoĎenje daljnje forenzičke analize ako je potrebno
Identifikacija pouka iz sigurnosnog incidenta
Identifikacija poboljšanja sigurnosnih kontrola
Identifikacija poboljšanja sheme upravljanja sigurnosnim incidentima
Poboljšanje
Revizija rezultata pregleda izvršavanja analize rizika informacijske sigurnosti i
njegovog upravljanja
Poboljšanje sheme upravljanja sigurnosnim incidentima i pripadne
dokumentacije
Iniciranje poboljšanja razine informacijske sigurnosti organizacije
Politika upravljanja sigurnosnim incidentima
Vaţnost upravljanja sigurnosnim incidentima za organizaciju
Pregled detekcije sigurnosnih dogaĎaja, izvještavanja i prikupljanja relevantnih
informacija
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 319
Pregled ocjene sigurnosnih incidenata, uključujući tko je odgovoran, što treba
biti učinjeno, obavješćivanje o incidentu i eskalacija
Sumarni prikaz aktivnosti koje slijede nakon potvrde da je sigurnosni dogaĎaj
zapravo sigurnosni incident što uključuje:
o Neposredan odgovor
o Forenzičku analizu
o Komunikaciju koja uključuje osoblje i relevantne treće strane
o Razmatranja o tome da li je sigurnosni incident pod kontrolom
o Naknadni odgovor
o Iniciranje ¨kriznih˝ aktivnosti
o Kriteriji za eskalaciju incidenta
o Tko je odgovoran
Potreba da su sve aktivnosti ispravno zapisane za kasniju analizu, te da se
provodi kontinuirani nadzor
Aktivnosti nakon rješavanja sigurnosnog incidenta što uključuje učenje i
poboljšanje nakon sigurnosnog incidenta
Detalje o smještaju dokumentacije o shemi upravljanja sigurnosnim incidentima
uključujući i procedure
Pregled Tima za odgovor na sigurnosne incidente (ISIRT)
Pregled programa za podizanje svijesti i obuku za upravljanje sigurnosnim
incidentima
Sumarni pregled zakonskih i drugih propisa koji se trebaju uzeti u obzir.
Uspostava Tima za odgovore na incidente (ISIRT)
Članovi i struktura ISIRT-a
Veličina, struktura i sastav ISIRT-a odreĎena je veličinom i strukturom organizacije. Iako
ISIRT moţe biti izolirani tim ili odjel , članovi tima najčešće dijele i druge duţnosti i
dolaze iz različitih dijelova organizacije. To je najčešće virtualni tim koji je voĎen i
koordiniran od strane uprave . Članovi tog tima su specijalisti u različitim područjima,
kao što su obrada zloćudnih napada na software, a koji se pozivaju prema vrsti incidenta.
Odnosi s drugim dijelovima organizacije
Tko će unutar organizacije raditi na upitima medija
Kako će dijelovi organizacije suraĎivati i komunicirati sa ISIRT-om.
Odnosi sa vanjskim stranama
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 320
Ugovorno vanjsko osoblje, na primjer iz CERT-a (Computer Emergency
Response Team)
Vanjski ISIRT tim od organizacije ili CERT
Organizacije za provoĎenje zakona
Javna sluţba za izvanredne situacije (vatrogasci,..)
Neke vladine organizacije (HNB,HANFA,.)
Predstavnici medija
Poslovni partneri
Korisnici
Javnost
Sigurnosni incidenti i njihovi uzroci
Sigurnosni incidenti mogu biti namjerni ili nesretni dogaĎaji (kao što su tehničke greške
sklopova ili djelovanje prirode) prouzročeni na tehnički ili fizički način.
Odbacivanje usluga (DoS)
Postoje dvije vrste DoS incidenata: eliminacija usluge ili njena potrošenost.
Neki DoS incidenti mogu biti prouzročeni slučajno kao što je primjer lošeg
konfiguriranja sustava ili nekompatibilnost softwarea. Neki DoS incidenti su namjerno
lansirani kako bi srušili sustav, servis ili mreţu, dok ostali mogu bit rezultat ostalih
zlonamjernih aktivnosti.
Skupljanje informacija
Općenito, ova kategorija incidenata uključuje one aktivnosti koje su povezane s
identifikacijom potencijalnih meta napada te istraţivanje servisa koji se obraĎuju na tim
metama napada. Ova vrsta incidenta uključuju izviĎanje s ciljem da se identificira:
Postojanje mete napada, saznanje o topologiji mreţe koja ju okruţuje, te sa kime
meta obično komunicira
Potencijalna ranjivost mete napada ili njezinog mreţng okruţenja koja se moţe
odmah eksploatirati
Neovlašteni pristup
Ova kategorija incidenta uključuje one koji ne spadaju u prve dvije kategorije. Općenito
ova se kategorija incidenta sastoji od stvarno neautoriziranih pokušaja pristupa ili
zlouporabe sustava, servisa i mreţe.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 321
Struktura i korištenje sustava za upravljanje sigurnosnim incidentima
Prema normi BS 25999-1:2006, Business Continuity Management definirana je struktura
reakcije na incident koja treba biti implementirana u organizaciji.
Prema normi ISO/IEC TR 18044, Information Security Management definiran je način
korištenja sustava za upravljanje incidentima.
Struktura reakcije na incidente
U bilo kakvim incidentnim okolnostima trebala bi postojati jednostavna i brzo zasnovana
struktura koja će organizaciji omogućiti:
potvrdu prirode i razmjera incidenta,
preuzimanje kontrole nad okolnostima,
zadrţavanje incidenta u odreĎenim okvirima i
komunikaciju sa zainteresiranima.
Vremenski slijed incidenta
Korištenje sustava za upravljanje incidentima
Korištenje sustava za upravljanje incidentima sastoji se od dvije faze: upotreba i
pregled/analiza na koje se nadovezuje faza poboljšanja kada se identificirju poboljšanja
kao rezultat naučenih lekcija.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 322
Pregled ključnih procesa
Detekcija i izvješćivanje o pojavi sigurnosnog dogaĎaja
Prikupljanje informacija o sigurnosnom dogaĎaju i provoĎenje prve ocjene
sigurnosnog dogaĎaja
ProvoĎenje druge ocjene od strane ISIRT tima, koji prvo potvrĎuje da je
sigurnosni dogaĎaj stvarno sigurnosni incident, i tada ako je, on potiče neposredni
odgovor, neophodnu forenzičku analizu i aktivnosti komuniciranja.
Pregled od strane ISIRT-a da li je sigurnosni incident pod kontrolom
Eskalacija ako je potrebna za daljnju ocjenu i/ili donošenje novih odluka
Osiguranje da su sve aktivnosti, posebno ISIRT ispravno zapisane za kasniju
analizu
Osiguranje da su svi elektronički dokazi prikupljeni i sigurno smješteni
Obrada sigurnosnog dogaĎaja i incidenta
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 323
DogaĎaj
Detekcija
Izvještaj
Prikupljanje
informacija
Prva ocjena
Relevantno?Druga ocjena
Relevantno?
Ko
mu
nik
acija
Tre
nu
tni o
dg
ovo
r
Fo
ren
zič
ka
an
aliz
a
Incident pod
kontrolom?Aktiviranje krizne
organizacije?
Naknadni odgovori Krizne aktivnosti
Pozitivna
greška
Pregled/Analiza
Poboljšanje
Vri
jem
e
Korisnik/
Izvor
Grupa za
operativnu
podršku
(24x7)
Interni ISIRT Organizacija
za krizne
situcije
uključujući
eksterni
ISIRT
NE DA
NE
DA
DA
NE NE
DA
Dijagram toka obrade sigurnosnog događaja i incidenta
Detekcija i
izvješćivanje
Ocjena i odluka
Odgovor
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 324
Detekcija i izvješćivanje
Sigurnosni incident se moţe detektirati direktno od osoblja koje je nešto zapazilo što bi
moglo biti vaţno, bilo da je tehničke, fizičke ili proceduralne prirode. Detekcija moţe biti
takoĎer od detektora vatre/dima ili alarma provale sa prethodno definiranom lokacijom za
uzbunjivanje za ljudsku akciju. Sigurnosni dogaĎaji tehničke prirode mogu se detektirati
automatski od na primjer sigurnosne stijene, sustava za detekciju upada, antivirusnih
alata i dr.
Prva ocjena i inicijalna odluka
Osoba iz Odjela za informacijsku sigurnost (Grupa za operativnu podršku) treba potvrditi
prijem ispunjenog izvješća o sigurnosnom dogaĎaju, treba ga unijeti u bazu podataka
dogaĎaja/incidenata te ga treba pregledati. Ona treba , ukoliko je potrebno, razjasniti sve
nejasnoće s osobom koja je podnijela izvješće o sigurnosnom dogaĎaju, te prikupiti sve
poznate i raspoloţive informacije.
Druga ocjena i potvrda incidenta
Druga ocjena i potvrda sigurnosnog incidenta je zadaća ISIRT tima. Osoba unutar ISIRT
tima koja zaprima izvješće o sigurnosnom incidentu treba:
Potvrditi prijem obrasca za sigurnosni incident koji treba što je moguće prije biti
završen od Odjela za sigurnost (Grupe za operativnu podršku)
Unijeti obrazac u bazu dogaĎaja/incidenta
Zatraţiti sva eventualna pojašnjenja od operativne grupe,
Pregledati sadrţaj tog izvješća
Prikupiti sve daljnje informacije koje su raspoloţive, bilo od operativne grupe za
podršku, osobe koja je ispunila izvješće o sigurnosnom dogaĎaju ili drugog
izvora.
Odgovori na incidente:
Neposredan odgovor
Incident pod kontrolom ?
Naknadni odgovori
Krizne aktivnosti
Forenzička analiza
Komunikacije
Eskalacija
Zapisi i upravljanje promjenama
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 325
Izvješća o sigurnosnom događaju i sigurnosnom incidentu
Podatci koji trebaju biti u obrascu za izvješće o sigurnosnom dogaĎaju
Datum dogaĎaja
Broj dogaĎaja (osigurava Odjel za sigurnost i ISIRT)
Podatci o osobi koja podnosi izvješće
Opis sigurnosnog dogaĎaja
Detalji sigurnosnog dogaĎaja
Podatci koji trebaju biti u obrascu za izvješće o sigurnosnom incidentu
Datum incidenta
Broj incidenta (osigurava ISIRT, a povezuje se s brojem sigurnosnog dogaĎaja)
Detalji o članu grupe za podršku radu sustava (analitičar sigurnosnog dogaĎaja -
identificira sigurnosni incident)
Detalji o članu Tima za odgovor na sigurnosne incidente (ISIRT)
Opis sigurnosnog incidenta
Detalji o sigurnosnom incidentu
Vrsta sigurnosnog incidenta
Koja su sredstva pogoĎena incidentom
Neţeljeni efekti i posljedice na poslovanje.
Ukupna cijena troškova oporavka od incidenta.
Rješenje incidenta
Uključene osobe i počinitelji incidenta
Opis počinitelja
Stvarna ili percipirana motivacija
Poduzete akcije na rješavanju incidenta
Planirane akcije za rješavanje incidenta
Neriješene akcije (zahtijevaju istraţivanje od drugih osoba)
Zaključak
Popis osoba ili entiteta koji su obaviješteni
Uključene osobe
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 326
II. KONTINUITET POSLOVANJA Upravljanje kontinuittetom poslovanja provodi se kroz primjenu dobre prakse koja je
definirana normama BS 25999-1:2006, Business Continuity Management- Code of
practice i BS 25999-2: 2007, Business Continuity Management - Specifications. Ove
norme omogućuju uspostavu Sustava upravljanja kontinuitetom poslovanja (BCMS -
Business Continuity Management System) koji se moţe uskladiti i certificirati prema
normi BS 25999-2: 2007 koja odreĎuje zahtjeve na takav sustav.
1. Uspostava programa kontinuiranog poslovanja (BC program)
Ciljevi BC programa
Smanjenje vjerojatnosti pojave prekida poslovanja od strane neočekivanih
dogaĎaja koji uzrokuju prekid
Odrţavanje kontinuiteta poslovanja za vrijeme prekida koji je nastupio od
neočekivanog dogaĎaja koji je izazvao prekid
Uzroci takvih dogaĎaja mogu biti na primjer:
Prirodni (poplava, potres)
Nesreća (kemijski udes)
Greška ureĎaja
Sabotaţa
Značenje katasrofe u kontekstu poslovanja:
Websterov riječnik: ˝Katasrofa je neţeljeni dogaĎaj , posebno onaj koji se dogodi
iznennada te koji prouzrokuje velike gubitke ljudskih ţivota, velika oštećenja i nevolje,
kao što su poplave, pad aviona ili greška u poslovanju˝.
Vaţno je uočiti da ova definicija povezuje katastrofu s greškom poslovanja.
Definiranje katastorofe (dizastera) iz poslovne perspektive razmatra se kao posljedice
koje se odnose na:
Poslovanje (poslovne operacije)
Poslovne gubitke
Primjer:
Poslovna funkcija; Usluge za korisnike
Poslovni procesi: upravljanje novim korisničkim računima, povratak proizvoda, provjera
korisičke plativosti
Poslovni gubitci se mogu podijeliti u dvije kategorije:
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 327
Finacijski gubitci koji se izraţavaju u novčanoj mjeri
Operativni gubitci koji se ne mogu novčano izraziti
Primjeri finacijskih gubitaka mogu biti:
Gubitak prodaje uzrokuje gubitak prihoda
Plaćanje penala što je posljedica ne pridrţavanja SLA
Troškovi putovanja koji se ne odnose na normalno poslovanje
Troškovi rentanja ureĎaja koji se ne odnose na normalno poslovanje
Primjeri operativnih gubitaka:
Gubitak dotoka novaca (prihoda)
Rušenje Imidţa (reputacije)
Gubitak povjerenja dioničara
Pogoršanje odnosa sa dobavljačima
Zakonske i regulatorne posljedice
Poslovna katastrofa
Definicija: To je pojava dogaĎaja koji izaziva prekid (neraspoloţivost) poslovnih
operacija (poslovanja) kroz neki vremenski period što uzrokuje pojavu financijskih i
operativnih gubitaka neprihvatljive razine.
Poslovna katastrofa
Poslovne operacije Poslovni gubitci
Poslovne
funkcije
Poslovni
procesi
Financijski
gubitci
Operativni
gubitci
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 328
Financijski i
operativni gubitci
Vrijeme
Maksimalno
dozvoljeno vrijeme
prekida MTDKatastrofa/
prekid
Prihvatljivi
gubitci
Neprihvatljivi gubitci
Izvori pojave dizastera
Prirodni
o Snjeţna oluja
o Potres
o Haricine
o Poplave
o Smrtonosne bolesti
Tehnički, koji su povezani sa tehnologijom što uključuje komponente kao što su
elktričke, mehaničke, IT i dr.
o Nestanak elelktrične struje
o Curenje vode
o Curenje plina
o Avionska nesreća
o Eksplozija nuklearnog reaktora
o Greške računalnih sustava
Ljudski , uzrokovani od strane ljudi namjerno ili slučajno,
o Sabotaţa
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 329
o Računalno hakiranje
o Štrajkovi
o Računalni virusi
o Nesreće na radu
o Kemijski incidenti
BC program zahtjeva procjenu rizika od svih navedenih uzroka katastrofa (prirodnih,
tehničkih i ljudskih.
Statistika o katastrofama
2 od 5 businesa nikada nisu ponovo zaţivjela
1 od 3 businesa koji je zaţivio je nestao nakon 2 godine
Vaţnost BC programa
1. Minimiziranje pojave prekida poslovanja od strane neočekivanih prekidnih
(narušavajućih) dogaĎaja
2. Odrţavanje kontinuiranog poslovanja za vrijeme pojave prekidnog dogaĎaja
Komponente BC programa
1. Planiranje kontinuiranog programa (BC programa)
2. Upravljanje sa BC programom
Razvoj BC programa
BC program se je tradicionalno fokusirao na:
Ljude
Komunikacije
Radni prostor
IT infrastrukturu
Ljudska bića kao uzroke dizastera
ER plan (Emergency Response Plan) sadrţi smjernice i procedure koje slijede odmah iza
pojave dizastera kako bi:
1. Spriječili gubitak ljudskih ţivota i ranjavanje
2. Smanjili štetu nad imovinom organizacije
Današnji fokus BCP-a na :
Ljude
Kritične poslovne procese, ne samo na oporavak IT-a
Kritične resurse i servise koji podupiru kritične poslovne procese
Prirodne, ljudske i tehničke kategorije izvora dizastera
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 330
IT infrastruktura
Data centri
Proizvodnja
postrojenje
Proizvodnja
oprema
Kritični
zapisiUredski radni
prostor
Krirtični
podatci
Komunikacijska
infrastruktura
Udaljene lokacije za
smještaj podtaka i
zapisa
Poslovni
procesi
BC program mora se nositi sa slijedećim vrstama dizastera:
Velikim katastrofama
Manjim prekidima rada sustava
MTD-Mean Tolerable Downtime:
1990 - 3 do 4 tjedna , što je regulirano finacijskim i poslovnim propisima
2000 - 1 dan, uglavnom odreĎeno sa Zahtjevima na Y2K problem
Danas - do 1 sat, uglavnom uvjetovano e-trgovimom i Internetom
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 331
Razlozi za BC program
Zašto organizacija treba implementirati BC program ?
Preţivljavanje poslovanja
Sprečavanje gubitka ljudskih ţivota ili ranjavanja
Sprečavanje gubitka u prihodu organizacija
Šteta na kritičnim resursima
Minimiziranje štete na kritičnim resursima nakon pojave dizastera
Zaštita poslovne reputacije, u smislu povjerenja u upravljanje te imiĎ i brand.
UsklaĎenost sa zakonima i propisima koji se odnose na poslovanje.
Zaštita od kaznene i prekršajne odgovornosti
UsklaĎenost sa ugovorima i SLA sporazumima.
Ključni principi BC programa
Fokus
Preventiva
Plan
Zaštita
Proces planiranja kontinuiteta poslovanja
Proces slijedi četiri glavna principa koji se implementiraju u BC programu kroz proces
planiranja u šest koraka:
1. Upravljanje rizikom
2. Analiza posljedica na poslovanje (BIA – Business Impact Analysis)
3. Razvoj strategije kontinuiranog poslovanja
4. Razvoj BC plana
5. Testiranje BC plana
6. Odrţavanje BC plana
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 332
5 1
4
3
2
6
BC plan
Upravljanje
rizikom
BIA
Razvoj BC
strategije
Razvoj BC
plana
Testiranje
BC plana
Preventiva
Fokus
Plan
Zaštita
Održavanje
BC plana
Ciljevi BC programa
Upravljanje rizikom
Procjena prijetnji i rizika za kontinuitet poslovanja
Upravljanjem rizikom koji prijeti kontinutetu poslovanja
Analiza posljedica na poslovanje (BIA – Business Impact Analysis)
Identifikacija ključnih poslovnih funkcija i procesa
Analiza posljedica koje mogu nastupiti prekidom ključnih poslovnih
funkcija i procesa.
Identifikacija zahtjeva za oporavak nakon pojave dizastera
Razvoj strategije kontinuiranog poslovanja
Ocjena zahtjeva za oporavak prekinutih ključnih poslovnih procesa.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 333
Identifikacija opcija za oporavak ključnih poslovnih procesa. Te
opcije su alternativne rješenja koja zadovoljavaju zahtjeve ocijenjene u
prethodnom koraku.
Odabir najisplativijih mogućih rješenja, koja su identificirana u
prethodnom koraku, kao dio strategije
Razvoj BC plana
Zaštita ključnih procesa i sredstava od različitih prijetnji i rizika
Oporavak ključnih poslovnih procesa i resursa od dizastera na siguran i
vremenski privaćen način
Testiranje BC plana
Testirati izraĎen BC plan kako bi se osiguralo da je plan
Testiranje sposobnosti i učinkovitosti tima za oporavak
Testiranje učinkovitosti i sposobnosti dobavljača robe i usluga
Odrţavanje BC plana
Odrţavati plan u spremnom stanju za njegovo izvoĎenje cijelo vrijeme, a
za slučaj pojave neočekivanog prekida poslovanja
Ova metodologija odgovara u potpunosti uspostavi kontrola za kontinuitet poslovanja
koji je odreĎen standardom ISO 27001 (Anex A).
A.14 Upravljanje kontinuitetom poslovanja
A.14.1 Stanovišta informacijske sigurnosti pri upravljanju kontinuitetom poslovanja
Cilj: Ostvariti protumjeru u slučaju prekida poslovnih aktivnosti te zaštititi ključne poslovne procese od
utjecaja velikih zastoja informacijskih sustava ili katastrofa i osigurati pravodoban nastavak rada.
A.14.1.1 Uključivanje informacijske
sigurnosti u proces upravljanja
kontinuitetom poslovanja
Kontrola
Potrebno je razviti i odrţavati proces upravljanja
kontinuitetom poslovanja u cijeloj organizaciji koji
obraĎuje zahtjeve informacijske sigurnosti
potrebne za kontinuirano poslovanje organizacije.
A.14.1.2 Kontinuitet poslovanja i procjena
rizika
Kontrola
Potrebno je prepoznati dogaĎaje koji mogu
uzrokovati prekide poslovnih procesa, zajedno s
vjerojatnošću i utjecajem takvih prekida i njihovih
posljedica po informacijsku sigurnost.
A.14.1.3 Razvoj i primjena planova
kontinuiteta poslovanja koji
uključuju informacijsku sigurnost
Kontrola
Potrebno je izraditi i primijeniti planove za
odrţavanje ili obnavljanje aktivnosti i osiguravanje
dostupnosti informacija na zahtijevanoj razini u
zahtijevanom vremenu nakon prekida ili zastoja
ključnih poslovnih procesa.
A.14.1.4 Okosnica planiranja kontinuiteta
poslovanja
Kontrola
Potrebno je odrţavati jednu okosnicu planova
kontinuiteta poslovanja kako bi se osiguralo da su
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 334
svi planovi dosljedni, da bi se dosljedno uvaţavali
zahtjevi informacijske sigurnosti i da bi se mogli
odrediti prioriteti ispitivanja i odrţavanja.
A.14.1.5 Ispitivanje, odrţavanje i ponovno
procjenjivanje planova
kontinuiteta poslovanja
Kontrola
Potrebno je redovito ispitivati i obnavljati planove
kontinuiteta poslovanja kako bi uvijek bili
suvremeni i učinkoviti.
2. Aktivnosti za izvoĎenje BC programa
Glavne aktivnosti izvoĎenja BC programa mogu se podijeliti u dvije glavne skupine:
Upravljanje s BC programom (BCP upravljanje) i
IzvoĎenje BCP procesa (BCP proces)
Kreiranje politike
kontinuiranog
poslovanja
Uspostava
upravljačke
skupine
Uspostava BCP
projekta
Uspostva programa za
obuku i podizanje
svijesti
Koordinacija BCP sa
zakonom, propisima i
standardima
Koordinacija s drugim
unutarnjim/vanjskim
agencijama
Projekt razvoja BC plana
Održavanje
spremnosti na
prekid
IzvoĎenje
BC plana
Upravljanje
rizicima
Utjecaj na
poslovanje -
BIA
Razvoj BC
strategije
Razvoj BC plana
Testiranje
BC plana
Održavanje i
redovito
testiranaje BC
plana
BC
P U
pra
vlja
nje
BC
P P
roce
s
Početak
BCP
Završetak
BC Plana
Prekid
poslovanja
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 335
Upravljanje s programom kontinuiranog poslovanja (BCP upravljanje)
Uspostava i donošenje politike kontinuiranog poslovanja na razini cijele
organizacije
Uspostava tijela za upravljanje i nadzor provoĎenja BC programa
Formalno inicirati projekt za razvoj BC plana
Osigurati da je osoblje koje je uključeno u razvoj BC plana odgovarajuće
obučeno.
Osgurati da je BC program usklaĎen sa relevantnim zakonima i propisima i
industrijskim standardima
Koordinirati aktivnosti s relevantnim agencija za oporavak od katastrofa i
odrţavanje kontinuiteta poslovanja (vladinim ili lokanim)
Osigurati i voditi brigu daje BC plan uvijek u stanju spremnosti
Upravljati i nadzirati izvoĎenje BC plana u slučaju pojave prekidnog dogaĎaja
BCM politika
Identifikacija pojma kontinuiteta poslovanja
Identifikacija relevantnih standarda, propisa, i zakona koje politika treba uključiti
Identifikacija BCM politika drugih organizacija koje će posluţiti za benchmark
Pregled i provoĎenje "gap" analize postojeće politike prema drugim politikama ili
novim zahtjevima
Razvoj novog dokumenta BCM politike
Pregled dokumenta politike u prema postojećim standardima organizacije i
drugim politikama u organizaciji (npr. Politika informacijske sigurnosti i dr.)
Izvršiti konzultacije za dokument politike
Uključiti usvojene primjedbe i dopune na dokument kao rezultat konzultacija
Odobrenje uprave za BCM politiku i strategiju njene implementacije (BC plan)
Publiciranje BCM politike
Opseg BC programa
Više lokacija preko širokog geografskog područja
Različiti odjeli na svakoj lokaciji
Poslovni procesi koji zahvaćaju više odjelsku suradnju
Sutave od stolnih računala do LAN-ova, sigurnih mreţa do više Data centara sa
više servrea , itd.
Telekomunikacije (podatake, glas, video, multimedija) koje posluţuju interne i
klijentskae potrebe
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 336
Pretpostavke za BC program (primjeri)
BC plan će biti aţuran i drţat će se na sigurnom mjestu
Backupovi aplikacijskih programa i datoteka podataka potrebnih za oporavak bit
će raspoloţivi na udaljenim lokacijama za uskladištenje
Kopije BC plana bit će raspoloţive na lokacijama ili kod djelatnika poimenično
Dogodilo se totalno uništenje Data centra
Više od jedne zgrade neće biti pogoĎeno katastrofom
Telekomunikacijske potrebe već su ugovorene unaprijed
Minimalni broj osoba bit će raspoloţiv za provoĎenje kritičnih funkcija BC plana
Katastrofa moţe nastupiti za vrijeme vršnog opterećenja
Odjel za upravljanje rizicima će provoditi slijedeće zadatke:
Katastrofe će se deklarirati i obrada će biti prebačena na lokaciju za oporavak
kada se očekuje prekid duţi od 48 sati
BCP proces
Aktivnost BCP procesa su:
1) Upravljanje rizikom 2) Analiza posljedica na poslovanje (BIA – Business Impact Analysis) 3) Razvoj strategije kontinuiranog poslovanja 4) Razvoj BC plana 5) Testiranje BC plana 6) Održavanje BC plana
Upravljanje rizikom
Različite prijetnje mogu dovesti do prijetnji poslovanju sa značajnim posljedicama,
gubitak ţivota, uništenje ureĎaja, financijski gubitci i dr. iako je često jako teško ukloniti
te rizike u potpunosti, organizacija moţe smanjiti te rizike na prihvatljivu razinu kroz
primjenu metoda za učinkovito upravljanje rizicima.
Analiza posljedica za poslovanje - BIA
BIA identificira slijedeće informacije:
Kritična područja poslovanja i njihove procese
Veličine potencijalnih financijskih i operativnih rizika za organizaciju
Zahtjeve na oporavak prekinutih poslovnih procesa
Zahtjevi na vrijeme oporavka
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 337
Izgubljeni
podatciWork
Backlog
Oporavak
backloga
Oporavak
izgubljenih
podtaka
Oporavak
ručno
prikupljenih
podataka
Ručno prikupljanje
podataka
MTD
RPO RTO WRT
Sustavi i resursi
neraspoloživi
Normalne
procedure
Zamjenske
procedureRučne i normalne procedure
Normalne
procedure
Posljednji
backup
Prekidni
dogaĎaj
Sustavi/
resursi
oporavljeni
Početak
normalnog
poslovanja
Okvir vremena pojave prekida i oporavka
Vremenski periodi:
MTD je duţina vremena za koju poslovni proces moţe biti neraspoloţiv prije
nego organizacija pretrpi značajne gubitke. MTD odgovara vremenskom periodu
izmeĎu prekidnog dogaĎaja i početka normalnog poslovanja.
RTO je povezan sa oporavkom resursa kao što su računalni sustavi, ureĎaji za
proizvodnju, komunikacijski ureĎaji, zgrade, radni prostor i dr. RTO odgovara
duţini vremena izmeĎu prekidnog dogaĎaja i oporavka sustava/resursa. To
pokazje na vrijeme raspoloţivo za oporavak onesposobljenih sustava/resursa.
RPO se odnosi na toleranciju gubitka podataka mjereno kroz vremeske jedinice,
tj kao vrijeme izmeĎu posljednjeg backupa i prekidnog dogaĎaja. RPO je
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 338
indikator koliko mnogo podataka se moţe oporaviti jednom kada su sustavi
oporavljeni i aţurirani sa backupiranim podatcima .
WRT se mjeri kao vrijeme izmeĎu opravljenih sustava/resursa i početka
normalnog poslovanja. WRT pokazuje na vrijeme potrebno za oporavak
izgubljenih podataka, backloga, i ručno uhvaćenih podtaka jednom kada su
sustavi/resursi oporavljeni/popravljeni.
Strategija razvoja kontinuiteta poslovanja
Područja oporavka:
Radni prostori
IT sustavi i infrastruktura
Proizvodna
Podatci i kritični/vitalni zapisi
Primjeri zahtjeva za oporavak za navedena područja oporavka su:
Radni prostori:
o Priprema alternativnog radnog prostora za Tim za krizne situacije
o Priprema alternativnog uredskog prostora za osoblje
IT sustavi i infrastruktura
o Priprema alternativne lokacije za oporavak IT sustava
o Oporavak oštećenih sustava
Proizvodnja i obrada
o Oporavak oštećenih ureĎaja za proizvodnju
Podatci i kritični/vitalni zapisi:
o Obnova oštećenih kritičnih zapisa
o Obnova izgubljenih podataka
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 339
Optimalna strategija
Strateška rješenja
Vrijeme oporavka
Optimalna
strategija
Gu
bit
ci
Tro
šk
ov
i im
ple
me
nta
cije
str
ate
gije
Ula
ganj
e u
opor
avak
Vrijeme oporavka
Troš
kovi
opo
ravk
aKontinuirani
proces
Hot site
Mobile site
Ručne
procedure
Ne činiti
ništa
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 340
Razvoj BC plana (BCP)
IzvoĎenje BC plana:
1. Početni odgovor i obavijest (rezultira u preliminarnom izvješću o problemu)
2. Procjena problema i eskalacija (rezultira u detaljnom izvješću o problemu)
3. Izjava o katastrofi/prekidnom dogaĎaju (rezultira u proglašenju
katastrofe/prekidnog dogaĎaja)
4. Implementacija plana logistike (rezultira u mobilizaciji timova, backup medija,
kritičnih resursa i ureĎaja)
5. Oporavak i nastavak poslovanja (rezultira u oporavku kritičnih IT i ne-IT
resursa i nastavak procesa)
6. Normalizacija (rezultira u operativnom statusu koji je bio prije pojave prekida)
IzvoĎenje
ERPStabilizacija
Upravljanje BCPPočetni
odgovor i
obavješći
vanje
Prekid Vrijeme
1. faza
2. faza3. faza
4. faza
5. faza
6. faza
Procjena
problema i
eskalacija Deklaracija
prekida
Logistika
implementacije
plana
Oporavak i nastavak
poslovanja
Normalizacija
Primarna
lokacijaCentar za
upravljanje
krizom
Alternativna IT
lokacija, radni prostor
i proizvodnja Cold Site ili
originalna lokacija
Normalno stanje
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 341
Arhitektura sustava na kojem se provodi izvoĎenje BC plana
Primarna
lokacijaLokacija za Centar
za kriznu situaciju
Nova ili stara
primarna lokacija
Udaljena lokacija
za smještaj backup
podataka
Udaljena lokacija
za smještaj kritičnih
zapisa
BC Upravljački tim
BC koordinator
BC timovi
BC timovi
Alternativna
lokacija za IT
oporavak
Alternativni za radni
prostor
Alternativna
lokacija za
proizvodnju
Normalno stanje Krizno stanje Normalizacija
Tranzicija
Udaljena lokacija
za smještaj
backup podataka
Udaljena lokacija
za smještaj
kritičnih zapisa
BC Upravljački
tim
BC koordinator
BC timovi
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 342
Uloge i odgovornosti za izvoĎenje BC plana
Prekid
BC koordinator BC plan
Javne
institucije
CMT,DAT,NTPreliminarno
izvješće
CMT,DAT, NT
Detaljno
izvješće
Grupa za
tehniku i
operativu
Grupa za
nastavak
poslovanjaEskalacija
?
Standardne
procedure i
outsourcing
Deklaracija
katastrofe
Grupa za krizne
situaciieNT CCT
RPLTGrupa za tehniku i
operativu
Grupa za
nastavak
UMT i BUT
NE
DA
Početni
odgovor i
obavještavanje
Procjena
problema i
eskalacija
Deklaracija
prekida
Logistika,
oporavak,
nastavak i
normalizacija
Prim
arn
a lo
ka
cija
Prim
arn
a lo
ka
cija
Ce
nta
r za
krizn
u
situ
aciju
Sve lokacije za
oporavak i primarna
lokacija
Faze izvođenja Lokacije
ERT
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 343
Testiranje BC plana
BC planRazvoj BC
test plana
Dokument
BC test
plana
Priprema
testa
IzvoĎenje
testa
Vrednovanje
Izvještaj o
rezultatima
vrednovanja
IzvoĎenje BC
test plana
Odrţavanje BC plana
Upravljanje promjenama BC plana
Testiranje BC plana
Obuku i trening za izvoĎenje BC plana
Revizije (audit) BC plana
Raspored testiranja BC plana
Definiranje intervala testiranja: mjesečno, kvartalno, polugodišnje i godišnje
Odabir metode testiranja za svaki interval tetsiranja
Pridruţivanje vremenskog intervala test metodi koje treba uzeti u obzir sloţenost
test metode, tj nezin opseg, potreban napor, resurse, troškove i dr.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 344
Složenost testa
High
Medium
Low
Mjesečno Kvartalno Polugodišnje Godišnje
Kontrolne
liste
Za
stolom
Kontrolne
liste
Za stolom
Simulacija
Potpuni prekid
Nenajavljeni
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 345
16. STANDARDI i KRITERIJI VREDNOVANJA SIGURNOSTI I
UČINKOVITOSTI SUSTAVA INFORMACIJSKE SIGURNOSTI
I STANDARDI i KRITERIJI VREDNOVANJA SIGURNOSTI
Cilj: Dizajn, mjerenje i vrednovanje sigurnosti sustava i proizvoda.
Standardi vrednovanja i kriteriji:
Trusted Computer System Evaluation Criteria (TCSEC),
Information Technology Security Evaluation Criteria (ITSEC)
Canadian Trusted Computer Product Evaluation Criteria (CTCP)
Common Criteria ( CC - ISO/IEC 15408)
NATO Stanag
ISO/IEC 27000 serija
i dr.,
Povijest razvoja standarda i kriterija
US DoD je promovirao DoD Computer Security Initiative u 1977, a koja je
objavljena 1978.
NBS (Natianal Bureau of Standards), danas NIST(national Institute of Standards
and Technology) se fokusirao na dvije inicijative za sigurnost:
o kriptografske standarde i
o proces razvoja i vrednovanja sigurnosnih sustava
1977, DES postaje sluţbena tehnika za zaštitu neklasificiranih federalnih
podataka;
“Trusted Computer System Evaluation Criteria “ (TCSEC) dokument , poznat
pod nazivom Orange Book (Depatment of Defense, 1985). (DoD kriteriji).
1987 publiciran Trusted Network Interpretation (TNI), što je interpretacija
TCSEC za računalne mreţe
Euorpiean Computer Manufactures Association (ECMA), grupa 50 europskih
proizvoĎača, takoĎer je uključena u u definiranje sigurnosnih standarda (ECMA;
1988).
1991 pojavio Trusted DBMS Interpretation (TDI) od NCSC-a (National
Computer Security Center ) što predstavlja interpretaciju TCSEC-a baze podataka
U 1990. u Europi (Velika Britanija, Njemačka, Nizozemska i Francuska),
Information Technology Security Evaluation Criteria (ITSEC)
1993 CTCP (Canadian Trusted Computer Product Evaluation Criteria) -
objedinjuje ITSEC i TCSEC
1993. US Federal Criteria for Information Technology Security (FC) -uzima u
obzir pozitivne koncepte ugraĎene u europski standard.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 346
1999. Common Criteria ( CC - ISO 15408) objedinio dosadašnje standarde -
TCSEC, ITSEC, CTCP - (Velika Britanija, Njemačka, Nizozemska i Francuska i
US) - predstavlja opće prihvaćeni standard za utvrĎivanje kriterija i vrednovanje
sigurnosti tehnoloških komponenti informacijskih sustava.
2005.-2010., ISO/IEC 27000 familija standarda
1995.-2010., NIST SP 800 serija sigurnosnih standarda (US)
Sigurnosni kriteriji
Kriterij predstavlja referentni standard prema kojem se provodi vrednovanje
sigurnosnih komponenti i primjenjene tehnologije.
TCSEC, ITSEC, CTCPEC, CC - Common Criteria, NATO Stanag, i dr
Sigurnosni standardi
Definiraju principe, preporuke, najbolju praksu i elemente sigurnosne
arhitekture, neovisno o primijenjenoj tehnologiji
ISO/IEC 27000 familija
NIST SP 800 serija
Ostali ISO, CoBit, ITIL, RFC i dr. standardi i specifikacije.
o ISO/IEC 7498-2, Information Technology-Open Systems Interconnection-
Basic Reference Model- Part2: Security Architecture
o Fizička sigurnost - National Communication Security 5100A (NACSIM
5100A) za Vladu USA,
o Monitoriranje i detekcija - ISO/IEC 10164-7 (X.736), Security Alarm
Reporting Function
o Nadzor - ISO/IEC 10164-8 (X.740), Security Audit Trail Function
o Autentifikacija - ISO/IEC 9594-8 (X.509), Directory Autentification
Framework. X.811
o Kontrola pristupa - ISO/IEC 10181-3 (X.812), Access Control
o Tajnost - ISO/IEC 10181-5 (X.814), Confidentiality Framework
o Neporecivost - ISO/IEC 10181-4 (X.813), Nonrepudation Framework
o Upravljanje sa sigurnošću kroz mreţno upravljanje (SNMP) - RFC
(Request for Comments) 1351 - 1353
o Control Objectives for Information and related Technology (COBIT) -
ISACA
o ISO/IEC 20000 , Information Technology Infrastructure Library (ITIL),
o i dr.
.
DoD kriteriji (TCSEC - Orange book)
U.S. National Computer Security Center - Orange book.(US DoD, 1985).
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 347
Vrednovanje komercijalnih proizvoda te za formiranje liste ili klasifikacije koja se
publicira u listi vrednovanja proizvoda.
Sigurnosnu klasa definira zahtjeve i parametre vrednovanja sigurnosnih proizvoda
i mehanizama
Klasifikacija je prilagoĎena više prema vojnim i vladinim zahtjevima za tajnost
klasificirane informacije , ali moţe posluţiti isti kao vodič za opće rješenje
sigurnosti.
DoD kriteriji su definirani kako bi opremili:
o Korisnike sa metrikom vrednovanja
o Razvojno osoblje/ponuĎači sa vodičem izgradnje sigurnosnog sustava
o Dizajneri sa vodičem za specifikaciju sigurnosnih zahtjeva.
Skupu kriterija ili zahtjeva grupiran je u širi skup kategorija koje razmatraju:
o Zaštitnu razinu ponuĎenu od sustava (sigurnosnu politiku)
o Odgovornost korisnika i korisničkih operacija koje podrţavaju sigurnosne
politike (odgovoronost)
o Osiguranje pouzdanosti sustava sa stanovišta razvoja sustava i operacija
(jamstvo)
o Skup dokumenta koji osiguravaju detaljne informacije o sigurnosnim
mogućnostima, svojstvima dizajna i testne primjere (dokumentacija).
DoD zahtjevi upućuju na Povjerljivu računalnu osnovu (Trusted Computing
Base- TCB), to jest na skup sklopovskih, programskih, "firmware" mehanizama
koji ostvaruju sigurnosna svojstva sustava.
Koncepta referencijskog monitora koji je odgovoran za provoĎenje svih pristupa
subjekata na objekte, te za verifikaciju pristupa dan je donjoj slici.
Subjekti
(korisnici,
programi)
Referencijski
monitor
(TCB)
Objekti
(datoteke,
programi,
terminali)
TCB baza podataka
(pravila pristupa, politike,
pristupne klase, i dr.)
Referencijski monitor po DoD kriterijima
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 348
Kategorije zahtjeva:
o Sigurnosna politika
DAC (Discretinary Access Control)
MAC Mandatory Access Control)
Oznake subjekata i objekata
Ponovna upotreba objekata (memorija, disk i dr.)
o Odgovornost(Accounatbility)
Identifikacija/Autentifikacija
Nadzor (Audit)
Povjerljivi put
o Jamstvo (Assurance)
Pouzdanost operacija
Arhitektura sustava
Integritet (cjelovitost) sustava
Analiza tajnih kanala
Upravljanje sa povjerljivošću (odvajanje duţnosti)
Obnova povjerljivosti (oporavak TCB-a)
Pouzdanost razvoja
Testiranje sustava
Specifikacija dizajna i verifikacija
Upravljanje konfiguracijom
Povjerljiva distribucija
o Dokumentacija.
Priručnik povjerljivih sredstava i mogućnosti
Korisnički priručnik sigurnosnih svojstava,
Test dokumentaciju,
Dokumentaciju o izgradnji (projektna dokumentacija),
Dokumentacija o odgovornosti administratora, operatera,
korisnika, razvojnih inţenjera i osoblja za odrţavanje
Za klase iznad B ( prema DoD hierarhijskoj klasifikaciji):
upravljanje konfiguracijom,
arhitektura sustava,
izvješća o analizi tajnih kanala,
formalni model,
formalni opis specifikacija na visokoj razini.
DoD hijerarhijska klasifikacija
o Grupa D – Minimalna zaštita
o Grupa C – Diskreciona zaštita
Klasa C1 – Diskreciona sigurnosna zaštita
Klasa C2 – Kontrolirana zaštita pristupa
o Grupa B – mandatna (obvezatna) zaštita
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 349
Klasa B1 – Zaštita sigurnosnim označavanjem
Klasa B2- Strukturirana zaštita
Klasa B3 – Sigurnosne domene
o Grupa A – Verificirana zaštita
Klasa A1 – Verifikacijski dizajn
Preko klase A1. ( nije opisana u Orange Book-u).
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 350
Common Criteria ( ISO/IEC 15408 - CC standard)
Puni naziv: The Common Criteria for Information Technology Security
Evaluation
Cilj je kreirati niz evaluacijskih i kontrolnih procedura za vrednovanje i
sigurnosnu klasifikaciju informacijskih sustava.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 351
CC standard se klasificira u tri dijela
o Part 1. Uvod i opći model (Introduction and general model)
o Part 2. Sigurnosni funkcijski zahtjevi (Security functional requirements) -
TOE – Target of Evaluation
o Part2. Zahtjevi na razinu (jamstvo, potvrdu) postignute sigurnosti
(Security assurance requirements) - EAL – Evaluation Assurance Levels
Povijest razvoja
Definiranje sudionika u procesu evaluacije
o Korisnici (Consumers) - formiraju svoje potrebe kroz zaštitni profil (engl.
Protection Profile - PP)
o Razvojni inženjeri i proizvoĎači (Developers and Product Vendors) -
Pozicioniranje produkta unutar zadanog PP osigurava ispunjavanje
kriterija i funkcionalnost produkta s aspekta sigurnosti sustava - integralni
dio sistemskog dizajna.
o Ispitivači i validatori (Evaluators and Certifiers/Validators/Overseers) -
separacija uloga - testni laboratorij i nacionalna sigurnosna agencija
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 352
o Akreditori (Accreditors) - koji sigurnosni standardi trebaju biti ispunjeni,
funkcijski i jamstveni
U tablici 1. detaljnije su specificirane uloge i pozicija pojedinih subjekata u odnosu na tri
dijela CC standarda.
Korisnici Razvojni inţenjeri Ispitivači
Part 1. Uvod i opći
koncepti
Koriste kao referencu
i izvor dodatnih
informacija. Vodič za
značenje i strukturu
PP
Koriste kao referencu
i izvor dodatnih
informacija kod
formuliranja
sigurnosnih
specifikacija predmeta
evaluacije (TOE)
Koriste kao referencu i
izvor dodatnih
informacija. Vodič za
strukturu PP i ST
Part 2. Sigurnosni
funkcijski zahtjevi
Koriste kao referencu
za formiranje
sigurnosnih
funkcijskih zahtjeva
Koriste kao referencu
kod izgradnje
formalnih funkcijskih
specifikacija
evaluiranih predmeta
Koriste kao obavezni
priručnik pri evaluaciji i
odreĎivanju da li
testirani TOE
zadovoljava navedene
sigurnosne zahtjeve
Part 3. Sigurnosni
zahtjevi potvrde
Koriste kao vodič za
odreĎivanje potrebnih
razina jamstava
sigurnosti
Koriste kao referencu
pri interpretaciji
sigurnosnih jamstava
Koriste kao obavezni
priručnik sa kriterijima
za izdavanje sigurnosnih
jamstava i ispunjavanje
odreĎene razine
sigurnosti
Sigurnosni funkcijski zahtjevi
o Part 2. CC standarda ima jedanaest klasa;
Revizija
Kriptografske metode
Komunikacijski protokoli
Zaštita korisničkih podataka
Identifikacija i autentikacija
Upravljanje sigurnosnim postavkama
Privatnost
Zaštita sigurnosnim postavkama TOE
Upravljanje resursima
TOE pristup
Sigurnosni kanali
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 353
o Svaka od tih klasa posjeduje odreĎeni skup pravila, koja se nazivaju
familije.
o Svaka familija dalje se dijeli na komponente, koje mogu ali i ne moraju
biti hijerarhijski poredane
o Npr. klasa revizije posjeduje šest familija iz različitih područja revizije
(npr. stvaranje revizorskih podataka, analiziranje revizorskih podataka,
pohrana i upravljanje revizorskim dogaĎajima, itd.)
o Npr. familija stvaranja revizorskih podataka sadrţi dvije nehijerarhijske
komponente – jedna se odnosi na stvaranje revizijskih zapisa, dok se druga
odnosi na kreiranje relacija izmeĎu korisnika i revizijskih zapisa
o Na donjoj slici grafički je prikazan hijerarhijski prikaz klasa, familija i
pripadajućih komponenti
o Paket omogućuje grupiranje komponenti koje pripadaju različitim klasama
- stvaranje paketa za ispunjavanje točno odreĎenih sigurnosnih zahtjeva
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 354
Zahtjevi na razinu (jamstvo, potvrde) postignute sigurnosti
o Part 3. CC standarda sadrţi osam klasa potvrda, jamstva: Upravljanje konfiguracijama i postavkama
Dostupnost i operacije
Razvoj
Dokumentacija
Podrška u produkciji
Testiranje
Potvrde ranjivosti
Odrţavanje stečenog nivoa sigurnosti o Dvije dodatne klase sadrţe potrebne zahtjeve potvrde za sigurnosne
profile (PP) i ciljeve sigurnosti (ST).
o Klase sigurnosnih zahtjeva na potvrde sigurnosti takoĎer se dalje
grupiraju u familije.
o Npr. razvojna klasa sadrţi sedam familija koje obraĎuju različite aspekte
razvojne dokumentacije (npr. funkcijske specifikacije, dizajn i razvoj na
višim nivoima implementacije, itd.)
o Svaka familija sadrţi jednu ili više komponenti koje su striktno poredane u
hijerarhiju.
o Npr. familija funkcijskih specifikacija sadrţi četiri hijerarhijske
komponente koje detaljnije obraĎuju kompleksne zahtjeve funkcijske
specifikacije.
o Cilj kreiranja ovih sigurnosnih potvrda (certifikata) bila ja pravilno i
objektivno grupirati zadovoljene kriterije i pri tome zadrţati potpunu
neovisnost o platformama i dobavljačima
o CC standard definira sedam predefiniranih razina sigurnosnih potvrda ili
certifikata postignute sigurnosti– Evaluation Assurance Levels (EALs)
EAL1 – funkcionalno testirano
EAL2 – strukturno testirano
EAL3 – metodički testirano i provjereno
EAL4 – metodički testirano, provjereno i revidirano
EAL5 – poluformalno dizajnirano i testirano
EAL6 – poluformalno verificiran dizajn i testirano
EAL7 – formalno verificiran dizajn i testirano
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 355
EAL1
EAL1 sigurnosna potvrda primjenjuje se u situacijama kad je odreĎena kontrola
potrebna za korektno procesiranje podataka, a ne postoji ozbiljna prijetnja sigurnosti.
Ovaj nivo potvrde podrazumijeva sigurnosnu procjenu na razini korisnika i reviziju
korisničke dokumentacije
EAL2
EAL2 sigurnosni nivo potvrde zahtjeva angaţman razvojnog inţenjera u smislu
izdavanja i osiguravanja testnih podataka i potvrda koji spadaju u dobru
proizvoĎačku praksu. Npr. izdavanje garancija i potvrda o obavljenim kontrolama
kvalitete. Kao takvo ne zahtjeva dodatna ulaganja i planiranje dodatnih testnih
rokova.
Ovaj nivo potvrde primjenjiv je u situacijama gdje razvojni inţenjeri ili korisnici
zahtjevaju umjereni nivo ugraĎenih sigurnosnih procedura, a ne postoji kompletna
razvojna dokumentacija koja bi to podrţavala.
Često se primjenju kod gotovih komercijalnih produkata, gdje ne postoji uvid u
proizvoĎačku dokumentaciju i izvorni kod.
EAL3
EAL3 sigurnosni nivo zahtjeva od razvojnog inţenjera maksimalni angaţman u
ispunjavanju sigurnosnih normi, bez mijenjanja već postojećih razvojnih koncepcija.
Primjenjiv je u situacijama gdje korisnici ili razvojni inţenjeri zahtjevaju umjereni
nivo ugraĎenih sigurnosnih procedura, ali bez većih ulaganja i produljenja
vremenskih rokova.
TakoĎer, pretpostavka je da se ne primjenjuju metode reverznog inţenjerstva.
EAL3 evaluacija osigurava provjeru na nivou «crne kutije», gdje se TOE (predmet
evaluacije) provjerava odreĎenim upitima. Iz odziva sustava traţe se sigurnosni
propusti.
EAL4
EAL4 sigurnosni nivo traţi od razvojnog inţenjera maksimalnu primjenu sigurnosnih
postavki tijekom razvoja u skladu s dobrom industrijskom praksom. Iako vrlo
rigorozne, ove metode ne traţe dodatna specijalistička znanja, vještine i
specijalizaciju pojedinaca.
Ovaj nivo sigurnosti, najviše je što se moţe postići bez većih ulaganja i drastičnih
promjena postojećeg proizvodnog ili razvojnog procesa.
EAL4 nivo sigurnosti osigurava analizu podrţanu na niskom nivou, tj. na razini
pojedinih modula. Testiranje se provodi od strane neovisnih izvora traţenjem točaka
ranjivosti i tzv. penetration testingom. Kontrole su prisutne tijekom cijelog razvojnog
ciklusa.
EAL5
EAL5 sigurnosni nivo traţi od razvojnog inţenjera maksimalnu primjenu sigurnosnih
postavki tijekom razvoja u skladu s dobrom industrijskom praksom, kao i umjerenu
podršku sigurnosnog inţenjera. Ukoliko postoji dovoljna obučenost razvojnog
inţenjera, sigurnosni principi mogu se implementirati bez angaţmana zasebnog
specijaliste.
Bitno je cijeli proces razvoja od začetka voditi u skladu s EAL5 sigurnosnim
nivoom, jer naknadne prilagodbe gotovo da nisu moguće. TakoĎer pretpostavka je da
cijeli proces primjene standarda stvara umjerene dodatne troškove implementacije i
razvoja.
EAL5 sigurnosni nivo osigurava analizu i postupke tijekom cijelog razvojnog
postupka.
Postupak trestiranja i traţenja točaka ranjivosti mora dokazati otpornost na napade i
maliciozne upade umjerenog intenziteta.
TakoĎer zahtjeva se potpuno modularni dizajn produkta.
EAL6 EAL6 sigurnosni nivo traţi od razvojnog inţenjera maksimalnu primjenu sigurnosnih
postavki tijekom razvoja i primjenu rigoroznih sigurnosnih standarda.
Primjena tog sigurnosnog nivoa zahtjeva se u slučajevima gdje minimiziranje visokih
rizika opravdava visoke dodatne troškove, ljudski angaţman i dugački period
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 356
implementacije.
EAL6 sigurnosni nivo osigurava modularnu i slojevitu analizu i potpuno
dokumentirani proces implementacije.
Postupak trestiranja i traţenja točaka ranjivosti mora dokazati veliku otpornost na
napade i maliciozne upade visokog intenziteta.
EAL7 EAL7 sigurnosni nivo primjenjuje se u razvoju sustava izuzetno visokog rizika, gdje
se gotovo u cijelosti eliminiraju rizici. Krajnji rezultat koji se ţeli postići opravdava
visoke i često nepredvidljive troškove implementacije takvih sustava.
EAL7 osigurava modularnu i slojevitu analizu, potpuno dokumentirani proces
implementacije u svim fazama, i u konačnici rezultira «white box» sustavom.
Dokazi «white box» sustava moraju biti potvrĎeni iz više neovisnih izvora.
TakoĎer, zahtjeva se minimiziranje kompleksnosti dizajna cijelog sustava.
Zaštitni profil (Protection Profile - PP)
o Neovisna izjava o zadovoljavanju i ispunjavanju sigurnosnih zahtjeva,
koja se izdaje u odreĎenim područjima.
o Primjenjivost zaštitnog profila je u sljedećim slučajevima;
Grupa korisnika ţeli specificirati sigurnosne zahtjeve za odreĎeni
tip aplikacija (npr. transferi elektroničkog novca)
Vlada ili pojedine vladine institucije ţele specificirati sigurnosne
zahtjeve za odreĎeni tip produkata (npr. sigurnosne stijene)
Organizacija ili tvrtka ţeli nabaviti i implementirati sustav sa
specifičnim sigurnosnim zahtjevima (npr. čuvani i tajni podaci o
bolničkim pacijentima)
o Na donjoj grafički je prikazana struktura zaštitnog profila.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 357
Sigurnosni cilj (Security Target – ST)
o Predstavlja osnovu za provoĎenje sigurnosne evaluacije
o ST buhvaća:
sigurnosne prijetnje produkta koji se evaluira
zahtjeve i sve sigurnosne funkcije koje se provode, kao i
konačne sigurnosne razine ostvarene kao rezultat evaluacije
o Na donjoj grafički je prikazana struktura sigurnosnog cilja.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 358
Koncepti evaluacije
o Glavni elementi postupka evaluacije.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 359
o Evaluacijska shema, metodologija i postupak certificiranja, odgovornost
su neovisnih evaluacijskih institucija i nisu obuhvaćeni CC standardom
CC pristup zaštiti
o Povjerenje u sigurnost informacijskog sustava izgraĎuje se tijekom
procesa stvaranja informacijskog sustava koje dijelimo na:
Razvoj
Evaluacija
Produkcija
o Na donjoj grafički je prikazan TOE razvojni model.
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 360
Evaluacijski rezultat
o Finalni je dokument koji produciraju procjenitelji i akreditori.
o Najmanji element na koji se evaluacijska ocjena odnosi naziva se
Evaluator Action Element o Evaluacijska metodologija sadrţi tri meĎusobno isključiva rezultata
Prolaz (Pass) –zadovoljeni svi kriteriji zaštitnog profila (PP),
sigurnosnog cilja (ST) i cilja evaluacije (TOE) definirani CC
standardom
Nedovršeno (Inconclusive) – procjenitelj nije proveo sve potrebne
radnje i korake za potpunu procjenu sigurnosnog stanja
evaluiranog predmeta
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 361
Ne udovoljava (Fail) – detaljnom analizom zaštitnog profila (PP),
sigurnosnog cilja (ST) i cilja evaluacije (TOE) ustanovljeno da
sigurnosni profil predmeta evaluacije ne zadovoljava preporuke
CC standarda
o Neprolazna ocjena isključuje i nadjačava sve ostale prolazne ocjene.
o Primjer evaluacijskog rezultata
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 362
II MJERENJE i VREDNOVANJE UČINKOVITOSTI INFORMACIJSKE
SIGURNOSTI
Uvod
Nemoguće upravljati procesima ako se ne mogu mjeriti
Pratiti rezultate sigurnosti, usklaĎivanje sa standardima, kontinuirano
poboljšanje
Koje mjere i metrike koristiti ?
Poslovodstvo danas najčešće zanimaju odgovori na sljedeća pitanja:
o Jesmo li sigurniji nego ranije ? o Jesmo li dovoljno sigurni ? o Kako usporediti razinu sigurnosti sa zahtjevima sigurnosti ?
Metrika je sustav transformacija i prezentacije pogodan za izvješćivanje
menadţmenta, a isto tako metrika je instrument za odlučivanje, dokumentiranje
i vrednovanje prijetnji kao dijela procesa upravljanja učincima sigurnosti
Metrika se sastoji od sljedećih elemenata:
o objekta mjerenja
o referentne vrijednosti o senzora o mehanizma usporedbe o pokretača akcije o vrijednosti o načina prezentacije o vremenske dimenzije (mjerenja ili praćenja)
ISO definicije: o Metrika definira sustav ili standard mjerenja; ljestvice i jedinice mjerenja
za praćenje učinkovitosti o Mjerenje je čin utvrĎivanja količine, veličine ili stupnja (nečega)
korištenjem standardnog skupa mjera i postupka mjerenja definiranog metrikom
Metrika odgovora na pitanja: „Što se mjeri, zašto se mjeri i tko mjeri?“.
ŠTO SE ZAŠTO SE TKO
MJERI MJERI MJERI = METRIKA
TEHNIČKI
PROCESNI
ORGANIZACIJSKI
SISTEMSKI
OPISIVANJE
PREDVIĐANJE
USPOREDBA
TIP SVRHA CILJANA
OBJEKTA MJERENJA PUBLIKA
TEHNIČKI EKSPERTI
DONOSITELJI ODLUKA
VANJSKI AUTORITET
× ×
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 363
Iskustva i radovi na području metrika sigurnosti
ISO/IEC 27001/27002 - Code of practice for information security management, NIST SP 800-55 "Guide for the specific development, selection, and
implementation of IT system-level metrics"system-level metrics" ISO 15408 - Common Criteria (CC) ISACA - COBIT US DoD - TCSEC EU - ITSEC
Struktura metrika
Primjer „top-down“ podjele metrika sigurnosti
.
Dimenzije sigurnosnih metrika
"Measuring the effectiveness of your ISMS implementations based on ISO/IEC 27001"
o metrike za praćenje učinaka upravljačkih kontrola o metrike za praćenje procesa procjene i ponovljene procjene o metrike za praćenje učinaka operativnih kontrola o metrike za praćenje učinaka fizičkih kontrola o metrike za praćenje učinaka tehničkih kontrola
Metrika treba pokriti:
o apsekt upravljanja – standardizirno/posredno mjerenje (uključuje mjerenja
kvalitete procesa i koordinacije sustava)
o operativni aspekt - neposredno/relativne mjere (uključuje mjerenje
brojevih veličina koje kvantificiraju proces)
Smanjuje
ranjivost
Kontrola
pristupa
Kontrola
pristupa
- # krivih pokušaja
prijavljivanja
- # infekcija virusima /po
mjesecu
- učestalost revizije
- postojanje primjerene
procedure
- primjena IDS
- vrijeme proteklo od okrivanja
incideneta do korektivne
akcije
- # vanjskih korisnika koji
zahtijevaju snaţniju I&A
- # uspješnih penetracija
sustava
Interne Eksterne
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 364
o tehnički aspekt – standardizirno/neposredno mjerenje (uključuje mjerenje
fizičkih veličina i brojivih jedinica/mjera)
o ljudski aspekt – posredno/relativno mjerenje (uključuje mjerenje
kvalitete, zadovoljstva i apstraktnih veličina)
Dimenzije vrednovanja sigurnosti
Područja mjerenja sigurnosti
Vrste metrika sigurnosti
o Metrike informacijskog rizika
o Metrike zrelosti sigurnosnog programa
o Metrike za vrednovanje indikatora ciljeva i performansi
o Metrike za „benchmark“ mjerenja
o Metrike za izračun povrata investicija u sigurnost
Područje mjerenja
Područja primjene
Aspekt
upravljanja
Programska podrška, zrelost procesa,
provedba politike, certifikat uspješnosti
Operativni aspekt
Sposobnost planiranja, odgovor na
incidente, odrţavanje, edukacija,
učinkovitost sigurnosti
Tehnički aspekt
Identifikacija, autentifikacija, sistemski
zapisi, statistika incidenta, penetracijska
ispitivanja
Ljudski aspekt Zadovoljstvo korisnika, odgovornost
korisnika i znanje, ljudska greška, edukacija
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 365
Metrike informacijskog rizika
Metrike zrelosti sigurnosnog programa
metrika Funkcija rizika
Mickey
Krause [prijetnja]×[ranjivost]× [vrijednost imovine]
FMEA [S]×[O]×[D]
CRAMM [vrijednost]×[prijetnje]×ranjivost
RuSecure ranjivost, vrijednost, utjecaj, učestalost i
mogućnost djelovanja prijetnja,
FRAP vulnerability, business Impact - Matrica rangova
NIST matrica rangova
ISO imovina, prijetnje, vjerojatnost nastupanja
prijetnji, ranjivost imovine, postojeća zaštita
Octave imovina×prijetnja×ranjivost
COBRA relativna po razini sukladnosti s normom
What-if subjektivna procjena worst-sace scenarija
Model Razine zrelosti (eng.) Fokus modela
NIST CSEAT
IT
1. Politika
2. Procedure
3. Implementiran sustav
4. Ispitivanje
5. Integracija
prema kvaliteti
dokumentacije
Citigroup‟s
Info. Sec.
Evaluation
Model (CITI-
ISEM)
1. Samozadovoljstvo
2. Spoznaja
3. Integracija
4. Uobičajena praksa
5. Neprekidno unapreĎenje
prema
korporativnom
znanju i
usvajanju
znanja u
organizaciji
COBIT
1. Inicijalno/ad hoc
2. Ponovljivo ali intuitivno
3. Definirani procesi
4. Upravljano i mjerljivo
5. Optimizirano
na revidiranje
specifičnih
procedura
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 366
Metrike za
vrednovanje indikatora ciljeva i performansi
o Svrha
praćenje ostvarivosti ciljeva i zadataka sigurnosti,
djelotvornost i učinak sigurnosnih kontrola,
stupnja implementacije sigurnosnog programa,
primjerenost provedenih postupaka i
identifikacija mogućih poboljšanja.
o Indikatori performansi (KPI - Key Performance Indicators) - metrika-
kvantitativne mjere - mjera izvrsnosti procesa
o Indikatori ciljeva (KGI - Key Goals Indicators) - mjerenje ciljeva i
sigurnosti poslovnog sustava
o Područja praćenja KPI indikatora usvajanje programa podizanja znanja o sigurnosti
zatraţene ili odobrene iznimke u odnosu na politu rizika zaraţenost zloćudnim programskim kodom neraspoloţivost vaţnih IT servisa vrijeme potrebno za instaliranje programskih ispravaka razmak vremena izmeĎu odlaska zaposlenika do odjave njegovih
korisničkih računa otkrivena područja beţičnog pristupa unutar tvrtke
o Usporedba KPI/KGI indikatora
SSE-CMM
1. Neformalno
2. Planirano i nadgledano
3. Dobro definirano
4. Kvantitativno kontrolirano
5. Kontinuirano poboljšavanje
prema
inţinjeringu i
dizajnu
sigurnosti
CERT/CSO
1. Postoji
2. Ponovljivo
3. Dodjeljena odgovornost
4. Dokumentirano
5. Revidirano i aţurirano
prema mjerenju
kvalitete
dokumentacije
Osnove informacijske sigurnosti
10/2013 FER - Zavod za primijenjeno računarstvo 367
Metrike za „benchmark“ mjerenja
o Ocjenjuju aspekti poslovnih procesa u odnosu na najbolje prakse, obično unutar struke
o Kontinuirani proces usporeĎivanja vlastitih performansi
Metrike za izračun povrata investicija u sigurnost
o Pokazatelj rentabilnosti ili profitabilnosti uloţenog kapitala u sigurnost ( ROSI - Return of Security Investment)
sigurnostueinvesticij
rizikuizloženostROSI
__
_
o Izloţenost riziku - ALE metoda (Annual Loss Expectancy)
utjecaj pojave u novčanoj vrijednosti I(Oi) - rang intenziteta 0 - n (n nije ograničen)
učestalost pojave Fi - učestalost pojave izraţava se kao numerička veličina relativne učestalost pojave (prijetnje) u godini dana.
ALE = i
n
i
i FOIALE )(1
KGI KPI
- % projekata
izvršenih na vrijeme
- % promjena na
sustavu izvršenih u
traţenom roku
- # projekata u kojima
planirani ciljevi nisu
postignuti zbog lošeg
dizajna aplikacija
- % korisnika
zadovoljno
funkcionalnošću
isporučenog
proizvoda
- # ponovljenih incidenata
- # incidenata riješeni udaljenim
intervencijama
- # incidenta eskaliranih nakon isteka
predviĎenog vremena njihova
rješavanja
- # registriranih incidenta (od strane
Service Deska) po kategoriji
- prosječno vrijeme za rješavanje
incidenta po kategoriji
- % incidenata riješenih nakon prvog
poziva Service Desku
- prosječno uloţeni trud za rješavanje
incidenata