Obsah dnešnej prezentácie:

• Normy a predpisy týkajúce sa informačnej

bezpečnosti

• Ochrana rôznych druhov tajomstiev

• Národný Bezpečnostný Úrad

• Celosvetový vývoj bezpečnostných

štandardov a stav na Slovensku

• Štandard Orange Book

• Štandardy ISO 17799 a BS 7799

• Common Criteria

• Prehľad hodnotení operačných systémov

štandardom CC

Právne normy a predpisy týkajúce sa informačnej bezpečnosti

Zákon č. 241/2001 Z.z.

• utajovaná skutočnosťutajovaná skutočnosť a jej stupne utajenia (PT, T, D, V)

• informácia – obsah el., elmag., eln., fyz. transportného

média

• § 53 – Certifikácia systémových prostriedkov

Certifikované systémové prostriedky: OS, DS, produkty pre

počítačové siete, produkty pre email, firewally...

• § 63 – Certifikačná autorita

Právne normy a predpisy týkajúce sa informačnej bezpečnosti

Vyhláška NBÚ č. 90/2002 Z.z.

• § 10 BIS

Prevádzkovateľ

Úloha správcu IS:

• Správa systému a jeho zdrojov

Úlohy bezpečnostného správcu:• Prideľovanie bezpečnostných práv• Správa autentizačných a autorizačných funkcií• Záznamy o činnosti IS• Správy o neoprávnených manipuláciach IS

PT, T, D – nepretržité vedenie záznamu o činnosti IS

Správcu informačného systému

Bezpečnostného správcu

Právne normy a predpisy týkajúce sa informačnej bezpečnosti

Vyhláška NBÚ č. 91/2002 Z.z. - podrobnosti o šifrovaní informácií

Zákon č. 215/2002 Z.z. – o elektronickom podpise

Vyhláška NBÚ č. 537/2002 Z.z.• formát a vyhodnotenie elektronického podpisu• spôsob zverejňovania verejného kľúča• postup overenia elektronického podpisu• formát časovej pečiatky a spôsob jej vyhodnotenia

Vyhlášky NBÚ č. 538/2002 Z.z. - č. 542/2002 Z.z.• formát a obsah kvalifikovaného certifikátu

• požiadavky na bezpečné zariadenia na vyhotovenie časovej

pečiatky a na elektronický podpis na produkty

• dokumentácia CA

• podmienky na poskytnutie akreditovaných certifikačných služieb

a požiadavky na audit...

Ochrana rôznych druhov tajomstiev

Informácie, ktorých prístup je verejnosti obmedzený podliehajú:• štátnemu tajomstvu (zákon č. 100/1996 Z.z.)• obchodnému tajomstvu (zákon č. 513/1991 Z.z.)• bankovému tajomstvu (zákon č. 21/1992 Z.z.)• ochrane osobných údajov v IS (zákon č. 52/1998 Z.z.)

Štátne tajomstvoInformácie dôležité pre:

• obranu a bezpečnosť štátu• medzinárodné styky• hospodárske záujmy

Predmet štátneho tajomstva zoznamochŠtátne tajomstvo – PT

Okruh osôb, ktorý môže prichádzať do styky s informáciamiZákaz kopírovania a iného rozmnožovania

Ochrana rôznych druhov tajomstiev

Obchodné tajomstvo

Podľa § 17 obchodného zákonníka ho tvoria skutočnosti:• obchodnej, výrobnej a technickej povahy• so skutočnou alebo potenciálnou hodnotou• ktoré nie sú bežne dostupné

Neprezradenie obchodného tajomstva:

Výnimkou sú informácie:• týkajúce sa kultúrneho a prírodného dedičstva• o znečistení životného prostredia• týkajúce sa verejných financií, prostriedkov a majetku štátu• o štátnej pomoci

na podnikateľovi

definované vo vnútorných predpisoch

Ochrana rôznych druhov tajomstiev

Bankové tajomstvo

• dôverné informácie o klientoch

KB nie je

NBS, Eximbanka je

§ 22 zákona o bankách• povinnosť banky každý rok overiť spoľahlivosť IS

• zabezpečenie ochrany informácií pred zneužitím, zničením,

stratou...

• nejednoznačnosť zákona

povinná zachovávať obchodné tajomstvo zo zákona

Ochrana rôznych druhov tajomstiev

Ochrana osobných údajov

• informácie súkromného charakteru

• možno ich sprístupniť ak:

• tak ustanovuje zákon

• písomný súhlas

• zodpovednosť za ochranu informácií - každý kto

s nimi pracuje

• porušenie – pokuta 500.000 Sk

• výnimka – osobné údaje fyzických osôb v

registroch

Národný bezpečnostný úrad

Národný Bezpečnostný Úrad

- pôsobnosť začala dňom 1.11.2001

• ústredný orgán štátnej správy na ochranu utajovaných

skutočností a šifrovanú ochranu

Hlavnou úlohou je zabezpečenie bezpečnosti:• personálnej - BP• fyzickej• administratívnej• objektovej • priemyselnej - BP• šifrovanú ochranu informácií• technických prostriedkov

Národný bezpečnostný úrad

NBÚ pôsobí na úsekoch: • ochrana utajovaných skutočnosti

• ochrana zahraničných informácií

• šifrovaná ochrana informácií

Úsek ochrany utajovaných skutočností

• kontrola v štátnych orgánoch, obciach, právnických

osobách

• BP navrhovanej osoby

• BP právnickej osoby o priemyselnej bezpečnosti

• certifikácia technických prostriedkov

Národný bezpečnostný úrad

Úsek ochrany zahraničných informácií

• ochrana utajovaných skutočností v rozsahu stanovenom

medzinárodnými zmluvami

• centrálny register

Úsek šifrovanej ochrany informácií

• funkcia ústredného šifrovacieho orgánu SR

• kontrola bezpečnosti šifrovania

Bezpečnostné previerky

navrhovanej osoby

právnickej osoby

Národný bezpečnostný úrad

BP navrhovanej osoby• cieľ – spĺňa osoba podmienky pre prácu s utajovanými skutočnosťami ?

BP podľa stupňa utajenia:• BP 1. Stupňa pre stupeň utajenia V• BP 2. Stupňa pre stupeň utajenia D• BP 3. Stupňa pre stupeň utajenia T• BP 4. Stupňa pre stupeň utajenia PT

Vyjadrenie o spôsobilosti – do 60 dní

Záporné rozhodnutie:

• ak osoba nespĺňa predpoklady

• osoba uviedla nepravdivé alebo neúplne informácie

!!! BP končí bez vyjadrenia !!!

Odvolanie sa proti zápornému rozhodnutiu – do 30 dní

Národný bezpečnostný úrad

BP právnickej osoby

• cieľ – spĺňa firma podmienky priemyselnej bezpečnosti ?

• NBÚ si môže vyžiadať vyjadrenie SIS, PZ, vojenského

spravodajstva

• právnická osoba je povinná sprístupniť potrebné

informácie NBÚ

Nároky kladené na právnickú osobu:• spôsobilá zabezpečiť ochranu utajovanej skutočnosti• ekonomicky stabilná• personálne stabilná

!!! Dôvody nevydania sa neuvádzajú !!!

Platnosť – 5 rokov

Celosvetový vývoj bezpečnostných štandardov a stav na Slovensku

Celosvetový vývoj bezpečnostných štandardov a stav na Slovensku

Stav na Slovensku

V štátnej správe - preklad ITSEC – HKBIT

Mimo štátnej správy – očakáva sa schválenie CC

Audit BIS – nie je známa štátom riadená inštitúcia

Vznikajú profesné združenia:

• SAIB

• ASIT

Určitý druh štátnej záruky v podobe 3 súdnych znalcov v odbore BIS (ministerstvo spravodlivosti)

Orange Book

TCSEC – Orange Book

• bezpečnosť systému schopnosť zabrániť úniku údajov

• štyri skupiny bezpečnosti

A B C D

bezpečnosť

Skupina D – žiadne prvky bezpečnosti

Skupina C – nepovinná definícia prístupových práv

Skupina B - povinná definícia prístupových práv a klasifikácia dát podľa stupňa ochrany dát

Skupina A – prevedený formálny dôkaz správnosti prvkov bezpečnosti

Orange Book

Požiadavky kladené na IS:

Bezpečnostné smernice

• stratégia bezpečnosti

• označovanie pomocou tried

Zodpovednosť

• identifikácia

• zodpovednosť

Zabezpečenie

• zabezpečenie

• nepretržitá ochrana

Orange Book

Skupiny bezpečnosti A, B, C, D sa delia na triedy bezpečnosti A1, B3, B2, B1, C2, C1, D

Trieda D (minimálna ochrana)• všetky systémy, ktoré nevyhoveli požiadavkám vyšších tried

Trieda C1 (zabezpečenie ochrany výberom)• výberová ochrana oddelenie užívateľov a dát• všetky dáta majú rovnakú úroveň utajenia• vynútenie obmedzenia prístupu k dátam

Orange Book

Trieda C2 (ochrana riadeným prístupom) • plná zodpovednosť užívateľa• zaznamenávanie významných udalosti narušenia bezpečnosti

Trieda B1 (ochrana bezpečnosti návestím)• povinné označovanie dát návestím – stupeň utajenia• povinné riadenie prístupu k objektom

Trieda B2 (štruktúrovaná ochrana)• systém relatívne odolný proti prienikom• analyzované skryté pamäťové kanály • chránená cesta pre uskutočňovanie prihlasovacej procedúry• testovaná implementácia

Orange Book

Trieda B3 (bezpečnostné zóny)

• vysoko odolný proti prienikom

• bezpečné zotavenie IS po výpadku (realizuje

bezpečnostný správca)

• preverovacie mechanizmy signalizujúce udalosti

významné z hľadiska bezpečnosti

Trieda A1 (verifikovaná ochrana)

• ekvivalentné so systémom B3

• dosiahnutie vysokého stupňa istoty, že je systém

správne implementovaný

Štandardy ISO 17799 a BS 7799

Dve organizácie pre vydávanie noriem:

• BSi

• ISO

ISO 17799 • komplexný súbor opatrení k zaisteniu bezpečnosti

informačných systémov

• zbierka doporučení, ktoré môže aplikovať každá

organizácia bez ohľadu na veľkosť a odbor

• prijal prvú časť a vynecháva druhú časť štandardu

BS7799

• flexibilný

• technicky neutrálny

Štandardy ISO 17799 a BS 7799

Desať regulačných oblastí štandardu ISO 17799:

1. Bezpečnostná politika

2. Bezpečnostný útvar

3. Evidencia a klasifikácia aktív

4. Personálna bezpečnosť

5. Fyzická bezpečnosť a bezpečnosť prostredia

6. Riadenie komunikácií a prepravy

7. Riadenie prístupu

8. Vývoj a údržba systémov

9. Riadenie kontinuity podniku

10. Dodržiavanie štandardu

Štandardy ISO 17799 a BS 7799

Prínosy v certifikovanom podniku:

• zlepšená bezpečnosť podniku

• bezpečnejšie partnerské vzťahy a

elektronické obchodovanie

• vyššia dôvera zákazníkov

• presnejšie a spoľahlivejšie

bezpečnostné audity

• znížené riziká

Common Criteria

Common Criteria• spoločná medzinárodná norma

Vychádza z cieľa:

• vytvoriť jednotné medzinárodné kritérium pre BIS

• možnosť medzinárodného vzájomného uznávania

• možnosť medzinárodnej spolupráce vývojárov

TOE (Target Of Evaluation) – predmet hodnotenia

Common Criteria

Požiadavky na bezpečnostné funkcie - 11 tried:

• FAU (Security Audit) – bezpečnostný audit

• FCO (Communication) - komunikácia

• FCS (Cryptographic Support) - kryptografická podpora

• FDP (User Data Protection) - ochrana dát užívateľov

• FIA (Identification and Authentication) – identifikácia

autentizácie,

• FMT (Security Management) - manažment bezpečnosti

• FPR (Privacy) - súkromie

• FPT (Protection of TSF) - ochrana TSF

• FRU (Resource Utilisation) - použitie zdrojov

• FTA (TOE Access) - prístup k TOE,

• FTP (Trusted Path/Channel) - bezpečný komunikačný

kanál

Common Criteria

Charakteristiky EAL1

• požaduje sa bezchybný chod HP (hodnoteného produktu)

• hrozby nie sú posudzované ako závažné

• hodnotenie

• sa prevádza bez spoluúčasti a bez pomoci vývojára

• vyžaduje vynaloženie minimálnych nákladov

Charakteristiky EAL2

• požaduje sa kooperácia s vývojárom HP

• nekladú sa požiadavky na podstatné zvýšenie finančných

a časových nákladov

• požaduje sa malá až priemerná úroveň bezpečnosti

• napr. podnikového účtovníctva

• vhodná EAL pre prípady, kde je vývojár dostupný

obmedzene

Common Criteria

Charakteristiky EAL3

• maximálne vysoká úroveň záruky bezpečnosti HP bez toho aby

vývojár podstatne menil svoje dobré vývojové návyky

• EAL, v ktorých vývojár a užívateľ

• požadujú získanie nezávisle vyslovenej priemernej úrovne

záruky bezpečnosti

• nechcú prevádzať rozsiahli reinžiniering

Charakteristiky EAL4

• EAL kde vývojár a užívateľ

• požadujú priemernú až vysokú úroveň bezpečnosti

• sú oboznámení s vynaložením dodatočných nákladov

• pri návrhu sa použiteľne použilo bezpečnostné inžinierstvo

Common Criteria

Charakteristiky EAL5

• maximálne vysoká úroveň záruky bezpečnosti

• EAL vhodná pre podmienky, v ktorých vývojár alebo

používateľ nechcú uhradiťbezdôvodne zvýšené náklady na

použitie špeciálnych bezpečnostných technik

Charakteristiky EAL6

• úroveň záruky bezpečnosti umožňujúci vytvárať systémy

vykonávané vo vysoko rizikových prostrediach

• EAL vhodná pre vývoj bezpečných produktov kde hodnota

chránených aktív ospravedlňuje dodatočné vyššie náklady

Common Criteria

Charakteristiky EAL7

• EAL použiteľná pre vývoj bezpečných produktov určených pre

prevádzkovanie vo vysoko rizikových prostrediach, kde vysoká

hodnota aktív ospravedlňuje vynaloženie vyšších nákladov

• produkty alebo systémy s úzko zameranou bezpečnostnou

funkcionalitou, ktorú možno rozsiahle analyzovať formálne

Porovnanie tried jednotlivých štandardov:

http://alfa.intrak.tuke.sk/~magur/BIS/

Prehľad hodnotení operačných systémov štandardom CC