Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

IBM Global Technology Services © Copyright IBM Corporation 2009 Security Workshop pro AV ČR Stanislav Bíža, 10.6.2009.

Podobné prezentace


Prezentace na téma: "IBM Global Technology Services © Copyright IBM Corporation 2009 Security Workshop pro AV ČR Stanislav Bíža, 10.6.2009."— Transkript prezentace:

1 IBM Global Technology Services © Copyright IBM Corporation 2009 Security Workshop pro AV ČR Stanislav Bíža,

2 IBM Global Technology Services © Copyright IBM Corporation Agenda - Důvody pro budování informační bezpečnosti - Sled bezpečnostních projektů: - Vypracování strategie řízení bezpečnosti IT - Analýza rizik - Bezpečnostní politika - Bezpečnotní směrnice pro administrátory a uživatele - Havarijní plány a plány obnovy - Bezpečnostní audit; příprava na akreditaci ISMS - Návrh a implementace ucelených bezpečnostních řešení: - Infrastruktura veřejných klíčů - PKI - Identity & Access Management - Single Sign-On

3 IBM Global Technology Services © Copyright IBM Corporation Bezpečnost informačních systémů Technologie Procesy Data / Aplikace Fyzická zařízení / Prostory Organizace Strategie  Vypracování strategie řízení bezpečnosti IT  Vypracování bezpečnostních politik a standardů  Vypracování analýzy rizik  Bezpečnostní audit IT/certifikace podle ISO  Návrh bezpečnostní architektury IT systémů  Vybudování infrastruktury veřejných klíčů (PKI)  Identity management / Access Management  Systémy detekce útoků IDS/IPS  Bezpečné připojení k Internetu – DMZ, FW, VPN...  Řízení přístupu k interním sítím - LAN, WLAN  Penetrační testy – interní & externí  Zabezpečení datových center Resilient Solutions

4 IBM Global Technology Services © Copyright IBM Corporation Dopady bezpečnostního incidentu Bezp. incident Finanční dopad incidentu Obnova funkčnosti Řešení bezpečnosti Poškození pověsti

5 IBM Global Technology Services © Copyright IBM Corporation  Informace je nehmotné aktivum, které má svoji hodnotu (např. vyčíslitelnou finančně)  Ztráta informace = ztráta této hodnoty Ohodnocení informace (přiřazení ceny ke každé konkrétní informaci) musí pořídit vlastník = majitel  Vlastník = majitel - zodpovídá za bezpečnost a rozhoduje o nakládání s informací  Bezpečnost IT musí zajistit:  důvěrnost informací,  integritu (celistvost),  dostupnost (dosažitelnost),  auditovatelnost (kdo a kdy s informací manipuloval, prokazatelnost)  neodmítnutelnost odpovědnosti Informační aktiva a bezpečnost

6 IBM Global Technology Services © Copyright IBM Corporation  Legislativní tlaky (ochrana dat klientů a obchodních partnerů)  Zákon č. 101/2000 Sb. o ochraně osobních údajů  Zákoník obchodní (obchodní tajemství)  Zákon č. 148/1998 Sb. O ochraně utajovaných skutečností  Zákon č. 227/2000 Sb. (366/2001 Sb.) o elektronickém podpisu  Vyhlášky ÚOOÚ  Vyhlášky NBÚ Vnější požadavky na řešení bezpečnosti

7 IBM Global Technology Services © Copyright IBM Corporation Vnější požadavky na řešení bezpečnosti oStandardy:  ISO27000 (ISO 17799) – Code of Practice for Information Security Mngmnt  ČSN ISO/IEC – Management of information and communications technology security  ČSN ISO/IEC – Evaluation Criteria for IT Security  Standardy ISMS („INFORMATION SECURITY MANAGEMENT SYSTEM“) oPožadavky vyplývající z přijímání mezinár. standardů a legislativy:  Basel II.  Sarbanes-Oxley

8 IBM Global Technology Services © Copyright IBM Corporation Standardy ISO ISMS - Requirements (BS7799-2) ISMS - Requirements (BS7799-2) Code of practice for information security management (ISO/IEC17799) Code of practice for information security management (ISO/IEC17799) ISMS Risk Management ISMS Risk Management ISMS Metrics & measurements ISMS Metrics & measurements ISMS Implementation guidance ISMS Implementation guidance Guidelines in ISMS Accreditation Guidelines in ISMS Accreditation Guidelines for ISMS Auditing Guidelines for ISMS Auditing Requirements Code of Practice Risk Management Implementation Guidance Metrics & measurements

9 IBM Global Technology Services © Copyright IBM Corporation Postup projektů bezpečnosti Bezpečnostní standardy HrozbyAktiva Zranitelnosti Rizika Analýza rizik Analytické fáze Realizační fáze Bezpečnostní projekt(y) Bezpečnostní Konzultace Managerské rozhodnutí Celková bezp. politika Cíle a strategie bezpečnosti Úvodní bezp. audit

10 IBM Global Technology Services © Copyright IBM Corporation Cíle a strategie řešení bezpečnosti IS Obecný cíl: Eliminovat přímé i nepřímé ztráty způsobené zneužitím, poškozením, zničením, nedostupností informací…vytvoření uceleného, nákladově akceptovatelného systému řízení bezpečnosti informací…. Definice cílů by měla zahrnovat i: Vymezení hranic řešení Investiční možnosti Omezení z pohledu dislokace atd. Řešení aktuálních problémů (priority praxe) atd.

11 IBM Global Technology Services © Copyright IBM Corporation Analýza rizik Analáza rizik zahrnuje: identifikaci aktiv identifikaci hrozeb ohodnocení aktiv určení pravděpodobnosti uplatnění hrozby určení zranitelnosti každého aktiva hrozbou výpočet hodnoty Riziko pro každou dvojici aktiva a hrozby HrozbyAktiva Zranitelnosti Rizika Analýza rizik

12 IBM Global Technology Services © Copyright IBM Corporation Bezpečnostní politika Základní dokument (resp. jeho aplikace) řešení informační bezpečnosti Závazná pro celou společnost Většinou součást dokumentace ISO900x či jiných systémů řízení kvality, součást požadavků NBÚ Rozdílný rozsah Předmětem dokumentu je: Definovat hlavní cíle při ochraně informací Stanovit způsob, jak bezpečnost řešit Určit pravomoci a zodpovědnosti Nezávislost na technologiích Může nastat konflikt bezpečnostních a obchodních cílů

13 IBM Global Technology Services © Copyright IBM Corporation Bezpečnostní provozní směrnice oPříklad struktury směrnic: –BPS pro správu - Směrnice popisuje pravidla pro správu IS, řízení změn a řízení přístupu v rámci IS. Definuje základní společná pravidla pro centralizované řízení přístupu uživatelů k informačním aktivům, aplikacím, službám a datům. –BPS pro klasifikaci informací a dat - Směrnice upravuje základní odpovědnosti pro zajištění adekvátní ochrany informací a stanovuje pravidla pro určení klasifikačního stupně, pravidla pro označování a další nakládání s informacemi, které jsou zpracovávány a uchovávány v rámci IS. –BPS pro zvládání bezpečnostních incidentů –BPS pro použití síťových služeb - Směrnice definuje pravidla pro použití sítí a síťových služeb, ke kterým je uživatelům povolen přístup. Určuje autorizační postupy pro přístup, stanovuje řídící kontrolní mechanizmy a postupy určené k ochraně přístupu k síťovým připojením a službám; –BPS pro zálohování a kontrolu médií - Směrnice popisuje základní pravidla pro bezpečné ukládání, manipulaci, zálohování a archivaci dat, která jsou zpracovávána a uchovávána v rámci provozu všech subsystémů a aplikací IS.

14 IBM Global Technology Services © Copyright IBM Corporation Havarijní plánování Proces havarijního plánování systému IS sleduje následující cíle: ozajištění stability provozu systému IS; ozajištění dostupnosti všech zdrojů potřebných pro obnovu činností a procesů systému IS v požadovaném čase a na požadovanou úroveň (konkrétní požadavky identifikuje analýza dopadů); ozajištění korektních postupů při obnově obnovy funkčnosti činností a procesů systému IS; ominimalizace rizik pro případ nedostupnosti systému IS; ozajištění spolehlivosti záložních systémů; ominimalizace rozhodovacích časů v průběhu havárie IS; ozajištění zvýšeného bezpečnostního povědomí všech pracovníků podílejících se na provozu IS.

15 IBM Global Technology Services © Copyright IBM Corporation Certifikace systémů Předcertifikační audit (volitelný, dobrovolný) Fáze 1 (Přezkoumání dokumentace) Fáze 2 (Audit na místě) Vydání certifikátu Kombinovaný audit Dohledový audit 1 Dohledový audit 2 Dohledový audit 3 Dohledový audit 4 Dohledový audit 5 Re-certifikace Uzavření Doporučení Významné neshody

16 IBM Global Technology Services © Copyright IBM Corporation Certifikační audit – 1 fáze Fáze 1 (Přezkoumání dokumentace)  Cca. 1 měsíc před druhou fází –Zahrnuje: Revize rozsah ISMS Kompletnost požadované dokumentace Revize Statement of Applicability Existence a úplnost bezpečnostní politiky a bezpečnostních standardů Existence záznamů ISMS

17 IBM Global Technology Services © Copyright IBM Corporation Certifikační audit – 2 fáze Fáze 2 (Audit na místě) –Zahrnuje: Interview s managementem Interview s vlastníky a uživateli ISMS Revize shody dokumentace s implementovaným systémem Revize jednotlivých částí systému Report jednotlivých zjištění Vypracování zprávy včetně doporučení

18 IBM Global Technology Services © Copyright IBM Corporation PKI- Symetrická vs. asymetrická krypt. oV současné době jsou rozšířeny dva typy kryptografických algoritmů: šifrování symetrickými a asymetrickými klíči oŠifrování symetrickým klíčem –Stejný klíč pro šifrování a dešifrování –Rychlejší, než asymetrické šifrování –Problematické zajištění distribuce klíčů –nejčastěji používané: DES (3DDES), AES, RC4 oŠifrování asymetrickými klíči –Pár klíčů: Veřejný a Privátní –Pomalejší, než symetrické šifrování –Veřejný klíč může být posílán bez nebezpečí ohrožení privátního klíče –Základní algoritmus PKI –nejčastěji používané: RSA, DSA

19 IBM Global Technology Services © Copyright IBM Corporation Bezpečnostní funkce, které je možno implementovat použitím PKI oAutentizace –pomocí digitálního certifikátu, vydaného důvěryhodnou třetí stranou (CA), prokazuje uživatel svoji totožnost při el. komunikaci s jiným uživatelem nebo aplikací (serverem) oDůvěrnost (šifrování) –autentizace certifikátem zamezuje průniku útočníka („man in the middle“) do šifrované komunikace –použití certifikátu (resp. veřejného klíče) příjemce umožňuje šifrovat zprávu pouze pro příjemce (vlastníka privátního klíče)

20 IBM Global Technology Services © Copyright IBM Corporation oIntegrita (elektronický podpis) –použití výtahu (hash) zprávy spolu s elektronickým podpisem odesilatele umožňuje ověřit, zda zpráva nebyla po provedení el. podpisu změněna oNeodmítnutelnost odpovědnosti (elektronický podpis) –jako jediná technologie umožňuje elektronický podpis zpětně prokázat původce (držitele privátního klíče) el. podepsaného dokumentu a zajistit tak neodmítnutelnost pravosti dokumentu, resp. neodmítnutelnost provedené operace (např. v aplikaci) Bezpečnostní funkce, které je možno implementovat použitím PKI

21 IBM Global Technology Services © Copyright IBM Corporation Elektronický podpis hash

22 IBM Global Technology Services © Copyright IBM Corporation Účastníci PKI

23 IBM Global Technology Services © Copyright IBM Corporation

24 IBM Global Technology Services © Copyright IBM Corporation Hlavní rolí Certifikační autority je stanovení politik a vydávání digitálních certifikátů. Certifikační autorita může delegovat odpovědnost za ověřování žádostí o certifikát a/nebo revokaci na RA

25 IBM Global Technology Services © Copyright IBM Corporation

26 IBM Global Technology Services © Copyright IBM Corporation Autentizační předmět – čipová karta oKarta obsahuje digitální certifikát uživatele dle stand. X.509 oKarta obsahuje privátní klíč –Klíč a celá karta chráněny heslem –Karta může provést digitální podpis privátním klíčem, ale klíč nevydá oPřístup do aplikací je pro konkrétní certifikát - certifikát má pracovník jen jeden, ale může používat více aplikací

27 IBM Global Technology Services © Copyright IBM Corporation Důvody pro zavedení Identity managementu Obvyklé problémy –30%-50% všech volání na podporu se týkají hesla –V průměru 25% uživatelských účtů jsou sirotci –95% uživatelů má příliš mnoho přístupových práv nebo zcela zbytečná práva –Noví zaměstnanci a externí subjekty nemají uživatelské účty první pracovní den –Bývalí zaměstnanci neztratí nikdy přístup

28 IBM Global Technology Services © Copyright IBM Corporation Identity Management a podpora procesů Identity Management řeší následující úkoly: –Přidělení přístupových práv ke službám (zdrojům) Je každý uživatelský přístup k danému zdroji oprávněný? Jsou přístupy uživatele ke všem zdrojům nastaveny korektně? Jsou v souladu politiky se skutečným stavem? –Produktivita Je způsob přidělování a změn přístupových práv uživatelům efektivní? –Přístupy Jsou politiky přístupových oprávnění a ochrany senzitivních informací implementovány konzistentně v každém operačním systému, aplikaci, a datovém úložišti? –Audit Je možno efektivním způsobem dokladovat plnění politik přístupových oprávnění a ochrany senzitivních informací?

29 IBM Global Technology Services © Copyright IBM Corporation Přiřazení přístupových oprávnění na základě role Politiky přístupových oprávnění Služba (Zdroj) UživatelRole  Uživateli jsou přiřazeny role na základě jeho pracovního zařazení  Rolím jsou přiřazeny zdroje na základě Politik přístupových oprávnění (Provisioning policy)  Politiky přístupových oprávnění mohou přiřazovat uživatelům další atributy attr

30 IBM Global Technology Services © Copyright IBM Corporation Potvrzení souladu (Rekonciliace) porovnává “Jak to je” s tím “Jak to má být”  Na základě rekonciliace jsou prosazovány Politiky přístupových oprávnění (oprávnění ke zdroji) Např. zjištění neoprávněných změn provedených lokálním administrátorem a jejich náprava.  Rekonciliace zjišťuje „sirotčí účty“ Např. testovací účty nebo účty uživatelů, kteří již nejsou v organizaci Politiky přístupových oprávnění Služba (Zdroj) UživatelRole attr Rekonciliace

31 IBM Global Technology Services © Copyright IBM Corporation Přidělování přístupů bez Identity Managementu Manažer uživatele určí, ke kterým aplikacím potřebuje uživatel přístup a ke každé aplikaci zvlášť požádá o nastavení přístupových oprávnění Manažer zkontroluje dokončení požadovaných operací a uvědomí uživatele Systémoví administrátoři vytvoří uživatelské účty, nastaví oprávnění a pošlou zprávu o dokončení Koncový uživatel přistupuje k aplikacím Požadavek na aplikaci X Požadavek na aplikaci Y Požadavek na aplikaci Z Audit Record Audit Record Audit Record Admin X Admin Y Admin Z User Provisioning Zpráva o dokončení Obvykle manuální proces - - -

32 IBM Global Technology Services © Copyright IBM Corporation Přidělování přístupů s použitím IM Požadavek na aplikaci X Požadavek na aplikaci Y Požadavek na aplikaci Z Audit Record Audit Record Audit Record Admin X Admin Y Admin Z User Provisioning Completion Notification Automatizovaný Identity Life Cycle Management Automatizované přidělení přístupů na základě rolí Automatizované schvalování, Workflow, and notifikace Centralizovaný audit a reportovací nástroje Uživatelé jsou členy předdefinova ných rolí Trvání – řádově minuty až desítky minut (pro systémy offline) Automatizovaný proces Koncový uživatel přistupuje k aplikacím

33 IBM Global Technology Services © Copyright IBM Corporation Přínosy zavedení Identity Managementu a RBAC oJednotný administrativní proces napříč organizací /aplikacemi / platformami oJednotné prosazování bezpečnostních politik napříč organizací oJednodušší a lépe dokladovatelný audit (centralizované vytváření auditních záznamů o přidělování přístupových oprávnění) oZměna postavení IT auditu: Reaktivní -> Proaktivní (rekonciliace) oJednodušší implementace organizačních změn oAutomatizace rutinních úloh oRedukce celkových nákladů na administraci uživatelů oPřehlednější systém přístupových oprávnění znamená méně bezpečnostních rizik -> uživatelé mají pouze taková oprávnění ke službám a datovým zdrojům, které potřebují ke své práci oŘešení problémů se „sirotčími“ účty, tzn. účty, které kdysi byly pro uživatele zavedeny a v současné době je již žádný oprávněný uživatel nepoužívá

34 IBM Global Technology Services © Copyright IBM Corporation Způsoby řešení Single Sign-On (SSO) Provided by certain NOS environments SSO functionality only for applications enabled to use it. Applications which do not support Kerberos have to rewrite authentication mechanism in order to support it Network OS SSO (Kerberos) Provided by web access management Only supports web-based resources Requires modification of servers or proxies in order to support it. May require changes to application code as well Web-based SSO Provided by Desktop/Server software Based on authentication and leveraging a protected credential bank Can support any application – web, terminal host, client/server Does not modify the original application New applications supported through scripts to automate the login process, customized for specific situations and requirements Enterprise Single Sign-On

35 IBM Global Technology Services © Copyright IBM Corporation Stávající přístup k IT systémům a aplikacím – bez SSO Network Login Podnikové aplikace Web App Web App User SAP Active Directory Active Directory Username A Password A Manuální správa hesel Username B Password B Username C Password C Username D Password D File Shares PrintersNetwork Domains

36 IBM Global Technology Services © Copyright IBM Corporation Přihlašování se Single Sign-On

37 IBM Global Technology Services © Copyright IBM Corporation SSO - Proces přihlašování do aplikací ApplicationServer Directorynebo lokální úložiště (off-line) ClientWorkstation 4) SSORequest s Secret from Dir 2) Launch Application 3) Credential Challenge 1) Authenticate to Dir 5) SSO Receives Secret (ID/PWD) from Dir, then authenticates to Application

38 IBM Global Technology Services © Copyright IBM Corporation SSO – Zvýšení bezpečnosti a komfortu uživatelů (!)  Řešení umožňuje aplikovat silnou politiku přístupových hesel pro každou aplikaci  Umožňuje zavést i pro aplikace, které nemají politiku přístupových hesel implementovánu !  Uživatelé si musí pamatovat pouze jedno heslo, což znamená, že můžete implementovat silnou politiku pro přihlašovací hesla  SSO může být nakonfigurováno tak, že implementuje silnou autentizaci do všech využívaných aplikací  SSO může být nakonfigurováno tak, že uživatelé neznají jejich UserID a heslo do aplikací

39 IBM Global Technology Services © Copyright IBM Corporation 2009 Děkuji za pozornost Ing. Stanislav Bíža Senior IT Architekt, CISA

40 IBM Global Technology Services © Copyright IBM Corporation Komponenty bezpečnostní architektury

41 IBM Global Technology Services © Copyright IBM Corporation Příklad bezpečnostní architektury


Stáhnout ppt "IBM Global Technology Services © Copyright IBM Corporation 2009 Security Workshop pro AV ČR Stanislav Bíža, 10.6.2009."

Podobné prezentace


Reklamy Google