Počítačová bezpečnost 11. Bezpečnostní standardy

Slides:



Advertisements
Podobné prezentace
Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví
Advertisements

Analýza fungování institutu dohod o výkonu pěstounské péče v ČR SocioFactor s.r.o.
Založení firmy postup. Postup založení firmy 1) Výběr oboru podnikání a vymezení předmětu živnosti 2) Volba právní formy podnikání 3) Určení názvu a umístění.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Projekt Informační a vzdělávací portál Libereckého kraje I CZ.1.07/1.1.00/ I Školení pro uživatele portálu.
Petr Krčmář Virtualizace (především linuxová) InstallFest 2011.
Počítačové sítě 8. Využití sítí © Milan Keršlágerhttp:// Obsah: ● sdílení v sítích.
Hodnocení kvality vzdělávání škol a školských zařízení zřizovaných Libereckým krajem Zvyšování kompetencí vedoucích pracovníků Liberec 20. srpna 2012 Hodnocení.
Uvedení autoři, není-li uvedeno jinak, jsou autory tohoto výukového materiálu a všech jeho částí. Tento projekt je spolufinancován ESF a státním rozpočtem.
Regionální management II prof. Ing. Magdalena Hrabánková, CSc., prof. h. c.
1.VYHLÁŠENÍ RESORTNÍCH BEZPEČNOSTNÍCH CÍLŮ MZ na období červen 2011– duben PODEPSÁNÍ PROHLÁŠENÍ WHO „Čistá péče je bezpečnější“
Seminář pro žadatele o finanční podporu z Operačního programu Vzdělávání pro konkurenceschopnost Krajský úřad Jihomoravského kraje Odbor regionálního rozvoje.
Zákon o kybernetické bezpečnosti č. 181/2014 Sb. Presentation title.
Procesy ve veřejné správě Ivo Vašíček Proces veřejné správy Získávání zdrojů dané, poplatky, pokuty Vnitřní a vnější bezpečnost Správa zdrojů Údržba.
Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu Registrační.
Projekty Institucionálního plánu MENDELU v roce 2016 seminář pro řešitele projektů IP Brno,
Obchodní akademie, Střední odborná škola a Jazyková škola s právem státní jazykové zkoušky, Hradec Králové Autor:Mgr. Ernest Seifert Název materiálu: VY_32_INOVACE_6_CLOVEK_JAKO_OBCAN_05.
Základní informace k veřejné podpoře v OP LZZ Seminář pro žadatele 6. února 2009 Praha.
Krizové štáby. Zákon č. 240/2000 Sb., § 14 (1) Hejtman zajišťuje připravenost kraje na řešení krizových situací; ostatní orgány kraje se na této připravenosti.
Název kapitoly Název podkapitoly Text Schvalovací proces + hodnoticí kritéria Jakub Krátký Praha, 5. května 2016.
Principy Základních registrů Ing. Ondřej Felix, CSc.
Počitačová bezpečnost - je obor informatiky, který se zabývá zabezpečením informací v počítačích (odhalení a zmenšení rizik spojených s používáním počítače).
Vyhláška č. 326/2006 Sb., o atestačním řízení pro elektronické nástroje Mgr. Martin Plíšek.
1. WORKSHOP.
Jsou venkovské školy horší než městské?
Bezpečnost silniční a železniční dopravy
PŘIHLÁŠENÍ K ELEKTRONICKÉ EVIDENCI TRŽEB
Přednáška pro předmět Operační systémy II ÚI PEF MENDELU
Hodnocení kvality vzdělávání škol a školských zařízení zřizovaných Libereckým krajem EDUCA 2011 MY JOBS Porada ředitelů Liberec
Komplexní systém hodnocení
Informace a informační zdroje
Počítačová bezpečnost 11. Bezpečnostní standardy
Evaluace předmětů studenty (Anketky)
Rozhodování 1.
1. ročník oboru Mechanik opravář motorových vozidel
Webová aplikace MS OLOMOUC.
Aplikace Monitorovací systém
eRecept – komunikace se základními registry
Přístupový systém aneb kontrola vstupů
Pedagogická komunikace 4. lekce: Verbální komunikace: kladení otázek
Počítačová bezpečnost 2. Bezpečnost v OS
Společenská odpovědnost organizací Město Třebíč 21. září 2017
Veřejná správa, Regionální rozvoj Litoměřice Jan Jůna 2012
Webová aplikace MS2014+ Ing. Josef Šetek
Oblast: Dobré životní podmínky zvířat
Aplikace Monitorovací systém
Schvalovací proces + hodnoticí kritéria
Účetní pravidla, změny v účetních odhadech a chyby
RIZIKO.
Schvalovací proces + hodnoticí kritéria
Základy pracovního práva a sociálního zabezpečení v ES
Projekt realizace referenčního rozhraní
GDPR aneb to chceme.
Jak přispívat do Souborného katalogu ČR
© 2012 STÁTNÍ ÚSTAV PRO KONTROLU LÉČIV
RIZIKO.
Role sociální práce ve vztahu k výkonu veřejného opatrovnictví Hradec Králové Workshop je pořádán v rámci projektu Systémová podpora sociální.
Technická Evidence Zdravotnických Prostředků 1
Materiál byl vytvořen v rámci projektu
Čím vším se řídí reklama pro odborníky
Operační systémy MS Windows Mgr. Petra Toboříková.
Finanční arbitr 25. dubna 2018 doc. JUDr. Radim Boháč, Ph.D.
Projektové řízení výstavby podle PMBOK 2. Řízení rozsahu
A co dál - aneb jak spolupracovat a komunikovat spolu i bez projektů
Hodnocení předložených žádostí – případ UK
Uskutečněné a očekávané změny právních předpisů důležité pro zástupce ředitele Praha
Obecné nařízení o ochraně osobních údajů
Sociální a dostupné byty
Informační systém základních registrů
Digitální učební materiál
Transkript prezentace:

Počítačová bezpečnost 11. Bezpečnostní standardy Obsah: Secure by design, Security-focused, Security-evaluated TOS, TCSEC, EAL ITSEM, Common Criteria, ISO 9000 © Milan Keršláger http://www.pslib.cz/ke/slajdy 8.12.2010 http://creativecommons.org/licenses/by-nc-nd/3.0/

Secure by design bezpečnost skrze návrh od začátku je myšleno na bezpečnost takový postup není závislý na utajení implementace návrh není nutné tajit, protože je skutečně bezpečný tj. „security by obscurity“ nemá význam Linusův zákon zásada minimálních oprávnění problém nejslabšího místa nelze aplikovat zpětně špatně navrženou aplikaci není možné zabezpečit

Linusův zákon Linus Torvalds (jádro Linuxu) popsal Eric S. Raymond v roce 1997 v eseji „The Cathedral and the Bazaar“ popis vývoje otevřeného software „Given enough eyeballs, all bugs are shallow.“ Je-li dost očí, jsou všechny chyby triviální diskuze vývojářů nad otevřeným kódem je vlastně jednoduchým auditem kódu kritika: vývojářů nemusí být dostatek, aby fungovalo nezávislý audit běžně používán i v uzavřeném vývoji

Zásada minimálních oprávnění Principle of least privilege (1974) funguje nejen v informatice pro software každý kód má jen oprávnění nutná ke své funkci pro editor či prohlížeč není nutné mít oprávnění správce využití MAC (DAC neumožňuje) jak zjistit minimální nutná oprávnění? automaticky nelze, ručně nedosáhneme maxima omezují se nejpodstatnější oprávnění problémem je jádro běží s maximálním oprávněním (správa systému) při chybě se může stát cokoliv, pak nelze systému věřit

Problém nejslabšího místa rovnoměrné zabezpečení též princip ochrany před zloději v reálném světě pancéřové dveře vs. skleněná okna nemá smysl dále zesilovat dobré zabezpečení nemá smysl útočit na dobře zabezpečené místo marketingové a PR jde však opačným směrem útočník si vybírá nejzranitelnější místo chyba v programu, sociální inženýrství, … typicky právě to, na co se zapomnělo

Zabezpečení OS problém původního návrhu jakékoliv opatření jen zvýší obtížnost, ne kvalitu tzv. security-focused system Linux: SELinux, AppArmor; OpenBSD Windows: MIC ve Vista+ (5 úrovní → MSIE + stažený soubor) běžné systémy jen jednoho správce vzniká slabý článek (původ systémů v 70. letech) systém jediného správce je však jednoduchý pro mnoho činností je nutné mít neomezená práva správce Windows sice obsahují náznak oddělení rolí, ale není funkční UAC je zajímavý nápad, bohužel není funkční anti-malware řeší jen následky

Multilevel security systém pro dokumenty s různou citlivostí důvěrné → tajné → přísně tajné osoby i dokumenty mají různá pověření vyšší úroveň má přístup k nižší úrovni nižší úroveň může přistupovat k vyšší po sanitizaci sanitizace odstraní z dokumentu citlivé informace vyžaduje: Trusted operating system typicky Mandatory access control (MAC) systém má hodnocení bezpečnosti TCSEC, EAL (4+) problém systémů s doplňky pro vyšší EAL → virtualizace

Security-evaluated OS operační systém, který získal certifikaci podle vybraného standardu definovány úrovně podle různých kritérií přesně definovaná konfigurace, hardware, podmínky udělována auditem od externí organizace dokládají se splněné požadavky finančně velmi náročné (statisíce dolarů) výsledek zohledňuje, čemu systém vyhověl neznamená to, že je systém bezpečný neznamená to, že v systému nejsou chyby jiné systémy mohou být lepší, i když certifikát nemají

Trusted operating system systém vyhovující „vládním“ nárokům kombinace několika požadavků: EAL certifikace podle Common Criteria implementace MAC řízení přístupu B1 podle TCSEC certifikované systémy: komerční unixové systémy (Sun, IBM, SCO, HP, ...) Linux se SELinuxem by mohl být certifikován

TCSEC Trusted Computer System Evaluation Criteria Ministerstvo obrany USA (1983) „Orange book“ (podílela se NSA) 2005 nahrazeno Common Criteria několik stavebních prvků: přístupové politiky MAC zodpovědnost identifikace uživatele, autentizace, audit logy (o činnosti) záruka HW+SW mechanismy pro vynucení předchozího + ověření

Divize a třídy TCSEC D minimální ochrana C DAC ochrana (C1, C2) B MAC ochrana (B1 až B3) A ověřená ochrana (A1 je B3, pak „Mimo A1“)

Common Criteria 1999 USA, Kanada, UK, Francie, Německo, Nizozemí ISO/IEC 15408, dnes verze 3.1 dokumentace o návrhu systému a jeho analýza funkční a penetrační testování tvůrce dodává „Security Target“ odůvodněná kritéria pro hodnocení bezpečnosti podle nich je systém certifikován výstupem úroveň EAL vyšší EAL neznamená vyšší bezpečnost důvodem je možnost různých „Security Target“

Úrovně EAL EAL1: Functionally Tested EAL2: Structurally Tested EAL3: Methodically Tested and Checked EAL4: Methodically Designed, Tested and Reviewed FreeBSD, RHEL, SLES, Solaris, Windows 2003, XP, ... EAL5: Semiformally Designed and Tested EAL6: Semiformally Verified Design and Tested EAL7: Formally Verified Design and Tested

ITSEM

ISO 9000

Kontaktní formulář: Ochrana osobních údajů Kontaktní formulář
O projektu: SlidePlayer Podmínky použití

© 2024 SlidePlayer.cz Inc. All rights reserved.