Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Počítačová bezpečnost 11. Bezpečnostní standardy

ZveřejnilMiroslav Novák

Podobné prezentace

Prezentace na téma: "Počítačová bezpečnost 11. Bezpečnostní standardy"— Transkript prezentace:

1 Počítačová bezpečnost 11. Bezpečnostní standardy
Obsah: Secure by design, Security-focused, Security-evaluated TOS, TCSEC, EAL ITSEM, Common Criteria, ISO 9000 © Milan Keršláger

2 Secure by design bezpečnost skrze návrh
od začátku je myšleno na bezpečnost takový postup není závislý na utajení implementace návrh není nutné tajit, protože je skutečně bezpečný tj. „security by obscurity“ nemá význam Linusův zákon zásada minimálních oprávnění problém nejslabšího místa nelze aplikovat zpětně špatně navrženou aplikaci není možné zabezpečit

3 Linusův zákon Linus Torvalds (jádro Linuxu)
popsal Eric S. Raymond v roce 1997 v eseji „The Cathedral and the Bazaar“ popis vývoje otevřeného software „Given enough eyeballs, all bugs are shallow.“ Je-li dost očí, jsou všechny chyby triviální diskuze vývojářů nad otevřeným kódem je vlastně jednoduchým auditem kódu kritika: vývojářů nemusí být dostatek, aby fungovalo nezávislý audit běžně používán i v uzavřeném vývoji

4 Zásada minimálních oprávnění
Principle of least privilege (1974) funguje nejen v informatice pro software každý kód má jen oprávnění nutná ke své funkci pro editor či prohlížeč není nutné mít oprávnění správce využití MAC (DAC neumožňuje) jak zjistit minimální nutná oprávnění? automaticky nelze, ručně nedosáhneme maxima omezují se nejpodstatnější oprávnění problémem je jádro běží s maximálním oprávněním (správa systému) při chybě se může stát cokoliv, pak nelze systému věřit

5 Problém nejslabšího místa
rovnoměrné zabezpečení též princip ochrany před zloději v reálném světě pancéřové dveře vs. skleněná okna nemá smysl dále zesilovat dobré zabezpečení nemá smysl útočit na dobře zabezpečené místo marketingové a PR jde však opačným směrem útočník si vybírá nejzranitelnější místo chyba v programu, sociální inženýrství, … typicky právě to, na co se zapomnělo

6 Zabezpečení OS problém původního návrhu
jakékoliv opatření jen zvýší obtížnost, ne kvalitu tzv. security-focused system Linux: SELinux, AppArmor; OpenBSD Windows: MIC ve Vista+ (5 úrovní → MSIE + stažený soubor) běžné systémy jen jednoho správce vzniká slabý článek (původ systémů v 70. letech) systém jediného správce je však jednoduchý pro mnoho činností je nutné mít neomezená práva správce Windows sice obsahují náznak oddělení rolí, ale není funkční UAC je zajímavý nápad, bohužel není funkční anti-malware řeší jen následky

7 Multilevel security systém pro dokumenty s různou citlivostí
důvěrné → tajné → přísně tajné osoby i dokumenty mají různá pověření vyšší úroveň má přístup k nižší úrovni nižší úroveň může přistupovat k vyšší po sanitizaci sanitizace odstraní z dokumentu citlivé informace vyžaduje: Trusted operating system typicky Mandatory access control (MAC) systém má hodnocení bezpečnosti TCSEC, EAL (4+) problém systémů s doplňky pro vyšší EAL → virtualizace

8 Security-evaluated OS
operační systém, který získal certifikaci podle vybraného standardu definovány úrovně podle různých kritérií přesně definovaná konfigurace, hardware, podmínky udělována auditem od externí organizace dokládají se splněné požadavky finančně velmi náročné (statisíce dolarů) výsledek zohledňuje, čemu systém vyhověl neznamená to, že je systém bezpečný neznamená to, že v systému nejsou chyby jiné systémy mohou být lepší, i když certifikát nemají

9 Trusted operating system
systém vyhovující „vládním“ nárokům kombinace několika požadavků: EAL certifikace podle Common Criteria implementace MAC řízení přístupu B1 podle TCSEC certifikované systémy: komerční unixové systémy (Sun, IBM, SCO, HP, ...) Linux se SELinuxem by mohl být certifikován

10 TCSEC Trusted Computer System Evaluation Criteria
Ministerstvo obrany USA (1983) „Orange book“ (podílela se NSA) 2005 nahrazeno Common Criteria několik stavebních prvků: přístupové politiky MAC zodpovědnost identifikace uživatele, autentizace, audit logy (o činnosti) záruka HW+SW mechanismy pro vynucení předchozího + ověření

11 Divize a třídy TCSEC D minimální ochrana C DAC ochrana (C1, C2) B
MAC ochrana (B1 až B3) A ověřená ochrana (A1 je B3, pak „Mimo A1“)

12 Common Criteria 1999 USA, Kanada, UK, Francie, Německo, Nizozemí
ISO/IEC 15408, dnes verze 3.1 dokumentace o návrhu systému a jeho analýza funkční a penetrační testování tvůrce dodává „Security Target“ odůvodněná kritéria pro hodnocení bezpečnosti podle nich je systém certifikován výstupem úroveň EAL vyšší EAL neznamená vyšší bezpečnost důvodem je možnost různých „Security Target“

13 Úrovně EAL EAL1: Functionally Tested EAL2: Structurally Tested
EAL3: Methodically Tested and Checked EAL4: Methodically Designed, Tested and Reviewed FreeBSD, RHEL, SLES, Solaris, Windows 2003, XP, ... EAL5: Semiformally Designed and Tested EAL6: Semiformally Verified Design and Tested EAL7: Formally Verified Design and Tested

14 ITSEM

15 ISO 9000

Stáhnout ppt "Počítačová bezpečnost 11. Bezpečnostní standardy"

Podobné prezentace

Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví

Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví
Analýza fungování institutu dohod o výkonu pěstounské péče v ČR SocioFactor s.r.o.

Analýza fungování institutu dohod o výkonu pěstounské péče v ČR SocioFactor s.r.o.
Založení firmy postup. Postup založení firmy 1) Výběr oboru podnikání a vymezení předmětu živnosti 2) Volba právní formy podnikání 3) Určení názvu a umístění.

Založení firmy postup. Postup založení firmy 1) Výběr oboru podnikání a vymezení předmětu živnosti 2) Volba právní formy podnikání 3) Určení názvu a umístění.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/15.0070)

BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Projekt Informační a vzdělávací portál Libereckého kraje I CZ.1.07/1.1.00/08.0077 I Školení pro uživatele portálu.

Projekt Informační a vzdělávací portál Libereckého kraje I CZ.1.07/1.1.00/ I Školení pro uživatele portálu.
Petr Krčmář Virtualizace (především linuxová) InstallFest 2011.

Petr Krčmář Virtualizace (především linuxová) InstallFest 2011.
Počítačové sítě 8. Využití sítí © Milan Keršlágerhttp://www.pslib.cz/ke/slajdy Obsah: ● sdílení v sítích.

Počítačové sítě 8. Využití sítí © Milan Keršlágerhttp:// Obsah: ● sdílení v sítích.
Hodnocení kvality vzdělávání škol a školských zařízení zřizovaných Libereckým krajem Zvyšování kompetencí vedoucích pracovníků Liberec 20. srpna 2012 Hodnocení.

Hodnocení kvality vzdělávání škol a školských zařízení zřizovaných Libereckým krajem Zvyšování kompetencí vedoucích pracovníků Liberec 20. srpna 2012 Hodnocení.
Uvedení autoři, není-li uvedeno jinak, jsou autory tohoto výukového materiálu a všech jeho částí. Tento projekt je spolufinancován ESF a státním rozpočtem.

Uvedení autoři, není-li uvedeno jinak, jsou autory tohoto výukového materiálu a všech jeho částí. Tento projekt je spolufinancován ESF a státním rozpočtem.
Regionální management II prof. Ing. Magdalena Hrabánková, CSc., prof. h. c.

Regionální management II prof. Ing. Magdalena Hrabánková, CSc., prof. h. c.
1.VYHLÁŠENÍ RESORTNÍCH BEZPEČNOSTNÍCH CÍLŮ MZ na období červen 2011– duben 2012 2. PODEPSÁNÍ PROHLÁŠENÍ WHO „Čistá péče je bezpečnější“

1.VYHLÁŠENÍ RESORTNÍCH BEZPEČNOSTNÍCH CÍLŮ MZ na období červen 2011– duben PODEPSÁNÍ PROHLÁŠENÍ WHO „Čistá péče je bezpečnější“
Seminář pro žadatele o finanční podporu z Operačního programu Vzdělávání pro konkurenceschopnost Krajský úřad Jihomoravského kraje Odbor regionálního rozvoje.

Seminář pro žadatele o finanční podporu z Operačního programu Vzdělávání pro konkurenceschopnost Krajský úřad Jihomoravského kraje Odbor regionálního rozvoje.
Zákon o kybernetické bezpečnosti č. 181/2014 Sb. Presentation title.

Zákon o kybernetické bezpečnosti č. 181/2014 Sb. Presentation title.
Procesy ve veřejné správě Ivo Vašíček 2007. Proces veřejné správy Získávání zdrojů dané, poplatky, pokuty Vnitřní a vnější bezpečnost Správa zdrojů Údržba.

Procesy ve veřejné správě Ivo Vašíček Proces veřejné správy Získávání zdrojů dané, poplatky, pokuty Vnitřní a vnější bezpečnost Správa zdrojů Údržba.
Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu Registrační.

Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu Registrační.
Projekty Institucionálního plánu MENDELU v roce 2016 seminář pro řešitele projektů IP Brno, 3. 2. 2016.

Projekty Institucionálního plánu MENDELU v roce 2016 seminář pro řešitele projektů IP Brno,
Obchodní akademie, Střední odborná škola a Jazyková škola s právem státní jazykové zkoušky, Hradec Králové Autor:Mgr. Ernest Seifert Název materiálu: VY_32_INOVACE_6_CLOVEK_JAKO_OBCAN_05.

Obchodní akademie, Střední odborná škola a Jazyková škola s právem státní jazykové zkoušky, Hradec Králové Autor:Mgr. Ernest Seifert Název materiálu: VY_32_INOVACE_6_CLOVEK_JAKO_OBCAN_05.
Základní informace k veřejné podpoře v OP LZZ Seminář pro žadatele 6. února 2009 Praha.

Základní informace k veřejné podpoře v OP LZZ Seminář pro žadatele 6. února 2009 Praha.
Krizové štáby. Zákon č. 240/2000 Sb., § 14 (1) Hejtman zajišťuje připravenost kraje na řešení krizových situací; ostatní orgány kraje se na této připravenosti.

Krizové štáby. Zákon č. 240/2000 Sb., § 14 (1) Hejtman zajišťuje připravenost kraje na řešení krizových situací; ostatní orgány kraje se na této připravenosti.
Název kapitoly Název podkapitoly Text Schvalovací proces + hodnoticí kritéria Jakub Krátký Praha, 5. května 2016.

Název kapitoly Název podkapitoly Text Schvalovací proces + hodnoticí kritéria Jakub Krátký Praha, 5. května 2016.

Podobné prezentace

Reklamy Google