Bezpečnostný audit informačného systému

Size: px

Start display at page:

Download "Bezpečnostný audit informačného systému"

Amos Tyler
5 years ago
Views:

1 Bankovní institut vysoká škola Praha zahraničná vysoká škola Banská Bystrica Katedra kvantitatívnych metód a informatiky Bezpečnostný audit informačného systému Security audit of information system Diplomová práca Autor: Bc. Radoslav Magerčiak Informačné technológie a manaţment Vedúca práce: doc. Ing. Vlasta SVATÁ, CSc. Praha Jún 2014

2 Vyhlásenie Vyhlasujem, ţe som diplomovú prácu spracoval samostatne a s pouţitím uvedenej literatúry. Svojím podpisom potvrdzujem, ţe odovzdaná verzia práce je identická s jej tlačenou verziou a som oboznámený so skutočnosťou, ţe sa práca bude archivovať v kniţnici BIVŠ a ďalej bude sprístupnená tretím osobám prostredníctvom internej databázy elektronických vysokoškolských prác. V Prahe dňa 30. júna 2014 Bc. Radoslav Magerčiak

3 Poďakovanie Ďakujem svojej vedúcej diplomovej práce doc. Ing. Vlaste SVATEJ, CSc. za pomoc, cenné rady, odborné informácie, vecné pripomienky a dohľad nad mojou prácou.

4 Anotácia práce MAGERČIAK, Radoslav: Bezpečnostný audit informačného systému. [Diplomová práca]. Bankovní institut vysoká škola Praha, a. s., Katedra kvantitativních metod a informatiky. Vedúci práce: doc. Ing. Vlasta Svatá, CSc. Rok obhajoby: Počet strán: 99 s. Diplomová práca analyzuje súčasný právny a technologicko-normatívny stav bezpečnosti informačných technológií v SR, pojednáva o problematike auditu bezpečnosti v informačných technológiách s ohľadom na pouţívaný pojmový aparát, zásady výstavby a existujúce normy a odporúčania. V rámci práce je vypracovaná prípadová štúdia zabezpečenia informačného systému pre fiktívne detašované pracovisko vysokej školy. audit. Kľúčové slová: informačné technológie, bezpečnosť IT, ISO 27000,bezpečnostný

5 Annotation MAGERČIAK, Radoslav: Security Audit of Information System. [Master s thesis]. Banking Institute University of Prague, a. s., the Department of informatics and quantitative methods. Supervisor: doc. Ing. Vlasta SVATÁ, CSc. The year of defence 2014 th Total number of pages: 99. Master thesis deals with analyse of contemporary legal and normative status of information technologies security audit in the Slovak Republic. The thesis deals with the topic of IT security audit with respect to its definitions, IT design, existing standards and recommendations. A case study of a securing a generic information system is also presented. Keywords: information technologies, IT security, ISO 27000, security audit.

6 Obsah Úvod Informačný systém a jeho bezpečnosť Manaţment rizík Pojem bezpečnosť Aktívum Hrozba Analýza rizík Systém riadenia informačnej bezpečnosti Stratégia informačnej bezpečnosti a bezpečnostná politika Dekompozícia informačnej bezpečnosti Personálna bezpečnosť Programová bezpečnosť Komunikačná bezpečnosť Reţimová bezpečnosť Fyzická bezpečnosť Technická bezpečnosť Bezpečnostný audit Audit informačného systému Normotvorba pre bezpečnostný audit IS Inštitucionálne aspekty bezpečnostného auditu Právny rámec bezpečnostného auditu IS v SR Rámec pre vykonanie bezpečnostného auditu Identifikácia bezpečnostných rizík informačného systému Moţné postupy počas auditu bezpečnosti IS Procesný prístup počas auditu bezpečnosti IS Procesná mapa Kritické procesy Komponenty IKT Kontrola prístupu a autentifikácia z pohľadu audítora Bezpečnostný audit obvodu IS

7 3.3.1 Plánovanie a ciele auditu Prípravné kroky pre audit Hodnotenie bezpečnostného rámca siete Bezpečnostné komponenty siete Technický audit bezpečnosti WiFi siete Kontrolný zoznam pre technický audit bezdrôtovej siete Prostriedky pre vykonávanie bezpečnostného auditu WiFi siete Moţná implementácia záverov bezpečnostného auditu IS Návrh zabezpečenej sieťovej architektúry Infraštruktúra siete základ bezpečnostnej stratégie Topológia siete Firewall Návrh sieťovej architektúry Realizačná schéma siete Rozšírenie o zabezpečenú WiFi sieť Realizácia zabezpečenia siete Realizácia externého smerovača a firewallu Realizácia centrálneho prepínača Záver Zoznam pouţitej literatúry Prílohy Vizualizácia IT infraštruktúry školy WiFi-Owl softvérový nástroj pre manaţovanie WLAN sietí

8 Úvod Prioritnou otázkou v prípade informačných systémov je otázka ich bezpečnosti. Tento fakt potvrdzuje aj mnoţstvo publikovanej literatúry, záverečných prác a iných zdrojov, ako aj dynamicky sa rozvíjajúca štandardizácia v uvedenej oblasti. Ide hlavne o ochranu osobných údajov, citlivých informácií, ale aj ochranu riadneho a bezproblémového fungovania informačného systému. Organizácie si preto musia sami stanoviť opatrenia v rámci bezpečnosti ich informačného systému, aby dokázali zareagovať na neštandardné situácie správne a včas. Preto je v záujme kaţdej firmy vypracovať svoj vlastný dokument, kde budú popísané kroky vykonávajúce sa pri týchto udalostiach. Súhrn týchto dokumentov nazývame bezpečnostnou politikou informačného systému. Hlavným nástrojom, ktorý môţe pomôcť zhodnotiť stav bezpečnosti informačného systému a indikovať spôsob vypracovania, resp. overenia bezpečnostnej politiky v oblasti informačných technológií je bezpečnostný audit informačného systému. Cieľom tejto diplomovej práce je analyzovať súčasný právny a technologickonormatívny stav v SR ohľadom auditu bezpečnosti informačných technológií, pojednať o problematike bezpečnostnej politiky v informačných technológiách s ohľadom na pouţívaný pojmový aparát, zásady výstavby a existujúce normy a definovať v súlade s existujúcimi odporúčaniami a právnym stavom opatrenia pre reálnu alebo fiktívnu organizáciu resp. pracovisko. Diplomová práca sa skladá zo štyroch kapitol. Prvá kapitola sa venuje definícii pojmov súvisiacich s bezpečnostným auditom. Druhá kapitola podrobne popisuje aspekty bezpečnostného auditu z pohľadu informačnej bezpečnosti a vykonáva jej dekompozíciu. Tretia kapitola sa venuje bezpečnosti informačných systémov ako takých. Uvádza príklad procesnej dekompozície organizácie, štruktúry informačného systému vysokej školy a definuje bezpečnostné riziká. Štvrtá kapitola sa venuje vypracovaniu riešenia zabezpečenia informačného systému so zameraním na sieťovú topológiu a konfiguráciu jej aktívnych prvkov, ktoré bude slúţiť fiktívnemu pracovisku vysokej školy. 8

9 1 Informačný systém a jeho bezpečnosť 1.1 Manažment rizík Pojem bezpečnosť Bezpečnosť a dostupnosť informačných zdrojov nie je moţné chápať len ako technický problém, ale ako súčinnosť technických, programových, organizačných, legislatívnych a ďalších opatrení. Z pohľadu vlastného informačného systému (ďalej len IS ) je moţné definovať tri základné úrovne a to technicko-technologickú, aplikačnú a organizačnú vrstvu (ROVNÝ, 2009): Technicko-technologická úroveň zabezpečuje funkčnosť technických prostriedkov ako celku, kde existuje pomerne veľa dostupných prvkov a mechanizmov bezpečnosti od rôznej signalizácie cez technickú spoľahlivosť komponentov aţ po zálohovanie systému. Tieto sú finančne pomerne náročné a je nutná detailná analýza ich nasadenia. Aplikačná úroveň predstavuje oblasť, ktorá je pomerne významná z hľadiska bezpečnosti systému a je charakterizovaná dvoma hlavnými skupinami, aplikačným programovým vybavením a správou dátových zdrojov alebo databáz. Aj v tejto oblasti je pomerne široký priestor na realizáciu účinných bezpečnostných opatrení. Posledná organizačná úroveň predstavuje oblasť práce s ľudským faktorom. V kaţdom informačnom systéme hrá ľudský faktor veľmi významnú úlohu a často je hlavným problémom v oblasti bezpečnosti alebo spoľahlivosti údajov. Súčasťou tejto úrovne je špecifikácia smerníc, noriem alebo prevádzkových predpisov, výber a školenie uţívateľov a manaţmentu a podobne. Pokiaľ sa pozrieme na informačný systém v uţšom slova zmysle existuje istá analógia so stavbou, pričom základom tejto stavby sú jednotlivé subsystémy prevádzkované v informačnom systéme. Je pochopiteľné, ţe rovnako ako stavbu realizujeme od základov, musíme aj informačný systém budovať od týchto základov - jednotlivých subsystémov alebo skupín uţívateľsky orientovaných činností. 9

10 Obrázok 1 Princíp správy bezpečnosti Zdroj: (Je bezpečnosť informačných systémov bezpečná?, 2012 s. 5) Prioritou všetkých bezpečnostných opatrení je zabezpečenie základných funkcii informačných systémov, ktoré sú definované nasledovne (LOVEČEK, 2007 s. 168): Integrita reprezentuje neporušiteľnosť vloţenej informácie zásahom technickej časti systému alebo ľudského činiteľa. Neporušiteľnosť moţno vyjadriť ako náhodný proces udalostí, ktoré znamenajú neautorizovaný príjem, neautorizované vyslanie alebo neautorizovanú transformáciu informácií. Dôvernosť vlastnosť informácie, ktorá zaisťuje, ţe informácia nebude poskytnutá, nemôţe byť odhalená alebo zneuţitá neoprávneným subjektom. Pojem subjekt v tomto význame zahŕňa nielen osoby, ale aj technické prostriedky a programové vybavenie. Dôvernosť predstavuje hierarchicky usporiadaný mechanizmus, ktorý zaručí poţadovaný stupeň oprávnenia na zápis a čítanie informácií v určenej časti zabezpečovacieho systému strojom alebo človekom. Stupeň (úroveň) dôvernosti moţno vyjadriť ako náhodný proces úspešného alebo neúspešného pokusu o jej porušenie. Dostupnosť časová charakteristika, ktorá vyjadruje závislosti medzi poţiadavkami riadeného systému a splnením týchto poţiadaviek. Obvykle sa reprezentuje v mierke rozdelenia pravdepodobnosti oneskorenia medzi ţiadosťou o sluţbu a jej realizáciou. Zodpovednosť vlastnosť, ktorá zaisťuje evidenciu udalostí. Autenticita identita subjektu alebo zdroja informácie, musí byť taká, za ktorú sa vydáva. 10

11 Rozsah technických, organizačných a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačné systémy z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti sa môţe definovať v piatich základných oblastiach informačnej bezpečnosti, a to (LOVEČEK, 2006): PHYSEC fyzická bezpečnosť zahŕňa pôsobenie hrozieb na hmotné aktíva potrebné pre prevádzkovanie IS. Fyzická bezpečnosť znamená ochranu informačného systému a jeho častí proti neoprávnenému vniknutiu osôb (prevenciu a detekciu neoprávneného vniknutia), spôsoby zničenia uţ nepotrebných informácií alebo uţ nepotrených médií s informáciami (archivačných médií, tlačových a iných výstupov informačného systému), ochranu proti poţiaru, ochranu proti vode, plánovanie havárií a riešenie krízových situácií. COMSEC komunikačná bezpečnosť zahŕňa pôsobenie hrozieb na nehmotné aktíva počas ich prenosu, ukladania a spracovávania. Komunikačná bezpečnosť sa zaoberá ochranou dát v súboroch a v databázach proti odpočúvaniu resp. modifikovaniu pri ich prenose, ochranou proti vírusom, trojským koňom, červom, ochranou pred neoprávneným prienikom zo siete Internet a ochranou dát proti ostanej neţiaducej infiltrácii. COMPUSEC počítačová bezpečnosť zahŕňa pôsobenie hrozieb na hmotné aktíva (hardvér) potrebné pre spracovanie, ukladanie a prenos dát. počítačová bezpečnosť zahŕňa výber a spoľahlivosť technických prostriedkov IS, zabezpečenie ich okamţitého servisu, kontrolu prístupu k týmto prostriedkom. LOGICSEC logická bezpečnosť zahŕňa pôsobenie hrozieb na nehmotné aktíva nevyhnutné pre fungovanie IS z hľadiska organizačného spracovania informácie. Logická bezpečnosť sa zaoberá vyladením operačného systému takým spôsobom, aby bol skutočným filtrom prístupu k informáciám uloţeným v IS t.j. aby bola zabezpečená kontrola prístupu, identifikácia a autentizácia uţívateľov, rozdelenie právomocí uţívateľom, sledovanie a záznam činnosti systému aj uţívateľov. Patrí sem tieţ výber a spoľahlivosť programového vybavenia, jeho licenčná čistota, kontrola prístupu k nemu a pod. PERSEC personálna bezpečnosť zaoberá sa predovšetkým elimináciou hrozieb spôsobených ľudským faktorom. Ide v nej o ochranu pracovníkov ako súčasti informačného systému, ale tieţ o ochranu IS pred dôsledkami udalostí spôsobených nekorektným jednaním pracovníkov. 11

12 1.1.2 Aktívum Základným cieľom bezpečnosti IS je chrániť aktíva organizácie v oblasti IS, resp. informačno-komunikačných technológií. Základné delenie aktív rozlišuje dve skupiny: hmotné aktíva technické prostriedky výpočtovej techniky, nehmotné aktíva dáta, programové vybavenie, pracovné postupy. Aktívum je všetko, čo má pre organizáciu z podnikateľského hľadiska hodnotu. Aktíva sú všeobecne zaraďované do štyroch skupín (ROVNÝ, 2009): ľudské zdroje - zamestnanci, klienti, dodávatelia, návštevníci a pod., informácie - údaje o klientoch, elektronické peniaze, know-how, pracovné postupy, počítačové programy, finančné informácie, účtovné údaje, osobné údaje, marketingové informácie a podobne, dobré meno - pozícia na trhu, hodnota akcií, medzinárodné postavenie a pod., fyzický majetok - hmotný majetok, nehnuteľnosti, počítače a siete atď Hrozba Hrozba (nebezpečenstvo) je objektívne existujúca moţnosť vzniku akcie, udalosti alebo úmyslu, ktorá môţe mať nepriaznivý účinok na aktíva organizácie, alebo môţe viesť k ich znehodnoteniu. Hrozby delíme na (PŘIBIL, 2004): straty ľudí, informácií, financií, energie, materiálu, dobrého mena a pod., nehody poţiar, výbuch, havária - nespadajúce pod kriminalitu, kriminalitu krádeţ, násilie, terorizmus, podvod, sabotáţ, únos atď., zanedbanie vykonať niečo, nesprávny postup, oneskorenie výkonu, prírodné vplyvy záplavy, víchrice, blesky, zemetrasenia a pod., neetické konanie korupcia, konflikt záujmov, špionáţ atď. V prípade informačného systému sú najčastejšie hrozby definované nasledovne: prírodné katastrofy ako napríklad oheň či povodeň, ktoré spôsobujú fyzické poškodenie majetku organizácie, 12

13 chyba technických komponentov IS, napr. poškodenie zdroja pre PC alebo chyba pevného disku, zamestnanci môţu spôsobiť škody nevedome (nechcené vymazanie súboru z disku), ale môţe ísť aj o krádeţ, vandalizmus, prípadne priemyselnú špionáţ, votrelci pod uvedeným pojmom sa rozumie fyzický prienik neoprávnených osôb do systému, ktorý môţe končiť krádeţou, vandalizmom, alebo sabotáţou, hakeri nefyzické vniknutie do IS za účelom získania prístupu k dátam v IS. Základné hrozby z hľadiska spracovávaných informácií a údajov sú: strata dôvernosti - informácia je prezradená, stane sa teda známou mimo vymedzeného (oprávneného) okruhu subjektov, pre ktorý je určená strata integrity - informácia nie je celistvá, je neúplná, nie je v pôvodnom stave, alebo bola modifikovaná, strata dosiahnuteľnosti - informácia nie je tam, kde je očakávaná, nemoţno ju okamţite pouţiť, alebo je inak nedostupná oprávnenému pouţívateľovi, strata autentickosti - informácia je neoprávnená alebo nezodpovedá skutočnosti, ktorú by mala reprezentovať, prípadne nie je istota o jej zdroji. Slabiny sú bezpečnostné nedostatky, ktoré môţu byť potenciálne vyuţité niektorou z hrozieb. Rozlišujeme fyzické a nefyzické slabiny. Fyzické slabiny odstraňuje tzv. fyzická ochrana (serverovne a ich fyzické zabezpečenie proti nepovolanému vniknutiu, poţiaru atď.). Nefyzické slabiny sú stelesňované nevhodnou konfiguráciou softvéru (vrátane operačného systému), chybným softvérom, neprítomnosťou antivírusového softvéru, chabou kontrolou prístupu a autentifikácie, prípadne neprítomnosťou firewall-u. Minimalizácia hrozieb sa realizuje súborom protiopatrení na zníţenie pravdepodobnosti vzniku hrozby a rozsahu moţnej škody. Z hľadiska úrovne ochrany protiopatrenia delíme na (ROVNÝ, 2009): fyzické EPS, EZS, stráţna sluţba, trezory atď., logické zálohovacie jednotky, bezpečnostné karty, antivírusové programy a organizačná a bezpečnostná dokumentácia, havarijné plány, kompetencia útvaru bezpečnosti. 13

14 Podľa cieľa moţno protiopatrenia rozdeliť na (DOSTÁLEK, 2005): preventívne, zamerané na zabránenie útoku, odstrašujúce, aby potenciálny útočník upustil od úmyslu útočiť, detekčné, zamerané na včasné odhalenie príznakov útoku, reakčné, umoţňujúce rýchle vykonanie vhodných ochranných akcií, korekčné, zabezpečujúce rýchlu obnovu a podľa moţnosti úplné zotavenie sa systému z následkov útoku Analýza rizík Analýza rizík je základným predpokladom na vytvorenie efektívneho systému ochrany informačných systémov. Cieľom analýzy rizík je identifikovať a ohodnotiť hrozby, ktorým je informačný systém vystavený, aby mohli byť vybrané nové alebo doplňujúce relevantné ochranné opatrenia. Pomocou analýzy rizík sú identifikované hrozby a ich riziká, ktoré je potrebné akceptovať alebo korigovať (PURDY, 2010 s. 3). V kontexte bezpečnosti IS analýza rizík zahrňuje: analýzu aktív, analýzu hrozieb, analýzu zraniteľností. Riziká sú odhadnuté z hľadiska moţného dopadu, spôsobeného narušením dôvernosti, integrity, dostupnosti, zodpovednosti, autenticity a spoľahlivosti. Analýza rizík býva najčastejšie vykonávaná kvalitatívnou kombinovanou metódou podľa ISO/IEC TR 13335, ktorá v sebe zahŕňa všeobecnú analýzu rizík tzv. analýzu na hrubej úrovni. Táto metóda následne aplikuje podrobnú analýzu rizík pre informačné systémy, ktoré sú identifikované ako významné pre činnosť organizácie, alebo sú vystavené vysokým rizikám. Pre ostatné informačné systémy, ktoré nie sú významné pre organizáciu, alebo nie sú vystavené vysokým rizikám, aplikuje metódu základného prístupu. Cieľom tejto metódy základného prístupu je stanoviť minimálnu sadu ochranných opatrení. Táto voľba stratégie analýzy rizík je kombináciou najlepších charakteristík moţností, ktoré ponúkajú jednotlivé stratégie (Medzinárodná organizácia pre normalizáciu, 2004). Všeobecná analýza rizík pre všetky informačné systémy je vykonaná na základe týchto kritérií: 14

stupeň, v akom činnosť organizácie závisí na systému IT, to znamená či funkcie ktoré organizácia povaţuje pre svoje preţitie za kritické sú závislé na danom informačnom systéme, úroveň investícii do

15 stupeň, v akom činnosť organizácie závisí na systému IT, to znamená či funkcie ktoré organizácia povaţuje pre svoje preţitie za kritické sú závislé na danom informačnom systéme, úroveň investícii do daného informačného systému, a to z pohľadu vývoja, údrţby alebo nahradenia systému. Obrázok 2 Detailná analýza rizík Zdroj: (Medzinárodná organizácia pre normalizáciu, 2011) 1.2 Systém riadenia informačnej bezpečnosti Informačná bezpečnosť sa v zmysle informatizácie definuje ako "schopnosť siete alebo informačného systému ako celku odolať s určitou úrovňou spoľahlivosti náhodným udalostiam, alebo nezákonnému, alebo zákernému konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu a dôvernosť uchovávaných alebo prenášaných údajov a súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a systémov." (MF SR, 2012). V medzinárodnom meradle je koncept informačnej bezpečnosti daný medzinárodnou normou radu ISO/IEC Celkovú koncepciu rady ISO/IEC zobrazuje Obrázok 15

16 3. Normy ustanovujú tzv. systém pre riadenie informačnej bezpečnosti (Information Security Management System - ISMS). Podľa ISO/IEC 27001:2005 predstavuje systém informačnej bezpečnosti ochranu informácie pred veľkým mnoţstvom hrozieb, ktorej úlohou je zaistenie kontinuity obchodných procesov, minimalizácia strát a maximalizácia návratnosti investovaných prostriedkov. Základným obsahovým údajom je informácia, ktorá sa vyskytuje v rozličných formách ústnej, písomnej, obrazovej a elektronickej pričom na jej spracovávanie počnúc získaním, pokračujúc prenosom, spracovávaním, uchovávaním a archiváciou končiac ničením sa pouţívajú rôzne prostriedky. Adekvátna ochrana informácie vychádza z toho, na aký účel sa informácia pouţíva a čo ju a akým spôsobom ohrozuje (The ISO Directory, 2012). Obrázok 3 Koncept ISO/IEC noriem v oblasti informačnej bezpečnosti. ISO/IEC 27002:2013 Zdroj: (International Organization for Standardization, 2012) Medzi základné bezpečnostné poţiadavky na ochranu informácie patria dostupnosť, dôvernosť, autentickosť a integrita. Prostredníctvom týchto aspektov ochrany informácie docielime to, aby informácia bola k dispozícii oprávneným osobám vţdy, keď ju budú potrebovať. Informácia sa nedostane do rúk neoprávneným osobám, vylúčime moţnosť nepozorovanej zmeny údajov a napokon zaistíme integritu a pôvod dokumentu (MF SR, 2010 s. 2). 16

17 Informačná doba napreduje neúprosne rýchlo a informácie sa v čoraz väčšej miere spracovávajú v elektronickej forme pomocou počítačov. Získanie neoprávneného prístupu k informáciám, ale aj k zariadeniam, v ktorých sa informácie spracovávajú, môţe narušiť ich dôvernosť, dostupnosť, integrita alebo autentickosť, čo sa nazýva hrozbou (MF SR, 2010 s. 19). Hrozby môţu mať prírodný alebo ľudský pôvod a môţu byť náhodné alebo úmyselné. Tak náhodné, ako aj úmyselné hrozby by mali byť identifikované a mala by byť odhadnutá ich potenciálna úroveň a pravdepodobnosť ich výskytu. Spoločnosť, riešiaca základné otázky riadenia bezpečnosti IT by si mala vopred získať dostupné štatistické údaje týkajúce sa výskytu rôznych typov hrozieb okolitého prostredia a pouţiť ich v rámci procesu odhadov hrozieb. (STRNÁD, 2007 s. 190) Príklady moţných hrozieb podľa ISO/IEC TR sú uvedené v Tabuľka 1. Tabuľka 1 Triedenie hrozieb podľa ISO/IEC TR Úmyselné Odpočúvanie Zmena informácie Hacking systému Nepriateľský program Krádež Ľudské hrozby Náhodné Chyby a zabudnutie Vymazanie súboru Nesprávne smerovanie Fyzické nehody Zdroj: (Medzinárodná organizácia pre normalizáciu, 2004) Hrozby prostredia Zemetrasenie Blesk Povodeň Poţiar 1.3 Stratégia informačnej bezpečnosti a bezpečnostná politika Obsahom stratégie informačnej bezpečnosti sú kroky a popis úloh s cieľom zabezpečenia ochrany informačných systémov v podnikoch. Medzi hlavné úlohy patria najmä opatrenia proti úniku informácií a ich neoprávnenému pouţitiu, narušenie integrity údajov, porušenie práv zamestnancov a klientov na ochranu osobných údajov a podobne. Internet dnes ponúka neobmedzené mnoţstvo informácií a sluţieb s čím je spojená aj informačná bezpečnosť, ktorá predstavuje určitú mieru záruky zabezpečenia dát v informačných systémoch (MF SR, 2008 s. 3) Na základe uvedenej definície, viacero zdrojov definuje nasledovné strategické ciele potrebné na zabezpečenie a udrţanie potrebnej úrovne informačnej bezpečnosti (HANČIAK, 2010), (MF SR, 2008 s. 8): 17

18 1. prevencia: zaistenie adekvátnej ochrany informačných systémov za účelom predchádzania bezpečnostným incidentom, 2. pripravenosť: efektívne reagovať na bezpečnostné incidenty, minimalizovať dosah a čas potrebný na obnovu činnosti informačných systémov po bezpečnostných incidentoch, 3. udrţateľnosť: dosiahnutie, udrţiavanie a rozširovanie kompetencii v oblasti informačnej bezpečnosti. Pre dosiahnutie stanovených strategických cieľov je potrebné doriešiť kompetencie, technické, organizačné a finančné záleţitosti, hierarchiu a spôsob riadenia, vzdelávanie a mnoho ďalších problémov. Stratégia informačnej bezpečnosti definuje nasledovné štyri základné strategické priority: 1. ochrana osobných údajov, 2. budovanie povedomia a kompetentnosti v informačnej bezpečnosti, 3. vytváranie bezpečného prostredia, 4. zefektívnenie riadenia a kontroly informačnej bezpečnosti (HANČIAK, 2010 s. 11). Stratégia informačnej bezpečnosti má v organizácii podobu dokumentu Politika informačnej bezpečnosti nazývaná aj ako bezpečnostná politika organizácie. Úlohou bezpečnostnej politiky je povedať kaţdému zamestnancovi organizácie čo môţe, čo nesmie, čo musí a za čo je zodpovedný. Uvedený dokument musí byť dostupný kaţdému zamestnancovi organizácie, prípadne externým spolupracovníkom. Obsah bezpečnostnej politiky je definovaný nasledovne: deklarácia vedenia organizácie o o význame ochrany informácií, o o podpore vedenia pri napĺňaní cieľov bezpečnostnej politiky; definícia o oblasti pôsobnosti bezpečnostnej politiky (scope), o hlavných aktív, o cieľov bezpečnostnej politiky v organizácii; štruktúra a obsah bezpečnostnej dokumentácie nadväzujúcej na bezpečnstnú politiku, stanovenie zodpovednosti zamestnancov za presadzovanie a dodrţiavanie bezpečnostnej politiky, 18

19 klasifikácia informácie (klasifikačné schéma), spôsob analýzy rizík a hranica akceptovateľného rizika, monitoring, kontrol a audit IS organizácie, riešenie bezpečnostných incidentov, zaistenie nepretrţitej činnosti organizácie, správa bezpečnostnej politiky organizácie (riadne a mimoriadne revízie bezpečnostnej politiky). Bezpečnostná politika nerieši všetko v oblasti bezpečnosti IS. Ide o vysokoúrovňový dokument (1. úroveň), od ktorého sa odvíjajú špecializované bezpečnostné politiky alebo bezpečnostné štandardy (2. úroveň) pričom ich pravidlá uplatňovania sú definované v tzv. bezpečnostných praktikách (3. úroveň). 1.4 Dekompozícia informačnej bezpečnosti Personálna bezpečnosť Personálnu bezpečnosť si moţno predstaviť ako zainteresovanosť pracovníkov na celkovej bezpečnosti organizácie, ich prípravu na prácu s citlivými údajmi, podmienky, v ktorých vykonávajú svoju činnosť a vplyvy, ktoré môţu pôsobiť na chybovosť ich činnosti. Z hľadiska ochrany citlivých údajov netreba zabúdať na motiváciu kľúčových zamestnancov, ktorý sa vysokou mierou podieľajú na celkovej bezpečnosti a bezpečnom chode informačného systému (KOSTRECOVÁ, 2008 s. 4). Cieľom personálnej bezpečnosti je zniţovanie rizika hrozieb, ktoré predstavuje ľudský faktor. Prostredníctvom pravidiel a smerníc prijatých v oblasti personálnej bezpečnosti sa kaţdá spoločnosť snaţí o elimináciu rizík vyplývajúcich z ľudských chýb, omylov, krádeţí, podvodov a zneuţívania prostriedkov (informačných, technických alebo iných hmotných a nehmotných aktív), o zabezpečenie dostatočnej informovanosti zamestnancov o hrozbách a otázkach informačnej bezpečnosti a o zaistenie pripravenosti zamestnancov na oznamovanie a bezpečnostných incidentov a nefunkčností informačných systémov alebo ich častí (napr.: SW aplikácie, servera). (KOSTRECOVÁ, 2008 s. 5) Výber kvalitných zamestnancov by sa mal zabezpečiť prostredníctvom dobre organizovaného ţivotného cyklu personálu organizácie (Obrázok 4). 19

Obrázok 4 Ţivotný cyklus personálu Zdroj: (HANČIAK, 2010) vlastná úprava obrázku 1.4.2 Programová bezpečnosť Podľa (LOVEČEK, a iní, 2005), programová bezpečnosť zahrňuje autentizáciu, riadenie prístupu, oddelenie uţívateľských a správcovských funkcií informačného systému.

20 Obrázok 4 Ţivotný cyklus personálu Zdroj: (HANČIAK, 2010) vlastná úprava obrázku Programová bezpečnosť Podľa (LOVEČEK, a iní, 2005), programová bezpečnosť zahrňuje autentizáciu, riadenie prístupu, oddelenie uţívateľských a správcovských funkcií informačného systému. Je ochranou IS programovými prostriedkami na úrovni bezpečných operačných systémov a aplikačného vybavenia v operačnej pamäti počítačov. Programová bezpečnosť súvisí s kvalitou programu a spoľahlivosťou programu, ale zameranie sa líši. Spoľahlivosť sa zaoberá s náhodnými poruchami. Predpokladá sa, ţe poruchy sa vyskytujú podľa určitého pravdepodobnostného rozdelenia. Vylepšenia v spoľahlivosti sa môţe vypočítať na základe tohto rozdelenia. Aby sa vytvoril spoľahlivejší program, program je testovaný na typické pouţívateľské vzory: Nezáleţí na tom koľko chýb je v programe, záleţí na tom ako často sú aktivované. V bezpečnosti si útočník vyberá rozdelenie vstupov. Z toho dôvodu tradičné testovacie metódy nevedú na nájdenie bezpečnostných chýb. Aby sa vyvinul bezpečnejší program, program musí byť testovaný na atypické pouţívateľské vzory (ktoré však sú typickým vzorom útočníka). Program, ktorý má škodlivý účel, sa nazýva škodlivý kód (malware). Existujú rôzne typy škodlivého kódu a počítačová bezpečnosť si osvojila personifikované metafory na ich klasifikáciu (HUDEC (a), 2012 s. 3): o Počítačový vírus je kus samo-replikujúceho sa kódu, pripojeného k nejakému inému kódu, s nákladom. Náklad môţe byť v rozsahu neexistujúci cez neškodný, t.j. zobrazujúci správu alebo hrajúci melódie, aţ po škodlivý, t.j. zrušenie alebo modifikácia súborov. Počítačový vírus infikuje program vloţením sám seba do kódu programu. Červík je replikujúci sa program ale nie infikujúci program. 20

o Trójsky kôň je program so skrytými bočnými efektmi, ktoré nie sú špecifikované v dokumentácii programu a nie sú zamýšľané pouţívateľom vykonávajúceho program.

21 o Trójsky kôň je program so skrytými bočnými efektmi, ktoré nie sú špecifikované v dokumentácii programu a nie sú zamýšľané pouţívateľom vykonávajúceho program. o Logická bomba je program, ktorý sa vykoná iba keď je splnená špecifická spúšťacia podmienka. Ďalšími hrozbami v rámci programovej bezpečnosti je zmena prostredia a nebezpečenstvo abstrakcie. o Zmena je najväčším nepriateľom bezpečnosti. ak zmeníme časť systému., automaticky nastávajú bezpečnostné implikácie tejto zmeny o Abstrakcia je dôleţitý koncept, bez ktorej nie je moţné navrhovanie a porozumenie komplexnému systému. Vysokoúrovňové opisy systému skrývajú nepotrebné detaily. Tieto detaily prenesené do strojového kódu môţu byť počas implementácie zdrojom bezpečnostných trhlín v systéme Komunikačná bezpečnosť Komunikačná bezpečnosť sa predstavuje bezpečnosť komunikácie medzi jednotlivými zloţkami informačného systému v rámci lokálnej počítačovej siete spoločnosti (LAN) a internetu (WAN). Základný princíp je zobrazený na Obrázok 5. Komunikačná bezpečnosť sa zaoberá a definuje spôsoby zaistenia dôvernosti a integrity prenosu dát a informácií pomocou informačných technológií, ako napríklad šifrovanie komunikácie, elektronický podpis a podobne. Jednou z moţností, ako zabrániť neţiaducim tokom informácií je pouţívanie firewall-ov, ktorých úlohou je oddeliť jednotlivé siete LAN - WAN a kontrolovať medzi nimi tok dát na základe vopred stanovených pravidiel (HUDEC (b), 2012 s. 25). Obrázok 5 Princíp komunikačnej bezpečnosti Zdroj: (Wikipedia.org) 21

22 1.4.4 Režimová bezpečnosť Reţimová bezpečnosť predstavuje komplex organizačných a administratívnych opatrení slúţiacich na zaistenie bezpečnosti informačných systémov. Určuje spôsoby, procedúry vstupu, výstupu a pohybu osôb v objekte organizácie, postupy výberu zamestnancov pre manipuláciu s citlivými údajmi, definovanie povolených a zakázaných činností v informačnom systéme, evidenciu, označovanie a likvidáciu médií, postup správneho sa prihlásenia do informačného systému, metodiku nastavenia práv ako aj správne spôsoby ukončenia činnosti v informačnom systéme a podobne (KOSTERCOVÁ (b), 2008) Fyzická bezpečnosť Fyzickú bezpečnosť moţno charakterizovať ako súhrn opatrení slúţiacich k zaisteniu fyzickej ochrany aktív spoločnosti pred náhodnými alebo úmyselnými hrozbami neoprávnenými osobami, ktoré by chceli manipulovať s dátami alebo informáciami organizácie. Vhodnými opatreniami je najmä súkromná bezpečnostná sluţba, bezpečné ukladanie dátových nosičov podľa vopred stanovených pravidiel reţimovej bezpečnosti (KOSTERCOVÁ (b), 2008). Ochranné opatrenia fyzickej bezpečnosti moţno rozdeliť na: pasívne prvky ochrany: pasívne prvky predmetovej ochrany, pasívne prvky plášťovej ochrany, pasívne prvky obvodovej ochrany, aktívne prvky ochrany, prvky fyzickej ochrany. Pasívne prvky ochrany patriace do skupiny klasickej ochrany, reprezentujú mechanické zábranné prostriedky (MZP), ako napríklad bariéry (napr. ploty, závory), otvorové výplne (napr. okná, dvere, mreţe), bezpečnostné úschovné objekty, uzamykacie systémy alebo bezpečnostné sklá a fólie. Aktívne prvky ochrany, patriace do skupiny technickej ochrany, reprezentujú poplachové systémy (PS), medzi ktoré patrí elektrický zabezpečovací systém (EZS), priemyselná televízia (CCTV), systém kontroly a riadenia vstupu (SKV), elektrická poţiarna signalizácia (EPS). Pasívne prvky ochrany slúţia na spomalenie, resp. zastavenie neoprávnenej osoby, zatiaľ čo aktívne prvky ochrany slúţia na jej následnú detekciu. 22

23 Neoddeliteľnou súčasťou bezpečnostného systému sú prvky fyzickej ochrany (napr. súkromná bezpečnostná sluţba, vlastná ochrana), ktoré zabezpečujú včasný zásah a zadrţanie neoprávnenej osoby. Prvky reţimovej ochrany zabezpečujú správne a efektívne fungovanie existujúcich ochranných opatrení. Bez ohľadu na vlastníctvo, pouţitie akýchkoľvek fyzických subaktív (napr. laptopy, organizéry, mobilné telefóny, tlačové výstupy, prenosné záznamové médiá) mimo priestorov organizácie, by malo byť autorizované zodpovednou osobou. Úroveň bezpečnosti mimo priestorov organizácie, by mala byť minimálne rovnaká, ak nie vyššia, ako úroveň bezpečnosť v rámci vnútorných pracovísk organizácie. Mali by sa zváţiť nasledujúce pravidlá (DEUTSCH, 2013): fyzické subaktíva prenesené mimo priestorov organizácie, by nemali byť ponechané nestráţené na verejných miestach, mali by byť dodrţiavané inštrukcie výrobcu v zmysle ochrany zariadení (napr. inštrukcie ohľadne vystavenia silným elektromagnetickým poliam alebo vlhkému prostrediu), ochranné opatrenia pre prácu mimo priestorov organizácie, by mali vyplývať z analýzy rizík a mali by byť primerane aplikované (napr. vo forme uzamykateľných archivačných skriniek alebo politiky čistého stola), na ochranu fyzických aktív mimo priestorov organizácie, by sa malo vyuţiť primerané pokrytie poistením Technická bezpečnosť Pri technickej bezpečnosti sa musí dbať na výber kvalitnej výpočtovej a komunikačnej techniky, jej dodávateľa a moţnosti rýchleho poskytnutia servisu v prípade neočakávaných situácií, aby boli dáta a informácie vţdy dostupné. Výberom kvalitných komponentov sa bezpečnosť informačného systému samozrejme zlepšuje, pričom jeho bezpečnosť môţeme ešte navýšiť prostredníctvom doplnkových technológií, ako napríklad diskové polia RAID, systémy UPS, systémy automatizovaného zálohovania NAS a podobne (LOVEČEK, a iní, 2005). 23

24 2 Bezpečnostný audit 2.1 Audit informačného systému Samotný pojem audit má vo všeobecnosti veľmi blízko k pojmu kontrola. Audit predstavuje najvyššiu úroveň kontroly. Porovnanie jednotlivých pojmov zobrazuje Tabuľka 2. Audit informačného systému je proces, ktorý sa zaoberá posudzovaním a poradenstvom objektov v prostredí, kde sa pouţívajú informačné technológie. Jeho cieľom je kvalitatívne a/lebo kvantitatívne prispieť ku správnej organizácii informačného systému tak, aby boli splnené poţiadavky uţívateľov. Objekty môţu byť organizácia a riadenie IS, základný i aplikačný software, technické vybavenie, telekomunikačné systémy, procesy tvorby a údrţby systémov, ochrana a bezpečnosť systému, dáta (databázy) a pod. (SVATÁ, 2011 s. 15) Tabuľka 2 Porovnanie pojmov kontrola, audit a previerka KONTROLA AUDIT PREVIERKY PRESKÚMANIE OVEROVANIE POSTUPOV Control Objective (Control) Audit Zdroj: (SVATÁ, 2011 s. 17) Assurance Review Agreed-upon procedures Preverenie čiastkových aspektov, javov, procesov s vopred určenou hodnotou. Jeden kontrolný cieľ môže byť zabezpečený celým radom rôznych kontrol. Komplexné, formalizované nezávislé preverenie kontrol (ich existencie, realizovateľnosti, efektívnosti) vzhľadom k existujúcim štandardom Komplexné nezávislé preverenie kontrol, ktoré sú delegované na iné subjekty (existencia, realizácia, efektívnosť) vzhľadom k cieľom riadenia V porovnaní s auditom je to nižšia forma ubezpečenia, ktorého cieľom je preverenie možných prekážok negatívne ovplyvňujúcich kontroly Ubezpečenie o dodržiavaní nariadení a postupov bez hodnotenia ich efektívnosti Bezpečnostný audit IS je v zmysle uvedenej definície audit IS zameraný na funkčnosť systému riadenia informačnej bezpečnosti. Je jedným z nástrojov bezpečnostnej politiky popisovanej v kapitole 1.3, ktorý komplexne, odborne a objektívne zhodnotí koncepciu, návrh, riešenie a skutočný stav informačného systému vo vzťahu k príslušným bezpečnostným normám. 24

25 Bezpečnostný audit sa u organizácií vykonáva (OLEJÁR, a iní, 2013): 1. v pravidelných časových intervaloch (napríklad kaţdoročne). Cieľom pravidelného auditu je posúdiť, či nedošlo k zmenám, ktoré sa síce zatiaľ neprejavili, ale mohli zníţiť účinnosť existujúcich opatrení a tým zvýšiť úroveň rizík. 2. Nepravidelne. Podnetom pre vykonanie mimoriadneho bezpečnostného auditu bývajú najčastejšie: a. bezpečnostné incidenty (často sa opakujúce alebo s váţnymi dôsledkami pre organizáciu) ktoré naznačujú, ţe úroveň informačnej bezpečnosti nie je postačujúca, b. veľké zmeny, ktoré si vyţiadali prehodnotiť systém bezpečnostných opatrení. V takýchto prípadoch je úlohou posúdiť, či aktuálne bezpečnostné opatrenia poskytujú poţadovanú úroveň ochrany. Bezpečnostný audit vykonáva audítor, ktorý analyzuje informácie získané pri audite. Tieto informácie získava (LOVEČEK, 2007 s. 31): - štúdiom dokumentácie, - fyzickou obhliadkou priestorov súvisiacich s informačným systémom, - komunikáciou so zamestnancami a dodávateľmi produktov a sluţieb, - priamym testovaním informačného systému napr. pouţitím penetračných testov a to pokusom o prienik do informačného systému. 2.2 Normotvorba pre bezpečnostný audit IS Inštitucionálne aspekty bezpečnostného auditu Vo svete sú vydávané medzinárodné normy, ktoré sú často adaptované aj do národných štandardov ako STN (Slovenská technická norma) a noriem na národnej úrovni ako ANSI (americké normy), DIN (nemecké normy), ČSN (Česká státní norma), atď. Medzi profesijné organizácie vydávajúce štandardy v oblasti bezpečnosti zaraďujeme: ISO Medzinárodná organizácia pre štandardizáciu ISO (International Organization for Standardisation) je jednou z troch najvýznamnejších medzinárodných organizácií, ktoré pôsobia na poli štandardizácie v oblasti informačných technológií. Sféra činnosti ISO zahrňuje priemyselné štandardy - 25

26 oblasť pokrývajúcu metrické systémy, obaly výrobkov, súčiastkovú základňu, identifikačné karty, programovacie jazyky a mnoho ďalších. Za dobu existencie ISO bolo prijatých viac ako štandardov, pričom práca prebieha vo viac neţ 200 technických výborov, okolo 700 podvýborov a viac neţ 1800 pracovných skupinách. Činnosť ISO v oblasti informačných technológií prebieha v úzkej spolupráci hlavne s organizáciou IEC. V roku 1987 obe organizácie vytvorili spoločný výbor pre informačné technológie za účelom harmonizácie súčasnej práce a zefektívnenie práce v budúcnosti. ISO/IEC Joint Technical Committee 1. (JTC1). Technické komisie Technical Committee (TC) sú vnútorne členené do podvýborov alebo subkomisií - SubCommittees (SC), ktorých práca prebieha v tzv. pracovných skupinách Working Group (WG) (The ISO Directory, 2012). Normy vydané touto organizáciou v oblasti informačnej bezpečnosti sú uvedené v kapitole 1.2, celkový systém noriem na Obrázok 3. IEC International Electrotechnical Commission, ktoré sa zaoberá hlavne technickými aspektmi a z dôvodu dosiahnutia čo najväčšej kompatibility vydáva normy spoločne s ISO. Ako príklad moţno uviesť normy pre Spoločné kritériá hodnotenia produktov v oblasti IS nazývané Common Criteria (ISO/IEC :2009, , 3:2008). Bliţšie o uvedených normách pojednáva nasledujúca podkapitola. ITU International Telecommunication Union - Medzinárodná telekomunikačná únia, ktorej pôsobnosť je hlavne v oblasti legislatívnej. Ide najmä o prehlbovanie medzinárodnej spolupráce vo všetkých oblastiach telekomunikácií a rádiokomunikácií za účelom dosiahnutia čo najväčšej technickej kompatibility a funkčnosti, podporu rozvoja technických prostriedkov, účelné rozdeľovanie kmitočtového spektra a poskytovanie technickej pomoci. Gestorom členstva SR v ITU je Ministerstvo dopravy, pôšt a telekomunikácií SR, ktoré vydalo Národnú politiku pre elektronické komunikácie na roky V súlade s plnením uvedenej politiky sa vytvárajú viaceré legislatívne úpravy, ako napr. Zákon č. 402/2013 Z. z. o Úrade pre reguláciu elektronických komunikácií a poštových 1 Vyhodnotenie uvedeného dokumentu bolo schválené na rokovaní vlády SR dňa 30. apríla 2013, bliţšie: 26

27 služieb a Dopravnom úrade. 2 V technických skupinách ITU sa pravidelne zúčastňujú rokovaní zástupcovia RÚ. ISACA Information Systems Audit and Control Association jej metodiky sú implementované v COBITe. Cieľom tejto metodiky je skúmať, rozvíjať, publikovať a propagovať sadu všeobecne prijímaných kontrolných cieľov pre oblasť informačných technológií, ktoré sú určené pre kaţdodenné vyuţitie predovšetkým manaţéri IT, IT odborníci a audítori (externí i interní), pre všetky typy organizácií. Obsahuje kontroly, ktoré obsahujú všeobecné a podrobné ciele kontroly, návody pre manažérov, kde sú popísané procesy pomocou kritických faktorov úspechu, KGI kľúčových mierok cieľa procesu, KPI kľúčových mierok realizácie procesu, Maturity model modelov vyspelosti procesu, ktorý slúţi na zhodnotenie aktuálneho stavu vo firme a identifikáciu toho, čo treba urobiť čiţe vytýčenie cieľov. Modely vyspelosti majú 5 úrovní. Návody pre audítorov, ktoré umoţňujú audítorovi: poskytnúť vedenie záruky o dodrţovaní relevantných kontrol, hodnotiť riziká vyplývajúcich z nedodrţania týchto kontrol, odporučiť opravné opatrenia. ANSI American National Standards Institute nezisková organizácia, ktorá vytvára priemyselné štandardy. Organizácia je členom ISO a IEC. IEEE Institute of Electrical and Electronics Engineers (Inštitút pre elektronické a elektrotechnické inţinierstvo) je jedna z popredných štandardizačných vývojových organizácií. Vykonáva vývojové a údrţbové funkcie prostredníctvom jednej z jej asociácií IEEE Standards Association (IEEE-SA). Jedným z dôleţitých štandardov IEEE je skupina štandardov IEEE 802 LAN/WAN, ktorá zahrňuje IEEE Ethernet a IEEE Wireless Networking štandardy. ENISA European Agency for Network and Information Strategy (Agentúra Európskej únie pre sieťovú a informačnú bezpečnosť) je orgánom Európskej únie (ďalej len EÚ ), ktorej primárnym cieľom je dosiahnuť zlepšenie situácie v informačnej bezpečnosti a koordinovať činnosť členských štátov v tejto oblasti. Mandát pre svoju činnosť má ENISA do 19. júna V súvislosti s bezpečnostnými štandardmi podľa výnosu Ministerstva financií SR 312/2010 Z. 2 Úrad pre reguláciu elektronických a poštových sluţieb (ďalej len Regulačný úrad - RÚ) sa zriadil ustanoveniami tohto zákona spojením Telekomunikačného úradu SR a Poštového regulačného úradu SR. 3 Nariadenie č. 526/2013 Európskeho parlamentu a Rady z 21. mája

28 z. sú relevantné najmä dve technické usmernenia vydané koncom roka 2011: Technické usmernenie pre ohlasovanie incidentov a Technické usmernenie pre minimálne bezpečnostné opatrenia (MF SR, 2014). V oblasti auditu vydala ENISA publikáciu Audit bezpečnostných opatrení (Auditing security measures) v ktorom analyzuje 12 rámcov a certifikačných schém pre audit IS (ENISA, 2013). Okrem uvedených organizácií je viacero ďalších ako IIA (Institute of Internal Auditors), NSA (National Security Agency), alebo BSI (British Standards Institution). V neposlednej rade významnou mierou v určovaní smerovania bezpečnostnej stratégie IS prispieva aj EÚ (napr. aj formou uţ spomínanej ENISA). V súčasnosti má EÚ v platnosti 17 direktív, odporúčaní a nariadení platné v oblasti regulácie sieťovej infraštruktúry a sluţieb IS. Tento zoznam predpisov rozširuje ďalších 6 normatív v oblasti rozdeľovania frekvenčného pásma. Súhrn aktuálne platných predpisov aj s ich plným znením je k dispozícii v publikácii: (Európska únia, 2010). Ďalej existujú tzv. de facto štandardy (sú to štandardy RFC Request for Comment) ide o normy, ktoré neboli nikdy nikým schválené. Boli vytvorené skupinou odborníkov veľkej súkromnej firmy resp. organizácie (IETF Internet Engineering Task Force). Zaujímavosťou je, ţe väčšina internetových protokolov vychádza zo skupiny takýchto noriem. Uvedený stav je zapríčinený dynamikou vývoja technológií a relatívne zdĺhavým procesom schvaľovania normy (problém ţivotného cyklu tvorby normatívnych aktov). Najznámejšie kritériá pre hodnotenie bezpečnosti boli vydané ako Oranţová kniha - Orange Book, ktorú vydala, americká organizácia a oficiálne sa označuje ako TCSEC (Trusted Computer System Evaluation Criteria). Podľa Oranţovej knihy (Department of Defense, 1985) sú systémy rozdelené do štyroch základných skupín. Ide o skupiny A - D, kde najvyššiu bezpečnosť predstavuje skupina A. V rámci skupín B a C existujú podskupiny, ktoré sú označované ako triedy. Zatiaľ čo záruka správnosti projektu a implementácie pre systémy skupiny C a niţších tried skupiny B je dosiahnutá väčšinou testovaním častí, ktoré sú významné z hľadiska bezpečnosti systému (tieto sú označované ako TCB Trusted Computing Base - bezpečnostná výpočtová základňa), reprezentanti vyšších tried skupiny B a skupiny A odvodzujú svoju bezpečnosť skôr z vlastného projektu a implementačnej štruktúry. Zvýšená záruka je dosiahnutá analýzou vo fáze riešenia projektu. 28

29 Kanadskí normotvorcovia taktieţ vydali normu, ktorá je zaloţená na zmienenej Oranţovej knihe - CTCPEC (Canadian Trusted Computer Product Evaluation Criteria). Európa na základe týchto dvoch štandardov vytvorila tieţ vlastné štandardy ITSEC (Information Technology Security Evaluation Criteria). Kritériá definované v ITSEC povoľujú výber ľubovoľných bezpečnostných funkcií a definujú sedem úrovní hodnotení označovaných ako E0 aţ E6, ktoré reprezentujú vzrastajúcu dôveru v schopnosť hodnoteného objektu splniť svoju špecifikáciu bezpečnosti. Tým sú tieto kritériá aplikovateľné na širší okruh systémov a produktov ako TCESC ( European Community, 1991). Normalizačný úrad ISO v snahe zjednotiť uvedené kritériá vydalo medzinárodnú normu CC (Common Criteria Spoločné kritériá), ktorej je v súčasnosti aktuálna verzia 3.1 a na nej zaloţené normy (STN) ISO/IEC :2009; :2008; : Právny rámec bezpečnostného auditu IS v SR Na základe bezpečnostného zámeru a analýzy kvalitatívneho zabezpečenia sú navrhované bezpečnostné opatrenia, ktoré sú v zhode s bezpečnostnými štandardami, vyhlásenými Výnosom Štatistického úradu Slovenskej republiky č. 372/ , v znení Výnosu č. 1490/ , a štandardami, ktoré obsahujú bezpečnostné normy ISO /2000 a ISO/IEC TR Ďalšie špeciálne legislatívne poţiadavky na ochranu informácií v SR: Výnos č. 312/210 Z. z. Ministerstva financií SR o štandardoch pre informačné systémy verejnej správy úzke prepojenie na štandardy STN ISO/IEC a 27002, Zákon 45/2011 Z. z. o kritickej infraštruktúre, Zákon 305/2013 o e-governmente. Podľa 19 zákona č. 136/2014 Z. z. o ochrane osobných údajov v znení neskorších predpisov, musí organizácia prijať bezpečnostné opatrenia vo forme bezpečnostného projektu informačného systému a zabezpečiť jeho vypracovanie, ak sú v informačnom systéme spracúvané osobitné kategórie osobných údajov (napr. rodné číslo, zdravotné údaje, členstvo v odborových organizáciách) a informačný systém je prepojený na verejne prístupnú počítačovú sieť (Internet) alebo je prevádzkovaný v počítačovej sieti, ktorá je prepojená na verejne prístupnú počítačovú sieť. 29

30 Zákony a všeobecne záväzné právne predpisy pre vypracovanie bezpečnostného projektu v zmysle zákona č. 136/2014 Z. z. a jej vykonávacích vyhlášok: Zákon č.122/2013 Z. z. o ochrane osobných údajov (úplné znenie je opätovne publikované v zákone č. 136/2014 Z. z. Úplné znenie zákona o ochrane osobných údajov): o priamo ruší zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov a nepriamo aj zákon č. 90/2005 Z. z. Zákon ktorým sa mení a dopĺňa zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov ako aj zákon 363/2005 Z. z. Úplné znenie zákona č. 428/2002 Z. z. o ochrane osobných údajov; o je vykonávaný Vyhláškou Úradu na ochranu osobných údajov SR č. 164/2013 o rozsahu dokumentácii bezpečnostných opatrení a jej novelizáciou č. 117/2014; Zákon 137/2008 Z. z. Dohovor o počítačovej kriminalite (oznámenie Ministerstva zahraničných vecí a európskych záleţitostí o pristúpení k dohovoru); Zákon 215/2002 Z. z. o elektronickom podpise a o zmene a doplnení niektorých zákonov; Zákon 275/2006 o informačných systémoch verejnej správy a o zmene a doplnení niektorých zákonov na základe uvedeného zákona bol potom vydaný uţ vyššie spomínaný Výnos č. 312/210 Z. z. Ministerstva financií SR o štandardoch pre informačné systémy verejnej správy; Zákon 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov; Listina Základných ľudských práv a slobôd vydaná v Zbierke zákonov č.23/1991 Zb. Ústava SR (Ústavný zákon), čl. 19 ods. 2 a 3; STN ISO/IEC 17799:2005 Informačné technológie. Kódex praxe manaţérstva informačnej bezpečnosti; STN ISO/IEC 27005:2011 Informačné technológie. Bezpečnostné metódy. Riadenie rizík informačnej bezpečnosti; STN ISO/TR Bankovníctvo a príbuzné finančné sluţby. Pokyny pre informačnú bezpečnosť. 30

31 Taktieţ je veľké mnoţstvo normatív prevzatých (adaptovaných) do národnej legislatívy z EÚ: Dohovor o ochrane osôb so zreteľom na automatické spracovanie dát CETS No. 108 pre SR nadobudol účinnosť dňa 1. januára 2001; Dodatkový protokol k Dohovoru o ochrane osôb so zreteľom na automatické spracovanie dát CETS No. 181) pre SR nadobudla účinnosť 1. júna 2004; Smernica Európskeho parlamentu a Rady 95/46/ES zo dňa 24. októbra 1995 o ochrane fyzických osôb v súvislosti so spracovaním osobných údajov a o voľnom pohybe týchto údajov. V súčasnosti uţ existuje návrh Európskej komisie 4, ktorý pripravuje reformu tejto smernice (Európska komisia, 2012); Smernica 2000/31/ES Európskeho parlamentu a Rady z 8. júna 2000 o určitých právnych aspektoch sluţieb informačnej spoločnosti na vnútornom trhu, najmä o elektronickom obchode (smernica o elektronickom obchode); Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júna 2002 týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) uvedená smernica bola pôvodne pozmenená Smernicou Európskeho parlamentu a Rady 2006/24/ES z 15. marca 2006, avšak súdny dvor označil uvedenú smernicu za neplatnú (I-Europa, s.r.o, 2014). 2.3 Rámec pre vykonanie bezpečnostného auditu V kapitole 2.2 sú menované viaceré normatívy, ktoré je moţné vyuţiť pri hodnotení bezpečnosti IT. Spôsob ich vyuţitia však závisí od zvolenej metodiky, resp. konceptu. Existuje viacero prístupov a ich voľba v značnej miere závisí na hodnotenom (auditovanom) IS, na jeho funkcii a prostredí, v ktorom sa nachádza. Práve nesprávne aplikovaná metodológia resp. jej absencia viedli na začiatku 21. storočia ku kríze v audítorstve, ktorá sa naplno prejavila škandálmi v prípade takých spoločností ako Enron (Arthur Andersen 5 ), Xerox (KPMG) alebo Swissair (PricewaterhouseCoopers). Výsledkom boli nové regulačné predpisy ako napríklad Sarban-Oxley Act (SOX), ktoré definujú nový 4 viď. aj tlačová správa Európskej komisie zo dňa : Progress on EU data protection reform now irreversible following European Parliament vote; dostupné na: 5 V zátvorkách sú uvádzané názvy audítorských firiem, ktoré vykonávali audit u danej spoločnosti. 31

32 rámec tzv. Corporate Governance, v rámci ktorého potom je definovaná aj IT Governance, čo v preklade znamená Správa a riadenie informačných technológií. V prípade SOX je napr. časť 404 venovaná priamo bezpečnosti IS. Bliţšie s uvedenou problematikou sa zaoberá publikácia (BREWER, 2006). Vývoj manaţmentu a jeho postupné smerovanie od klasického funkčného riadenia k procesnému sa odráţa aj v pouţívaných rámcoch pre audit. Existuje viacero rámcov pre zhodnotenie, resp. audit IS z procesného hľadiska. Jednou z najznámejších je COBIT (Control OBjectives IT ). Vývoj z pôvodného COBIT-u 4.1 na COBIT 5.0 naznačuje, ţe hodnotenie rizík poskytuje vhodný rámec pre bezpečnostný audit IS. Uvedený proces stanovenia rizika je formalizovaný prostredníctvom riadenia rizík napr. návod pre profesionálov COBIT 5 for Information Security, prípadne ISO/IEC 27005: Literatúra (ENISA, 2013) definuje okrem spomínaných rámcov ISO 27005, COBIT 5 a SOX aj ďalšie, ako FISMA (Federal Information Security Management Act), HIPAA (Health Insurance Portability and Accountability Act), NERC (North American Electric Reliability Corporation), rámec vytvorený organizáciou AICPA (American Institute of Certified Public Accountants) s názvom Trust Services, nemecký štandard BSI (Bundesamt für Sicherheit in der Informationstechnik) a mnohé iné. Na základe identifikovaných rámcov je zjavné, ţe bezpečnostný audit IS môţe zahrňovať rozsiahle portfólio audítorskej činnosti. Opis a analýza tohto portfólia je mimo rozsah tejto práce a preto v ďalšom sa práca bude sústreďovať na dve najzávaţnejšie aspekty bezpečnosti IS a to na hodnotenie kritických komponentov IS a na audit konfigurácie zariadení. Uvedeným spôsobom je moţné vykonať bezpečnostný audit IS nielen na úrovni riadenia IS, ale aj na prevádzkovej úrovni samotných komponentov hodnoteného IS. K vykonaniu uvedených auditov budú po-, resp. vy- uţité rámce ISO 27005, COBIT 5 a BSI. V prípade, ţe predmetom auditu sú jednotlivé technologické časti a ich konfigurácia, hovoríme o technickom audite ktorému sa podrobnejšie bude venovať kapitola Publikované aj ako: ČSN ISO/IEC Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací 32

33 3 Identifikácia bezpečnostných rizík informačného systému 3.1 Možné postupy počas auditu bezpečnosti IS S vyuţitím rámcov uvedených v predchádzajúcej kapitole môţe audítor definovať konkrétny postup zaloţený napríklad na: 1. kontrolnom zozname (tzv. checklist) ide o najjednoduchšiu metódu, keď audítor vykonáva kontrolu IS podľa vopred stanovených bodov. V uvedenom prípade je však potrebné klásť vysoký dôraz na metriku, bez ktorej nie je moţné objektívne zhodnotiť jednotlivé kritériá figurujúce v zozname audítora. Na tuhosť (exaktnosť) metriky sú však kladené protichodné poţiadavky. Pevná metrika je presná, avšak je úzko orientovaná na konkrétnu technológiu a teda jej univerzálnosť / vyuţitie je nízke. Túto dilemu je moţné riešiť pouţitím metódy vyváţených ukazovateľov, častejšie nazývanú ako Balanced scorecards. Uvedenú metódu je vhodné pouţívať iba pri opakujúcich sa auditoch a to tam, kde nedochádza k váţnym organizačným, technologickým a štrukturálnym zmenám v hodnotenej organizácii. Tento postup auditu bude v práci podrobnejšie popísaný v kapitole 3 pri definovaní technického auditu. 2. aktívach a hodnotení ich zraniteľnosti pri tejto metóde audítor identifikuje základné aktíva organizácie a určuje riziko (Obrázok 6) pre činnosť organizácie pri vzniku incidentu s daným aktívom organizácie. Meria sa úroveň zniţovania rizika pri tých zraniteľných bodoch, ktorých rizikovosť je vyššia ako určený limit tolerancie rizika. Ako metodológia sa často pouţíva tzv. Analýza moţných chýb a ich následkov (Failure Mode and Effect Analysis FMEA). Tá je často vyuţívaná v inţinierskych disciplínach avšak problémom je, ţe FMEA samotné neodporúča túto metodológiu pre prístup zakladajúci sa na hodnotení aktív. Aj keď ISO neodporúča ţiadnu konkrétnu metódu pre hodnotenie informačnej bezpečnosti, v praxi sa FMEA vyuţíva pre implementáciu ISO Ďalšou moţnosťou je Metóda hodnotenia operačne kritických hrozieb, 33

34 aktív a zraniteľnosti (The Operationally Critical Threat, Asset, and Vulnerability Evaluation - OCTAVE) (ALBERTS, a iní, 1999). Obrázok 6 Určenie úrovne rizika Zdroj: vlastné spracovanie podľa (SVATÁ, 2010) 3 analýze incidentov a ich riadení vychádza sa z názoru, ţe pokiaľ existuje v činnosti organizácie chyba, tá sa prejaví aj navonok vo forme incidentov. Preto v prípade uvedenej metódy je vyuţívaný incident manaţment hodnotenej organizácie. Počas auditu sa zhromaţďujú údaje o incidentoch, na základe ktorých audítor zhodnotí aktuálny stav organizácie. Nevýhodou tejto metódy je retrospektíva. Audítor odhaľuje iba chyby, ktoré sa uţ v minulosti prejavili vo forme incidentu, avšak neodhalí tie, ktoré môţu predstavovať v budúcnosti vysoké riziko a môţu mať fatálne následky pre činnosť organizácie. 3.2 Procesný prístup počas auditu bezpečnosti IS Zo spomínaných troch postupov v kapitole 3.1 je najprísnejším a najrozsiahlejším v poradí uvádzania druhý postup, hodnotenie zraniteľnosti aktív. V ďalšom sa diplomová práca zameria pre účely bezpečnostného auditu na tento postup, neskôr v kapitole 3.4 bude bliţšie popísaný aj postup podľa kontrolného zoznamu. V prístupe 34

35 zaloţenom na hodnotení zraniteľnosti aktív je riziko hodnotené na základe hrozieb na dané aktíva a nápravné opatrenia sú v úzkej súvislosti (spolupracujú) s obchodnými procesmi hodnotenej organizácie. Analýza procesov súvisiacich s nápravnými opatreniami však nemusí byť postačujúca. Incidenty a hrozby aktív sú v prvom rade zapríčinené zraniteľnosťami procesov. Procesy v prenesenom význame vytvárajú určité prostredie pre daný komponent, resp. časť IS. Ide v podstate o analógiu s postupom hodnotenia bezpečnosti IS podľa normy CC 7. Napriek tomu, ţe daný produkt v katalógu 8 dosahuje určitú úroveň hodnotenia (EAL Evaluation Assurance Level), predstava odberateľa/zákazníka o bezpečnosti produktu môţe byť klamná. Akákoľvek úroveň bezpečnosti sa totiţ viaţe na určité predpoklady daného prostredia (určitá konfigurácia IS, identifikácia hrozieb v danom konkrétnom prostredí, atď.). V prípade normy CC úlohu popisu prostredia realizujú štruktúrované dokumenty Protection Profile (PP) a Security Target (ST). V prípade bezpečnostného auditu, ktorý túto práca opisuje je jedným z indikátorov prostredia hodnoteného IS jeho začlenenie do procesov. Zraniteľnosti totiţ vznikajú z viacerých príčin, najmä však zo zlého návrhu procesov, ich nesprávnej kontroly alebo nesprávnej implementácie. Z uvedeného dôvodu by samotná riziková analýza mala začínať z podrobnej analýzy procesov Procesná mapa Pred zahájením popisu organizácie je potrebné, aby audítor poznal základné parametre, ktoré moţno definovať nasledovne: Typ organizácie: súkromná vysoká škola univerzitného typu; Forma: akciová spoločnosť; Počet zamestnancov: 1000 z toho 400 externých; Sídlo: Bratislava; Počet detašovaných pracovísk: 2 (Trnava, Martin) + 1 výskumný ústav v Martine; Cieľ: poskytovanie vysokoškolského vzdelania od 1. až po 3. stupeň pre záujemcov v súlade so zákonom 131/2002 Z. z. o vysokých školách v znení neskorších predpisov a s využitím grantov a dotácií napomáhať rozvoju vedy a výskumu v oblasti technickej kybernetiky. Procesný pohľad na organizáciu je veľmi podrobný popis a vyţaduje progresívne rozpracovanie postupov v organizácii aţ po najelementárnejšie úlohy. Základná procesná dekompozícia IS vysokej školy je na Obrázok 7. 7 Common Criteria = ISO/IEC Katalóg certifikovaných produktov podľa CC je dostupný na 35

36 Na obrázku sú jednotlivé kategórie procesov rozpracované na základné procesné skupiny, ktoré pozostávajú z procesov. Tieto procesy však nie sú úplným popisom a nepodávajú konečný popis organizácie. Napríklad proces Podpora vyučovacieho Procesu môţe byť z pohľadu IS rozdelený na ďalšie podprocesy ako napríklad Skúšanie a ďalšie delenie tohto podprocesu by bolo nasledovné: 1. identifikácia a autentifikácia vyučujúceho, 2. vypísanie skúškového termínu a jeho zverejnenie, 3. evidencia prihlásených študentov, 4. evidencia zmien skúškového termínu vyučujúcim, 5. publikovanie materiálov/dokumentov potrebných pre skúšku. Obrázok 7 Procesná mapa IS fiktívnej vysokej školy Zdroj: vlastné spracovanie v programe Aris Express Obdobným spôsobom by sa mohla procesná analýza vykonať aj v ďalších podprocesoch, ako napríklad Hodnotenie alebo Tvorba výkazu. Na jednoznačnú identifikáciu vlastníkov jednotlivých procesov, resp. na určenie zodpovedností za auditované okruhy je potrebné identifikovať organizačnú štruktúru. Výsledkom identifikácie je organigram (Obrázok 8), alebo v tzv. RACI matica (Responsible, Accountable, Consulted, Informed). 36

37 Obrázok 8 Organigram fiktívnej vysokej školy Zdroj: vlastné spracovanie v programe Aris Express 37

3.2.2 Kritické procesy V prípade bezpečnostného auditu musí audítor definovať/určiť tie procesy, ktorých zlyhanie by malo fatálny dopad na činnosť organizácie v našom prípade vysokej školy.

38 3.2.2 Kritické procesy V prípade bezpečnostného auditu musí audítor definovať/určiť tie procesy, ktorých zlyhanie by malo fatálny dopad na činnosť organizácie v našom prípade vysokej školy. V prípade vyššie opisovanej procesnej štruktúry by išlo o 3 kritické procesy (Obrázok 9). Proces evidencia zamestnancov a študentov je kritickým z dôvodu moţného úniku osobných informácií definovaných v zákone 136/2014 Z. z. s prihliadnutím na metodické usmernenie č. 1/2013 Úradu na ochranu osobných údajov Slovenskej republiky (Úrad na ochranu osobných údajov SR, 2013). V prípade najhoršieho scenára môţe dôjsť ku krádeţi identity a straty dôveryhodnosti generovaných výstupov školy (hodnotenie skúšok, pridelenie/uznanie titulov, atď.). Obrázok 9 Kritické procesy pre činnosť vysokej školy Zdroj: vlastné spracovanie v programe Aris Express Proces riadenia informačno-komunikačných technológií je kritickým procesom z dôvodu, ţe priamo zasahuje do všetkých činností a procesov organizácie. Najväčšou hrozbou v danom procese je privilegovaný prístup. Riziko predstavuje, ak privilegovaní pouţívatelia svoj privilegovaný prístup zneuţijú, prípadne ak dôjde k zneuţitiu 38

39 privilegovaného prístupu inou neoprávnenou osobou. Podrobnejšie sa uvedenej problematike venuje napr. článok (RAZDERA, 2013). Posledným kritickým procesom z pohľadu bezpečnostného auditu je správa operácií finančného fondu. Ide o prístup a manipuláciu s aktívami spoločnosti, ktorých strata by mohla znamenať (v tom lepšom prípade krátkodobú) platobnú neschopnosť. V rámci činnosti vysokej školy nie je typický obeh sluţieb prípadne tovaru s krátkodobou návratnosťou kapitálu. Príjmy sú viazané s periodicitou školského roku, alebo semestrov, t. j. vo väčšine prípadov polročne, v prípade grantov a fondov ročne, kým výdavky sa účtujú vo väčšine prípadov s mesačnou periodicitou (nájom, dodávka elektriny, vody, atď.). V prípade straty prístupu k finančnému fondu, alebo straty samotného finančného fondu by došlo k váţnemu ohrozeniu činnosti školy. Uvedené riziko má viacero dimenzií, okrem privilegovaného prístupu a moţnosti jeho zneuţitia je tu taktieţ otázka spoľahlivosti pouţívaného softvérového vybavenia, komunikačných liniek medzi organizáciou a finančnou spoločnosťou ktorá poţadované operácie realizuje (väčšinou banka) a prirodzene spoľahlivosť samotnej finančnej spoločnosti Komponenty IKT Ďalším krokom po procesnej dekompozícii je identifikácia a opis komponentov informačno-komunikačných technológií (IKT) školy. Pri identifikácii rizík v prvom rade sa určuje rozsah rizikovej analýzy. Ten v prípade bezpečnostného auditu IS je totoţný s oblasťou pôsobnosti Bezpečnostnej politiky organizácie. Preto predmetom zisťovania sú konkrétne komponenty IKT celej vysokej školy, ktoré zdruţujú špecifickú oblasť pouţívateľských funkcionalít, resp. poskytujú špecifické sluţby ostatným komponentom. Na Obrázok 10 je príklad fiktívnej zostavy. V uvedenom prípade vysoká škola disponuje v prezenčnej vrstve vlastným webovým portálom a intranetovým portálom integrovaného informačného systému. Webový portál je statický a nedisponuje dynamickými aplikačnými funkcionalitami. Tie sú alokované na intranetovom portáli, ktorý bol implementovaný externou firmou v prostredí SOA. Je prístupný všetkým pracovníkom a študentom školy a po reprezentuje pre prihláseného pouţívateľa personifikované informácie, ktoré sú evidované a spracovávané v integrovanom informačnom systéme (ďalej IIS). Aplikačná vrstva je podľa funkcionality rozdelená do troch skupín. Administratívne komponenty predstavujú formuláre a prehľady, ktoré sú generované a sprístupnené IIS (hodnotenia z predmetov, priebeh štúdia, ţiadosti, e-prihlášky a 39

potvrdenia). Do skupiny Ekonomika, personalistika logistika, operačný manažment patria aplikácie ako ekonomický softvér (napr. Omega), dochádzkový systém (napr.

40 potvrdenia). Do skupiny Ekonomika, personalistika logistika, operačný manažment patria aplikácie ako ekonomický softvér (napr. Omega), dochádzkový systém (napr. Nettech 9 ), či mzdový podsystém (Mzdy). V oblasti logistiky sa môţe jednať o aplikáciu Kredit na zabezpečenie závodného stravovania. Medzi špeciálne systémy v aplikačnej vrstve radíme programy na podporu e-learning, alebo systém na kontrolu originality záverečných prác (napr. Theses). Obrázok 10 Komponenty IKT vysokej školy Zdroj: vlastné spracovanie v programe Aris Express Komponent biznis logiky Bussines inteligence suite umoţňuje integráciu SOA (Service Oriented Architecture) s kľúčovými biznis funkciami školy za účelom analýzy, predikcie a automatického reportovania. Tento komponent je úzko napojený na integračnú vrstvu, ktorá pozostáva zo SOA konektorov, ako aj z aplikácie ESB - SOA, čo je podpora SOA viazaná na jej technologickú architektúru (ESB - Enterprice Service Bus). Dátová vrstva je tvorená v tomto prípade riešením Oracle Database 10g. V prípade komunikačnej platformy je zaujímavosťou, ţe škola taktieţ má vlastnú telefónnu sieť v rámci svojich pobočiek, ktorej základnú časť tvorí ústredňa Alcatel OmniPCX. Z identifikovaných komponent audítor vytvára zoznam aplikácií, ktoré budú predmetom analýzy rizík. Vybrané aplikácie sú zobrazené v Tabuľka 3. V tabuľke sú zároveň červenou farbou vyznačené tie komponenty, ktoré sú vyuţívané kritickými procesmi (viď. Obrázok 9). 9 Nettech je v skutočnosti spoločnosť, ktorá vyvinula, vyrába a dodáva dochádzkový systém s obchodným názvom NetVision. ( 40

41 Tabuľka 3 Hodnotené komponenty informačného systému z pohľadu bezpečnosti Hodnotené aplikácie IS Skratka Využitie komponentov kritickými procesmi IIS Administratívny systém IIS_AS IIS Adresátové služby, El. pošta IIS_AS_EP IIS Electronic content management - archív IIS_ECM Kredit - stravný systém K_SSYS Nettech - dochádzkový systém N_DSYS Bussines inteligence suite BIS SOA SOA E-learning systém E_LSYS Omega - účtovný systém O_ESYS Databázový systém - Oracle Database 10g DB_SYS Tabuľka 3 v podstate zodpovedá otázku Čo potrebujeme uchrániť?. Ďalšou základnou otázkou pri analýze rizík je Pred čím potrebujeme ochrániť?. Na uvedenú otázku dáva odpoveď Tabuľka 4. V tabuľke je definovaných 25 potenciálnych hrozieb. Zoznam najčastejších hrozieb je dostupný z viacerých zdrojov ako napríklad zo Spolkového úradu pre informačnú bezpečnosť 10, ďalej je moţné sa dopracovať k uvedeným hrozbám aj cez zoznam zraniteľností publikovaných v ISO/IEC 27005:2011 a bezplatne prostredníctvom ITU a jej partnerskej organizácie MITRE Corporation 11 (ITU-T, 2014). Tabuľka 4 vznikla kombináciou uvedených zdrojov so zváţením povahy auditovaného vysokoškolského systému. Tabuľka 4 Posudzované hrozby Hrozba Predstieranie identity pouţívateľa Pouţitie software neautorizovanými uţívateľmi Zneuţitie privilégií, pouţitie SW neautorizovaným spôsobom Popretie akcie (anonymita vykonávaných akcií) Prezradenie dát počas prenosu Prezradenie dát na pamäťovom médiu Modifikácia dát na pamäťovom médiu Modifikácia dát v databáze Modifikácia dát pri prenose Technické zlyhanie sieťových komponentov Technické zlyhanie hardvéru Technické zlyhanie softvéru Kód H1 H2 H3 H4 H5 H6 H7 H8 H9 H10 H11 H12 10 BSI Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz, ktorej prílohou je aj katalóg hrozieb 11 Prevádzkovateľ cve.mitre.org - zoznamu zraniteľností pre hodnotenie bezpečnosti IS 41

42 Technické zlyhanie/nedostupnosť telekomunikácii H13 Poškodenie pamäťového média H14 Zlyhanie obnovy prevádzky (po havárii) H15 Zlyhanie zálohy dát (po havárii) H16 Zemetrasenie H17 Povodeň a voda z potrubia H18 Poţiar H19 Terorizmus/bombový útok/pád lietadla H20 Zlyhanie dodávky energie H21 Zlyhanie klimatizácie H22 Krádeţ, násilný trestný čin H23 Škodlivý software (víry, trójske kone) H24 Nízka úroveň pouţívateľských schopností H25 Zdroj: vlastné spracovanie na základe noriem BSI, ISO. Spôsob vyjadrenia rizika je moţné určiť ako strednú hodnotu dopadu hrozby, t. j. riziko = pravdepodobnosť * dopad hrozby, alebo na logaritmickej škále 12 : riziko = pravdepodobnosť + dopad hrozby. S prihliadnutím na popisované komponenty však v uvedenom prípade môţe audítor vyuţiť skóringové hodnotenie rizík, ktorého váhy sú zobrazené v Tabuľka 5. Ohrozenia jednotlivých komponentov boli hodnotené podľa nasledovných kritérií: typ ohrozenia, početnosť, spôsobená materiálna a nemateriálna škoda. Výsledné skóre (Tabuľka 6) bolo určené na základe posúdenia konkrétneho komponentu v prevádzke konkrétnej zloţky s prihliadnutím na jej pozíciu v organizácii (Obrázok 8). Z dôvodu, ţe ide o fiktívnu organizáciu a teda nebola moţnosť vykonania reálneho zhodnotenia IS, ani vykonania pohovoru interview s uţívateľmi a správcami IS, dané hodnoty sú iba odhadované na základe skúseností autora tejto práce a publikovaných prípadových štúdií. Taktieţ tabuľka 6 neuvádza všetky skóringové hodnoty pre všetky hrozby, ide iba o názornú prezentáciu postupu, akým by sa hodnotenie IS mohlo vykonávať počas bezpečnostného auditu IS. 12 log x.y = log x + log y 42

43 Tabuľka 5 Príklad skóringových váh pre hodnotenie komponentov IKT Početnosť Nepravdepodobná Malá Moţná Častá Vysvetlenie Ohrozenie sa Ohrozenie sa Ohrozenie sa beţne Ohrozenie sa nevyskytuje nevyskytuje, ale nie nevyskytuje, ale uţ vyskytlo viacej krát je moţné ho vylúčiť sa vyskytlo a je a nie je účinný pravdepodobné, ţe mechanizmus na sa ešte vyskytne. jeho elimináciu Nie je známa metóda jeho úplnej eliminácie Skóringová hodnota Spôsobená škoda Nevýznamná Citeľná Kritická Katastrofálna Vysvetlenie Škoda je Spôsobená škoda sa Spôsobená škoda Spôsobená škoda zanedbateľná vo prejavila na obmedzuje má fatálny vplyv na všetkých materiálnej a pouţiteľnosť prevádzku IS a rozmeroch nemateriálnej újme. komponentu IS a vyvoláva významné (materiálne a spôsobuje materiálne a nemateriálne materiálne a nemateriálne straty. škody) nemateriálne straty Skóringová hodnota Zdroj: vlastné spracovanie Tabuľka 6 Skóringová analýza rizík Zložka Subsystém Hrozba Početnosť výskytu Spôsobená škoda Nepravdepodobná (1) Malá (2) Možná (4) Častá (8) Nevýrazná (1) Citeľná (4) Kritická (8) Katastrofálna (16) Skóring Prestieranie identity Rektorát IIS_AS_EP používateľa Nízka úroveň používateľských Rektorát IIS_AS_EP schopností Popretie akcie (anonymita Rektorát IIS_ECM vykonávaných akcií) Nízka úroveň používateľských Rektorát IIS_ECM schopností Rektorát O_ESYS Technické zlyhanie hardvéru Prestieranie identity Kvestúra IIS_AS_EP používateľa Nízka úroveň používateľských Kvestúra IIS_AS_EP schopností Popretie akcie (anonymita Kvestúra IIS_ECM vykonávaných akcií) Nízka úroveň používateľských Kvestúra IIS_ECM schopností Kvestúra O_ESYS Technické zlyhanie hardvéru Detašované Prestieranie identity pracovisko IIS_AS_EP používateľa Zdroj: vlastné spracovanie Výsledné hodnotenie môţe audítor spracovať z troch pohľadov: skóre ohrozenia komponentov IS vysokej školy (určuje mieru ohrozenia systému kumuláciou skóre ohrození), ohrozenie IS organizačných jednotiek (určuje mieru ohrozenia IS organizačnej jednotky), 43

44 vyhodnotenie rizika ohrozenia IS podľa typu hrozby (Graf 1). Prezentácia výsledku sa zvyčajne pre prehľadnosť odporúča vo forme grafu. Z neho je moţné vyčítať, ţe riziká s najvyšším indikovaným skóre: H11 Technické zlyhanie HW; H12 Technické zlyhanie SW; H25 Nízka úroveň pouţívateľských schopností; H10 Technické zlyhanie sieťových komponentov; H13 Technické zlyhanie / nedostupnosť telekomunikácií; H16 Zlyhanie zálohy dát (po havárii); H15 Zlyhanie obnovy dát po havárii. Graf 1 Riziko ohrozenia IS podľa typu hrozby Zdroj: vlastné spracovanie Riziká vyplývajúce z technického zlyhania sú/môţu byť výsledkom hlavne nedostatočných kapacít a zastaranosti niektorých častí technickej infraštruktúry, ako aj jej čiastočnej nekompatibility v dôsledku postupnej výstavy siete na rôznych lokalitách. Uvedené riziká buď vedenie školy akceptuje (neodporúča sa vzhľadom na výšku hrozby a závaţnosť dopadov), alebo príjme patričné opatrenia vo forme modernizácie, resp. postupnej obmeny jednotlivých častí súbeţne so zvýšením kapacity týchto prvkov. Na druhej strane sú prítomné aj riziká H1 a H2, ktoré nesúvisia priamo s technologickou infraštruktúrou. Ide v prvom rade o problém kontroly prístupu, ktorej náprava vyţaduje 44

45 systémovú zmenu v oblasti riadenia IS. Z uvedeného dôvodu je kontrole prístupu venovaná nasledujúca samostatná kapitola Kontrola prístupu a autentifikácia z pohľadu audítora Najjednoduchším (a moţno preto) najčastejšie prehliadaným aspektom bezpečnosti je koncept kontroly prístupu a autentifikácie. Kontrola prístupu je prvou bezpečnostnou líniou pre IS, ktorá určuje spôsob interakcie medzi uţívateľom a IS. V praxi sú rozšírené tri základné princípy kontroly prístupu pri ktorých sú oprávnenia pre jednotlivých uţívateľov IS definované podľa: 1. pracovného zaradenia, resp. funkcie, 2. oddelení, resp. štruktúry organizácie, 3. fyzickej dislokácie danej organizačnej zloţky. Počas bezpečnostného auditu IS by audítor mal v uvedenej oblasti zhodnotiť relevantnosť identifikácie, autentifikácie a autorizácie, ďalej druhy a rozdelenie prístupových práv medzi uţívateľmi a spôsob ich kontroly. Je potrebné, aby audítor počas bezpečnostného auditu hodnotil prístupovú politiku komplexne. Počas skúmania skutočného stavu a získavania informácií, ako aj z vykonaných interview vyplynulo, ţe hodnotený IS nemá zavedený komplexný systém kontroly prístupu a autentifikácie. Nech je prístupová politika organizácie akákoľvek prísna, ľudský faktor môţe zapríčiniť váţnu bezpečnostnú trhlinu. Oblasť prístupových riešení preto nesmie zahrňovať iba overovanie pre účely komunikačnej siete, ale je fyzický prístup do kontrolovaných častí objektov (objektová bezpečnosť). Príklad takejto analýzy imaginárnej budovy vysokej školy je v prílohe 5.1 tejto práce. Pri hodnotenom IS vysokej školy je síce fyzické zabezpečenie vykonané dostatočne, avšak jej úroveň je rozdielna v závislosti od externého dodávateľa v danej lokalite. Napr. v Trnave aj v Martine je serverová miestnosť chránená svojou polohou (na poschodí, v centrálnej časti budovy), kamerovým systémom avšak slabo kontrolovaným vstupom zamestnancov (kľúče na podpis, v Trnave je miestnosť prepojená s kuchynkou). Mreţe na oknách prízemia sú iba v Trnave, v Martine externý dodávateľ takúto poţiadavku nedostal a ani neplnil. Audítor v takomto prípade by mal poţadovať zavedenie poţiadaviek jednotnej kontroly fyzického prístupu a následného vytvorenia integrovaného riešenia, na ktorom moţno zaloţiť komplexné riadenie bezpečnosti celej organizácie. Všetky uvedené aspekty by mali byť zakotvené v dokumente s názvom Stratégia informačnej bezpečnosti, ktorá je popisovaná v kapitole 1.3, a vo viacerých publikáciách ako napr. (LOVEČEK, 2007), 45

46 alebo (HANČIAK, 2010). Tento krok by mal zahrňovať aj vytvorenie samostatného interného pracovného miesta (nie outsourcing) pre jedného bezpečnostného technika Obdobne v prípade skúmania overovania pre účely komunikačnej siete audítor zistil, ţe na všetkých štyroch pracoviskách je vstup do IIS chránený autentifikáciou aj identifikáciou. Problémom však je, ţe v Trnave je WiFi sieť šifrovaná iba protokolom WEP (!), čo predstavuje váţnu bezpečnostnú hrozbu 13. Prelomenie WEP je v súčasnosti moţné beţnými dostupnými prostriedkami a voľne šíreným softvérom s minimálnymi poţiadavkami na odborné vedomosti narušiteľa (TRAPANI, 2011). Audítor by vo svojej záverečnej správe preto mal dať odporúčanie na vytvorenie a spravovanie ďalšej vrstvy kontroly prístupu a autentifikácie (Identity and Access management). Je dôleţité si uvedomiť, ţe technická realizácia uvedenej vrstvy môţe byť úzko prepojená, avšak z pohľadu audítora je kontrola prístupu iná, ako kontrola autentifikácie a vyuţívajú sa dva rozličné postupy. Obrázok 11 Komponenty IKT doplnené o vrstvu Identity and Access Management Zdroj: vlastné spracovanie Niektoré komponenty vrstvy síce uţ v hodnotenom systéme existujú ako súčasť uţ inštalovaných sluţieb (na serveroch, ako aj na uţívateľských staniciach), ale nie sú systematizované (pravdepodobne sa nevyuţíva ich úplná funkcionalita), prepojené a komplexne manaţované. Taktieţ vytvorením funkcie bezpečnostného technika (prípadne bezpečnostného analytika) na oddelení IKT (viď. Obrázok 8) sa jednoznačne definuje 13 Popisovaný stav vychádza zo skutočnej analýzy na vysokej škole, ktorej technologická štruktúra IS z časti tvorila podklad pre kreovanie fiktívnej vysokej školy riešenej v tejto práci. 46

47 zodpovednosť za uvedený segment činnosti IS. Predmetná vrstva by mala spĺňať nasledovné očakávania: Uvedená vrstva by mala byť súčasťou prevádzkovej infraštruktúry IKT a zabezpečovať primárne sluţby riadenia identít pouţívateľov systému a zabezpečenia IKT voči neoprávnenému pouţitiu (napríklad IDS/IPS 14, alebo napr. implementáciou nástroja CA ControlMinder 15 ). Mala by obsahovať sadu nástrojov na zabezpečenie komunikácie pouţívateľov systému a implementáciu centrálnej bezpečnostnej politiky. S prihliadnutím na zistenú bezpečnostnú trhlinu s WEP protokolom vo WLAN segmente by takúto úlohu mohol plniť softvér WiFi-Owl - manaţérsky softvér pre WiFi siete (viď. príloha 5.2). Obrázok 12 Kontrola/analýza uţívateľských aktivít pomocou CA ControlMinder Zdroj: ( ) 14 IDS Intrusion Detection System, systém na detekciu narušiteľa; IPS Intrusion Protection System, systém na ochranu pred narušiteľmi. 15 Bliţšie: 47

Obrázok 13 Spravovanie uţívateľských účtov a politík pomocou CA ControlMinder Zdroj: (www.advancedtech.cz, 2. 6.

48 Obrázok 13 Spravovanie uţívateľských účtov a politík pomocou CA ControlMinder Zdroj: ( ) Z významového hľadiska ide o kritické podsystémy, ktoré majú zásadný vplyv na bezpečnosť IS spracovávaných informácií. Táto aplikačná medzivrstva tvorí súčasť technologickej infraštruktúry IKT, ktorá svoje sluţby prierezovo poskytuje ostatným komponentom IKT. Je kritickou súčasťou prevádzky IKT. Ďalšie moţné dôvody pre implementáciu tejto vrstvy: Organizácia vykazuje výrazný nárast poţiadaviek na elektronickú komunikáciu s externým prostredím, čo bude mať vplyv na vyuţitie nástrojov súvisiacich s aplikáciou elektronického podpisu a časovej pečiatky pre obojsmernú komunikáciu. Tieţ bude potrebné uvaţovať o prepojení týchto mechanizmov na ISS. V ďalších podkapitolách sa zameranie práce a v nej opisovaného bezpečnostného auditu zúţi na konkrétne komponenty počítačovej siete. Predmetom bezpečnostného auditu teda uţ nebude organizácia, ale určitá časť jej technologickej infraštruktúry. Ako prvý je uvedený popis bezpečnostného auditu informačnej siete podľa Network Perimeter Security Audit/Assurance program, ktorý je nasledovaný jedným z komponentov bezpečnostného auditu: kontrolou autentifikácie a prístupu k IS cez WiFi sieť. 48

49 3.3 Bezpečnostný audit obvodu IS Audítori vykonávajú audit informačnej siete a ich komponentov (smerovače, prepínače, firewall-y) implementovaním tzv. best practice procesov a kontrol s pouţitím metodík. V ďalšom bude práca zameraná na konkrétny dokument Network Perimeter Security Audit/Assurance program, ktorý má priame prepojenie/referencie na implementáciu niektorých bodov COSO 16 a COBIT Plánovanie a ciele auditu Plánovanie auditu spočíva v deviatich základných krokoch 17. Prvým krokom je definovanie predmetu kontrol. Predmet kontroly auditu je definovaný vţdy na operačnom, alebo strategickom stupni riadenia organizácie (tzv. high level objective). V prvom kroku sa kontrolujú tieto ciele kontrol a ich súlad s daným plánom auditov, resp. s poţiadavkami stakeholdera. V druhom kroku sa určujú hranice, resp. rozsah auditu. Audítor musí porozumieť operačnému prostrediu a pripraviť zameranie a predmet nastávajúceho hodnotenia rizík. Tento krok zahrňuje získanie a zhodnotenie: 1. pravidelnosti dodávok obchodných a IT sluţieb (Business and IT continuity), 2. plánu nepretrţitosti dodávok obchodných a IT sluţieb 18. Ďalej je potrebné vykonať nasledovné kroky: 1. rozlíšiť účastníkov dodávok obchodných a IT sluţieb, 2. zriadiť počiatočný rámec pre hodnotenie auditu, 3. identifikovať hranice a prekáţky ovplyvňujúce audit niektorých špecifických systémov. Tretím krokom prípravy auditu je definícia ubezpečenia. V uvedenom prípade ide o ubezpečenie, či interné predpisy organizácie sú implementované v náleţitej miere a či uvedené interné predpisy spĺňajú očakávania danej spoločnosti. A taktieţ či existuje zhoda predmetných interných predpisov s formalizovaným rámcom COBIT alebo COSO. Výsledkom je určenie medzier medzi interným a formalizovaným rámcom. Štvrtý krok je identifikácia a dokumentácia rizika. Zhodnotenie rizika je nutné na vyhodnotenie smeru 16 COSO - The Committee of Sponsoring Organizations of the Treadway Commission spoločná skupina piatich organizácií pre vytvorenie rámcov a návodov v oblasti podnikového rizikového manaţmentu. 17 v texte zobrazené hrubým (bold) typom písma 18 V ďalšom budú pouţité nasledovné skratky: BCP Business continuity plan; ITCP IT continuity plan. 49

50 zamerania zdrojov auditu; v mnohých spoločnostiach totiţ nie sú dostatočné zdroje na audit všetkých procesov. Konkrétny postup v uvedenom krokuje nasledovný: 1. Identifikácia obchodného rizika súvisiaceho s BCP a ITCP, 2. zhodnotenie predchádzajúcich auditov a hodnotení BCP a ITCP, 3. overiť, či predchádzajúce nedostatky boli napravené, 4. oceniť celkový rizikový faktor pre vykonávanie hodnotenia, 5. na základe zhodnotenia rizík identifikovať prípadné zmeny v zameraní auditu, 6. diskutovať riziko s IT, obchodným a operačno- audítorským manaţmentom a upraviť hodnotenie rizík, 7. na základe zhodnotenia rizík upraviť zameranie plánovaného auditu. Po vykonaní týchto krokov nasleduje definícia procesu zmien, ktorého úlohou je identifikácia zodpovedného personálu pre hodnotenie IT a vytvoriť proces pre návrh a implementáciu zmien v audítorskom/hodnotiacom programe, ako aj definovať spôsob autorizácie týchto zmien. Definícia indikátorov úspechu je potrebná hlavne na zhodnotenie komunikácie medzi IT audítorským tímom a spoločnosťou. V rámci uvedenej definície sa určujú aspekty (angl. drivers radiče) pre úspešné hodnotenie, ktoré by mali existovať uţ v štandardoch a procedúrach pre vykonávanie auditu. Atribúty úspešnosti v uvedenom kroku je potrebné prerokovať s majiteľom, resp. akcionárom spoločnosti (stakeholder) a získať jeho súhlas. V siedmom kroku sa definujú potrebné zdroje pre audit, ktoré sú vo forme určenia potrebných znalostí pre audit, počtu potrebných hodín na vykonanie auditu a určenie dátumu začiatku a konca auditu. Definícia dodávok auditu je predposledným krokom. Prínos auditu nie je limitovaný iba audítorskou správou na konci auditu. Je dôleţité, aby aj v priebehu auditu bola jasne definovaná komunikácia medzi vlastníkom procesu, resp. stakeholderom a audítorským tímom napríklad vo forme počiatočného hodnotenia, priebeţných hlásení resp. návrhov hlásení a to formou dátumov ich doručenia. Posledným krokom pri plánovaní auditu je v úzkej súvislosti s predchádzajúcim bodom. Ide o komunikáciu s klientom, resp. zákazníkom. Na zabezpečenie efektívnej komunikácie je potrebné zvolať otvorené jednanie s kľúčovými funkcionármi (zodpovedný funkcionár pre informačnú bezpečnosť, výkonné orgány v oblasti sieťovej bezpečnosti a operácií). 50

51 3.3.2 Prípravné kroky pre audit Prípravné kroky zahrňujú dve základné činnosti ktoré musí audítor vykonať pred hodnotením informačného systému. Tým prvým krokom je získanie a zhodnotenie organizačnej schémy pre oblasť systémového a sieťového riadenia. V rámci uvedeného kroku audítor identifikuje kľúčový personál pre sieťovú administráciu, riaditeľa bezpečnosti a kľúčových vyuţívateľov počítačovej siete. Druhým krokom je získanie kópie poslednej bezpečnostnej rizikovej analýzy siete vrátane informácií o klasifikácii systému, dát a služieb. To zahŕňa nasledovné informácie: bezpečnostnú politiku, bezpečnostnú stratégiu, bezpečnostné procedúry a štandardy, zoznam sieťových komponentov ich schematické, resp. fyzické rozloţenie, problémové oblasti siete sledovanie, riešenie a eskalácia procedúr, hlásenia o bezpečnostných incidentoch a prehľad ich riešení zoznam dodávateľov a zákazníkov, ktorí majú prístup k sieti, kópiu zmlúv s dodávateľmi sluţieb pre dátové prenosy, podpísané kópie dokumentov pre zabezpečenie a včasnú výstrahu uţívateľov, materiály ohľadom bezpečnostného školenia pre nových zamestnancov, relevantné právne a normatívne dokumenty s dosahom na bezpečnosť a prístup k informáciám. Následne po získaní uvedených informácií audítor vykoná interview s hlavným bezpečnostným technikom a administrátorom siete Hodnotenie bezpečnostného rámca siete Pri návrhu rámca pre bezpečnosť siete audítor berie do úvahy štyri základné parametre: 1. analýza bezpečnostného rizika; 2. bezpečnostná politika; 3. dôveryhodné zóny; 4. posilnené systémy. 51

52 Pri analýze bezpečnostného rizika audítor vykonáva kontrolu metód rizikového manaţmentu, či je nastavený na hodnotenie pravdepodobnosti a nákladov spojené s výdavkami na sieť (viď. kapitola 3.1) a či pri rizikových rozhodnutiach je zohľadnené vlastníctvo statkov. V prípade bezpečnostnej politiky moţno parciálne predmetné kontroly rozpísať nasledovne: 1. Určiť či bol schválený a implementovaný dokument o bezpečnostnej politike. 2. Získať a porovnať kópiu bezpečnostnej politiky a zhodnotiť, či je v súlade s relevantnými štandardmi ako napr. ISO/IEC 27002: Určiť či bezpečnostná politika nastavuje jasné pravidlá vrátane podpory a väzby informačného manaţmentu na celý podnik. Tieto pravidlá by mali zahrňovať: a. definíciu informačnej bezpečnosti, jej úlohy a zameranie, b. podporné stanovisko manaţmentu pre ciele a princípy informačnej bezpečnosti, c. krátke vysvetlenie bezpečnostnej politiky, princípov, štandardov a poţiadaviek zhody, ktoré majú špecifickú váţnosť pre organizáciu, d. definíciu základných a špecifických zodpovedností pre informačnú bezpečnosť vrátane monitoringu a hlásení, e. referencie na dokumentáciu ktorá by mala podporovať politiku, ako napríklad detailné bezpečnostné predpisy a procedúry. Bezpečnostná stratégia je vytyčovacou priamkou pre implementáciu bezpečnostnej politiky. Úlohou audítora v tomto štádiu auditu je: 1. Určiť, či bezpečnostná stratégia zaloţená na bezpečnostnej politike bola/je vyvinutá a zdokumentovaná. Stratégia by mala špecifikovať typ vykonávaných kontrol, ako aj demilitarizované zóny (viď. kapitola 4.1.1), dôveryhodné zóny a posilnené systémy. 2. Potvrdiť, ţe stratégia je podporovaná prepracovaný mi bezpečnostnými postupmi a štandardmi. Tieto postupy a štandardy musia zohľadňovať pouţívaný aplikačný a operačný systém. Tieto procedúry a štandardy musia byť audítorom prehodnotené aj z pohľadu, či sú dostatočne zrozumiteľné 52

53 pre uţívateľov, aby tí mohli vykonať potrebné procedúry, resp. nakonfigurovať systémy alebo aplikácie podľa potreby. 3. Zistiť, či bezpečnostná stratégia a jej poţiadavky boli prerokované so všetkými potrebnými osobami. Taktieţ v prípade kontrolnej politiky je potrebné okrem bezpečnostnej stratégie vziať do úvahy aj dodávateľov tretích strán, ktorí dodávajú (outsourcing) sieťové sluţby, alebo ktorých produkty vyţadujú presun dát z hodnotenej organizácie do ich siete. Tieto spoločnosti musia dodať náleţité ubezpečenie, ţe nimi vyţadovaná interná bezpečnostná politika je postačujúca pre hodnotenú organizáciu. Referenciu na takéto hodnotenie môţe poskytnúť aj doména COBIT 4.1 konkrétne 2. doména s názvom Dodávka a podpora (Delivery and Support) s kontrolným procesom pre dodávku a kontrolu sluţieb tretích strán (DS2 Manage third party services 19 ). Dôveryhodné zóny by mali byť určené pre kaţdý sieťový uzol na základe citlivosti dát, ktoré ním pretekajú. Tieto zóny sú definované priamo v Network Perimeter Security Audit/Assurance program 4 stupne klasifikácie 20 ale pre uvedenú kontrolu je moţné vyuţiť aj buď americké kritériá TCSEC 4 stupne, alebo európske kritériá ITSEC 7 klasifikačných stupňov (viď kapitola 2.2.1). Taktieţ je potrebné overiť, či pre kaţdé zdokumentované prepojenie boli protokoly pouţité na spojenie identifikované prichádzajúcimi, aj odchádzajúcimi sluţbami (http, HTTPS, FTP, Telnet, atď.). Taktieţ je potrebné zhodnotiť, či segmentácia siete (napríklad demilitarizovaná zóna) zodpovedá klasifikácii dôveryhodných zón a protokolov, ktoré sú definované pre prístup k daným sluţbám. V uvedenom pohľade audítor musí skontrolovať, či interná sieť organizácie je realizovaná iba v rámci vlastnej siete organizácie a či sluţby s vonkajším prístupom ako e- mail, WEB, FTP, atď. majú náleţitú klasifikáciu v dôveryhodnej zóne a či sú pridelené patričného segmentu. Posilnené systémy (odolné systémy) by mali byť systémy s maximálnou bezpečnosťou a mali by do nich patriť operačné systémy pre servery a ďalšie sieťové zariadenia. Na zabezpečenie tejto úlohy, musia byť splnené nasledovné podmienky: 1. všetky serverové sluţby/daemon-y/spustené úlohy, ktoré nie sú špecificky potrebné pre servery musia byť vypnuté alebo odstránené, 2. musia byť aplikované všetky relevantné aktualizácie a záplaty na operačný systém aj na pouţívané aplikácie, 19 Relevantné pre uvedený bod auditu sú hlavne kontrolné ciele DS2.1; DS2.2 a DS Doveryhodný (Trusted) Známy (Semitrusted) Nedôveryhodný (Untrusted) Cudzí (Hostile) 53

54 3. malo by sa opustiť od pouţívania nekryptovaných protokolov; pokiaľ je to povolené, uţívanie takéhoto protokolu musí byť náleţite zdokumentované, 4. externý poštový server vykonáva skenovanie proti malware skôr, neţ poštové súbory prejdú do vnútornej siete organizácie, 5. administrátorský účet je premenovaný na také meno, ktoré neidentifikuje účet ako administrátorský, 6. štandardné (default) heslá boli zmenené, 7. účet hosťa (guest) bol vypnutý, 8. anonymné FTP nie je povolené, 9. prístup do systémových hlásení (log - súbory) je striktne obmedzený, 10. systémové hlásenia sú uchovávané najmenej 7 dní, 11. varovné hlásenia o bezpečnostných incidentoch sú smerované k bezpečnostným odborníkom. Posledným aspektom kontroly celého bezpečnostného rámca siete je zhodnotenie rozdelenia sluţieb siete tak, aby ţiadna osoba nemala prístup ku všetkým bezpečnostným komponentom, resp. štruktúram siete Bezpečnostné komponenty siete Medzi bezpečnostné komponenty siete podliehajúce bezpečnostnému auditu radíme: smerovače, prepínače, firewall-y, VPN, bezdrôtové (WiFi) siete - WLAN, IDS a systém hodnotenia bezpečnosti siete, ktorý má organizácia zavedený. Smerovače by mali zabezpečovať maximálnu bezpečnosť pri poskytovaní náleţitého prístupu do sieťových segmentov. Preto audítor vykonáva kontrolu, či sieť je segmentovaná do dôveryhodných zón pomocou vyuţitia vhodne nakonfigurovaných smerovačov pričom štandardné nastavenie hesiel je pozmenené od tých výrobných. Táto kontrola teda musí: 1. posúdiť schémy siete s ubezpečením, ţe smerovače sú inštalované medzi kaţdým sieťovým segmentom s rozličnou zónou dôveryhodnosti, 2. overiť so sieťovým administrátorom vypnutie všetkých nepotrebných sluţieb a protokolov na externých smerovačoch (s prístupom do externej siete), 3. overiť kde je to moţné, ţe zašifrované heslá sa odstránili z konfiguračných súborov smerovača, 54

55 4. overiť, či je prístup k smerovačom obmedzený (odstránené modemy z pomocných prípojok, vypnutie http a Telnet portov, obmedzené mnoţstvo IP adries z ktorých môţu administrátori spravovať smerovač), 5. overiť, do akej miery poskytujú externé smerovače hrubé moţnosti filtrovania, ktoré moţno aplikovať na celej sieti k zníţeniu zaťaţenia firewall-ov granulárnym filtrovaním; overiť, či externé smerovače filtrujú (odmietnu) nasledovné poţiadavky: a. prichádzajúci prenos so zdrojovou adresou ktorá je interná pre sieť, s rozsahom neplatnej alebo privátnej adresy alebo adresy systémovej slučky (loopback address ), b. prichádzajúci prenos ktorý je kritickým pre hostiteľa, ako je firewall alebo konzola pre manaţment firewall-u (firewall management console), c. prichádzajúci prenos s moţnosťou nastavenia IP, ako napríklad smerovanie zdroja (source routing), d. prichádzajúci prenos určený na vysielanie adries podsiete, e. všetky prichádzajúce a odchádzajúce ICMP 21 prenosy, f. všetky odchádzajúce prenosy okrem tých, ktorých zdrojovou adresou je interná sieť, 6. potvrdiť, ţe externé smerovače nie sú pouţívané na granulárne filtrovanie a stavové alebo dynamické filtrovanie sa vykonáva iba firewall-mi v súlade s politikou firewall-ov. Prepínače by mali byť umiestnené v sieti pre riadenie prevádzky, poskytnúť prijateľný výkon, obmedziť prístup do vyhradených sieťových segmentov a poskytovať istotu, ţe iba autorizovaní technici majú prístup k ovládaniu zariadenia prepínača. Pri bezpečnostnom audite sa kontrolujú dva hlavné aspekty: 1. Umiestnenie prepínačov je potrebné overiť, umiestnenie a pouţívanie prepínačov podľa schémy počítačovej siete, tam, kde je moţnosť manaţmentu a/alebo diaľkového monitoringu prepínačov je potrebné overiť, ţe sieťoví administrátori vykonali náleţité kroky k obmedzeniu prístupu k týmto zariadeniam a ochrane heslom. 21 ICMP Internet Control Message Protocol protokol na detekciu a hlásenie chybových stavov na počítačových sieťach, jeden zo základných internetových protokolov (IP). 55

56 2. Pouţívanie prepínačov overiť vyuţívanie prepínačov v citlivom segmente siete a zistiť, či prepínač vykazuje náleţitú bezpečnosť prípadne či by ho nebolo vhodné nahradiť smerovačom. Brány firewall. Poţiadavky na pravidlá pre brány firewall majú byť hodnotené a dokumentované. Toto je prvou podmienkou úspešného auditu pre tento sieťový komponent. Počas auditu teda audítor: 1. zistí s aplikačným, systémovým a sieťovým administrátorom, či je úplné a preukázateľné porozumenie sieťovej prevádzky, ktorá potrebuje prejsť do/z organizácie, 2. diskutujte s administrátorom siete o dôvodoch výberu daného typu architektúry a brány firewall a zisťuje či výber bol vykonaný na základe objektívneho zhodnotenia potrieb a poţiadaviek podniku. Druhou podmienkou pre úspešný audit je odzrkadlenie poţiadaviek nastavených mnoţinou bezpečnostných pravidiel v konfigurácii brány firewall. To znamená: 1. získať prehľad o pravidle brány firewall, či zásada default-deny, ktorou sa všetky poţiadavky implicitne zakáţu okrem tých ktoré sú výslovne poţadované, bola riadne implementovaná do pravidiel firewall-u. 2. skontrolovať firewall-om predvolenú implicitnú sadu pravidiel ktorá je dodávaná s firewall-om, aby sa zabezpečilo, ţe nebudú obchádzané implicitné pravidlá brány firewall, 3. prezrieť si ukončenie VPN, aby sa zabezpečilo, ţe iba dôveryhodné siete a klienti majú prístup k VPN. VPN, ktorá sa napája na akýkoľvek nedôveryhodný zdroj by nemala byť povolená prostredníctvom brány firewall bez náleţitého filtrovania pri ukončení siete VPN; šifrovaná prevádzka VPN vylučuje akýkoľvek proces kontroly bránou firewall. 4. overiť, ţe konfigurácia brány firewall blokuje prichádzajúci softvér pre vzdialený prístup (vzdialený počítač, pcanywhere, Virtual Network Computing, atď.), ak nie je písomné splnomocnenie od manaţmentu informačnej bezpečnosti a takéto pouţitie je dokumentované a monitorované. Vzdialený prístup cez VPN má zabezpečiť kryptovaný prenos medzi vonkajším svetom a vnútornou bránou firewall. Zároveň VPN zabezpečuje bezpečnú autentifikáciu. Počas bezpečnostného auditu je predmetom kontroly prevádzka a konfigurácia VPN. Pri 56

57 prevádzke VPN audítor zisťuje, či pravidlá diaľkového prístupu klasifikujú dáta potrebné pre prevádzku VPN. Počas auditu konfigurácie VPN audítor: vyhodnotí, či sa pouţíva šifrovanie na minimalizáciu moţnosti neoprávneného prístupu k dôverným súborom uloţeným na klientoch pripojených k sieti organizácie cez VPN, určiť, či štandardy pre pracovné stanice vyţadujú, na pracovných staniciach klientov s prevádzkou VPN, odobratie zbytočných sluţieb, ktoré môţu byť zdrojom zneuţitia, zistiť, či prichádzajúce porty, ktoré sú citlivé ( , prístup/zdieľanie súborov, interné webové stránky, atď.) sú k dispozícii bez pripojenia k sieti VPN, zakázať delené tunelovanie. Bezdrôtové siete by mali byť zabezpečené pomocou kryptovania, autentifikácie a ak je to moţné aj pomocou tokenov. Základný okruh kontrol: 1. overiť, ţe WPA/WPA2 je zapnuté, 2. potvrdiť, ţe továrenské nastavenia administrátorského ID, hesla, WPA/WPA2 a SSID boli zmenené, 3. overiť, ţe bezdrôtová sieť nie je umiestnená na internú alebo dôveryhodnú stranu obvodového firewall-u podniku, 4. uistiť sa, ţe obvodový firewall umoţní komunikáciu iba z bezdrôtovej siete, ktorá pouţíva protokol IPSec, t. j. sieť, nad ktorým beţí IPSec VPN pre účely zachovania dôvernosti, 5. zistiť, ţe kaţdému bezdrôtovému prístroju boli priradené samostatné kľúče, ktoré sa často menia, 6. Zistiť, či je potreba vyuţitia tokenov. Systém detekcie prieniku je predmetom auditu z pohľadu potvrdenia, ţe schémy pre uzlovo 22 resp. sieťovo 23 zaloţené systémy detekcie prieniku sú správne umiestnené. Audítor sa zároveň musí ubezpečiť, ţe IDS schémy disponujú nasledovnými koncepčnými prvkami: modul udalosti (snímač), modul analýzy (analyzátor prevádzky), 22 host-based IDS 23 network IDS 57

58 modul odozvy (generuje nakonfigurovanú reakciu na zistený útok), modul databázy (história záznamov prevádzky). Ďalej je potrebné získať a posúdiť zdokumentované postupy reakcie na incidenty, či dobre informovaný jedinec bude schopný skúmať, pochopiť a vykonávať príčinnú analýzu a implementovať zodpovedajúcu reakciu 24. Systém hodnotenia bezpečnosti siete by sa mal u organizácie pravidelne vyuţívať vrátane externých penetračných testov, hodnotenia vnútornej bezpečnosti a revízie vnútorných bezpečnostných predpisov. Výsledok týchto hodnotení by mal byť dodaný výkonným zloţkám manaţmentu organizácie a výkonným orgánom IT. Kontrola v uvedenej oblasti by sa mala zamerať na zistenie nasledovných faktov: 1. penetračné testovanie: a. zistiť, či existuje systémový prístup s náleţitou dokumentáciou pre vykonávanie penetračného testovania, b. potvrdiť, ţe boli realizované a zdokumentované špecifické poţiadavky pre penetračné testovanie, c. odsúhlasiť, ţe bola vyvinutá náleţitá metrika pre penetračné testovanie a teda výsledky môţu byť kvantifikovateľné a merateľné, d. zistiť, či penetračné testovanie je limitované iba na vonkajšiu perifériu siete, alebo či dochádza k testovaniu aj vnútornej siete bránenej firewall-mi, e. ubezpečiť sa, ţe výsledky penetračného testovania sú dostatočne komunikované s technickým personálom a manaţmentom, f. ubezpečiť sa, ţe výsledky penetračného testovania sú vzaté do úvahy v plánovaných zmenách (change plan); 2. hodnotenie vnútornej siete: a. určiť, či bezpečnostný informačný manaţment vykonáva vlastné hodnotenie a overuje periodicitu a efektívnosť svojho programu, b. určiť, či je vykonávané profesionálne hodnotenie politiky bezpečnosti siete a jej implementácie periodicky. 24 V prípade detekcie pomocou IDS, či sa vyvolá reakcia reakčného tímu na počítačové incidenty (Computing Incident Response Team - CIRT), ak je v organizácii k dispozícii. 58

59 3.4 Technický audit bezpečnosti WiFi siete Dokument Network Perimeter Security Audit/Assurance program poskytuje dostatočne podrobné a konkrétne návody nielen pre operačný, ale aj pre technický audit. Nie je to však jediný moţný implementačný rámec. Ďalším by mohla byť napríklad norma definovaná ISO konkrétne pre audit bezdrôtových sietí je moţné vyuţiť normu ISO/IEC Information technology Security techniques Network security; prípadne NSA INFOSES. Príklad rozdielností medzi technickým a operačným auditom definuje napr. (DAVIS, a iní, 2007 s. 186) nasledovne: Technický audit pozostáva z : overenia, či je na prístupových bodoch nainštalovaný najnovší firmware odporučený výrobcom zariadenia, overenia, či sú prístupové body centrálne manaţované, overenia, či mobilní klienti pouţívajú bezpečný softvér, overenia bezpečnosti vybraných autentifikačných a komunikačných metód, overenia, či sa v sieti nepouţívajú nezabezpečené prístupové body. Operačný / prevádzkový audit pozostáva zo: zaistenia primeranej bezpečnostnej politiky pre bezdrôtovú sieť. Vyhodnotenia moţnosti obnovenia procesov a bezdrôtového prístupu po havárii. Zhodnotenia či existujú efektívne procesy zmeny riadenia. V ďalšom bude podrobnejšie popísaný celkový postup vykonania technického auditu pomocou kontrolného zoznamu Kontrolný zoznam pre technický audit bezdrôtovej siete Bezdrôtová sieť, ako ani ţiadny iný systém nemôţe byť na 100% zabezpečená. Systém, ktorý je 100% bezpečný, je nefunkčný. Napriek tomu je moţné eliminovať najväčšie hrozby pri splnení niekoľkých základných poţiadaviek. Tieto poţiadavky je moţné pre audítora vyjadriť vo forme kontrolných bodov, ku ktorým postupne uvedie, či boli skontrolované aj so stručným popisom ich stavu. Pri tvorbe kontrolného zoznamu je potrebné vychádzať z účelu danej WiFi siete, povahy informácií, ktoré sprostredkováva a okruhom poţívateľov. Na maximálnu elimináciu moţných hrozieb a z nich vznikajúcich rizík je potrebné: 1. ubezpečiť sa, ţe prístupové body majú nainštalovaný najaktuálnejší softvér; 59

60 2. vyhodnotiť vyuţitie a ovládanie centralizovaného riadenia bezdrôtovej siete, 3. overiť, či pripájajúci sa klienti pouţívajú bezpečný softvér, 4. zhodnotiť bezpečnosť vybraných autentifikačných metód, 5. zhodnotiť bezpečnosť vybraných komunikačných metód, 6. overiť vyuţívanie falošných prístupových bodov, 7. zhodnotiť postupy riadenia zmien so zameraním na chybové hlásenia uţívateľov (tzv. end-user trouble ticket); 8. Overiť, či pouţívaná bezpečnostná politika je vhodná pre bezdrôtovú sieť; 9. Zhodnotiť kontinuity manaţment so zameraním na obnovu bezdrôtovej siete po havárii. Overenie týchto bodov však zaručí iba čiastočnú informáciu o stave zabezpečenia bezdrôtovej siete. Ďalším krokom k získaniu úplného obrazu bezdrôtového IS je kontrola mobilných zariadení, ktoré sa do bezdrôtovej siete pripájajú. Opätovne pre potreby technického auditu bezpečnosti WiFi siete môţeme definovať nasledovné body: 1. ubezpečiť sa, ţe brány na mobilných zariadeniach majú najnovší softvér a tzv. záplaty, 2. overenie odblokovania ochranných funkcií mobilného zariadenia; 3. určenie účinnosti bezpečnostných kontrol ohľadom ochrany dát v prípade, ţe útočník uţ má fyzický prístup k zariadeniu; 4. zhodnotiť pouţitie softvéru a procesov na monitorovanie bezpečnosti, 5. overiť, či v sieti nie sú pouţívané zariadenia, ktoré nie je moţné manaţovať; zhodnotiť kontroly nad takýmito zariadeniami; 6. zhodnotenie postupov na sledovanie chybových hlásení; 7. ubezpečiť sa, či pouţívaná bezpečnostná politika je vhodná pre mobilné zariadenie 8. ubezpečiť sa o náleţitosti procesov na obnovu prístupnosti mobilného zariadenia, 9. overiť, či existujú procesy efektívneho riadenia zmien; 10. zhodnotiť vhodnosť kontrol riadenia ţivotného cyklu sluţby zariadení vo vlastníctve osoby alebo školy, a iných pridruţených účtov pouţívaných na pripájanie sa do siete. 60

3.4.2 Prostriedky pre vykonávanie bezpečnostného auditu WiFi siete V súčasnosti existuje nespočetné mnoţstvo prostriedkov, ako vykonať bezpečnostnú analýzu WiFi siete 25.

61 3.4.2 Prostriedky pre vykonávanie bezpečnostného auditu WiFi siete V súčasnosti existuje nespočetné mnoţstvo prostriedkov, ako vykonať bezpečnostnú analýzu WiFi siete 25. Najrozšírenejšie programy sú InSSIDer a Whireshark, avšak na získanie základných informácií v súčasnosti postačujú uţ aj mobilné aplikácie, ako napríklad WiFi Analyzer, dostupný pre mobilnú platformu Android cez štandardné distribučné kanály (Obrázok 14). Okrem identifikácie prístupových bodov a SSID, tento program dokáţe poskytnúť aj informácie o sile signálu, frekvenčnom pásme a pouţitom druhu šifrovania. Obrázok 14 WiFi analyzátor pre mobilnú platformu Android Zdroj: vlastné spracovanie InSSIDer (Obrázok 15) vyhľadá všetky dostupné WiFi siete a zobrazí súvisiace informácie: SSID, rýchlosť, nastavenie kanálov a ich zabezpečenie, silu signálu a jej priebeh. Pomáha pri výbere optimálneho prístupového bodu a pri riešení problémov. Verzia podporuje aj pouţitie GPS zariadenia pre záznam pozície a export 25 Zoznam prác slúţiacich ako zdroj pre zoznam ďalších nástrojov pre analýzu bezpečnosti Wi-Fi sietí: Šustr, M. Analýza bezpečnosti štandardu IEEE Diplomová práca. Bratislava: STU, 2007 Szarková, E. Bezpečnosť bezdrôtových sietí štandardu IEEE Diplomová práca. Bratislava: UK, Vlček, P. Zabezpečení bezdrátových sítí a možné útoky na tyto sítě. Diplomová práca. Brno: VUT, Chlepková, M. Bezpečnostný audit bezdrôtovej (WLAN) siete. Bakalárska práca. B. Bystrica: BIVŠ,

zaznamenaných údajov do KML formátu pre zobrazenie v programe Google Earth. Posledná verzia programu je v. 4 a jej komerčná verzia je dostupná za 20 US$.

62 zaznamenaných údajov do KML formátu pre zobrazenie v programe Google Earth. Posledná verzia programu je v. 4 a jej komerčná verzia je dostupná za 20 US$. Whireshark (Obrázok 16) je program na odchytávanie paketov priamo zo sieťovej karty, ktorý dokáţe sledovať sieťovú prevádzku bey ohľadu na softvérovú platformu a technologickú realizáciu (IEEE , Token Ring, USB, Bluetooth...). Odchytené pakety vie analyzovať a vyhodnocovať. Pomocou snifferov paketových analyzátorov sa dajú ľahko odhaliť bezpečnostné problémy v sieti. Jedna z hlavných vlastností je podpora viac ako stoviek protokolov. Podporuje dešifrovanie mnohých protokolov vrátane IPsec, Kerberos, SSL/TLS, WEP a WPA/WPA2. Obrázok 15 Uţívateľské rozhranie programu InSSIDer Zdroj: ( ) 62

Obrázok 16 Whireshark Zdroj: (www.whireshark.org, 26. 4.

63 Obrázok 16 Whireshark Zdroj: ( ) Napriek prepracovanosti uvedených programov, pre bezpečnostný audit je najvhodnejší nástroj, ktorý kombinuje všetky výhody a poskytuje čo najširšiu moţnosť analýzy bezdrôtovej siete. Takýmto programom sa javí Linux distribúcia programov s názvom Kali. Distribúcia Kali Linuxu vychádza zo známeho Black Track Linuxovej distribúcie penetračného nástroja. Kali Linux obsahuje viac ako 300 (!) penetračných nástrojov pre kontrolu bezpečnosti počítačovej siete. Uvedené nástroje sú revidované z pôvodnej Black Track distribúcie, avšak bez zbytočných nefunkčných častí. Kali Linux podobne ako Whireshark je voľne dostupný a je plne prispôsobiteľný potrebám uţívateľa a má širokú podporu pre bezdrôtové zariadenia za účelom zabezpečenia čo najväčšej kompatibility. V súčasnosti okrem inštalácie na pevný disk, spustiteľného prostredia z USB kľúča a CD- ROM, uţ existujú Kali Linux distribúcie aj pre ARM procesorovú platformu, čo znamená moţnosť spustenia tohto programového balíka na mobilných zariadeniach ako napríklad Samsung Galaxy Note

Obrázok 17 Záber z prostredia Kali Linux Zdroj: (http://docs.kali.org, 4. 6.

64 Obrázok 17 Záber z prostredia Kali Linux Zdroj: ( ) Uvedeným nástrojom audítor získava kompletnú sadu nástrojov na analýzu a penetračné testovanie WiFi sietí so širokou podporou pre rôzne technologické platformy. 64

65 4 Možná implementácia záverov bezpečnostného auditu IS 4.1 Návrh zabezpečenej sieťovej architektúry Infraštruktúra siete základ bezpečnostnej stratégie Pri bezpečnostnom audite, ako aj pri samotnej tvorbe bezpečnostnej stratégie organizácie by sa zainteresované osoby mali riadiť starým ľudovým príslovím: Vystieraj sa iba tak, ako ti prikrývka stačí. Parafrázujúc uvedené príslovie je moţné prikrývku definovať ako sieťovú infraštruktúru a vystieranie potom predstavuje kvalitu bezpečnostnej politiky, pod ktorou rozumieme súhrn jej striktnosti, hĺbky, resp. prepracovanosti a mieru implementácie v praxi. Táto kapitola uvádza moţný návrh sieťovej infraštruktúry s prihliadnutím na dokument Network Perimeter Security Audit/Assurance program, konkrétne jej časť popisovanú v kapitole Na maximálnu elimináciu hrozieb voči vnútornej (lokálnej) sieti (LAN) môţe byť topológia siete riešená pridaním ďalšej bezpečnostnej vrstvy LAN. Ide o fyzickú alebo logickú podsieť, ktorá je z bezpečnostných dôvodov oddelená od ostatných zariadení. Takto vymedzený fyzický, resp. logický priestor v sieťovej infraštruktúre nazývame demilitarizovanou zónou (ďalej DMZ). Sú v nej umiestnené sluţby, ktoré sú k dispozícii väčšinou z celého Internetu. To znamená, ţe prípadný útočník získa prístup iba k zariadeniu, ktoré je v DMZ, ale zvyšok lokálnej siete je v bezpečí. V počítačovej sieti sú najviac náchylní k útoku tí, ktorí poskytujú sluţby uţívateľom mimo lokálnu sieť, ako je , webové sluţby a DNS. Vzhľadom k zvýšenej pravdepodobnosti útokov na tieto sluţby, sú tieto umiestnené vo vlastných podsieťach s cieľom ochrániť zvyšok siete pred prípadne úspešným útokom (viď dôverné zóny v kapitole 3.3.3). Počítače v DMZ majú obmedzené pripojenie k vybraným počítačom vo vnútornej sieti, naopak komunikácia s ostatnými počítačmi v DMZ a vonkajšími sieťami je povolená. To umoţňuje počítačom v DMZ poskytovať sluţby ako pre vnútorné, tak aj pre vonkajšie siete, zatiaľ čo firewall kontroluje prevádzku iba medzi servermi v DMZ a klientmi vnútornej siete. 65

DMZ sú zvyčajne zabezpečené pred útokmi zvonku, ale nemajú vplyv na vnútorné útoky, ako je napríklad odchytávanie komunikácie cez paketový analyzátor.

Návrh môţe byť vhodným doplnkom pre prípadovú štúdiu konfigurácie siete, ktorá je zobrazená v prílohe 5.1.

66 DMZ sú zvyčajne zabezpečené pred útokmi zvonku, ale nemajú vplyv na vnútorné útoky, ako je napríklad odchytávanie komunikácie cez paketový analyzátor. Obrázok 18 DMZ s jedným a s dvomi smerovačmi (firewall-mi) Zdroj: (Wikipedia, 2013) V ďalšej kapitole je uvedený návrh konfigurácie siete s vyuţitím popisovanej DMZ. Návrh môţe byť vhodným doplnkom pre prípadovú štúdiu konfigurácie siete, ktorá je zobrazená v prílohe 5.1. Konfiguráciou DMZ ako aj ďalších opatrení je moţné výrazne zníţiť riziká neoprávneného vniknutia do internej siete školy a zvýšiť spoľahlivosť (vrátane technickej spoľahlivosti) prevádzkovanej siete Topológia siete Topológia siete je štruktúra alebo architektúra, ktorá popisuje spôsob pripojenia počítačov alebo iných zariadení do siete. Fyzická topológia je daná spôsobom fyzického prepojenia všetkých sieťových zariadení. Akým spôsobom medzi sebou tieto zariadenia komunikujú a ako sa prenášajú informácie, špecifikuje logická topológia, ktorá definuje logické rozloţenie siete. V kaţdom objekte školy je ako štruktúra siete navrhnutá topológia hviezda. Tá pracuje na princípe jednej centrálnej stanice (napr. prepínač alebo rozbočovač), ku ktorej sú paralelne pripojené ostatné. Všetka komunikácia tak prebieha cez túto centrálnu stanicu. Výpadok koncovej stanice alebo prenosového média neohrozí funkciu siete. Ak však vypadne centrálna stanica, havaruje celá sieť. Celá navrhnutá počítačová sieť je štruktúrovaná do topológie označovanej ako distribuovaná hviezda (Obrázok 19), ktorá je tvorená dvomi a viac prepojenými prepínačmi alebo rozbočovačmi, z ktorých kaţdý tvorí centrálnu stanicu topológie hviezdy. 66

67 4.1.3 Firewall Kontroluje informácie prichádzajúce z Internetu alebo zo siete. V závislosti od nastavenia svojich pravidiel ich buď zablokuje, alebo im umoţní vstup do siete. Jeho účelom je zabrániť získať prístup neoprávnených osôb do siete alebo k počítačom, prostredníctvom inej siete alebo z internetu. Slúţi ako kontrolný bod, ktorý definuje pravidlá pre komunikáciu medzi sieťami, ktoré od seba oddeľuje. Nastavenie týchto pravidiel sa nazýva bezpečnostná politika firewallu. Tá zahŕňa nielen samotné pravidlá komunikácie medzi sieťami, ale tieţ rôzne globálne nastavenia, preklady adries, inštrukcie pre vytváranie šifrovaných spojení medzi šifrovacími bránami (VPN), vyhľadávanie moţných útokov a protokolových anomálií, autentizáciu, autorizáciu uţívateľov a správu šírky prenosového pásma. Obrázok 19 Navrhnutá topológia siete distribuovaná hviezda Zdroj: vlastné spracovanie v programe Power Designer 67

68 4.1.4 Návrh sieťovej architektúry Navrhovaná sieťová architektúra sa bude skladať z hlavnej časti, ktorá umoţní prístup do internetu a prevádzku IS a voliteľných častí, ktoré poskytujú rozšírenú funkcionalitu siete: interná sieť pre uţívateľov, interná sieť pre sluţby a servery, DMZ, voľne dostupná WiFi pre mobilné zariadenia, zabezpečená WiFi ekvivalentná s internou sieťou. Interná sieť pre užívateľov V budove školy ide o najrozsiahlejšiu LAN, ktorá sprostredkúva pripojenie do internetu a k sluţbám siete pre uţívateľov a ich počítače (PC, notebooky). Podmienkou pouţívania je prítomnosť sieťovej karty v zariadení uţívateľa. Interná sieť môţe byť rozdelená na jednotlivé sekcie, kde členenie vyplýva z fyzického členenia organizácie, napríklad podsiete pre katedry, budovy a pod. Bezpečnostné prvky siete bránia prístupu z internetu na lokálne zariadenia v sieti a zároveň bránia prístupu medzi jednotlivými podsieťami. Táto architektúra umoţňuje z bezpečnostného pohľadu izolovať jednotlivé podsiete a zabrániť tak napríklad masívnemu šíreniu vírusov. Základný rozsah pre internú sieť je triedy B: /16 Následne jednotlivé pracoviská majú podsiete triedy C: /24, /24, /24,... Interná sieť pre služby a servery V budove vysokej školy môţe byť prevádzkovaných niekoľko lokálnych menších či väčších dátových centier, ktoré zabezpečujú prevádzku sluţieb, serverov a iných zariadení, ktoré sprostredkúvajú sluţby siete. Bezpečnostné prvky siete bránia prístupu z internetu na lokálne zariadenia v sieti a zároveň bránia prístupu medzi jednotlivými podsieťami. Interná sieť teda slúţi pre prevádzku sluţieb, ktoré sú dostupné výhradne v rámci organizácie a nie sú publikované 68

69 ţiadnym spôsobom do internetu. Pre správcov a vybratých uţívateľov je moţný externý prístup výhradne prostredníctvom VPN. V tejto sieti budú prevádzkované predovšetkým: hlavný doménový radič, záloţný doménový radič, Sirius autentifikačný server, súborový server, DNS servery resp. tzv. DNS cache servery pre uţívateľov (rekurzívne dotazy), proxy server. Sieť môţe byť rozdelená do viacerých sekcií, kde toto členenie je dané fyzickým umiestnením (rôzne dátové centrá v rámci školy) alebo logickým rozdelením (napr. siete pre rôzne projekty). Základný rozsah pre celú sieť je triedy B: /16 Následne jednotlivé pracoviská majú podsiete triedy C: /24, /24, /24,... Demilitarizovaná zóna Do časti demilitarizovanej zóny budú patriť sluţby a servery, ktoré svojou podstatou musia byť na rozdiel od internej siete pre servery prístupné aj z internetu. V tejto časti siete budú prevádzkované predovšetkým: server Web server FTP server VoIP server DNS servery pre obsluhu školských/univerzitných domén DMZ sieť môţe byť rozdelená do viacerých sekcií, kde toto členenie je dané fyzickým umiestnením (rôzne dátové centrá v rámci univerzity) alebo logickým rozdelením (napr. siete pre rôzne projekty). Základný rozsah pre celú sieť je triedy B: /16 69

70 Následne jednotlivé pracoviská majú podsiete triedy C: /24, /24, /24,... Voľne dostupná WiFi Táto časť WiFi siete je voľne dostupná pre všetky mobilné zariadenia v rámci univerzity. Je zabezpečená prostredníctvom protokolu WPA2. Heslo pre prístup je však verejne známe. Nakoľko ide o voľne dostupnú sieť, táto z bezpečnostných dôvodov umoţňuje iba prístup na internet. Nie je ţiadnym spôsobom prepojená s internými sieťami. Základný rozsah pre celú sieť je triedy B: /16 Zabezpečená WiFi Táto WiFi sieť je ekvivalentná s internou sieťou, t. j. umoţňuje prístup aj k interným sluţbám. Jej účelom je sprostredkovať autorizovaným osobám prácu prostredníctvom mobilných zariadení v celom areáli školy. Napríklad umoţňuje učiteľom priamo pristupovať k interným systémom počas prednášok. Uvedená WiFi sieť musí byť zabezpečená proti verejnému prístupu, preto pouţíva skryté SSID, prístup k nej je umoţnený len na základe platného certifikátu a autentifikácia prebieha prostredníctvom Sirius servera. Základný rozsah pre celú sieť je triedy B: / Realizačná schéma siete Schéma realizácie siete a jej komponentov je navrhnutá pre hypotetický scenár siete na vysokej škole a vychádza z popisu jednotlivých častí z kapitoly Hlavnou časťou siete sú centrálne prepínače (switch), ktoré sú zapojené v redundantnej architektúre. Kaţdé zariadenie je pripojené do oboch prepínačov a pri výpadku jedného z nich nepríde k výpadku spojenia. Prístup do internetu sprostredkuje a chráni externý firewall, ktorý je zapojený medzi centrálnymi prepínačmi a zariadením internetového poskytovateľa. Na jeho externom rozhraní je k dispozícii sada verejných IP adries, ktoré je moţné pouţívať podľa potreby pre rôzne projekty. Uţívatelia sú maskovaný za jednu definovanú verejnú IP adresu. DMZ sieť je rozdelená na niekoľko podsietí. Primárna DMZ slúţi pre prevádzku štandardných sluţieb v rámci univerzity. Ďalšie DMZ sú vyhradené na špecifické účely. 70

71 V navrhovanom scenári existuje v rámci vysokej školy výskumný projekt ALFA, ktorý pouţíva pre účely výskumu aplikáciu s databázovým a aplikačným serverom, ktoré sú v internej sieti a web servery s load balancerom, ktoré sú v samostatnej DMZ. Interné siete sú oddelené a chránené ďalším firewallom. Tento je umiestnený medzi centrálne prepínače a centrálne prepínače internej siete. Centrálne prepínače internej siete majú rovnaké parametre ako centrálne prepínače. Interné siete pre servery sú rozdelené na niekoľko podsietí. Primárna interná sieť pre servery slúţi pre prevádzku štandardných sluţieb v rámci univerzity. Ďalšie interné siete pre servery sú vyhradené pre špecifické účely. Pre výskumný projekt ALFA existuje dedikovaná sieť pre servery, ktoré majú byť dostupné výhradne interne aplikačný a databázový server. Interné siete pre uţívateľov sú rozsiahle a preto majú ďalšie vlastné prepínače pripojené do centrálnych prepínačov internej siete. Tieto siete sú delené fyzicky medzi siete pre severné a juţné krídlo budovy školy. Voľne dostupná WiFi je rozprestretá prostredníctvom mnoţiny prístupových bodov po celom areáli univerzity. WiFi z bezpečnostných dôvodov sprostredkuje výhrade pripojenie k internetu, nie je moţné sa prostredníctvom nej dostať k sluţbám internej siete. Táto WiFi je preto pripojená priamo cez centrálne prepínače k externému firewall-u. WiFi uţívatelia sú maskovaní za dedikovanú verejnú IP adresu. 71

72 Obrázok 20 Realizačná schéma navrhnutej siete Zdroj: vlastné spracovanie v programe Power Designer 72

4.1.6 Rozšírenie o zabezpečenú WiFi sieť V dnešnej dobe je práca uţívateľov realizovaná pomocou rôznych mobilných zariadení, ktoré potrebujú mať prístup k sluţbám a systémom internej siete.

73 4.1.6 Rozšírenie o zabezpečenú WiFi sieť V dnešnej dobe je práca uţívateľov realizovaná pomocou rôznych mobilných zariadení, ktoré potrebujú mať prístup k sluţbám a systémom internej siete. Na zvýšenie efektívnosti a pridanej hodnoty IS vysokej školy môţe byť školská sieť doplnená o zabezpečenú WiFi ktorá takýto prístup umoţní. Pre uţ popisovanú infraštruktúru to znamená pridanie ďalšieho servera internej certifikačnej autority, ktorá bude vydávať, podpisovať a odvolávať certifikáty pre prístup k zabezpečenej WiFi sieti. Následne autentifikácia uţívateľa prebehne aj pomocou autorizačného protokolu Sirius. Obrázok 21 Schéma zabezpečenej WiFi Zdroj: vlastné spracovanie v programe Power Designer 73

74 4.2 Realizácia zabezpečenia siete Pre fyzickú realizáciu navrhovanej sieťovej infraštruktúry boli zvolené nasledovné komponenty. Router / firewall Server Fujitsu Primergy RX100 S8: o 1U rackový enterprise server, o Xeon E3-1220, o 1 GB RAM, o 4x 1Gbit ethernet, o Záruka opravy do 8h, o 2x 250GB SATA. Obrázok 22 Server Fujitsu Primergy RX100 S8 Zdroj: (Fujitsu, 2014) Servery sú zakúpené so sluţbou opravy do 8 hodín, aby v prípade poruchy na HW nedošlo k dlhodobému výpadku siete. OS je prevádzkovaný na lokálnom RAID1 diskovom poli. Pre prevádzku bol zvolený OS Linux Debian 7. Prepínače Cisco Catalyst 3750 pre centrálne prepínače Prepínače je moţné prepojiť stack káblom, ktorý z nich vytvorí jeden logický prepínač, ktorý je navyše redundantný. Cisco Catalyst 2960 pre prepínače jednotlivých uţívateľských interných sietí Prepínače je moţné prepojiť stack káblom, ktorý rozširuje mnoţstvo portov. Toto rozšírenie je moţné realizovať aj v budúcnosti pri raste počtu uţívateľov. 74

75 WiFi Cisco WAP4410N-G5 pre verejne dostupnú WiFi sieť. Zariadenie sa pouţije ako prístupový bod a zároveň ako opakovač pre rozšírenie WiFi siete po areáli školy. Cisco AP541N-E-K9 pre zabezpečenú WiFi. Umoţňuje autorizáciu prostredníctvom certifikátov Realizácia externého smerovača a firewallu Pre realizáciu bol vybratý Fujitsu HW, ktorý bude prevádzkovaný spolu s linuxovým OS Debian 7. Ten zabezpečí smerovanie prostredníctvom štandardných nástrojov linuxového jadra a firewall prostredníctvom nástroja iptables. OS je prevádzkovaný na 250GB internom RAID1 poli, ktorého kapacita je rozdelená nasledovne: 20GB root partícia typu, súborový systém EXT4, 8GB swap partícia, 222GB /var partícia, súborový systém EXT4, miesto vyhradené prevaţne pre logy firewallu. Základná konfigurácia siete nastaví primárnu IP adresu pre uţívateľskú sieť, predvolené smerovanie a DNS servery. Ďalej sa nastavujú všetky ďalšie verejné IP adresy: ifconfig eth netmask router add default gw echo "nameserver " > /etc/resolv.conf echo "nameserver " > /etc/resolv.conf ifconfig eth0: netmask ifconfig eth0: netmask ifconfig eth0: netmask ifconfig eth0: netmask

76 Nasledovná časť konfigurácie nastaví základné parametre firewallu: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #ochrana pred syn floodingom iptables -N SYNFLOOD iptables -A SYNFLOOD -m limit --limit 50/s -j RETURN iptables -A SYNFLOOD -m limit --limit 100/h -j LOG --log-prefix="synflood DROP: " iptables -A SYNFLOOD -j DROP #ochrana pred icmp floodingom iptables -N ICMPFLOOD iptables -A ICMPFLOOD -m limit --limit 50/s -j RETURN iptables -A ICMPFLOOD -m limit --limit 100/h -j LOG --log-prefix="icmpflood DROP: " iptables -A ICMPFLOOD -j DROP iptables -A INPUT -p tcp --syn -j SYNFLOOD iptables -A INPUT -p icmp -j ICMPFLOOD iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #pravidla pre samotny router / firewall iptables -A INPUT -p tcp -d dport 22 -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp -s dport 53 -m state --state NEW -j ACCEPT iptables -A OUTPUT -p tcp -s dport 53 -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp -s dport 123 -m state --state NEW -j ACCEPT iptables -A INPUT -m limit --limit 100/h -j ULOG --ulog-prefix "INPUT DROP: " iptables -A OUTPUT -m limit --limit 100/h -j ULOG --ulog-prefix "OUTPUT DROP: " 76

77 Ďalšia časť konfigurácie nastavuje prístup uţívateľov a DMZ do internetu a maskuje ich za jednotlivé verejné IP adresy. Ďalej sa nastavujú prestupy z internetu do DMZ ako príklad je uvedený prestup portu 80 z verejnej IP na web server: echo "1" > /proc/sys/net/ipv4/ip_forward iptables -t NAT -A POSTROUTING -s / o eth0 -j SNAT --to-source iptables -t NAT -A POSTROUTING -s / o eth0 -j SNAT --to-source iptables -t NAT -A POSTROUTING -s / o eth0 -j SNAT --to-source iptables -t NAT -A POSTROUTING -s / o eth0 -j SNAT --to-source iptables -t NAT -A PREROUTING -p tcp -d dport 80 -j DNAT --to :80 Nasledovná časť konfigurácie povolí prestup do internetu pre internú sieť a WiFi. Riadenie prístupu do firewallu pre internú sieť sa prenecháva na interný smerovač / firewall. Externý firewall riadi prístup DMZ siete do internetu - ako príklad je uvedené pravidlo pre prístup ového servera do internetu pre odosielanie ov: iptables -A FORWARD -s / j ACCEPT iptables -A FORWARD -s / j ACCEPT iptables -A FORWARD -s / j ACCEPT iptables -A FORWARD -p tcp -s dport 25 -j ACCEPT iptables -A FORWARD -p tcp -s dport 587 -j ACCEPT iptables -A FORWARD -p tcp -s dport 465 -j ACCEPT Realizácia centrálneho prepínača Pre realizáciu bol vybratý Cisco prepínač Catalyst Nasledovná konfigurácia nastavuje stack a redundanciu medzi 2 prepínačni. Ako príklad uvádzam pripojenie jedného servera z DMZ k takýmto prepínačom: version 12.2 service nagle no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime service password-encryption service sequence-numbers service counters max age 5 service unsupported-transceiver 77

78 hostname centralsw boot-start-marker boot-end-marker logging snmp-authfail logging buffered no logging console enable secret 5 $1$go35ijfkdfowejX42xe0/ username admin privilege 15 secret 5 $1$fA9fewrqc2yN7lfmodI. aaa new-model aaa authentication login default group radius local aaa session-id common clock timezone CET 1 clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 switch 1 provision ws-c3750g-24t switch 2 provision ws-c3750g-24t system mtu routing 1500 vtp mode off authentication mac-move permit ip subnet-zero no ip domain-lookup ip domain-name univerzita.com no mls qos rewrite ip dscp mls qos errdisable recovery cause udld errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig (STP) errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause sfp-config-mismatch errdisable recovery cause gbic-invalid errdisable recovery cause psecure-violation errdisable recovery cause dhcp-rate-limit errdisable recovery cause vmps errdisable recovery cause storm-control errdisable recovery cause loopback errdisable recovery interval 30 port-channel load-balance src-dst-ip spanning-tree mode rapid-pvst spanning-tree logging spanning-tree etherchannel guard misconfig spanning-tree extend system-id vlan internal allocation policy ascending vlan

79 ip ssh version 2 policy-map rewrite-0 class class-default set dscp default interface Port-channel1 description Portchannel SERVER1 switchport access vlan 300 switchport mode access switchport nonegotiate bandwidth load-interval 60 keepalive 2 spanning-tree guard loop hold-queue 4096 in hold-queue 4096 out interface GigabitEthernet1/0/1 description SERVER1 switchport access vlan 300 switchport mode access switchport nonegotiate bandwidth load-interval 60 keepalive 2 channel-group 1 mode active hold-queue 4096 in hold-queue 4096 out interface GigabitEthernet2/0/1 description SERVER1 switchport access vlan 300 switchport mode access switchport nonegotiate bandwidth load-interval 60 keepalive 2 channel-group 1 mode active hold-queue 4096 in hold-queue 4096 out 79

80 ip default-gateway ip classless no ip http server no ip http secure-server ip sla enable reaction-alerts line con 0 line vty 0 4 privilege level 15 password C0B2E7D line vty 5 15 privilege level 15 password E0A2138 ntp clock-period ntp server prefer end 80

81 Záver Na základe informácií obsiahnutých v diplomovej práci, je na vykonanie bezpečnostného auditu najvhodnejšie pouţiť rámec zaloţený na procesnom riadení ako napr. Cobit 5.0 a v rámci uvedenej metodológie uplatniť niektorú z metód rizikovej analýzy. V práci je uvedený príklad analýzy rizík IS fiktívnej vysokej školy pomocou skóringu, ktorý vychádza z procesnej dekompozície a identifikácii vrstiev informačnokomunikačných technológií. Na vykonanie uţšie zameraného technického auditu je v práci zvolený postup vykonania bezpečnostného auditu pomocou dokumentu Network Perimeter Security Audit /Assurance, ktorú práca podrobne popisuje. Ďalšia moţnosť realizácie bezpečnostného auditu je uvedená vo forme jednoduchého kontrolného zoznamu. V závere tretej kapitoly sú predstavené moţné nástroje na vykonanie bezpečnostného auditu WLAN (pomocou penetračného testovania). Posledná štvrtá kapitola je návrhová časť práce, ktorá vychádza z poznatkov zistených bezpečnostným auditom (lessons learned). Ide o návrh moţne sieťovej architektúry hypotetickej vysokej školy, ktorá môţe byť základnou šablónou pre reálny projekt vysokoškolskej siete. Návrh bol zaloţený na základe zhodnotenia rizikových faktorov, ktoré ovplyvňujú funkcionalitu a teda aj pridanú hodnotu IS. Celková logická štruktúra je prioritne viazaná na dosiahnutie maximálnej bezpečnosti (t. j. elimináciu čo najširšej mnoţiny hrozieb) s prihliadnutím na procesy prebiehajúce v rámci vysokej školy. Z technologického pohľadu za základné stavebné časti IS v návrhovej časti práce boli zvolené Cisco prepínače a smerovače resp. firewally na báze OS Linux a Enterprise HW. V uvedenom prípade sa prihliadalo na vysokú spoľahlivosť uvedených prvkov a ich efektívnu podporu zo strany dodávateľa. Pouţitie Cisco prepínačov bolo motivované ich výborným výkonom, podporou zo strany spoločnosti Cisco a veľkým výberom modelov. Je teda moţné nasadiť model s optimálnym pomerom ceny a výkonu z pohľadu účelu nasadenia. Pre firewall bolo opätovne moţné nasadiť Cisco zariadenia. V takom prípade by však vynaloţené náklady nemuseli byť úmerné ochraňovaným hodnotám. Napriek väčšej zriaďovacej cene neposkytujú výrazne väčší výkon a funkcionalitu oproti zariadeniam na báze OS Linux. Preto bol zvolený Fujitsu HW so zakúpenou zárukou garantovanej opravy, nad ktorým sa postavil smerovač a firewall na báze OS Linux. Tento poskytuje veľkú flexibilitu pri nastavovaní nových funkcií v sieti a zároveň vysokú bezpečnosť. 81

82 Počas popisovania krokov bezpečnostného auditu, ako aj analýzy a návrhu IS boli v práci vyuţité viaceré nástroje, ako Aris Express, Power Designer a Lucidchart. Účelom bolo poukázať na moţné vyuţitie týchto nástrojov v audítorskej praxi počas vykonávania bezpečnostného auditu. 82

83 Zoznam použitej literatúry European Community Information technology Evaluation Criteria Brussel : Office for Official Publications of the European Communities, s Dostupné na: ISBN ActivIT, s.r.o. Bezpečnostný audit informačných systémov. [Online] [Dátum: 15. január 2014.] ALBERTS, Christopher J., a iní OCTAVE Framework 1.0. Carnegie Mellon University. Pittsburgh : Software Engineering Institute, s. 81. CMU/SEI-99- TR-017. BREWER, Denis C Security controls for Sarbanes-Oxley section 404 IT compliance : authorization, authentication, and. Indianapolis : Wiley Publishing, Inc., CBS Interactive, Inc The metrics of IT: Management by measurement. [pdf dokument] San Francisco : CBS Company, Cisco Systems, Inc Deploying Firewalls Throughout Your Organization. Deploying Firewalls Throughout Your Organization. [Online] november White Paper. white_paper0900aecd8057f042.html. C DAVIS, Chris, SCHILLER, Mike a WHEELER, Kevin IT Auditing- Using Controls to Protect Information Assets. New York : The McGraw-Hill Companies, s Department of Defense Department of Defence Trusted Computer Evaluation Criteria. NIST.gov - The Computer Security Division - Computer Security Resource Center. [Online] 26. december dod85.pdf. DEUTSCH, Willinam How to Secure Your Building and Property. What is physical security? [Online] About.com, [Dátum: 14. apríl 2013.] DOSTÁLEK, Libor Bezpečnost sítí: velká kniha. 1. Brno : CP Books, s

84 ENISA Auditing security measures. [PDF dokument] 1., Heraklion : s.n., september Dostupné na: CIIP/Incidents-reporting/schemes-for-auditing-security-measures Európska komisia Protection of personal data. European Commission. [Online] 25. január [Dátum: 24. január 2014.] Európska únia Regulatory framework for electronic communications in the European Union. Luxembourg : Publications Office of the EU, s Fujitsu Fujitsu server Primergy. [Online] [Dátum: 27. február 2014.] rack/rx100/. GRASSEOVÁ, Monika, DUBEC, Radek a HORÁK, Roman Procesní řízení ve veřejném i soukromém sektoru. Brno : Computer Press, a. s., s HANČIAK, Matej Prieskum informačnej bezpečnosti v podnikoch. Banská Bystrica : BIVŠ, s. 52. Bakalárska práca. HUDEC (a), Ladislav Bezpečnosť počítačových systémov. Programová bezpečnosť, škodlivý kód a skryté kanály. [Online] 5. jún ~lhudec/cs/cs.htm. HUDEC (b), Ladislav Bezpečnosť počítačových systémov. Komunikačná bezpečnosť, protokoly IPsec a SSL/TLS. [Online] jún PowerPoint prezentácia. I-Europa, s.r.o Súd označil zber osobných údajov podľa EÚ za ilegálny. euractiv.sk. [Online] 8. apríl [Dátum: 27. apríl 2014.] -eu-za-ilegalny International Organization for Standardization home/standards.htm. iso.org. [Online] International Organization for Standardization,

85 ISACA Risk-based Approach to IT Systems Life Cycle and Change Control. ISACA JOURNAL. 2010, Vol. 5. Dostupné elektronicky na: Pages/default.aspx. ITU-T Common vulnerabilities and exposures. Telecommunication standardization sector of ITU. Ţeneva : ITU-T, s. 22, Data networks, open system communications and security. X Je bezpečnosť informačných systémov bezpečná? HUDEC, Ladislav [ed.] STU. Bratislava : s.n., s. 42. Prednáška pre Alumni klub. KOSTERCOVÁ (b), Eva Informačná bezpečnosť. [Prezentácia PowerPoint] [ed.] STU FEI. 6, Bratislava : Akadémia policajného zboru, Fyzická bezpečnosť a bezpečnosť prostredia. Dostupné na: Informacna%20bezpecnost%20-%20predmet%20na%20FEI/ ppt. KOSTRECOVÁ, Eva Informačná bezpečnosť. [Prezentácia PowerPoint] [ed.] STU FEI. 5, Bratislava : Akadémia policajného zboru, Personálna bezpečnosť. Dostupné na: predmet%20na%20fei/ pptr. LOVEČEK, Tomáš a PEŤKO, Stanislav Terminológia bezpečnostného manaţmentu. securityrevue.com. [Online] Výkladový slovník ISBN LOVEČEK, Tomáš Bezpečnostná IT politika ako jeden zo základných dokumentov organizácie. securityrevue.com. [Online] 19. apríl Bezpečnostné systémy, bezpečnosť informačných systémov. Ţilina : Ţilinská univerzita, s Medzinárodná organizácia pre normalizáciu ISO/IEC Informačné technológie. Bezpečnostné metódy. Riadenie rizík informačnej bezpečnosti. [prekl.] Slovenský ústav technickej normalizácie Bratislava : Slovenský ústav technickej normalizácie, ISO/IEC TR Informačné technológie. Návod na manažérstvo bezpečnosti IT. Časť 1: Koncepcie a modely bezpečnosti IT. Ţeneva : International Organization for Standardization,

86 MF SR Informačná bezpečnosť. Informatizácia - Informačná bezpečnosť. [Online] MF SR, Sekcia informatizácie spoločnosti, 6. jún Informatizácia - ENISA. informatizácia.sk. [Online] Ministerstvo financií SR, 14. marec [Dátum: 10. jún 2014.] Národná stratégia pre informačnú bezpečnosť v SR. informatizacia.sk. [Online] 27. august s pre_ib/6167c Národná stratégia pre informačnú bezpečnosť v SR. Príloha č. 2. informatizacia.sk. [Online] 4. jún s OLEJÁR, Daniel, a iní Informačná bezpečnosť. [dokument PDF] Bratislava : MF SR, december Študijné materiály pre kurzy informačnej bezpečnosti. Dostupné na: PŘIBIL, Jiří Informační bezpečnost a utajování zpráv. 1. Praha : ČVUT, s PURDY, Grant ISO 31000:2009 Setting a New Standard for Risk Management. Risk Analysis. 2010, Zv. 30, 6. Dostupné na: pdfs/articles/art_riskanalysis_iso31000.pdf. RAZDERA, Peter Informačná bezpečnosť: najväčším rizikom sú privilegovaní pouţívatelia a prístupy. Infoware. IX, október 2013, 10/2013. ROVNÝ, Peter Bezpečnosť informačných systémov. Virtuálna učebňa. [Online] STRNÁD, Ondrej Bezpečnosť a manaţment informačných systémov. FTP FII. [Online] 27. október %20a%20manazment%20informacnych%20systemov/Ostrn.pdf. SVATÁ, Vlasta Audit informačního systému. Příbram : Professional Publishing, s Všeobecné princípy auditu. [powerpoint prezentácia] Praha : BIVŠ, The ISO Directory An Introduction To ISO The ISO Directory. [Online] TRAPANI, Gina Lifehacker.com. How to crack WiFi network's WEP password with BlackTrack. [Online] Lifehacker, 28. október [Dátum: 13. marec 86

87 2014.] blog. Úrad na ochranu osobných údajov SR Metodické usmernenie č. 1/2013 k pojmu osobné údaje. Bratislava : Odbor právnych sluţieb a medzinárodných vzťahov, 1. júl /2013-Op-1. Vernerová, Lucie Skóringové modely hodnotenia úverovej spôsobilosti. Brno : Masarykova univerzita, s. 66. Wikipedia DMZ (computing). DMZ (computing) - Wikipedia. [Online] Wikimedia Foundation, Inc., 16. marec (computing). 87

88 5 Prílohy

89 5.1 Vizualizácia IT infraštruktúry školy Všetky obrázky boli spracované autorom diplomovej práce vo voľne dostupnom doplnku prehliadača Google s názvom Lucidchart. Obrázok P 1 Základná topológia siete v trojpodlaţnej budove školy Obrázok P 2 Topológia LAN na prízemí budovy - 1 -

90 Obrázok P 3 Topológia LAN na 1. poschodí budovy Obrázok P 4 Topológia LAN na 2. poschodí budovy - 2 -

91 Obrázok P 5 Nákres fyzického rozloţenia IS na prízemí vrátane bezpečnostných prvkov objektovej ochrany

92 Obrázok P 6 Nákres fyzického rozloţenia IS na 1., resp. 2. poschodí (zhodná konfigurácia) vrátane bezpečnostných prvkov objektovej ochrany - 4 -

Samotná skriňa sa nachádza na prízemí v zabezpečenej miestnosti.

93 Obrázok P 7 Príklad diagramu rozloţenia jednotlivých panelov v serverovej skrini (Server Rack Diagram). Samotná skriňa sa nachádza na prízemí v zabezpečenej miestnosti. Zároveň aj panely serverovej skrine sú uzamknuté a zabraňujú neoprávnenej manipulácii

5.2 WiFi-Owl softvérový nástroj pre manažovanie WLAN sietí. WiFi-Owl je produktom americkej spoločnosti Axensiss, ktorá zamestnáva pribliţne 30 zamestnancov.

pomocou vyše 30 štandardizovaných hlásení informuje program o časových parametroch, výkone, kvalite, prenosovom pásme, atď; monitorovaných bezdrôtových spojení, c.

94 5.2 WiFi-Owl softvérový nástroj pre manažovanie WLAN sietí. WiFi-Owl je produktom americkej spoločnosti Axensiss, ktorá zamestnáva pribliţne 30 zamestnancov. Ide o manaţérsky nástroj pre Wi-Fi siete, ktorý má dve základné funkcie: 1. výkonnosť a dostupnosť: a. monitorovanie a hlásenie pri problémoch s prístupovými bodmi, b. pomocou vyše 30 štandardizovaných hlásení informuje program o časových parametroch, výkone, kvalite, prenosovom pásme, atď; monitorovaných bezdrôtových spojení, c. bezpečnosť detekcia a upozornenie na prítomnosť rouge prístupových bodov; 2. hlásenie zhody a auditu: hlásenia pre audit vlastností prístupových bodov (SSID, šifrovanie, telnet, SNMP, atď.). Obrázok P 8 Základné uţívateľské prostredie programu WiFi-Owl

95 Obrázok P 9 Hlásenie o najviac problémových prístupových bodoch bezdrôtovej siete Obrázok P 10 Zobrazenie vyťaţenosti siete, údaje sú uvádzané v Mbps - 7 -

96 10 krokov bezpečnostného auditu Wi-Fi siete pomocou WiFi-Owl Na základe v práci definovaných poţiadaviek bezpečnostného auditu (kapitola 3.2) a odporúčaní v kapitole 4, je moţné pomocou popisovaného programového prostriedku vykonať bezpečnostný audit Wi-Fi siete v 10 základných krokoch, ktoré sú popísné niţšie: 1. KROK detekcia rouge (falošných) prístupových bodov; 2. KROK nájdenie všetkých prístupových bodov s prednastaveným (default) menom administrátorského účtu (Admin); AP Name Site Name Admin ID Cisco Local Network Admin ap cisco Local Network Cisco ap cisco Local Network Admin2 3. KROK nájdenie všetkých prístupových bodov s prednastaveným pôvodným heslom z výroby (default password); AP Name Site Name Admin ID Is password default Cisco Local Network Admin Yes ap cisco Local Network Cisco Yes ap cisco Local Network Victor Unknown due to strongly encrypted account - 8 -

97 password ap cisco Local Network Admin2 Yes 4. KROK overenie spôsobu šifrovania a autentifikácie Wi-Fi pouţívaných na všetkých prístupových bodoch; AP Name Site Name Network Interface SSID Encryption Dot11Radio Local Network 8A-2F-10-0A, Vlan Cisco 123 Vlan123 WEP+Open CiscoAlpha- Dot11Radio Local Network 8A-9E-01-5D, Vlan Vlan1111 WEP+Open Cisco Systems KROK overenie periódy obmeny WEP kľúča; AP Name Site Name Network Interface Last date/since date Is changed Dot11Radio /22/2007 1:25:02 Local Network Cisco 8A-2F-10-0A PM Yes 1-Dot11Radio0-00- ap /22/2007 9:51:30 Local Network 02-8A-9E-01-4D, Cisco AM VlanId 3333 No ap Cisco ap Cisco ap Cisco ap Cisco ap Cisco Local Network Local Network Local Network Local Network Local Network Local Network Local Network Local Network 1-Dot11Radio A-9E-01-4D, VlanId 22 1-Dot11Radio A-9E-01-4D, VlanId Dot11Radio A-9E-01-4D, VlanId Dot11Radio A-9E-01-4D, VlanId Dot11Radio A-9E-01-4D, VlanId 345 CiscoAlpha Cisco Systems CiscoBeta Cisco CiscoG Cisco Dot11Radio A-9E-01-5D Dot11Radio A-1E-2A-2F Dot11Radio A-9A-21-7F 2/22/2007 9:51:30 AM 2/22/2007 9:51:30 AM 2/22/2007 9:51:30 AM 2/22/2007 9:51:30 AM 2/22/2007 9:51:30 AM 2/22/2007 1:24:51 PM 2/22/2007 1:24:56 PM 2/22/2007 1:25:06 PM No No No No No Yes No No 6. KROK odkrytie všetkých prístupových bodov s povoleným SNMP a s heslom (community string) public ; AP Name Site Name Community String = 'public' Cisco Local Network Yes ap cisco Local Network Yes CiscoAlpha Cisco Systems Local Network Yes 7. KROK nájdenie všetkých prístupových bodov vysielajúcich SSID; AP Name Site Name Network Interface Broadcasted SSID Cisco Local Network Dot11Radio A- 2F-10-0A, Vlan 123 Vlan123 CiscoAlpha- Local Network Dot11Radio A- Vlan

98 Cisco Systems 9E-01-5D, Vlan KROK identifikácia všetkých prístupových bodov, u ktorých je povolený FTP; AP Name Site Name FTP Enabled Cisco Local Network Yes CiscoG Cisco Local Network Yes 9. KROK identifikácia a prísne sledovanie kritických zmien v bezpečnostných nastaveniach prístupového bodu; AP Name Site Name Date Message Before Value Ap Cisco Ap Cisco ap Cisco ap Cisco ap Cisco ap Cisco ap Cisco SSID CiscoVlan3, Broadcast: No, Encryption: WPA- PSK ap Cisco edfew, No, WPA- ap Cisco ap Cisco ap Cisco ap Cisco Local Network Local Network Local Network Local Network Local Network Local Network Local Network Local Network Local Network Local Network Local Network Local Network 2/21/2007 9:56:55 PM 2/21/2007 9:36:25 PM 2/21/2007 9:36:25 PM 2/21/2007 9:36:25 PM 2/21/2007 9:36:25 PM 2/21/2007 9:36:25 PM 2/21/2007 9:36:25 PM 2/21/2007 9:36:25 PM 2/21/2007 9:36:25 PM 2/21/2007 9:36:25 PM 2/21/2007 9:36:25 PM 2/21/2007 9:36:25 PM WEP Key #1 was changed. Network interface '1- Dot11Radio A-9E-01-4D'. VLAN '456' New account was added to the device New account was added to the device New account was added to the device New snmp community string was added New snmp community string was added New SSID was added. Network Interface '1- Dot11Radio A-9E-01-4D'. VLAN '3333' New SSID was added. Network Interface '1- Dot11Radio A-9E-01-4D'. VLAN '22' New SSID was added. Network Interface '1- Dot11Radio A-9E-01-4D'. VLAN '2222' New SSID was added. Network Interface '1- Dot11Radio A-9E-01-4D'. VLAN '456' New SSID was added. Network Interface '1- Dot11Radio A-9E-01-4D'. VLAN '1000' New SSID was added. Network Interface '1- Dot11Radio A-9E-01-4D'. VLAN '345' Encrypted Victor Admin2 Cisco Secret Public SSID Broadcast: Encryption: PSK SSID CiscoVlan2, Broadcast: No, Encryption: eap+tkip+wep40 SSID sec_test1, Broadcast: No, Encryption: Open+WEP SSID Broadcast: Encryption: system Ciscoss, Yes, Open SSID sec_test2, Broadcast: No, Encryption: WPA

99 ap Cisco ap Cisco ap Cisco ap Cisco ap Cisco ap Cisco ap Cisco ap Cisco ap Cisco ap Cisco Local Network Local Network Local Network Local Network Local Network Local Network Local Network Local Network Local Network Local Network 2/21/2007 8:27:27 PM 2/21/2007 8:27:27 PM 2/21/2007 8:27:27 PM 2/21/2007 8:27:27 PM 2/21/2007 8:24:27 PM 2/21/2007 8:24:27 PM 2/21/2007 8:24:27 PM 2/21/2007 8:24:27 PM 2/21/2007 8:24:27 PM 2/21/2007 8:24:27 PM Account was removed from the device Account was removed from the device Snmp community string was removed Snmp community string was removed SSID was removed. Network interface '1- Dot11Radio A-9E-01-4D'. VLAN '3333' SSID was removed. Network interface '1- Dot11Radio A-9E-01-4D'. VLAN '22' SSID was removed. Network interface '1- Dot11Radio A-9E-01-4D'. VLAN '2222' SSID was removed. Network interface '1- Dot11Radio A-9E-01-4D'. VLAN '456' SSID was removed. Network interface '1- Dot11Radio A-9E-01-4D'. VLAN '1000' SSID was removed. Network interface '1- Dot11Radio A-9E-01-4D'. VLAN '345' victor Admin2 secret public CiscoVlan3 edfew CiscoVlan2 sec_test1 Ciscoss sec_test2 10. KROK zber a skladovanie záznamov (log súbory) z prístupových bodov

Aplikačný dizajn manuál

Aplikačný dizajn manuál Úvod Aplikačný dizajn manuál je súbor pravidiel vizuálnej komunikácie. Dodržiavaním jednotných štandardov, aplikácií loga, písma a farieb pri prezentácii sa vytvára jednotný dizajn,