- Stahuj zápisky z přednášek a ostatní studijní materiály
- Zapisuj si jen kvalitní vyučující (obsáhlá databáze referencí)
- Nastav si své předměty a buď stále v obraze
- Zapoj se svojí aktivitou do soutěže o ceny
- Založ si svůj profil, aby tě tví spolužáci mohli najít
- Najdi své přátele podle místa kde bydlíš nebo školy kterou studuješ
- Diskutuj ve skupinách o tématech, které tě zajímají
Studijní materiály
Hromadně přidat materiály
Vypisky_2006
PV017 - Bezpečnost informačních technologií
Hodnocení materiálu:
Zjednodušená ukázka:
Stáhnout celý tento materiálI. Uvod do problematiky bezpecnosti IT
Uvodnı jazykovy koutek
vlastnım / pouzıvam neco, co ma pro mne nepominutelnou hodnotu – toto je mym aktivem, ztrata / snızenı hodnoty meho aktiva mne zpusobuje skodu ,ztrata / snızenı hodnoty aktiva je dusledek utoku, utok je realizacı hrozby, jeho dopadem je skoda hrozba existuje dıky zranitelnosti systemu obhospodarujıcım moje aktiva – dıky existenci zranitelnych mıst a utocnıkum, pravdepodobnost uplatnenı hrozby predstavuje riziko prijımam proto (bezpecnostnı) opatrenı,ktera vysi potencialnıch skod (resp. rizik) omezujı na prijatelnou hodnotu (bezpecnostnı) opatrenı musım ucinnou formou implementovat vhodnymi (bezpecnostnımi) mechanismy
Duvernost, Iintegrita(nedotknutelnost), Dostupnost, Nepopiratelnost
bezpecnost IT = proces dosazenı a udrzenı duvernosti, integrity,
dostupnosti,uctovatelnosti (protokolovatelnosti), autenticity, spolehlivosti informacı a IT sluzeb na primerene urovni
Typy utocniku: amateri, hacekri, profesionalove, autority
Bezpecnostnı funkce, BF, prıklady
BF fyzickeho charakteru – trezor, zamek
BF technickeho charakteru – ID karty, ISIC
BF logickeho charakteru – hesla, kody, el. podpis
BF administrativnıho charakteru – skoleni, pravni normy
Bezpecnostnı mechanismus: Slaby, stredni, silny (proti komu, jak caste, jak drahe)
Celkova bezpecnostnı politika IT - souhrn bez. zasad a predpisu, zpusob, zabezp.na
5-10 let, klasifikace aktiv
Systemova bezpecnostnı politika – konkretni definice praktik na dobu 2–5 let
Faze tvorby bezpecnostnı politiky cyklicky proces sestavajıcı z nasledujıcıch kroku
Posouzenı vstupnıch vlivu
Analyza rizik
Vypracovanı projektu BP
Implementace, prosazenı BP
Plnenı byznysu pod kuratelou prosazene BP
Vyhodnocenı adekvatnosti BP
Metodologie analyzy rizik (AR)
Elementarnı AR
prevzetı opatrenı na zaklade analogie podobnych systemu a ze vseobecnych standardu
Neformalnı AR (kvalitativnı)
provedenı AR na zaklade znalostı jednotlivcu – odbornku na bezpecnost (internıch/externıch) bez pouzitı standardnıch strukturovanych metod
Detailnı AR (kvantitativnı)
provedenı AR pouzitım standardnıch strukturovanych metod ve vsech 6 fazich (Identifikace a ocenenı aktiv, nalezenı zranitelnych mıst, . . . )
Kombinovana AR
Hlavní hrozby: cross site sripting, buffer overflow ...
Bezpecnostni apely
Zcizeni identity
II. Budovanı bezpecnosti IT a analyza rizik
Aktiva jsou prvky systemu, ktere je potreba chranit
Hrozby neco, co je nebezpecım pro dostupnost, duvernost, integritu aktiva
Utoky realizace hrozby zrodivsı se zamernou akcı
Zranitelnost skutecnosti, ktere mohou byt vyuzıvane jednou nebo vıce
hrozbami
Dopad velikost skody, kterou by mohla zpusobit realizovana hrozba
Rizika odhad vaznosti (,,serioznosti”) hrozby potencial, ze dana hrozba vyuzije
zranitelnost aktiva ci skupiny aktiv a realizuje se utokem
Bezpecnostnı pozadavky
autentizace enity a puvodu
rızenı prıstupu
zajistenı duvernosti
zajistenı integrity
– pri pamatovanı prevence neautorizovane zmeny
– pri prenosech obvykle detekce neautorizovane zmeny
zajistenı nepopiratelnosti
zajistenı dostupnost
Typicke role osob vystupujıcıch v bezpecnostnıch procedurach
bezpecnostnı manazer
bezpecnostnı administrator/urednık
Operator
Auditor
Bezpecnostnı procedury (postupy), obsah
Definice zucastnenych rolı
Pridelenı rolı jednotlivcum
Popis instalace a inicialnı konfigurace
Popis provoznıch procedur
Popis za lohovacıch a obnovovacı procedur a havarijnıho planu
Vybrane bezpecnostnı zasady
Dual control – dublovanı autorizace
Separation of duty – separace odpovednostı
Kategorizace forem spravy bezpecnosti
Sprava chyb a zavad
Sprava konfigurace a zmenoveho rızenı
Sprava auditu a protokolovanı udalostı souvisejıcıch s bezpecnostı
Performance management - monitorovani
Sprava bezpecnostnıho programu
Faze analyzy rizik
1. Identifikace aktiv a stanovenı jejich hodnot (identifikovanı aktiv tvorıcıch
aplikaci, vztahu mezi aktivy, ktere plnı sluzbu, vlastnictvı techto aktiv a identifikovanı jejich hodnot)
2. Identifikace hrozeb pro aktiva = posouzenı moznych typu utoku. Low, Medium, High.
kategorizace hrozeb
ISO/IEC TR 13335-3 :
neautorizovane pouzitı software
pouzitı software neautorizovanym uzivatelem
pouzitı software neautorizovanym zpusobem
odmıtnutı sluzby a transakce
chyba uzivatele
falsovanı identity uzivatele
Microsoft:
Falsovanı identity
Zranitelnost software
Selhanı autentizace
Selhanı programu
Selhanı procedury spravy
Unik informace
Zneprıstupnenı sluzby, Denial of Service
Manipulace s daty
Poprenı
Eskalace privilegi
Na odhalovanı hrozeb zranitelnych mıst se podıleji osoby rozumejıcı aplikaci z…
3. Identifikace zranitelnych mıst aktiv predmetem zajmu jsou ta zranitelna mısta, která
se v aplikaci vyskytujı. Na odhalovanı zranitelnych mıst se podıleji osoby
rozumejıcı aplikaci z ... + str. 44
4. Odhad rizik – pravdepodobnostı utoku
5. Odhad ocekavanych (rocnıch) ztrat
6. Vypracovanı prehledu pouzitelnych opatrenı, jejich cen a doporucenı jejich volby
7. Odhad rocnıch uspor aplikacı zvolenych opatrenı a stanovenı prijatelnych
rezidualnıch rizik
Stavebnı model aplikace
Pohled byznysu
Pohled architekta
Pohled designera
Pohled tvurce/stavitel
Pohled obchodnıka
Pohled spravce provozu
Business Continuity Plan, BCP
Plan cinnosti IT po u toku
Plan obnovy
3-fazovy prubeh reakce na utok
1. Faze – nastupujıtymy 1. reakce
2. Faze – nastupujı tymy pro resenı incidentu
3. Faze – tymy pro obnovu IT
Vybrane rady pro tvorbu BCP
III. Standardizace bezpecnosti IT
Standard, norma: pravidlo/smernice definujici charakteristicke vlastnosti, umluva o
technicke specifikaci.
De facto standard = norma schvalenou nejakou komunitou, reprezentuje liberalni pohled
na svet
RFC (Request for Comment)
Internet Society, ISOC
Internet Activities Board, IAB
IETF, Internet Engineering Task Force
De jure stadndard = schvaleny nejakou autoritou, konzervativni pohled na svet
Oblasti zajmu de iure standardu
oblast bez portfeje – vse co nenı elektro nebo komunikace
International Organization for Standardization ISO, ISO
oblast elektroniky a elektrotechniky
Celosvetove odpovedna instituce: ISO +
International Electrotechnical Commission, IEC
oblast komunikacı
Celosvetove odpovedna instituce: ISO +
International Telecommunications Union, ITU
Institute of Electrical and Electronics Engineers, IEEE
National Institute for Standards and Technology, NIST
Vloženo: 24.04.2009
Velikost: 102,00 kB
Komentáře
Tento materiál neobsahuje žádné komentáře.
Copyright 2024 unium.cz