Vypracované otázky

Definujte:
a) důvěrnost
Udržování důvěrných aktiv v tajnosti, zamezení přístupu neautorizovaných subjektů, týká se též důvěrnosti komunikace.
b) integrita
Integrita aktiv = aktiva nesmějí být modifikována a rušena neautorizovaným způsobem. Integrita originality = autenticita, ověřitelnost deklarovaného původu aktiva
c) dostupnost
Aktiva musí být autorizovaným subjektům přístupná.
d) nepopiratelnost
Nepopiratelnost rozšiřuje chápání autenticity z ověření původnosti na nemožnost popření deklarovaného původu – např. nepopiratelnost přijetí a odeslání zprávy, autorství dokumentu.
Charakterizujte stručně účel:
a) Bezpečnostního cíle
Dosažení požadované minimální hladiny rizik tak, aby se zaručila požadovaná úroveň bezpečnosti.
b) Bezpečnostní funkce
Též funkce prosazující bezpečnost, bezpečnostní (proti)opatření, funkce prosazující plnění některého bezpečnostního cíle. Rozeznáváme funkce preventivní, heuristické, detekční a opravné.
c) Bezpečnostního mechanismu
Administrativní, fyzický, logický či algoritmický prostředek implementující bezpečnostní funkci.
Co je to preventivní bezpečnostní funkce?
Jedná se o bezpečnostní funkci, která se užívá před samotným útokem s cílem minimalizovat riziko útoku. Příkladem budiž zamykání dveří.
Co to je bezpečnosní politika?
Souhrn pravidel specifikující účinný způsob uplatňování opatření potřebných pro dosažení požadované minimální úrovně rizik. BP říká co a proti čemu se chrání (bezpečnostní cíle) a jak se ochrana uplaňuje. Pokud se dodržováním BP dosáhne požadované úrovně bezpečnosti, je BP důvěryhodná.
Security X safety
Security – ochrana proti záměrným škodám
Safety – ochrana proti objektině působícím vlivům
Charakterizujte stručně účel:
a) Bezpečnostní politika organizace
Jedná se o souhrn bezpečnostních zásad definujících způsob zabezpečení organizace jako celku. Rozprostírá se od fyzické ostrahy přes ochranu soukromí, bezpečné plnění business cílů až po ochranu lidských práv.
b) Celková bezpecnostní politika
Někdy se též nazývá bezpečnostní politika IT organizace. Jedná se o výběr bezpečnostních zásad a předpisů souvisejících s IT – všeobecně definuje bezpečné používání IT. Splňuje bezpečnostní politiku organizace. Stanovuje se na dobu 5 – 10 let a je v podstatě nezávislá na použitých IT.
c) Systémová bezpecnostní politika
Též bezpečnostní politika IS. Zde se již jedná o detailní normy a pravidla upravující způsob zacházení s informacemi. Specifikuje bezpečnostní opatření, způsob jejich implementace a použití. Respektuje konkrétní použité IT. Splňuje celkovou bezpečnostní politiku a platí asi 2 – 5 let.
Definujte pojmy autorizace a autentizace.
Autentizace je proces ověření, že entita je tou entitou, za kterou se prohlašuje.
Autorizace je koncept povolení přístupu k aktivům jen těm, kteří k tomu mají oprávnění.
a) Napište cyklický proces tvorby bezpečnostní politiky
posouzení vstupních vlivů
analýza rizik
vypracování projektu BP
implementace a prosazení BP
plnění businessu pod kuratelou BP
vyhodnocení adekvátnosti BP
b) (Napiš 6 fází správy rizik – to jsem nenašel)
Správa rizik je souhrn opatření použitých pro redukci a správu rizik. Zahrnuje celý proces implementace a provozování bezpečného systému.
b) Napiš 6 fází analýzy rizik.
Identifikace aktiv a stanovení jejich hodnot
Identifikace hrozeb
Identifikace zranitelných míst
Odhad rizik – pravděpodobnost realizace útoků
Odhad rizik – odhad očekávaných ztrát a dopadů útoků
Vypracování přehledu opatření, jejich cen,...
Odhad ročních úspor při aplikaci opatření.
(1 – 5 = ohodnocení rizik)
Popište 4 strategie provádění analýzy rizik.
a) elementarní
Převzetí opatření na základě analogie podobných systémů a ze všeobecných standardů.
b) zakladní
Též neformální, kvantitativní. Provedení analýzy rizik na základě znalostní jednotlivých odborníků bez použití standardních strukturovaných metod.
c) detailní
Provedení AR použitím standardních strukturovaných metod ve všech šesti fázích
d) kombinovaná
Použití některé z výše uvedených metod podle toho, jak a kde je to nutné.
Popis + příklady :
a) dublovaní autorizace
Kontrolu (audit) správnosti akce nesmí provádět osoba současně pověřená exekutivním výkonem akce. Příkladem budiž audity prováděné externí najatou společností.
b) separace odpovědnosti
Zpřístupňování a konfigurování systémů citlivých z hlediska bezpečnosti není povoleno provádět jediné osobě individuálně. Příklady: trezor s více zámky, kryptografické klíče dělené pomocí XOR, Shamirovo (n, t)–sdílecí schéma.
BCP
Business Continuity Plan
Co dělat po útoku, jak udržet kontinuitu činnosti organizace po útoku, havárii. Varianty BCP jsou Contingency Plan – plán činnosti IT po útoku (soubor scénářů, analýza incidentu) a Disaster Recovery Plan – plán obnovy
Stručně charakterizujte 3 základní fáze reakce na útok.
První fáze – nastupuje tým první reakce, obvykle lidé z běžného provozu. Ti provedou ambulantní zásah a informují pracovníka odpovědného za řešení incidentu.
Druhá fáze – obvykle týmy složené z jasně definovaných pracovníků, které v rámci možností uvádí IT zpět do provozu a přitom posuzují důsledky útoku.
Třetí fáze – dlouhodobější činnost specializovaných týmů se speciálním vybavením pro obnovu IT
Audit
Kontroluje definice bezpečnostních procedur a detekuje bezpečnostní díry. Dále audit procedur po narušení systému. Audit provádí nezávislý subjekt.
Výše potenciálních škod na aktivech A, B, C, D je ohodnocena {1,3,2,4}. Pravděpodobnost útoku {vysoká, střední, vysoká, nízká}. Obtížnost využití zranitelných míst {nízká, střední, vysoká, vysoká}. Seřaďte aktiva z hlediska významu pro zajištění bezpečnosti.
Pro každé aktivum a každé zranitelné místo se nejprve vypočte frekvence (útoku) jako součet pravděpodobnosti útoku a obtížnosti využití zranitelného místa. Každé aktivum zde má jedno zranitelné místo, takže dostáváme frekvence {2, 2, 4, 2}. Bezpečnostní skóre aktivum/hrozba obdržíme jakou součet výše potenciální škody a frekvence. Bezpečnostní skóre aktiva je nakonec rovnou soutu všech hodnot aktivum/hrozba pro dané aktivum. Protože každé aktivum má jen jednu hrozbu, platí, že skóre aktivum/hrozba je rovno skóre aktiva, a tedy tyto hodnoty jsou {3, 5, 6, 6}. Vzestupné řazení aktiv z hlediska významu je nakonec ABCD nebo ABDC.
Rozdíl mezi de facto a de iure standardy.
De facto standard je vyvinut na základě dohody v rámci jisté komunity. Ta před jeho vydáním odsouhlasí, že odpovídá stanoveným cílům. Příklad jsou dokumenty RFC vydávané organizací IETF.
De iure standard je úmluva schválená uznávanou organizací, která je pověřena tímto posláním. Normy nejsou implicitně právně závazné.
Příklady:
ISO – všeobecné působení
ISO/IEC – elektronika, elektrotechnika
ITU – telekomunikace
CEN – evropské ISO
ANSI – americký národní standardizační institut
IEEE – elektronika, elektrotechnika
…
Napište 3 mezinarodní de iure normy a uveďte oblast, ve které působí.
IEEE 802.xx – standard LAN
ISO/IEC 27001 – Information Security Management System – Requirements
ISO/IEC 10118 – Hash Function
Rozdíl ISO a TR ISO, popis typů TR ISO.
ISO je de iure norma vydávaná International Organisation for Standardization ISO. Zkratka TR znamená technical report – technická zpráva. Existují tři typy TR:
Typ 1 – je vydáván, pokud se ve výboru nenalezla dostatečná shoda pro vydání standardu. Jednou za tři roky se reviduje, rozhodne se, zda se ISO TR stane standardem.
Typ 2 – je vydáván, pokud se standardizovaný předmět technicky stále vyvíjí nebo existuje jiný důvod, proč nemůže být standardizován. Očekává se, že v budoucnosti standardizován bude. Revize jednou za tři roky.
Typ 3 – je vydáván o problémech, které běžně nepodléhají standardizaci, ale návrh je natolik významný a připravený, že jeho vydání bylo shledáno jako vhodné. Obsah dokumentu obvykle není znovu posuzován, pouze pokud jsou informace shledány neplatnými či neužitečnými.
Standard ISO/IEC 13335
Management of information and communications technology security
Koncepty a modely tvořící základ pochopení IT bezpečnosti, techniky provádění analýzy rizik. Například také definuje možné hrozby nebo třídy zranitelných míst.
Standard ISO/IEC 17779
Code of practice for information security management
Doporučení, jak navrhnout, implementovat, udržovat a vylepšovat správu informační bezpečnosti v organizaci. Neřeší technické aspekty. Jedná se spíše o soubor rad pro budování bezpečného systému. Vyjde jako standard 27002.
Standard ISO/IEC 27000
Slovník a definice, terminologie použitá v rodině 2700x.
Standard ISO/IEC 27001
Information Security Management System – Requirements
Obsahuje požadavky na implementaci systému správy informační bezpečnosti. Specifikuje, jak vybudovat systém, který posuzuje, implementuje, monitoruje a udržuje bezpečnostní systém organizace. Standard je detailním popisem požadavků, takže lze proti němu certifikovat. Certifikát říká: My jsme organizace kvalitně pečující o informační bezpečnost.
Cyklický proces vývoje ISMS (4 fáze) podle ISO/IEC 27001.
ISMS = Information Security Management System.
Cyklický proces je model PDCA:
Plan (zavedení ISMS) –> Do (implementace ISMS) –> Check (sledování ISMS) –> Act (vylepšení ISMS) –> Plan –> ...
Standard ISO/IEC 27004
Dosud veden jako ISO/IEC 17779 (leden 2008).
Standard ISO/IEC 27004
Information security management metrics and measurement
Co a jak měřit při určování účinnosti ISMS. Metriky nemusí být striktně definované, hodnoty se získávají externími audity, ale také interními stati