Informačné Systémy - Skriptá - 9

INFORMAN SYSTMY
BEZPENOS INFORMANCH SYSTMOV
9. Bezpenos informanch systmov

Vzhadom k tomu, e informan systmy sa stvaj oraz vznamnejm faktorom dlhodobho spechu alebo nespechu podniku, mus sa venova zvltna pozornos ich ochrane. Ochranou IS rozumieme komplex organizanch, programovch, technickch a socilno-personlnych opatren spojench s minimalizciou monch strt vzniknutch v dsledku pokodenia, znienia alebo zneuitia IS. Ochrana IS by mala by organickou sasou komplexu vetkch ochrannch opatren, ktor s v podniku uplatovan na akkovek jeho aktva. 1. 2. 3. 4. 5. kody, ktor mu vznikn mono rozdeli na : Priame straty v dsledku neleglnych finannch transakci, ktor s typick najm pre finann podniky (banky, poisovne, ). Nepriame straty v dsledku preruenia normlnej innosti podniku (vroby, expedcie, ) a z toho vyplvajce straty z nerealizovanch trieb (a teda aj zisku). Okrem toho me djs aj k strate dobrho mena podniku, strate zkaznkov a pod. Nekvalitn alebo zl rozhodovanie v dsledku nesprvnych informci (napr. chybn rozhodnutie o prijat zkazky, na ktor nemme potrebn kapacity). Zven nklady na zskanie potrebnch informci, ktor nememe zska v dsledku pokodenho IS. Zven zklady na odstrnenie dsledkov kd spsobench vpadkom IS
Ochrana IS sa vzahuje nielen na daje ale aj na programy, pretoe ich pokodenie vedie k nesprvnej funkcii systmu. Problematike ochrany IS sa treba venova po cel dobu ivotnho cyklu (t.j. v predprojektovej prprave, pri projektovan, pri programovan aj poas rutinnho pouvania). Pod pojmom bezpenos informanho systmu, teda rozumieme ochranu vetkch dajov, ktor systm obsahuje, s do vkladan, spracvan a prenan, ako aj ochranu vetkch ast - technickch aj netechnickch prostriedkov informanho systmu. Ako bude podrobnejie rozveden v alch astiach, bezpenos informanho systmu integruje fyzick, potaov, komunikan, personlnu, administratvnu a prevdzkov bezpenos. V systmoch s nronejmi poiadavkami k tmto opatreniam pribudn ete opatrenia na zabrnenie elektromagnetickho vyarovania. Sasou bezpenosti informanch systmov s nielen technick ale aj organizan opatrenia. Ochrann opatrenia vdy prinaj zvenie nkupnch aj prevdzkovch nkladov a pre pracovnkov a pouvateov IS prinaj niekedy aj nepohodln obmedzenia. Veobecne sa povauje za primeran venova pribline 10 a 20% celkovch nkladov na IS na zabezpeenie jeho ochrany.
9.1 Priny ohrozenia IS

Priny ohrozenia IS mono rozdeli na myseln a nemyseln. K myselnm prinm zaraujeme predovetkm tzv. potaov pirtstvo, ktorho cieom je prenikn do IS a alebo neoprvnene zska dta, ktor s predmetom utajenia, alebo ich neoprvnene meni. Niekedy me by cieom aj myseln znienie IS. Treba rozliova, i ide o pokodenie prleitostn alebo o systematick cieavedom innos. Medzi myseln priny mono tie zaradi ohrozenie IS prostrednctvom potaovch vrusov, aj ke toto ohrozenie vinou nie je motivovan pokodenm uritho konkrtneho IS. Nemyseln priny mu by priny spsoben: udskm faktorom - predovetkm chybami opertorov, chybami vstupnch dt, neautorizovanm prstupom a pod., programovm vybavenm - chybami v systmovch alebo aplikanch programoch, technickm vybavenm - zlyhanm niektorej asti potaa alebo komunikanho vybavenia, 179
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV prostredm - napr. klimatizciou, vpadkom napjania, prrodnou katastrofou a pod.
9.2 Zkladn pohad na informan bezpenos
Uvate
Kad informan systm sa sklad z uritho mnostva komponentov, ktor spolu tvoria ucelen systm (Obr. 9.1). Aplikcia Databzov Vdy je tvoren minimlne technickm vybavenm, operaaplikcia nm systmom a aplikanm programovm vybavenm. Nad technickm vybavenm pracuje operan systm, ktor poskytuje zkladn sluby uvateom aplikcim. Aplikcie posMiddleware SRBD kytuj alie sluby uvateom a sprstupuj im prostrednctvom systmu riadenia bzy dt (SRBD) potrebn daje OS uloen v bze dt. SRBD zaisuje sprvu dt a v podstate vytvra vlastn databzov operan systm zloit obdobne HW ako operan systm. asto ide o systm v systme, ktor m pod kontrolou technick vybavenie (najm operan pam a Obr. 9.1 Vrstvov architektra disky). systmu Zkladn lohy pre zaistenie bezpenosti s tieto tyri zkladn ciele : dostupnos, dvernos, integrita a zodpovednos. Tieto vlastnosti mono povaova za zkladn atribty informanho systmu. Mono ich definova nasledujcim spsobom : integrita reprezentuje neporuitenos vloenej informcie zsahom technickej asti systmu alebo udskho initea. Neporuitenos mono vyjadri ako nhodn proces udalost, ktor znamenaj neautorizovan prjem, neautorizovan vyslanie alebo neautorizovan transformciu informci. dvernos je vlastnos informcie, ktor zaisuje, e informcia nebude poskytnut, neme by odhalen alebo zneuit neoprvnenm subjektom. Pojem subjekt v tomto vzname zaha nielen osoby, ale aj technick prostriedky a programov vybavenie. Dvernos predstavuje hierarchicky usporiadan mechanizmus, ktor zaru poadovan stupe oprvnenia na zpis a tanie informci v urenej asti zabezpeovacieho systmu strojom alebo lovekom. Stupe (rove) dvernosti mono vyjadri ako nhodn proces spenho alebo nespenho pokusu o jej poruenie.
zskavanie (akvizcia)
schova
transformcia
prenos
Obr. 9.2 Zkladn procesy informanho systmu
integrita
dvernos
dostupnos je asov charakteristika, ktor vyjadruje zvislosti medzi poiadavkami riadenho systmu a splnenm tchto poiadadostupnos viek. Obvykle sa reprezentuje v mierke rozdelenia pravdepodobnosti oneskorenia medzi Obr. 9.3 Komplexn vlastnosti zabezpeovacieho sysiadosou o slubu a jej realizciou. tmu 180
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV zodpovednos (accountability) je vlastnos, ktor zaisuje evidenciu udalost spojench s bezpenosou vo vzahu k uvateovi. Zaisuje, e jednotliv akcie spojen s uritou entitou mu by sptne sledovan. Z vyie uvedenho vyplva, e existuj tri zkladn spsoby ohrozenia informci: poruenie alebo strata integrity informci, poruenie alebo strata dvernosti informci, strata dostupnosti informci. Komplexn vlastnosti zabezpeovacieho systmu mono vyjadri plochou trojuholnka (Obr. 9.3). Je potrebn posudzova vdy vetky zkladn vlastnosti. Komplexn posdenie rovne zabezpeovacieho podsystmu treba robi s ohadom na poiadavky riadenho systmu. Pri zabezpeovan IS je potrebn vychdza zo zkladnch funkci, pre ktor je systm uren. Naprklad u systmu obsahujceho vek databzy bez citlivch dajov, bude prevlda poiadavka na zaistenie integrity pred dvernosou a dostupnosou. U spolonosti poskytujcej telefnne sluby bude jednoznane prevlda poiadavka na zaistenie dostupnosti pre ostatnmi ciemi. oraz viac sa kladie draz na zaistenie zodpovednosti. Pre tento el boli v eurpskych kritrich pre hodnotenie bezpenosti informanch systmov (ITSEC) definovan tri kategrie pouvateov: sprvca - me vykonva privilegovan akcie v rozsahu svojej plnej psobnosti, opertor - privilegovan akcie me vykonva v obmedzenom rozsahu, ktor mu predtm bol preddefinovan sprvcom (Napr. me ma prvo zastavi systm alebo zlohova systmov dta). pouvate - neme vykonva privilegovan opercie. Jednou z metd pouvanch k zaisteniu poadovanej rovne zodpovednosti je audit. S nm je spojench niekoko pojmov: auditovan udalos (audit event) systmom detegovan akcia, ktor me vyvola spustenie a zpis auditu; potom ide o zaznamenan udalos; auditn zznam (audit trail) evidencia, ktor umouje kontrolu funknosti asti systmu a vyuitie systmu; poloka auditnho zznamu (audit record) skupina dt zaznamenan v auditnom zzname pri vskyte zaznamenanej udalosti; poloka auditnho zznamu sa sklad z popisu auditu, z ktorch kad m mnoinu svisiacich atribtov auditu; popis auditu (audit description) as poloky auditnho zznamu, kde je popsan jeden zo subjektov alebo objektov, ktor sa na niektorej zaznamenanej udalosti podieali; atribt auditu (audit attribute) urit informcia o zaznamenanej udalosti alebo o jednom zo subjektov alebo objektov, ktor sa na udalosti podieali. Informan systmy mono deli z rznych klasifikanch hadsk. Z hadiska typu informanej bezpenosti rozliujeme tieto druhy bezpenosti (Obr. 9.4): PHYSEC fyzick bezpenos zaha psobenie hrozieb na hmotn aktva potrebn pre prevdzkovanie IS. Tieto aktva s nasaden do konkrtneho prostredia, ktor sa dynamicky vyvja. Fyzick bezpenos teda znamen ochranu informanho systmu a jeho ast proti neoprvnenmu vniknutiu osb (prevenciu a detekciu neoprvnenho vniknutia), spsoby znienia u nepotrebnch informci alebo u nepotrench mdi s informciami (archivanch mdi, tlaovch a inch vstupov informanho systmu), ochranu proti poiaru, ochranu proti vode, plnovanie havri a rieenie krzovch situci (tzv. krzov manament). COMSEC komunikan bezpenos treba eliminova hrozby na hmotn aj nehmotn aktva nevyhnutn pre komunikciu. Tu treba zahrn ako technick vybavenie, tak aj veobecn truktry (napr. defincie komunikanch protokolov, ). Ide teda o ochranu komunikci medzi jednotlivmi asami informanho systmu a to nielen z hadiska vpotovej techniky ale aj z hadiska prenosu faxovch sprv alebo telefonickch rozhovorov. 181
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV COMPUSEC potaov bezpenos zaha hrozby na hmotn aj nehmotn aktva potrebn pre spracovanie informci. V praxi sa alej del na bezpenos technickho vybavenia a programovho vybavenia. Pri zaisovan poadovanej bezpenosti technickch prostriedkov ide naprklad o vber a spoahlivos tchto prostriedkov, zabezpeenie ich okamitho servisu, kontrolu prstupu k tmto prostriedkom, ich ochranu pred elektrostatickou elektrinou a elektromagnetickm vyarovanm. Bezpenos programovch prostriedkov smeruje naprklad k vyladeniu operanho systmu takm spsobom, aby bol skutonm filtrom prstupu k informcim uloenm v IS t.j. aby bola zabezpeen kontrola prstupu, identifikcia a autentizcia uvateov, rozdelenie prvomoc uvateom, sledovanie a zznam innosti systmu aj uvateov. Patr sem tie vber a spoahlivos programovho vybavenia, jeho licenn istota, kontrola prstupu k nemu a pod. INFOSEC informan bezpenos zaha psobenie hrozieb na nehmotn aktva nevyhnutn pre fungovanie IS z hadiska organizanho spracovania informcie. Tu treba zohadni najm citlivos, ivotnos, platnos dt a pod. Pri zaisovan bezpenosti dt sa zaoberme ochranou dt v sboroch a v databzach proti chybm, vrusom, ochranou citlivch dt prostriedkami autorizcie a riadenia prstupu k dtam. PERSEC personlna bezpenos zaober sa predovetkm eliminciou hrozieb spsobench udskm faktorom. Ide v nej o ochranu pracovnkov ako sasti informanho systmu ale tie o ochranu IS pred dsledkami udalost spsobench nekorektnm jednanm pracovnkov.
Bezpenostn pohady
Netechnick bezpenos
Technick bezpenos
Fyzick bezpenos (PHYSEC)
Komunikan bezpenos (COMSEC)
Personlna bezpenos (PERSEC)
Potaov bezpenos (COMPUSEC)
Radian bezpenos (TEMPSEC)
Dokumentan bezpenos a alie druhy
Dokumentan bezpenos a alie druhy
Obr. 9.4 Prvky bezpenosti informanch technolgi
Z hadiska rozsiahlosti delme IS na : plon systmy vekho rozsahu v tchto systmoch prevauje COMSEC a v rmci jednotlivch lokalt COMPUSEC. Do tejto skupiny mono tie zahrn vek systmy riadenia pracujce v relnom ase.
182
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV hierarchick systmy strednho rozsahu v tchto systmoch prevlda INFOSEC a COMSEC. Spravidla ide o heterognnu mnoinu potaov a programovho vybavenia, ktor je zalenen do definovanej organizanej truktry. systmy loklneho charakteru v tchto systmoch dominuje INFOSEC v kombincii s COMPUSEC a PERSEC. Do tejto skupiny mono zaradi loklne systmy tvoren sieou LAN s obmedzenou vonkajou komunikciou. systmy minimlneho rozsahu v tchto systmoch prevlda COMPUSEC a INFOSEC. Mono sem zaradi samostatn PC alebo mal skupinu tchto potaov.
9.3 Bezpenostn analza

Bezpenostn analza je komplex innost zameran na optimlne nasadenie bezpenostnch opatren do IS. Analzu mono robi z viacerch pohadov rzne druhy analzy : nkladn analza sna sa pristupova k bezpenostnm opatreniam na zklade ich ceny. tto cena sa porovnva s cenou IS bez ochrany a zvauje sa vhodn kompromis. kryptografick analza rob sa u systmov pracujcich s nejakou formou ifrovej ochrany. Analyzuj sa monosti zskania ifrovacieho ka na zklade znalosti otvorenho a ifrovanho textu. analza rizk sna sa navrhn najefektvnejie bezpenostn opatrenia analzou hrozieb, slabn systmu a hodnoty aktv, na ktor s protiopatrenia aplikovan. analza bezpenostnch tokov pouva sa u tzv. bezpenostnch modelov, ktor popisuj relne systmy na zklade matematickch dkazov. Informanm tokom s priraden premenn a priradenm bezpenostnch rovn tmto premennm mono identifikova tzv. skryt kanly. Analzy skrytch kanlov sa mus robi u systmov s vyou rovou bezpenosti. informano-bezpenostn analza umouje stanovi rove rizk, ktorm s vystaven informcie v prostred relneho IS. Cieom tejto analzy je pecifikcia bezpenostnch zsad (bezpenostnej politiky), ktorm by mal IS vyhovova.
9.3.1 Analza rizk

Zmyslom bezpenostnho manamentu je z globlneho hadiska vber metd a technk, s ktormi mono dosiahnu bezpenostn ciele s maximlnou efektvnosou a kvalitou. Tento manament ovplyvuje cel cyklus vvoja bezpenostnch technolgi. Najdleitejou asou by mala by analza rizk zakonen nvrhom protiopatren. Analza rizk je komplex opatren zahajci nasledujce innosti: Stanovenie hranc systmu treba zvi, o vetko sa bude analyzova a v akom rozsahu. Meme sa napr. rozhodn, e nebudeme riei WAN komunikcie a tto oblas prenechme pecializovanej firme. Identifikcia a ocenenie aktv treba vytvori zoznam vetkch dleitch ast systmu a vykona ich ohodnotenie na zklade napr. ceny alebo asovej dostupnosti a pod. Toto ocenenie mus zohadni el a priority celho informanho systmu. Identifikcia a ocenenie hrozieb treba zisti ak hrozby psobia na systm a ak je pravdepodobnos ich vskytu. Identifikcia a ocenenie slabn (zranitenos) treba identifikova slab miesta systmu, oceni ich a rozhodn o ich elimincii. Profil a miera rizika zaha ocenenie dopadu jednotlivch hrozieb na konkrtne aktva systmu. Vo veobecnosti mono tento proces nazva stanovenm miery ohrozenia systmu. 183
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV Nvrh protiopatren hlavnm cieom tchto opatren je eliminova dopad hrozieb na konkrtne asti systmu.
9.3.2 Metdy analzy rizk

1. Metda ALE (MALE) vhodn pre hodnotenie rizk aj vo vekch systmoch v ase, ke s u prevdzkovan. Vtedy u s dostatone znme vetky hmotn aktva, ktor systm zaha a mono aj s odpovedajcou presnosou stanovi dopad hrozieb z hadiska znienia alebo naruenia integrity dt, straty dostupnosti a pod. 2. Metda matc (MM) je vhodn pre systmy loklneho charakteru i u vo fze vvoja alebo vyuvania. Jej vhodou je schopnos podchyti vek mnostvo vzjomnch vzahov medzi hmotnmi a nehmotnmi aktvami, hrozbami a slabinami. Vyaduje vak kvalifikovan personl, ktor mus by schopn vemi dobre zhodnoti funkn a dtov aspekty informanho systmu. 3. Metda anketovej analzy (MAA) vyuiten pre vetky skupiny systmov v ase prevdzky. Kladenm vhodnch otzok mono zska mnostvo kvalitnch informci vyuitench v metde matc (pri stanoven hodnt prvkov matice) a v metde podpory rozhodovania (pri distribcii vhovch koeficientov v uzloch rozhodovacieho stromu). 4. Metda analzy scenrov (MAS) s opodstatnen vo vekch systmoch v ase ich projekcie aj vyuitia. Zkladom tchto metd s analytick alebo dokonca simulan modely, a preto musia by vytvoren na mieru pre kad aplikciu. Vyaduj vysoko kvalifikovan analytick team a zodpovedajce nklady. 5. Metdy vyuitia sksenost (MVS) maj len obmedzen vznam a mono ich aplikova len pre niektor menie loklne systmy. S zaloen na podobnosti s inm systmom, pre ktor u existuj preveren rizikov charakteristiky. m je systm v, tm aie je njs vhodn analgiu. 6. Metda DELPHI panelu (MDP) predpoklad existenciu vysoko kvalifikovanho kolektvu, ktorho kad len je schopn hodnoti hrozby, slabiny a potencilne straty. Tto metda je vhodn najm pri rieen krzovch situci v rozsiahlych systmoch, ktor s u v prevdzke. Z jednej strany vyaduje rieenie krzovej situcie vysok odbornos, na druhej strane vak existuje relatvne obmedzen priestor (vymedzen sradnicami HROZBA, DOPAD, OBNOVENIE PVODNHO STAVU), v ktorom mono metdou konsenzu dospie k optimlnemu rieeniu.
9.3.3 Nstroje pre analzu rizk

Vzhadom k vekej technickej a asovej nronosti sa pre analzu rizk v zahrani vyuvaj pecilne expertn nstroje, ktor umouj efektvnu analzu aj pri rozsiahlych systmoch. Expertn systm zaisuje inteligentn potaov proces, ktor pouva bzu znalost a odvoden pravidl pre rieenie problmov, ktor s prli obtiane na rieenie bez znalost expertov v konkrtnom odbore. CRAMM CRAMM je analytick nstroj z Vekej Britnie, ktor vznikol pod patrontom Central Computer and Telecommunication Agency (CCTA). Jeho nzov je skratka CCTA Risk Analysis and Management Method. Tto metodika je vo Vekej Britnii schvlen pre odporanie vhodnch bezpenostnch protiopatren pre ttne IS spracovvajce neklasifikovan a citliv klasifikovan dta. Systm zaha metdu analzy rizk, ktor m rozhranie na SSADM (System Structured Analysis and Design Method) a PRINCE (Projects IN Controlled Environments).
184
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV Systm CRAMM rozliuje dve zkladn aktivity : analzu rizk a maaktva hrozby slabiny nament rizk. Pod analzou rizk sa rozumie identifikcia a ohodnotenie rovne rizk na zklade matematickch ANALZA metd. Dta sa zskavaj od jednotlirizik vch respondentov pomocou dopytov usporiadanch do truktrovanch dotaznkov. Pod pojmom manament rizk MANAMENT sa rozumie vber a aplikovanie adekprotiopatrenia vtnych protiopatren, ktor eliminuj hrozby pri minimalizcii nkladov (Obr. 9.5). Systm CRAMM vychdza Obr. 9.5 Koncepcia analzy rizk v systme CRAMM zo znalosti dtovch tokov a preto sa d vyui najm pre systmy menieho a strednho rozsahu v tdiu pouvania. Analza systmu sa rob v troch etapch. asovo najnronejia je I. etapa, ktor zaha najm : presn vymedzenie hranc obsahu tdie (menovit zoznam osb, lokality, ), popis programov a technickho vybavenia (PC, komunikan systm,), popis personlnej truktry (organizan schma, popis funkci,), ustanovenie zvislosti medzi dtami, programami a technickm vybavenm. CRAMM umouje kvantitatvne aj kvalitatvne ocenenie aktv. Na konci prvej etapy mono uri, i je potrebn urobi pln analzu (t.j. alie dve etapy) alebo sa pouij u overen (spravidla organizan) opatrenia. Prv etapa je charakterizovan zberom dajov. V rmci tejto etapy mono aktva zoskupova do logickch skupn, na ktor mono aplikova nasledujce etapy. V druhej etape (ak sa k nej pristpi) systm kladie podrobn otzky pre bliiu pecifikciu hrozieb a slabn. Tieto otzky s vemi podrobn a nemono ich meni poda potrieb uvateov. Vsledkom druhej etapy s celkov prehady z hadiska stanovenia rovne hrozieb a slabn. V tretej etape systm spolupracuje pri nvrhu protiopatren na potlaenie inkov hrozieb a slabn. Protiopatrenia s rozdelen na hardwarov, softwarov, komunikan, fyzick, procedurlne a personlne. Systm CRAMM spa vetky predpoklady pre pouitie pri analze rizk. Obsahuje prepracovan bzu informci, ktor zaha hrozby, slabiny a protiopatrenia. Cel systm dsledne zdrazuje cenu vlastnch dt, od ktorch sa odvja vetka aktivita systmu. Vsledkom innosti systmu je kompletn sprva, ktor me sli ako zveren sprva pre vrcholov manament, obsahujca vsledky analzy a navrhovan opatrenia. RiskPAC Tento systm vyvinula americk firma CPA (pecializuje sa na problematiku analzy rizk). Ide o expertn systm, do ktorho s implementovan prvky umelej inteligencie. Systm dsledne oddeuje analzu a manament rizk a nadvzuj na alie balky programov - RecoveryPac (umouje vytvra plny obnovy funknosti IS) a System Manager (umouje uvateovi vytvori vlastn dotaznky). V systme s obsiahnut konkrtne dotaznky pecifick pre jednotliv oblasti bezpenosti (fyzick bezpenos, poisovnctvo, bankovnctvo, systmov aplikcia, PC, komunikcie, ). Po vyplnen dotaznka systm vygeneruje jednotliv hrozby a rovne rizk. Systm tie pre jednotliv kategrie rizk navrhuje mnoinu eliminujcich protiopatren. Systm RiskPAC pozostva zo 4 hlavnch ast : Otzky s vyvinut expertmi a s analyzovan v jednoduchej alebo viacrovovej postupnosti pre uahenie opakujcej sa analzy. Otzky mu ma viac odpoved. Vetvenie je mon a je za185
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV loen na vyhodnoten predchdzajcich odpoved. Kad otzka boduje jednu z 26 monch rizikovch kategri. Profily definuj rizikov kategrie a popisuj ohrozenie primeran k tmto kategrim. Rizik s rozlenen do 5 rovn, do ktorch sa zarauje riziko od nzkeho k vysokmu. Zhrnutie otzok vypotava tzv. skre d. Mapujce sbory vzahuj sa k danm profilovm hodnotm a pecifikuj poiadavky na vroky, tandardy alebo odporania. Poiadavky poskytuj radu v oblasti nvrhu protiopatren a s zdruen do pecifickch odpoved alebo cez rizikov kategriu a rove. Reporty RiskPACu umouj uvateovi zvoli si konkrtne riziko, hodnotu alebo kritrium ohrozenia. Vsledok je potom zostaven vzjomnou kombinciou vetkch troch volieb. Nasledujce tabuka obsahuje prehad metd, ktor podporuj systmy CRAMM RiskPAC : Metda Systm CRAMM RiskPAC MM 9 8 MPR 8 9 MALE 8 9 MAA 9 9 MAS 8 8 MDP 8 8
Pomocou tchto systmov mono pokry vetky kov metdy a analyzova tak vinu bench systmov, ktor nevyaduj pecilny druh analzy.
9.4 Fyzick bezpenos informanch systmov

Ako u bolo uveden skr, fyzick bezpenos znamen ochranu informanho systmu a jeho ast proti neoprvnenmu vniknutiu osb (prevenciu a detekciu neoprvnenho vniknutia), spsoby znienia u nepotrebnch informci alebo u nepotrench mdi s informciami (archivanch mdi, tlaovch a inch vstupov informanho systmu), ochranu proti poiaru, ochranu proti vode, plnovanie havri a rieenie krzovch situci (tzv. krzov manament). Fyzickou bezpenosou meme rozumie fyzick ochranu a organizciu fyzickho prstupu k zdrojom intitcie, umiestnenie zabezpeovacch a monitorovacch zariaden, stanovenie zodpovednosti a hierarchi. Fyzick zabezpeenie IS zaha opatrenia, ktor by mali by analyzovan a prpadne prijat na zabezpeenie ochrany objektov (budov, priestorov, miestnost), v ktorch s umiestnen prostriedky IS (technick vybavenie IS, archivovan dta, zlon dta) a ich technologick vybavenie (energetick zdroje, klimatizcia, ).
9.4.1 Vlastnosti objektov

Pri posudzovan potreby zabezpeenia informanch systmov je potrebn bra do vahy aj vhodn umiestnenie objektu z hadiska: seizmickej aktivity priestoru, kde je umiestnen objekt, elektrickch VVN rozvodu, vedenia plynovodov, prpadne ropovodov. Projekt vstavby (novostavby alebo rekontrukcie objektu) mus repektova odporania vychdzajce z bezpenostnej analzy objektu a stanovenej bezpenostnej politiky. Klimatizan zariadenia Technolgia vzduchotechnickho zariadenia mus by intalovan mimo bene prstupnch priestorov. K ovldaniu smie ma prstup len obslun personl. Klimatizan stanica by mala by u-
186
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV miestnen v miestnosti bez okien, aby nemohlo djs k ohrozeniu objektu zvonka. Ovldanie klimatizcie mus ma vzbu na elektrick poiarnu signalizciu. Energetick zdroje Zdroj elektrickej energie pre prevdzku informanej technolgie mus zabezpei stabilitu (naptia, frekvencie, ) zdroja. Poda charakteru informanho systmu je potrebn zabezpei urit rove zlohovania zdroja - pouitie zdroja nepretritho napjania (Uninterruptible Power Supply UPS), ktor je v zvislosti od kontrukcie schopn zabezpei v prpade vpadku energetickej siete napjanie celho IS alebo jeho dleitch uzlov (napr. serverov) po dobu niekoko mint a niekoko hodn. Elektrick rozvody pre napjanie informanch technolgi by s ohadom na zvenie fyzickej bezpenosti IS mali by veden samostatne a by chrnen proti preptiu a statickm vbojom. Je samozrejm, e rozvody elektrickej energie ale aj alch energi (rozvody plynu, tepla, vody) a aj vetky intalcie spotrebiov musia by realizovan v slade s platnmi normami.
9.4.2 Strenie objektu

Strna sluby, ktor zabezpeuje strenie objektu, by mala by zaisten prostrednctvom profesionlne j bezpenostnej agentry na zklade zmluvy. Sasou zmluvy o zaisten strenia objektu maj by smernice a pln strenia. Spracovanie smernc a plnu strenia mus vychdza z bezpenostnej analzy objektu. Poet a kvalifikcia pracovnkov agentry, ktor stria objekt v jednej smene mus repektova poiadavky na obsluhu technickch prostriedkov, ktor realizuj technick zabezpeenie objektu. Ide predovetkm o obsluhu tchto zariaden: streda elektrickej poiarnej signalizcie; streda elektrickej zabezpeovacej signalizcie; monitorovacie prostriedky. Smernice pre strenie objektu musia obsahova aj prvomoci strnikov pre prpad potreby reagova pri naruen objektu pchateom. Je samozrejm, e vetky innosti a prvomoci pracovnkov bezpenostnch sluieb zaisujcich strenie objektu, musia by v slade so zkonom pre innos civilnch bezpenostnch sluieb.
9.4.3 Mechanick zabezpeenie objektu

elom mechanickch zbrannch systmov je vytvori systm barir resp. zbran, ktor v prpade napadnutia objektu vytvoria asov oneskorenie medzi asom napadnutia objektu a asom dokonenia toku, take spomalia pchatea pri naruen objektu. Toto asov oneskorenie - nazva sa mechanick odolnos - sa povauje za kritrium pre posdenie bezpenostnej rovne mechanickho zbrannho systmu. Z hadiska zmeru potencilneho tonka meme rozli tieto ciele toku: nsiln preniknutie osb do chrnenej zny (napr. za elom zskania prstupu k terminlom IS, utajovanm informcim, a pod.); pokodenie alebo znehodnotenie techniky a zariaden vntri chrnenej zny (naprklad znienie zlonch kpi citlivch dt, pokodenie servera, v ktorom s dta fyzicky uloen a pod.); odcudzenie predmetov alebo inch hodnt z chrnenho priestoru (napr. krde utajovanch informci, mdi s dtami a pod.); umiestnenie nebezpenho materilu do chrnenej zny (napr. umiestnenie bomby do vpotovho strediska spracovvajceho citliv informcie, implementcia vrusovho napadnutia do systmu a pod.). Vo veobecnosti je kad mechanick zbrann systm prekonaten. Jeho bezpenos teda uruje mnostvo vynaloenej energie potrebnej na prekonanie zbrany, asov oneskorenie (spomale187
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV nie) pohybu pchatea pri toku, prpadne agresvnos pouitho nradia. Poda rizika napadnutia mechanickch zbran ich meme rozdeli na: asti vonkajej ochrany objektu (ploty, vrta, zvory, ochrann mry, ) - tzv. perimetrick ochrana objektu, stavebn prvky budov (steny, podlahy, strop, strecha, ), stavebn otvory budov (okn, dvere, ), objekty na schovu (schrnky, skrine, trezory, ).
9.4.4 Elektrick zabezpeovacia signalizcia

Zkladnm elom zariaden elektrickej zabezpeovacej signalizcie (EZS) je zaznamena naruenie objektu a tento stav vhodne signalizova. Vlastn nvrh a realizcia ochrany objektu pomocou EZS vychdza zo spracovanej analzy bezpenosti. Na spsob realizcie zabezpeenia objektu maj okrem inch vplyv predovetkm tieto faktory: okolie objektu, prstupy do objektu z okolia, vntorn charakteristika objektu (napr. poet a vekos okien, vstupy do objektu - prechody cez strechu, pivnice, svetlky, stren okn, vek sklenen plochy, dvere, lenitos a stav interiru, ), njomnci objektu a ich pohyb v rmci objektu, technologick rozvody (elektrina, plyn, teplo, telefn, ), ktor spravuje a udriava in organizcia a pracovnkom tejto organizcie musia by prstupn, in prevdzky umiestnen v objekte, vchody do gar, ktor stia von z objektu, podzemn gare, napr. veobecne prstupn, z ktorch vchody, schoditia alebo vahy stia do chrnenho objektu. Systm elektrickej zabezpeovacej signalizcie pozostva z nasledujcich zkladnch ast : detektory, stredne, signalizan zariadenia (optick, akustick, pre diakov signalizciu), zdroje. Detektory elom detektorov je vyhodnoti naruenie strenho objektu na zklade zmeny nejakej fyziklnej veliiny. Medzi zkladn typy detektorov pouvanch v systmoch EZS patria: magnetick alebo mechanick kontakty vyhodnocuj otvorenie okna alebo dver, detektory rozbitia skla (Glass Brake Detector) vyhodnocuj charakteristick zvuk, ktor vznik pri trieten skla, pasvne infraerven detektory (Passive Infra Red detector - PIR) vyhodnocuj zmenu tepelnho iarenia pri pohybe osoby v zornom poli detektora, ultrazvukov detektory (Ultra Sound detector - US) vyhodnocuj zmenu frekvencie zvukovho signlu vysielanho detektorom, ku ktorej dochdza pri pohybe objektu v chrnenom priestore, mikrovln detektory (Micro Wave detector - MW) vyhodnocuj zmenu frekvencie elektromagnetickho iarenia vysielanho detektorom, ku ktorej dochdza pri pohybe objektu v chrnenom priestore. dulne detektory obsahuj dva vyhodnocovacie systmy - napr. PIR-MW alebo PIR-US. Ich vhodou je zmenenie pravdepodobnosti vzniku falonch poplachov, pretoe dulne detektory vyhodnotia naruenie, ke ho zaznamenaj sasne obidva detektory. 188
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV Detektory sa vhodne umiestuj do chrnenho priestoru a zdruuj sa do zn. Vstupy detektorov sa pripjaj na stredne EZS. stredne EZS elom stredn je vyhodnoti signly z pripojench detektorov a v zvislosti od stavu stredne (je v pohotovostnom reime, reime strenia alebo servisnom reime) vyhlsi poplach. Poda kontrukcie existuj stredne: slukov - jednotliv detektory sa pripjaj k stredni prostrednctvom sluiek, v ktorch s vstupn kontakty detektorov umiestnench v jednotlivch znach. Pre kad znu sa spravidla pouva samostatn sluka, o pri zloitejom objekte s vm potom zn vedie k pomerne vysokm nrokom na potrebn poet veden. Uritou nevhodou princpu, je fakt, e v prpade poplachu streda nepozn presn miesto naruenia, len sluku (znu) v ktorej dolo k poplachu. s priamym adresovanm (zbernicov) - detektory s k stredni pripojen prostrednctvom zbernice, ku ktorej sa pripjaj paralelne. Rozdelenie jednotlivch detektorov do zn sa realizuje prostrednctvom pridelenia adresy jednotlivm detektorom, ktor potom priamo komunikuj s stredou. Vhodou tohoto princpu je znalos presnho miesta naruenia v prpade poplachu, nevhodou je najm via zloitos a teda aj cena detektorov. kombinovan - detektory s realizovan jednoduchie s vstupnmi kontaktmi a zapjaj sa do sluiek, ktor s pripojen k tzv. koncentrtorom. Koncentrtory s s stredou prepojen prostrednctvom zbernice. Signalizan zariadenia Zkladnou lohou signalizanch zariaden je indikova poplach. Poplach mono signalizova loklne - prostrednctvom optickej a akustickej signalizcie umiestnenej vo vntri alebo na vonkajej strane strenho objektu. S ohadom na pomerne mal innos loklnej signalizcie sa pri ochrane objektu s vymi nrokmi na bezpenos pouva aj druh stupe signalizcie naruenia prostrednctvom tzv. automatickho telefnneho hlsia (pri signalizcii poplachu vyto naprogramovan telefnne slo a niekokokrt zopakuje sprvu nahran vopred do reovho modulu) alebo automatickho komuniktora pultu centralizovanej ochrany (pri signalizcii poplachu sa urenm kanlom telefonickm v hovorovom alebo nadhovorovom psme alebo rdiovm - spoj s pultom centralizovanej ochrany, ktormu odovzd digitlnu sprvu o stave stredne, druhu poplachu, mieste naruenia a pod.).
9.4.5 Elektrick poiarna signalizcia

elom zariaden elektrickej poiarnej signalizcie (EPS) je signalizcia vzniku poiaru. Je to pomocn zariadenie, ktor nezabrauje vzniku poiaru, ale umouje skrti as medzi vznikom poiaru a hasiacim zsahom proti nemu. Systm EPS je v trvalej prevdzke, signl o vzniku poiaru je po samostatnej komunikanej linke veden do ohlasovne poiarov. Vyie typy stredn EPS umouj pripojenie externch zariaden a jednm z nich je stabiln hasiace zariadenie, ktor umouje priamo hasi vzniknut poiar. Zariadenie EPS pozostva z tchto zkladnch ast: hlsie poiaru (tlaidlov, automatick), stredne EPS, signalizan zariadenia (optick, akustick, pre diakov signalizciu poiaru), napjacie zdroje, doplujce zariadenia (poiarne klapky, automatick dvere, stabiln hasiace zariadenia, ).
9.4.6 Riadenie vstupu a pohybu osb

Systmy pre riadenie vstupu a pohybu osb v chrnenom objekte prispievaj k zveniu fyzickej bezpenosti, pretoe automaticky kontroluj oprvnenie osb k vstupu do objektu alebo jeho ast, a v prpade, e osoby takto oprvnenie nemaj, systmy im vstup do objektu neumonia. Systmy 189
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV spravidla vyaduj identifikciu osoby vhodnm spsobom - napr. uritou znalosou (napr. hesla, selnho kdu a pod.), predmetom (ttok s iarovm kdom, magnetick karta, ipov karta, ) alebo vlastnosou kontrolovanej osoby (otlaok prstov, snmka sietnice, dhovky, tvar prstov, ruky a pod.). Pre vber vhodnho systmu je rozhodujce, o od systmu pre riadenie vstupu a pohybu osb poaduje jeho budci uvate alebo majite objektu. Od toho sa odvjaj systmov monosti a tm aj voba vhodnho typu zariadenia. Pre nvrh systmu je potrebn pecifikova: poet kontrolovanch zn, hierarchiu prstupu do zn, mnostvo vyhodnocovanch informci, spsob identifikcie osb, poadovan vzby na in informan systmy, rozahlos chrnenho objektu.
9.4.7 Systmy priemyslovej televzie

Systmy priemyslovej televzie sa pouvaj predovetkm pre ely monitorovania chrnenho objektu. Spravidla sa pouvaj v spoluprci so systmami elektrickej zabezpeovacej signalizcie alebo systmami pre riadenie vstupu a pohybu osb v objekte. Aplikciu priemyslovej televzie mono zhrn predovetkm do tchto oblast: monitorovanie vstupov a vjazdov do objektov, monitorovanie objektov a pozemkov, monitorovanie obvodu pozemku (napr. plotov) obvykle v spoluprci so zariadenm EZS, monitorovanie expontov v mzech, galrich, na vstavch a pod., monitorovanie prevdzky v obchodnch domoch, bankch, sporiteniach, monitorovanie parkovsk, Systmy priemyslovej televzie slia nielen pre ely monitorovania ale spravidla aj pre ely zznamu obrazovej informcie. Spravidla pozostvaj z tchto ast: televzne kamery s prsluenstvom (objektvy, clony, polohovacie zariadenia), televzne monitory, zariadenia pre zlenie obrazu z viacerch kamier (kamerov prepnae, delie obrazu, multiplexery), zznamov zariadenia (videomagnetofny s dlhou dobou zznamu, digitlne videomagnetofny), doplujce zariadenia (diakov ovldanie kamier, zznamu, prenosov systmy, systmy pre kompresiu obrazu, ). Nasadenie videotechniky je pre kad jednotliv prpad pecifick a prstup k jeho nvrhu mus by v slade s celkovou bezpenostnou politikou a ostatnmi opatreniami pre zaistenie fyzickej bezpenosti informanch systmov.
9.5 Komunikan bezpenos

Kdovanie prenanch sprv len zniuje pravdepodobnos odhalenia informcie neoprvnenou osobou, nijako vak nebrni pirtskemu vysielaniu podvrhnutch sprv, kladeniu neoprvnench otzok a pod. Preto okrem ifrovania je potrebn venova pozornos aj metdam preverovania pvodnosti sprv (autentizcia), preverovania oprvnenosti prstupu k dtam a podpisovaniu vysielanch sprv ich odosielateom.
190
INFORMAN SYSTMY
9.5.1 Autentizcia sprv

Plnenie mnohch sluieb v potaovej sieti je asto viazan na konkrtnu identitu klienta. Potreba autentizcie sprv sa objavuje aj v prpade zasielania tajnch sprv ifrovanch verejnm kom prjemcu. Verejnm kom me zaifrova odosielan sprvu ktokovek a teda mono aj podvrhn falon sprvu.
A Sprva M genertor kov KSA KPA dveryhodn M KSA C(M) B Sprva M
verejn kanl C(M) KPA KPA
Obr. 9.6 Autentizcia sprvy zaslanej z A do B Autentizciu mono riei s vyuitm asymetrickej ifry (Obr. 9.6). Na zaifrovanie sprvy sa pouije tajn k KSA odosielatea. Verejn k odosielatea potrebn na deifrovanie sprvy by mal prjemca obdra dveryhodnm spsobom. Aby mal istotu, e tento k nie je podvrhnut. Je teda potrebn dveryhodn kanl - me to by naprklad oficilna tlaovina a pod. Nasledujci obrzok (Obr. 9.7) ukazuje monos zlenia utajenia a autentizcie. Najskr sa sprva zaifruje vlastnm tajnm kom KSA (pre nsledn autentizciu) a potom verejnm kom
A Sprva M B Sprva M
genertor M KSA KPB kov KSA KP A
C(M)
verejn kanl C(M) KSB KPA dveryhodn KPA
genertor kov KPB KSB KPB
Obr. 9.7 Zaslanie dvernej sprvy z A bo B vrtane autentizcie sprvy prjemcu KPB. Po zaifrovan sa sprva prenesie verejnm kanlom. Prjemca prijat sprvu odifruje v obrtenom porad. Najskr vlastnm tajnm kom KSB a potom verejnm kom odosielatea KPA. Ak je takto deifrovan sprva itaten, je autentick. Problm autentizcie poiadavky klienta mono vyriei aktivitou servera, ktor sa iadajceho klienta opta, i skutone poaduje vykonanie sluby. Pre zabezpeenie autentizanho dopytu proti pirtskemu odpovaniu a nslednmu falonmu potvrdeniu me server poui princpy kryptografie s verejnm kom - tzv. autentizciu vzvou (Obr. 9.8). Server (centrla) vygeneruje z dvodov 191
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV neopakovatenosti nhodn slo N, ktor klient iadajci o prstup zaifruje svojim tajnm kom a odole serveru. Ten potom na zklade znalosti verejnho ka klienta over jeho totonos.
A autentizovan klient verejn kanl B vyzvajci server N podpis overen
N KSA C(N) C(N) KPA
KSA KPA
KPA
dveryhodn
Obr. 9.8 Autentizcia uzla A na vzvu uzla B Autentizcia vzvou me prebehn aj modifikovanm spsobom. Klient pri otvran sluby serveru pred svoj verejn k a nech si odpovedajci tajn k. Ke server prijme poiadavku na vykonanie sluby, zvol nhodn slo (N), zakduje ho klientovm verejnm kom a tto sprvu pole iadajcemu klientovi. Klient tajnm kom slo deifruje a svoju identitu potvrd vrtenm sprvne deifrovanho sla. Pirtsky klient nepozn tajn k, neme teda vrti sprvnu odpove. ancu nem ani vytrval pirt, ktor trvalo sleduje prevdzku v sieti, pretoe server vol slo pre autentizan dopyt nhodne.
9.5.2 Podpisovanie sprv

Autentizcia sprv umon, aby si prjemca sprvy overil, i prijat sprva pochdza od pravho odosielatea. Pre mnoho aplikci (naprklad bankovnctvo) je vak potrebn silnej apart, ktor prjemcovi umon presvedi nezvislho sudcu, e sprvu odoslal nm udan odosielate. Takto apart teda umouje prjemcovi overi si identitu odosielatea a zrove odosielateovi znemouje neskorie popretie autorstva odoslanej sprvy. Takto funkciu pln digitlny podpis. Digitlny podpis mus by zvisl ako na obsahu sprvy, tak na identite odosielatea. Ak by nebola splnen tto podmienka, mohol by prjemca sprvy text podpsanej sprvy pozmeni, resp. odoslan podpis prida k plne inej sprve
192
INFORMAN SYSTMY
A
Dtum Sprva M as

verejn kanl B Sprva M as
Dtum
MAC(M)
MAC(M)
MAC(M) MAC(M) KSA DP DP KPA
sprva overen
KSA KPA
KPA
dveryhodn
Obr. 9.9 Digitlny podpis sprvy zaslanej z A do B Sprva, ktor m by digitlne podpsan, sa spravidla opatr nvesou, dtumom a asom vyhotovenia. Potom sa charakterizuje vhodnou funkciou, naprklad zo vetkch znakov sprvy sa vypota autentizan kd MAC(M) (pozri kap.2). Zmena jedinho bitu sprvy m za nsledok zmenu tohto kdu. Ak je prijat sprva autentick, potom autentizan kd vypotan na strane prjemcu mus shlasi s tm, ktor sa zska odifrovanm digitlneho podpisu DP. Dvojica [MAC(M), DP=MAC(M)KSA] potom tvor digitlny podpis, ktor nemono odvola, pretoe ho mohol vytvori len ten, kto poznal nieo vlun, znme len jemu tajn k KSA. Vo viacerch predchdzajcich spsoboch autentizcie a digitlneho podpisu sa predpoklad existencia dveryhodnho kanlu pre prenos verejnho ka odosielatea alebo prijmatea sprv. Ak by sme mali polygonlnu sie s n uzlami a chceli by sme vdy medzi dvomi uzlami ma samostatn dveryhodn kanl, potrebovali by sme n(n-1)/2 kanlov. Pri pote 100 uzlov je to 4950 kanlov, o je vemi ako technicky realizovaten. Praktick rieenie tohto problmu ponka vybudovanie certifikanej autority, ku ktorej si vetci astnci siete vybuduj kad svoj dveryhodn kanl. Potrebn poet takch kanlov je len n-1, o napr. pri sieti so 100 astnkmi predstavuje len 99 kanlov. V rozsiahlych a heterognnych sieach je mon vytvori sstavu certifikanch autort vrtane ich hierarchickho usporiadania. Ako uznvan a nezvisl certifikan autorita me psobi zvolen uzol siete, ktor mus ma vhodn ochranu. Prklad rieenia certifikanej autority je zobrazen na nasledujcom obrzku (Obr. 9.10). Certifikan autorita vytvor z identifikanch dt uzla A - IDA pomocou tajnho ka certifikanej autority (KSCA) certifikovan hodnotu identifikanch dajov uzla A (CVA), ktor sa nsledne vyuva v komunikcii s ostatnmi astnkmi siete. Certifikan autorita okrem toho vetkm astnkom poskytne svoj verejn k (KPCA). Zaslanie trojice [CVA, IDA, KPA] uzlom A uzlu B sta na to, aby uzol B overil pravos verejnho ka KPA a zaradil ho do svojho chrnenho zsobnka kov. alia komunikcia medzi uzlami A a B sa zaobde bez zriaovania dveryhodnho kanlu medzi nimi.
193

Certifikan autorita (CA) KSCA KPCA KSCA IDA
INFORMAN SYSTMY
A IDA CVA KPCA KSA KPA CVA IDA IDA CVA KPCA
verejn kanl
B IDB CVB KPCA KSB
dveryhodn CVA KPCA
KPCA
KPB
zhoda
IDA
KPA
KPX KPY ...
chrnen pam chrnen pam
KPA
Obr. 9.10 Realizcia dveryhodnho kanlu pomocou certifikanej autority
9.5.3 tandard bezpenosti ISO 7498-2

Jednou zo zkladnch vlastnost systmu mus by ochrana medzi procesmi a jednotlivmi pouvatemi. Tieto ochrann vlastnosti boli samozrejmosou u v asoch minipotaov. V sasnej dobe distribuovanch informanch systmov a systmov zaloench na technolgii PC s s bezpenosou vie problmy. Operan systm navrhnut pre zaistenie vyieho stupa bezpenosti nie je nikdy tak ahko ovldaten ako systm prioritne uren pre prevdzkovanie uvateskch aplikci. Vo veobecnosti je najvm problmom rozpor medzi poiadavkami na bezpenos a jednoduchosou pouitia vpotovej techniky. Pri nvrhu zabezpeenia treba zvoli vhodn kompromis a najvhodnejie je vychdza z prslunch noriem. Jednou zo starch noriem je dokument ISO 7498-2 vydan v roku 1988. Hlavnm cieom tandardu ISO 7498-2 je definovanie bezpenostnch sluieb a ich umiestnenie do jednotlivch vrstiev referennho modelu OSI. Bezpenos v prostred OSI je len jednou z ast bezpenosti celho informanho procesu a bezpenosti dtovej komunikcie. Ak ochrann prostriedky pouvan v prostred OSI maj by efektvne, vyaduj podporu alch prostriedkov, ktor do OSI nepatria. Norma naprklad predpoklad zaistenie fyzickej bezpenosti pre vetky kov aktva siet. V norme ISO 7498-2 s pre vetky vrstvy zkladnho referennho modelu uren zkladn bezpenostn sluby a mechanizmy a ich prslun umiestnenie. Naviac s na rovni architektry uren vzahy bezpenostnch sluieb a mechanizmov k zkladnmu referennmu modelu. Bezpenostn funkcie OSI sa tkaj len takch viditench aspektov komunikanch ciest, ktor dovouj koncovm systmom uskutoni bezpen vzjomn prenos informci. bezpenos v Osi sa netka bezpenostnho vybavenia potrebnho v koncovch systmoch okrem prpadov, kedy ovplyvnia vber a umiestnenie bezpenostnch sluieb viditench v rmci OSI.
194
INFORMAN SYSTMY Bezpenostn sluby
Vo veobecnosti nie je mon jednoducho uri, ktor bezpenostn sluby s najdleitejie a v praxi zle na potrebch uvateov. V rmci Osi je definovanch 5 bezpenostnch sluieb : autentizcia riadenie prstupu utajenie dt integrita dt neodmietnutie zodpovednosti za slubu Vlastn norma definuje okrem tchto sluieb tie podtriedy pre jednotliv sluby, take sa meme stretn napr. so spojovanmi a nespojovanmi slubami pre zaistenie integrity, s obnovou a bez obnovy a pod. Tab. 9-1 Umiestnenie bezpenostnch sluieb v rmci modelu OSI Vrstva Sluba
autentizcia funknej jednotky entity autentizcia pvodu dt sluba riadenia prstupu utajenie spojenia utajenie rozviazania spojenia utajenie selektvneho poa utajenie prenosovho toku integrita spojenia s monosou obnovy integrita spojenia bez monosti obnovy integrita spojenia vberovho poa integrita nespojovanch sluieb nespojovan sluba integrity vybranho poa neodmietnutie poiadavky na spojenie s previerkou autenticity neodmietnutie poiadavky na spojenie s previerkou doruenia poiadavky
3 A A A A A
4 A A A A A
7 A A A A A A A A A A A A A A

A A

A A
Vysvetlivky : Poznmky :
A 1) 2)
no, sluby me by zahrnut do tandardov pre vrstvu ako sprvca voby nezabezpeen (neposkytovan) Tabuka sa nepoka indikova, ak vstupy maj rovnocenn vhu alebo dleitos Prezentan vrstva obsahuje urit mnostvo bezpenostnch prostriedkov, ktor podporuj poskytovanie bezpenostnch sluieb aplikanou vrstvou
Riadenie prstupu Riadenie prstupu m z pohadu siet pecifick lohu a nie je typickou bezpenostnou funkciou. Ke napr. iadame o spojenie, neiadame priamo o riadenie prstupu, ale tto sluba je volan explicitne. Naviac tto sluba mus spolupracova s autentizciou a sieovm a aplikanm manamentom. Tto sluby poskytuje ochranu pred neautorizovanm pouitm prostriedkov dostupnch cez OSI. Tto sluba sa me poui pre jednotliv druhy prstupov k prostriedkom (pouitie komunikanch prostriedkov, tanie, zpis, vymazanie informci, spracovanie, ) alebo pre vetky prstupy k prostriedkom. Prakticky je tto sluba zaisten na jednotlivch rovniach OSI nasledovne : na linkovej rovni napr. pomocou filtrov v mostoch; 195
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV na sieovej rovni v smerovaoch s obmedzeniami zaloenmi na sieovch adresch; na transportnej rovni v smerovaoch s obmedzeniami na bze TCP socketov; na aplikanej rovni v jednotlivch aplikcich. Kontrola prstupu v nich vrstvch me podstatne redukova monosti toku na systm. V praxi sa pouvaj predovetkm zoznamy pre riadenie prstupu (Access Control) v smerovaoch a alie vlastnosti konkrtnej sieovej technolgie. Norma ISO 7498-2 nepopisuje ako s jednotliv bezpenostn sluby detailne implementovan. K tomu, aby bolo mon realizova bezpenostn sluby, slia nasledujce pecifick bezpenostn mechanizmy : ifrovanie, digitlny podpis, mechanizmus riadenia prstupu, mechanizmus integrity dt, mechanizmus autentizanej vmeny, mechanizmus vyplovania prevdzky, kontrola smerovania, mechanizmus notra. Okrem toho existuj aj nepecifikovan bezpenostn mechanizmy, ktor nezaisuj iadnu jednotliv bezpenostn slubu a nie s preto zaraden do iadnej konkrtnej vrstvy. Napriek tomu mu by v praxi pouit. Niektor z tchto mechanizmov mono povaova za sas sprvy bezpenosti. Veobecne plat, e dleitos tchto mechanizmov priamo svis s poadovanou rovou bezpenosti. Medzi nepecifick bezpenostn mechanizmy patr napr.: dveryhodn funkcionalita, bezpenostn nvesti, detekcia udalost, audit bezpenosti, bezpenostn zotavenie. Tab. 9-2 Vz ah medzi bezpenostnmi mechanizmami a slu bami Mechanizmy Sluba
autentizcia funknej jednotky entity autentizcia pvodu dt sluba riadenia prstupu utajenie spojenia utajenie rozviazania spojenia utajenie selektvneho poa utajenie prenosovho toku integrita spojenia s monosou obnovy integrita spojenia bez monosti obnovy integrita spojenia vberovho poa
ifrovanie Digitlny Kontrola Integrita Autentipodpis prstupu dt zan vmena Vyplo- Kontrola Mechanizsmero- mus notra vanie prevdzky vania
A A A A A A A A A
A A
A A A A
A A A
196
INFORMAN SYSTMY Sluba

integrita nespojovanch sluieb nespojovan sluba vybranho poa integrity
BEZPENOS INFORMANCH SYSTMOV Mechanizmy

ifrovanie Digitlny Kontrola Integrita Autentipodpis prstupu dt zan vmena Vyplo- Kontrola Mechanizsmero- mus notra vanie prevdzky vania
A A
A A A A
A A A A
A A
neodmietnutie poiadavky na spojenie s previerkou autenticity neodmietnutie poiadavky na spojenie s previerkou doruenia poiadavky
Vysvetlivky :
A no, mechanizmus je povaovan za vhodn bu samostatne alebo v kombincii s alm mechanizmom, mechanizmus nie je povaovan za vhodn pre zaistenie tejto sluby
Bezpenostn manament Kovm opatrenm pre zaistenie bezpenostnch sluieb je manament. Sieov architektra potrebuje podporu manamentu pre zaistenie zmien v bezpenostnej politike pri jej presadzovan v systme. Typickm prkladom me by manament kov a sluieb pre zaistenie utajenia a integrity. V prpade sluieb riadenia prstupu treba riadi informcie o tejto kontrole (napr. Access Control List) a v prstupovch lohch uvateov. V sieovom prostred (predovetkm vo vekch sieach) neexistuje jedin autorita, ktor by kontrolovala cel prostredie. Spravidla bva niekoko autort, ktor zastvaj nasledujce bezpenostn autority: autorita pre riadenie kontroly prstupu, autentizan autorita, autorita manamentu kov, auditan autorita.
9.6 Informan bezpenos

Dleitou asou informanej bezpenosti je problematika programov ohrozujcich bezpenos. Ide o programy, ktor mu pokodi alebo plne znii dta, spsobi prezradenie utajovanch skutonost, prpadne vyli funknos celho systmu. V zsade ide o programy, ktor naruuj integritu alebo dvernos dajov uloench v informanom systme, prpadne naruenm funknosti systmu toia proti dostupnosti sluieb systmu.
9.6.1 toky proti integrite a dvernosti dt

Trapdoors Ide o nedokumentovan vstupy do programovch modulov, ktor bvaj spravidla vytvoren v rmci tvorby programovch modulov za elom ich ahieho odladenia. Najastejie sa vyskytuj takto typy: doplnenie prkazov do mnoiny prkazov, ktor modul normlne vykonva. Doplnen prkaz naprklad aktivuje rzne vpisy na obrazovku alebo tlaiare pre ely ladenia a pod. chybne oetren vstupy programovho modulu, kedy modul nerozozn neprpustn vstupn dta alebo sa pri ich vstupe nechov korektne, prkazy doplnen do modulu pre realizciu auditu systmu. Tieto nedokumentovan vstupy sa spravidla odstrnia pred dokonenm programovho modulu. Niekedy sa vak na ne pozabudne, alebo sa ponechaj pre ahie odladenie alch programovch 197
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV modulov alebo ahiu sprvu dokonenho programu. Niekedy sa v module ponechvaj myselne pre zskanie neoprvnenho prstupu k hotovmu beiacemu programu. Trjske kone Ide o programy, ktor okrem svojich riadnych funkci vykonvaj alie skryt funkcie. Spravidla s to programy, ktor si do systmu vlo sm uvate pre dosiahnutie novch funkci alebo ako doplnky originlnych naintalovanch programov. Salmov tok Ide o programy, ktor sa snaia vyuva vo svoj prospech mal zaokrhovacie chyby na hranici presnosti potaa. Naprklad v bankovch systmoch sa vyskytli programy, ktor prevdzali na konto programtora zvyky vznikajce zaokrhlenm pri vpote rokov. Pri vekom pote vpotovch operci sa tak na jeho konto pripsali celkom zaujmav sumy. Inm spsobom salmovho toku je prava programu, ktor zaisuje bezhotovostn platby tak, e z asu na as zvi zkaznkovi poplatky o mal iastku, ktor nsledne prevedie na vhodn et. Skryt kanly V systmoch spravujcich utajovan informcie aplikan programtori spravidla nemaj prstup k fungujcim programom po ukonen vvoja. Ak chc zska prstup k spravovanm informcim vytvoria skryt kanl - mal doplnenie vhodnho programovho modulu, ktor im po zadan vhodnho hesla (naprklad pri uritej kombincii klves a pod.) sprstupn sluby systmu.
9.6.2 toky proti dostupnosti informci

Hladn programy Vo veobecnosti ide o programy, ktor uberaj strojov as inm slubm informanho systmu a tm zniuj dostupnos sluieb systmu. Ide naprklad o takto typy programov: na mnohch potaoch pracuj programy vykonvajce rzne zdhav vpoty, ktor maj vemi nzku prioritu. Nechcen alebo myseln zvenie priority me znamena zahltenie celho systmu. procesy, ktor generuj vek mnostvo synovskch procesov, asto chybou programu; programy pracujce v nekonenej sluke. Operan systmy asto obsahuj obrann mechanizmy, ktor nsilne ukonia programy, ktor beia prli dlho. v ase vykonvania vstupno-vstupnch operci nebe virtulny as procesu. Take proces, ktor generuje vemi vek mnostvo I/O operci, mu bea takmer neobmedzen as. Vrusy Vrus je program, ktor m schopnos okrem svoje zjavnej funkcie prida svoju vlastn kpiu (asto modifikovan) k inm programom - m autoreprodukn schopnos. Charakteristick vlastnosti vrusov : Spravidla sa pripoj k programu alebo nahrad as kdu napadnutho programu. Pri spusten tohto programu sa najskr vykon kd vrusu, ktor sa naintaluje do pamti a prevezme alebo pozmen niektor funkcie systmu. Vrusy asto obsahuj obrann mechanizmy proti detekcii napr. s schopn intanciu od intancie podstatnm spsobom meni svoj vlastn kd, po naintalovan do pamti vykonaj opercie, ktor ostatnm programom znemonia pouva as pamti obsaden vrusom a pod. Vemi asto urit as vykonvaj len vlastn reprodukciu bez akchkovek vedajch prejavov. V ase odhalenia alebo prejavenia vrusu, tak me by napadnut obrovsk vina programov v systme. 198
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV Nsledky innosti vrusov s vemi rozmanit od nekodnch obrazovch alebo zvukovch efektov, ktor len rozptyuj obsluhu a zbytone zaauj pota a po rozsiahle pokodenie vetkch dt a programov alebo dokonca technickho vybavenia potaa. Podmienkou renia vrusov je neopatrn manipulcia s programovm vybavenm, prenanie neleglneho software a pod. renie vrusov iastone obmedzuje nstup systmov, ktor poskytuj ochranu pamti a dokonalejiu sprvu prostriedkov potaa. Tieto systmy vak s pomerne komplikovan a mu tak poskytn kryt dokonalejm vrusom. Celkovo vak mono kontatova, e z nstupom novch operanch systmov typu WINDOWS 96 a WINDOWS NT postupne kles vskyt klasickch sborovch aj boot vrusov. Je to spsoben okrem inho faktom, e nov programy pre tieto operan systmy s pomerne rozsiahle a distribuuj sa CD-ROM a podstatne menej na disketch. Podstatne v vskyt vak v poslednom ase zaznamenali tzv. makrovrusy. Makrovrusy vyuvaj fakt, e modern aplikcie s vemi silnmi nstrojmi a vo svojich dtovch sboroch neuschovvaj len ist dta, ale aj nstroje pre ich alie spracovanie - rzne formtovacie prkazy a pod. Ako prklad mu sli naprklad makr programu MS-WORD. Tieto makr s uloen v rovnakom dokumente ako text a mnoho z nich me by spustench automaticky po otvoren dokumentu., alebo spojench s polokou menu, s ikonami alebo s ubovonm klvesom. Existuje jednoduch spsob, ako makro skoprova z dokumentu do globlnej ablny, odkia me by makrovrus aktivovan pri kadom alom spusten programu MS-WORD. Makr s psan v jazyku WORDBASIC alebo v prpade MSOFFICE 97 priamo vo VBA. Tieto jazyky s pomerne jednoduch a pritom vemi siln. Naviac mnoho uvateov si vymiea svoje dokumenty s vyuitm elektronickej poty, o vrazne napomha reniu nkazy. V sasnosti existuje okolo 700 druhov rznym makrovrusov. ervy ervy s sieovou obdobou vrusov, ktor maj schopnos ri sa medzi potami prostrednctvom komunikanch liniek. Vo veobecnosti maj inky obdobn ako vrusy, avak vaka schopnosti ri sa samostatne potaovmi sieami dnes u v celosvetovom mertku, je ich expanzia omnoho rchlejia a teda aj dopad ich psobenia je vraznej. Ochranou proti ervom je kvalitn sprva programovho vybavenia, pouvanie len dobre otestovanch programov a rozdelenie siete na domny, medzi ktormi dochdza k minimlnemu zdieaniu informci, ktor je navye podroben dkladnej kontrole.
9.7 Potaov bezpenos

Ako u bolo uveden v vode tejto kapitoly, potaov bezpenos zaha bezpenos technickho a programovho vybavenia. V tejto asti sa budeme zaobera tzv. internou bezpenosou, ktor je implementovan v technickom a programovom vybaven systmu. Aby intern bezpenos bola efektvna, mus by doplnen externou bezpenosou, ktor zaha predovetkm fyzick prstup k systmu (a teda fyzick a personlnu bezpenos). Aby bolo mon definova bezpenos je najskr potrebn definova hranice systmu, pretoe vetko, o bude vo vntri systmu, je chrnen, vetko mimo je nechrnen. Z obrzku (Obr. 9.11) mono vidie rozdiel medzi hranicou systmu a bezpenostnou oblasou (Security perimeter - bezpenostn perimeter). Hranica systmu tvor rozhranie medzi externou a internou bezpenosou zaisujcou vlastn vynucovacie mechanizmy. Prvky vo vntri systmovej hranice mono rozdeli na dve skupiny - skupina, ktor vynucuje a udriava bezpenos a ostatn. Oddelenie tchto dvoch skupn prvkov vytvra imaginrnu hranicu - bezpenostn perimeter. Operan systm (OS) a vlastn hardware spravidla leia vo vntri bezpenostnho perimetra, uvatesk programy, terminly, modemy, tlaiarne a pod. spravidla leia mimo tohto perimetra. Vetky prvky vo vntri bezpenostnho perimetra musia by presne definovan, implementovan a kontrolovan, pretoe ich zlyhanie me vies k vnemu narueniu celho systmu. Poiadavky na 199
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV pdvky mimo bezpenostnho perimetra nemusia by tak prsne. Prakticky mus by definovan rozhranie, ktor me by tvoren naprklad mnoinou systmovch volan jadra OS alebo definciou elektrickch signlov komunikanho protokolu.
Notebook PC
Hranica systmu
X-terminl
Terminl
Bezpenostn perimeter
prepnae login proces
Administrtorsk terminl
uvatesk programy
Loklne tlaiarne
I/O I/O I/O zariadenia Systmov sbory
Administrtori
OS
SRBD
Sieov tlaiarne uvatesk mdi
uvatesk mdi Modem
systmov mdi
Router
dokumentcia
Obr. 9.11 Urenie hranc systmu Vetko, o svis s vynucovanm bezpenosti je vdy uloen v tzv. jadre, ktor vykonva funkciu tzv. referennho monitora. Jadro je kombincia technickch a programovch prostriedkov, ktor je z hadiska bezpenosti zodpovedn za vynucovanie bezpenostnej politiky systmu. V jadre je umiestnen databza prstupovch kontrol, ktor obsahuje informcie o bezpenostnch atribtoch a prstupovch prvach. Tto databza je dynamick a men sa poda toho ako sa menia objekty a subjekty so svojimi prstupovmi prvami. Mus by zaisten, e referenn monitor kontroluje plne vetky prstupy subjektov k objektom. Tvorcovia operanch systmov sa usiluj o to, aby jadro bolo o najmenie z dvodu vej efektvnosti a predovetkm preto, e mal jadro sa d lepie otestova a overi z hadiska jeho bezpenosti. V systme jadra meme vysledova mal as, ktor je podmnoinou bezpenostnho perimetra a ktor m na staros vetky dleit innosti svisiace s bezpenosou. Tto mal as sa nazva dveryhodn vpotov bza (Trusted Computer Base - TCB). Obdobne v distribuovanom prostred potaovch siet je definovan sieov dveryhodn vpotov zklada (Network Trusted Computer Base - NTCB). Hlavnm cieom implementcie bezpenostnej bzy (TCB alebo NTCB) do informanch systmov je vybudova ochrann val, o ktor sa mu oprie vetky vznamn bezpenostn funkcie. Chrbticu sasnch informanch systmov tvoria operan systmy, preto sa alia kapitola bude venova implementcii bezpenostnch mechanizmov do operanch systmov.
9.7.1 Bezpenos operanch systmov

Bezpen operan systm je charakteristick vykonvanm tchto funkci: autentizcia pouvateov, ochrana pamte - medzi uvatemi aj v rmci jednho uvateskho priestoru medzi aplikciami, 200
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV riadenie prstupu k sborom a vstupno-vstupnm zariadeniam - ochrana pred neautorizovanm prstupom, riadenie prstupu k veobecnm objektom - zabezpeenie bezproblmovho sasnho prstupu viacerch pouvateov k rovnakmu objektu, zabezpeenie zdieania - predovetkm zaistenie integrity a konzistentnosti, medziprocesov komunikcia a synchronizcia - systm poskytuje mechanizmus pre bezpen predvanie sprv medzi procesmi, ktor navzjom nekomunikuj priamo ale prostrednctvom operanho systmu.
9.7.1.1 Operan systm UNIX

Zkladom celho operanho systmu je jadro a systm sborov. V UNIXe plat zsada, e vetko je sbor alebo proces. Jadro m na staros predovetkm riadenia pamte a vstupno-vstupnch zariaden a vykonva funkciu referennho monitora bezpenosti. Sborov systm zabezpeuje organizan truktru pre ukladanie a tanie dt. Systmov sluby roziruj monosti jadra o alie vlastnosti. Aplikcie zabezpeuj pouvateom zlepen komfort ovldania, priom pouvaj vlastnosti systmovch sluieb. V kadom UNIXe je dostupnch niekoko prkazovch interpretov (tzv. shell), ktor spracovvaj prkazy pouvatea a zabezpeuj prostrednctvom systmovch sluieb komunikciu s jadrom. Operan systm UNIX v sasnosti patr medzi najlepie OS pre spracovanie kritickch aplikci vekho rozsahu. Jeho hlavnou vhodou je viacuvatesk a viaclohov prostredie, ktor m vemi dobr podporu bezpenosti. Medzi kov charakteristiky OS UNIX z hadiska bezpenosti patr: vetko o be mus ma identifiktor uvatea (User Identifier Descriptor - UID) a identifiktor procesu (Process Identifier Descriptor - PID), vetky akcie v systme mu by zaznamenan pomocou auditu, prstup k pecilnym sborom - t.j. aj k perifrnym zariadeniam je zhodn a prebieha cez rovnak prstupov kontrolu, identifikcia uvateov pri prihlasovan pomocou hesla, autorizan kontrola, identifikcia host potaov pri komunikcii medzi servermi, riadenie prstupu k sborom a adresrom (sbory s aj vetky vstupno-vstupn zariadenia), sieov sluby s integrlnou sasou systmu a teda spadaj pod kontrolu referennho monitora, audit OS, ktor umouje detegova aj systmov volania, alie prdavn vlastnosti - napr. monos ifrovania sborov a pod.
9.7.1.2 WINDOWS NT - server

TCB operanho systmu WINDOWS NT je tvoren viacermi asami, ktor presadzuj a vynucuj bezpenos systmu. TCB obsahuje nasledujce systmov asti: spustiten, ktor beia v privilegovanom stave procesora nazvanom kernel md, chrnen servery (podsystmy), ktor beia v neprivilegovanom stave procesora nazvanom uvatesk md, administrtorsk nstroje, ktor tie beia v uvateskom mde. Vetka interakcia medzi pouvateom a operanm systmom sa zana procesom prihlsenia pouvatea. Tento proces sa iniciuje sasnm stlaenm klvesov CTRL-ALT-DEL. Tm sa inicializuje tzv. bezpen cesta, ktor okrem inho sli aj ako ochrana pred programom typu trjsky k, ktor by na obrazovke len simuloval proces prihlsenia za elom zskania uvateskho hesla. Po spenom zadan mena, hesla, nzvu servera alebo domny prebehne proces autentizcie uvatea prostrednctvom sprvcu bezpenosti tov (SAM), ktor porovn zskan daje s dajmi uloenmi v zaifrovanej bezpenostnej databze. alia sas bezpenostnho mechanizmu - loklna bezpenostn autorita (Local Security Authority - LSA) poskytne prihlasovanmu klientovi informciu o 201
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV uvateovi - najm jeho prstupov prva, domovsk adresr a alie premenn. Ak je cel proces prihlsenia spen, vytvor bezpenostn systm samostatn objekt nazvan prstupov token. Tento objekt obsahuje okrem inho aj bezpenostn identifikciu uvatea (Security ID - SID), uvatesk meno a zoznam uvateskch skupn, do ktorch uvate patr. Tento token alebo jeho kpie s spojen so vetkmi procesmi, ktor uvate spustil. V systme je implementovan objektov technolgia - zkladnmi stavebnmi prvkami s objekty (prkladom objektov mu by procesy, sbory, adresre, tlaiarne, udalosti a pod.). O tieto objekty sa star sprvca objektov, ktor zaisuje vytvranie, ruenie, ochranu a evidenciu vetkch objektov. WINDOWS NT maj implementovan politiku prstupovch prv k sborom a adresrom a politiku prideovania prv na vykonvanie zvanch akci (napr. zmena systmovho asu). Prstupov a uvatesk prva mono prideli kadmu (everyone), skupine uvateov (groups) alebo jednotlivcom. Systm taktie umouje audit. innos systmu je trvalo monitorovan a je zabezpeen ako okamit vyrozumenie pouvateov, tak aj zaznamenanie menej kritickch udalost do zznamu. Zaznamenvan udalosti sa ukladaj do troch sborov s tmto urenm: systmov zznamy - zaznamenvaj systmov udalosti (napr. vpadok ovldaa v priebehu nabiehania systmu), bezpenostn zznamy - zaznamenvaj udalosti bezpenostnho charakteru, aplikan zznamy - uchovvaj udalosti, ktor generuj aplikcie uren tvorcami aplikci. Tieto zznamy je mon pravidelne analyzova. Prakticky mono monitorova spech alebo nespech nasledujcej mnoiny udalost: prihlsenie a odhlsenie uvateov, prstupy k sborom a objektom, pouitie privilgi uvatea, zmeny uvatea alebo skupiny, zmeny bezpenostnej politiky, inicializcia alebo ukonenie systmu, trasovanie procesov. V oblasti zabezpeenia odolnosti proti chybm na zznamovch mdich je podpora niekokch sborovch systmov: FAT sborov systm vyvinut pre MS-DOS (pozri kap. 4) je k dispozcii pre zachovanie kompatibility s predchdzajcimi verziami WINDOWS a DOS. Tento systm nie je schopn vyuva bezpenostn vlastnosti WIN NT a neponka ani bezpen obnovu v prpade poruchy. NTFS (NT File System) nov sborov systm vyvinut pre WIN NT, ktor je schopn vyui bezpenostn vlastnosti tohto OS. Je zaisten monos zotavenia po chybe disku alebo vpadku systmu. Tto vlastnos je zabezpeen prostrednctvom urnlovho zznamu, kde sa uchovvaj informcie pre zopakovanie alebo zruenie opercie v prpade chyby transakcie. Tento systm nemono poui na disketch. HPFS (High Performance File System) sborov systm vytvoren pre operan systm OS/2. Systm OS/2 nepodporuje bezpenostn funkcie NT a neponka tak rove opravy chb.
9.7.2 Identifikcia a autentizcia uvateov

Identifikcia a autentizcia uvateov patr medzi zkladn bezpenostn funkcie, ktor sa pouvaj spolu s funkciou riadenia prstupu k zveniu bezpenosti informanch systmov. Identifikcia je proces prihlsenia sa uvatea do systmu, predstavenia sa. Autentizcia je proces overenia totonosti uvatea systmom. Na zklade spenej identifikcie a autentizcie systm spravidla sprstupn svoje sluby pouvateovi. 202
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV Identifikciu aj autentizciu pouvateov mono v zsade realizova tromi zkladnmi spsobmi: na zklade znalosti uvatea znalosou hesla, ifrovacieho ka, na zklade vlastnctva uvateom vlastnenm identifikanho predmetu, na zklade vlastnosti uvatea vyhodnotenm biometrickch vlastnost uvatea
9.7.2.1 Identifikcia a autentizcia znalosou

Ide o najstar, najjednoduch, najlacnej a najrozrenej spsob identifikcie a autentizcie. Jeho podstata spova v zadan vhodnho hesla. V prpade identifikcie heslom sa v informanch systmoch najastejie pouva meno uvatea, prpadne jeho skratka. Pre autentizciu sa pouva tajn heslo ktor by malo ma tieto vlastnosti: okrem vekch a malch psmen obsahuje tie slice a alie znaky, ktor sa vyskytuj na klvesnici, m dostaton dku (niektor operan systmy vyaduj dku minimlne 6 znakov), nie je to obvykl slovo alebo frza, nie je mon ho odvodi zo znalosti osoby pouvatea tohto hesla, asto sa obmiea, nie je poznaen niekde v okol prstupovho terminlu do IS. V svislosti s pouvanm bankovch informanch systmov pre vber peaz - bankomatov, platenia platobnmi alebo kreditnmi kartami sa ako heslo pouvaj seln reazce tandardnej dky (napr. 4-miestne) tzv. identifikan slo uvatea (personal identification number - PIN). Pretoe heslo me by zachyten v priebehu vkladania alebo pri prenose do cieovho uzla a naviac jeho ast zmeny pouvatea zaauj, jednou z metd zadvania hesla s tzv. systmy odpovedi na vzvu (challenge-response systems). Ich podstata spova v tom, e po identifikcii uvatea mu systm zale vzvu v podobe nhodnej sprvy a uvate ako heslo vrti sprvnu reakciu - napr. tto nhodn sprvu zaifruje jemu znmym tajnm kom a pod. Ako alia monos pouitia hesla s tzv. pass-phrases s to vlastne dlh hesl (napr. asti piesn, bsniiek, cittov a pod.). Ak sa pouije vhodn kompresn algoritmus, mono takto frzu transformova na pomerne kvalitn heslo. Prevan vina sasnch ochrannch systmov vyuvajcich ochranu heslom je zaloen na programovom rieen bez hardwarovch doplnkov. Tento spsob je vemi jednoduch ale na druhej strane pomerne zraniten a vedie sa proti nemu mnostvo tokov. Tieto toky vyplvaj na jednej strane z podstaty ochrany. Ak je ochrana zaloen na softwarovom rieen, toky sa ved bu prostrednctvom pecilnych programov, ktormi mono odchytva hesl zadvan uvatemi klvesnicou prostrednctvom vhodnch rezidentnch programov alebo sa programovo generuje kombincia znakov, ktormi sa program poksi o prienik do systmu, priom postup sa opakuje dovtedy, km sa prienik nepodar. Proti tomuto spsobu prieniku sa mono brni napr. obmedzenm potu chybnch pokusov o prihlsenie pre danho uvatea, priom po prekroen stanovenho potu chybnch prihlsen sa prstup uvateovi znemon bu natrvalo alebo len doasne. Druh skupina tokov proti ochrane heslom vyplva zo subjektvneho postoja uvateov. Mnoh nerepektuj zsady pouvania bezpenho hesla. Vemi asto je heslo odvoden z mena alebo zkladnch dajov pouvatea (krstn meno, meno manelky alebo priateky, dtum narodenia a pod.). Uvatelia vemi asto svoje heslo znaia na prstupn miesta (napr. na monitor, spodn as klvesnice, rzne lstky prilepen na pota a pod.) asto si navzjom vymieaj hesl a nie s ochotn si heslo pravidelne obmiea.
203
INFORMAN SYSTMY
9.7.2.2 Identifikcia a autentizcia vlastnctvom

Ide o spsob, ktor je spoahlivej a bezpenej ako predchdzajci. Jeho podstata spova v preukzan totonosti pomocou urenho predmetu (token), ktor jednoznane identifikuje alebo autentizuje vlastnka. Tento predmet mus by jedinen a ako napodobiten. Najastejou technolgiou implementcie tohto spsobu je pouitie magnetickch kariet, kde je informcia zapsan na magnetickom psiku umiestnenom na plastovej karte. Magnetick karty s vrobne nenron, ich vrobnou vhodou avak bezpenostnou nevhodou je monos prepisu zpisu na karte alebo jej koprovanie. Preto v aplikcich s vymi nrokmi na bezpenos sa pouvaj tzv. ipov karty, ktor maj informciu potrebn pre identifikciu alebo autentizciu zapsan v pamovom ipe. Poda najvznamnejieho vrobcu tchto kariet sa asto nazvaj DALLAS ipy alebo poda spsobu pouitia touch memory, pretoe informcia sa z nich prena len jednoduchm priloenm k snmaciemu zariadeniu.. ipov karty mu by pouit ako pamov karty, prpadne ako tzv. inteligentn karty (smart cards), ktor maj implementovan aj mikroprocesorov obvody schopn realizova urit vpoty a pod. Pamov karty mu by realizovan ako jednoduch, ktor maj v pamti (typu ROM) uloen jednoznan identifikan reazec. Tento sa preta po priloen karty k taciemu zariadeniu. Zloitejie pamov karty udruj hesl po zadan jednoduchho uvateskho hesla vydaj uren kvalitn k, prpadne ak obsahuj logiku, s schopn spracovva podnety typu vydaj nasledujci k, vydaj cyklick sekvenciu kov a pod., priom mu ma obmedzen poet pouit. Tento typ karty me naprklad generova tzv. one-time heslo pre jedno pouitie. Inteligentn karty s vhodnm doplnkom u spomnanch challenge-response systmov, kde karta generuje k pre zaifrovanie odpovede. Tieto karty mu by vybaven vlastnm vstupnm zariadenm pre komunikciu s uvateom, vlastnou asovou zkladou, mu zabezpeova ifrovanie, generova nhodn sla a pod. Bezpenos identifikanch a autentizanch predmetov je vyia ako pri pouit hesla. Napriek tomu ich pouvanie m niektor nevhody. Predovetkm to je potreba ma predmet k dispozcii existuje monos jeho straty alebo pokodenia, o znemon aj oprvnenmu uvateovi prstup do systmu. Naviac, predmet mono odcudzi a zneui. Nevhodou s aj vyie finann nklady na realizciu zabezpeenia s vyuitm identifikanch alebo autentizanch predmetov.
9.7.2.3 Identifikcia a autentizcia vlastnosou

Tento spsob sa pouva v prpade ochrany najvyej rovne, pretoe patr medzi najbezpenejie spsoby. Jeho podstata spova vo vyuvan osobnch charakteristk ud - identifikcia alebo autentizcia osoby sa realizuje pomocou vyhodnotenia vybranej charakteristickej biologickej vlastnosti. Najastejie sa pre tieto ely pouva tieto biometrick metdy : vyhodnotenie otlakov prstov systm vykonva tatistick rozbor vskytu tzv. markantov - hrbolcov, sluiek a pirl v otlaku prsta a ich vzjomnej polohy. K tomu je vak potrebn zosnma otlaok prsta a snmku pre ely rozboru digitalizova. Zkony v niektorch ttoch zakazuj uklada v databze otlaky prstov, preto mnoh systmy z pretanho otlaku prsta vypotaj digitlnu vzorku, z ktorej nie je mon sptne vytvori tvar otlaku prsta, a len tto vzorku ukladaj do databzy. vyhodnotenie geometrie dlane, tvaru prstov alebo celej ruky je obdobou predchdzajcej metdy. Systm op snma obraz, v ktorom sa po digitalizcii vyhodnocuje dka a rka dlane, tvar jednotlivch prstov, bon profil ruky alebo prstov a pod. Vsledkom je spravidla mal digitlna vzorka uloen v databze. vyhodnotenie obrazu sietnice systm pri pohade hodnotenej osoby do snmacieho zariadenia s kamerou zska obraz truktry sietnice v okol slepej kvrny, obraz digitalizuje a transformuje na vzorku dky pribline 40 bytov. Obraz sietnice m obdobn charakteristick vlastnosti ako otlaky prstov. 204
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV vyhodnotenie kresby dhovky je obdobou vyhodnotenia obrazu sietnice. Kresba dhovky je obdobne ako obraz sietnice alebo otlaky prstov vemi individulna a vhodn pre identifikciu alebo autentizciu osb. vyhodnotenie hlasu testovan subjekt preta systmom nhodne zvolen frzu, zosnman zvukov stopa sa frekvenne obmedz (obvykle na 3 kHz) a urob sa rozbor zvuku na zklade pvodu jednotlivch zloiek zvuku v innosti hlasovho apartu loveka. Vsledok sa vhodnm spsobom komprimuje na vzorku vekosti 1 a 2 kB a porovn sa s porovnvacou vzorkou v databze. Komplikciou tejto metdy s zmeny hlasu spsoben starnutm osb, chorobou a nakoniec aj odlin zafarbenie hlasu v priebehu da, ktor prinaj dodaton poiadavky na technick a programov vybavenie na realizciu inak jednoduchej metdy. hodnotenie dynamiky podpisu pri tomto spsobe sa sleduj zmeny tlaku, zrchlenie v jednotlivch astiach podpisu, celkov priebeh zrchlenia, zarovnanie jednotlivch ast podpisu, celkov rchlos, celkov drha a as pohybu pera na a nad papierom a pod. Zo zskanch hodnt sa op vytvor vzorka, ktor sa porovn s porovnvacou vzorkou v databze. Vhodou tejto metdy je jej prirodzenos a socilna akceptovatenos, nevhodou je pomerne vysok variabilita podpisu u jednotlivch ud a pomerne mal mechanick odolnos snmaov. Uveden a prpadn alie biometrick metdy sa v zsade mu poui ako pre identifikciu, tak aj pre autentizciu osb. Proces identifikcie biometrickmi metdami je vak zloitej a zdhavej, pretoe systm na zklade zosnmanej vzorky vhodnej biometrickej veliiny mus uri totonos identifikovanej osoby. To ale znamen, e v databze nesm by dve alebo viacer zhodn identifikan vzorky. Tto poiadavka vak priamo kladie nroky na komplikovanejie vzorky v databze a tm na celkov rchlos identifikanho systmu. Vzhadom k tomu sa biometrick metdy astejie pouvaj pre ely autentizcie osb. Kvalitu biometrickch spsobov autentizcie mono posudzova pomocou velin: poetnos chybnch odmietnut autentizovanho subjektu (failed rejected rate - FRR), poetnos chybnch prijat tonka (failed accepted rate - FAR).
9.8 Hodnotenie bezpenosti

Ako u bolo niekokokrt uveden v predchdzajcich kapitolch, bezpenosou informanho systmu rozumieme predovetkm zaistenie dvernosti a integrity informanej zkladne IS a dostupnosti sluieb poskytovanch IS. Pre splnenie tchto poiadaviek je potrebn, aby systm plnil mnoho podpornch sluieb ako je napr. tovatenos vetkch dleitch akci, aby bolo mon preukza prstup jednotlivch subjektov ku konkrtnym informcim a zdrojom informanho systmu. Mieru zvanosti a obsah jednotlivch zloiek bezpenosti pre konkrtny systm pecifikuje bezpenostn politika. Bezpenostn politika systmu pracujceho pre ministerstvo obrany bude zrejme kls draz na zabezpeenie dvernosti, bezpenostn politika komernej firmy na integritu dt a bezpenostn politika systmu telefnnej spolonosti na dostupnos sluieb. Bezpenostn politika me ma charakter bu povinnch zsad menitench len niekokmi sprvcami, alebo nepovinnch ustanoven, ktorch uplatnenie uruj vlastnci jednotlivch informanch zdrojov. Povinn zsady lepie chrnia pred nikom dt spsobench naprklad omylom obsluhy. Systm, ktor svojou realizciou spa bezpenostn politiku, nazvame dveryhodn systm. Za dveryhodn systm povaujeme tak informan systm, za ktor meme poskytn zruku, e pln stanoven bezpenostn politiku. Je potrebn si uvedomi, e absoltne bezpen IS nie je mon vybudova u len s ohadom na rznu rove legislatvy v rznych krajinch. Kritri pre hodnotenie bezpenosti Vzhadom k irokmu uplatneniu informanch technolgi v rznych oblastiach spolonosti nesta iba vytvori bezpen IS. Uvate IS mus veri, e nm pouvan IS je bezpen a pre nkup 205
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV vhodnho IS potrebuje vhodn mertka, ktor mu umonia porovna rove bezpenosti rznych IS. Preto sa objavili snahy zavies vhodn kritri bezpenosti IS, ktor by spali nasledujce poiadavky: kritri by mali poskytn uvateom mertko pre vyjadrenie stupa dvery, ktor me vloi do IS, ktor chce poui pre spracovanie dleitch informci; kritri by mali poskytn vrobcom vodidlo, ktor prvky bezpenosti maj zabudova do vytvranho IS, aby tento spal poadovan stupe bezpenosti; kritri by sa mali sta zkladom hodnotenia stupa bezpenosti IS certifikanm orgnom. Medzi najznmejie kritri bezpenosti patria tieto : TCSEC (Trusted Computer System Evaluation Criteria) vydan Ministerstvom obrany USA v roku 1983 ITSEC (Information Technology Security Evaluation Criteria) spolon harmonizovan poiadavky na bezpenos informanch technolgi prijat zpadoeurpskymi krajinami v rmci integranho silia v roku 1990 CTCPEC vydan v roku 1990 kanadskm stavom pre bezpenos komunikci (CE) FCITS vydan v roku 1993v USA ako vsledok spoluprce Nrodnho normalizanho rad (NIST) a Nrodnej agentry pre bezpenos (NSA) CCITSE pracovn nvrh veobecnch kritri hodnotenia bezpenosti informanch technolgi, o ktorom sa zaalo diskutova v rmci krajn EU v roku 1995
9.8.1 Kritri TCSEC

Kritri TCSEC nazvan aj oranov kniha (pomenovan poda farby obalu prvho vydania) zaviedli pojem trieda bezpenosti, pecifikovali jednotliv triedy a priradili im oznaenie. Jednotliv triedy s alej lenen na podtriedy: Trieda D nem podtriedu. Systm zaraden do tejto triedy nevyhovel poiadavkm na zaradenie do vyej triedy. Ide o produkty, ktorm chbaj niektor bezpenostn vlastnosti, alebo produkty, ktor nevyhoveli z formlnych dvodov. Systmy zaraden do tejto triedy neposkytuj iadnu ochranu. Trieda C m dve podtriedy. Zariadenia spajce podmienky zaradenia do tejto triedy disponuj tzv. vberovou ochranou, teda nie s komplexne chrnen. Podtriedy s charakterizovan : trieda C1 - von ochrana oddelenie uvateov od dt; mus existova metda umoujca uvateom chrni vlastn dta pred ostatnmi, priom uvate si zvol, i tieto metdy bude pouva. trieda C2 - kontrolovan prstup systm stle vykonva von ochranu zdrojov veden a na rove jednotlivch uvateov - mus by veden prehad prihlsen. Naviac mus by implementovan ochrana proti rezdum (zvykom obsahu pamti, registrov, , potom, o proces prestane tieto prostriedky vyuva). Rezdu nesm by sprstupnen niekomu inmu. Trieda B okrem splnenia predchdzajcich poiadaviek patr k najvznamnejm podmienkam zaradenia do tejto triedy zavedenie ochrany dajov, kde je kad dokument evidovan a s presne definovan zsady jeho pohybu od vzniku a po znik, vrtane urenia kto je oprvnen dokumenty ta, prpadne ich modifikova. Trieda m 3 podtriedy : trieda B1- znakovan ochrana kad kontrolovan subjekt a objekt mus ma priraden stupe utajenia a mus by tmto stupom oznaen. Kad prstup mus by overovan, mus existova popis implementovanho formlneho modelu, systm sa podrobuje testovaniu. trieda B2 - truktrovan ochrana mus by k dispozcii verifikovaten globlny nvrh systmu, mus by rozdelen do dobre definovanch nezvislch modulov, nvrh mus zohadova princp najmench monch oprvnen, bezpenostn mechanizmy musia by uplato206
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV van voi vetkm objektom a subjektom vrtane vetkch zariaden, mus existova analza monch skrytch kanlov. Vlastn systm mus bea v rmci svojej bezpenostnej domny a vykonva kontroly svojej integrity. trieda B3 - bezpenostn domny systm mus by schopn tzv. extenzvneho testovania, mus existova pln popis celkovej truktry nvrhu systmu, mus by konceptulne jednoduch. Musia existova ochrann mechanizmy na rovni jednotlivch objektov, kad prstup mus by testovan, kontrola na rovni vykonvania jednotlivch typov prstupu danho subjektu. Systm mus by vysoko odoln voi prienikom. Zariadenie, ktor vykonva audit prihlsen, mus by schopn odhadn hroziace nebezpeenstvo. Trieda A zaruuje najvyiu bezpenos. Pre zaradenie do tejto triedy mus by nvrh systmu formlne verifikovan, mus existova formlny model bezpenostnho mechanizmu s dkazom konzistentnosti, formlna pecifikcia systmu s overenm, e zodpovedn formlnemu modelu, mus by overen, e implementcia nie je odlin od formlnej pecifikcie, mus by realizovan formlna analza skrytch kanlov.
9.8.2 Kritri ITSEC

Tieto kritri slangovo nazvan Superman book boli vytvoren v roku 1990 ako harmonizovan verzia nrodnch kritri prijatch vo Franczsku, Nemecku, Anglicku a Holandsku, do skobnho pouvania boli dan v roku 1991. V terminolgii ITSEC je produkt alebo systm, ktor bude hodnoten nazvan hodnoten predmet, strana, ktor ponka predmet hodnotenia sa nazva sponzor. Sponzor mus predloi na posdenie produkt alebo systm, ktor bude hodnoten spolu s dokumentovanou pecifikciou svojho bezpenostnho ciea, potencilnych hrozieb a prslunch protiopatren a mechanizmov.. ITSEC pecifikuj 7 tried miery zruky E0 a E6 a v prlohe definuje alch 10 tried funknosti F. Triedy miery zruky vychdzaj zo tyroch zkladnch skupn kritri: proces vvoja IS, prostredie vvoja IS, prevdzkov dokumentcia IS a prevdzkov prostredie IS. P tried funknosti (F-C1, FC2, F-B1, F-B2 a F-B3) zodpoved rovnomennm triedam kritri TCSEC. Na rozdiel od TCSEC, ktor vznikla pre vojensk prostredie a zameriavala sa predovetkm na dvernos informci, s kritri ITSEC koncipovan omnoho veobecnejie a pokrvaj iastone aj poiadavky zabezpeenia integrity a dostupnosti informci. Kritri ITSEC s uren pre tri skupiny uvateov kritri: pre uvateov IS, pre predajcov IS (subjekty, ktor IS vyrbaj, kompletizuj a predvaj) a pre hodnotiteov (posudzovateov) IS. Z hadiska benho uvatea poskytuj tieto kritri nasledujce komponenty : poiadavky na mieru zruky, poiadavky na funknos, poiadavky na definciu produktu (systmu). Poiadavky na mieru zruky a poiadavky na funknos Oddelen definovanie poiadaviek na mieru zruky a na funknos je najvraznejou vhodou tchto kritri oproti jednorozmernm kritrim TCSEC, v ktorch je definovan len hierarchia tried, ktor v sebe zaha ako poiadavky funknosti tak, aj poiadavky na mieru zruky. Rozsahom najviu as kritri tvor defincia kritri miery zruky - v zsade ide o kritri pre hodnotenie korektnosti. Ku kritrim hodnotenia funknosti s pridan pre zvenie dveryhodnosti systmu. V tejto asti je definovanch 7 tried zruky E0 (najmenia) a E6 (najvyia). Ich strun obsah je nasledujci: E1 testovanie, E2 kontrola konfigurcie a distribcie, E3 overenie detailnho nvrhu a zdrojovho kdu, 207
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV E4 podrobn analza slabn systmu, E5 dkaz, e implementcia zodpoved detailnmu nvrhu, E6 formlne modely, formlne popisy a ich vzjomn korepondencia. Nepredpoklad sa, e by uvatelia menili defincie tchto tried, alebo e by si definovali triedy vlastn. Poiadavky na funknos kritri ITSEC nepredpisuj iadnu vopred dan mnoinu tried funknosti. Len vytyuj zsady ako triedu funknosti vytvori. Pre uahenie prce uvateom s v prlohe kritri uveden prklady tried funknosti. P z tchto tried funknosti (F-C1, F-C2, F-B1, F-B2 a F-B3) je hierarchickch a priamo zodpoved rovnomennm triedam kritri TCSEC. Zostvajcich p tried nem hierarchick truktru. Tieto triedy funknosti s triedy so zvenmi bezpenostnmi poiadavkami v niektorej oblasti bezpenosti : F-IN hodnotenie integrity systmu, F-DI hodnotenie integrity dt pri komunikcii, F-AV hodnotenie dostupnosti systmovch zdrojov, F-DC hodnotenie utajenia komunikcie, F-DX hodnotenie bezpenosti v rmci celej siete. Kad z tchto kritri me by vyhodnocovan nezvisle. Uveden triedy funknosti nie s zvzn a maj sli pre uahenie prce uvateom kritri ITSEC. Uvate m niekoko monost ako kategorizova funknos produktu alebo systmu: 1. Priamo pouije niektor z tried funknosti uveden v kritrich. V takom prpade si spravidla vyberie niektor z tried, ktor s hierarchick a zodpovedaj leneniu TCSEC. 2. Uvate pouije vhodn kombinciu niektorch z tried. Tto monos dovouje uvateovi vytvori triedu funknosti, ktor najlepie vyhovuje jeho poiadavkm. 3. Uvate pouije niektor u vytvoren triedu, ktor nie je sasou kritri ITSEC, ale je vytvoren v slade s tmito kritriami a najlepie vyhovuje poiadavkm uvatea. 4. Uvate si vytvor sm vlastn triedu funknosti, ktor je v slade s poiadavkami kritri ITSEC. Poiadavky na definciu produktu (systmu) Poda kritri ITSEC je dokumentom, ktor definuje bezpenostn vlastnosti produktu pecifikcia bezpenosti. pecifikcia bezpenosti sa sklad z nasledujcich ast : popis produktu alebo systmov bezpenostn politika, poadovan bezpenostn mechanizmy, minimlna sila mechanizmov, poadovan rove hodnotenia. Toto rozdelenie je definovan v kritrich ITSEC a je zvzn. Proces hodnotenia bezpenosti poda kritri ITSEC Procesu hodnotenia sa zastuj tyri subjekty : sponzor obvykle predvajci (v prpade produktu) alebo uvate alebo dodvate (v prpade systmu), ktor si praje demontrova, e hodnoten predmet spa pecifikciu bezpenosti. Sponzor poiada o hodnotenie predmetu hodnotiacu organizciu, zaist vypracovanie pecifikcie bezpenosti a uzatvra kontrakt s hodnotiacou organizciou. Ak hodnotenie skon spene, sponzor obdr od hodnotiacej organizcie certifikt bezpenosti. vvojr obvykle organizcie, ktor vyrba hodnoten predmet. Ak sasne nie je sponzorom, mus s nm spolupracova a tie mus spolupracova s hodnotiacou organizciou. 208
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV hodnotiaca organizcia jej lohou je vykonva nezvisl hodnotenie hodnotenho predmetu s cieom njs slabiny hodnotenho predmetu a uri, v akom rozsahu s splnen poiadavky uveden v pecifikcii bezpenosti. Hodnotenie sa mus vykonva v slade s kritriami ITSEC a v slade s nrodnmi tandardami krajiny, kde sa hodnotenie realizuje. Hodnotiaca organizcia vypracuje sprvu o hodnoten, ktor odovzd certifikanmu orgnu a sponzorovi. certifikan orgn ttna organizcia, ktor ako jedin m oprvnenie vydva certifikt bezpenosti informanho systmu. Tento certifikt potvrdzuje, e rove bezpenosti hodnotenho predmetu zodpoved poiadavkm uvedenm v pecifikcii bezpenosti a e hodnoten predmet dosiahol niektor z tried miery zruky poda kritri ITSEC. Certifikan orgn m dve lohy: vytvra hodnotiacej organizcii podmienky pre nestrann a objektvne hodnotenie a kontroluje dodranie nestrannosti, objektivity a konzistencie hodnotenia, vydva nestrann certifikt (potvrdenie) bezpenosti. Hodnotenie produktu sa vykonva v troch fzach: 1. Prpravn fza. V tejto fze sponzor kontaktuje vetkch astnkov hodnotenia, uzavrie s nimi kontrakty a zaist vypracovanie Vvojr pecifikcie bezpenosti, ktor dod vetkm astnkom.. Vvojr hodnotenho Hodnotiaca organizcia vypraproduktu alebo cuje odhad predpokladanej ssystmu penosti hodnotenia a v kladPodklady Podklady nom prpade sa ujme hodnotenia. 2. Vlastn hodnotenie. V prieorganizcia behu tejto fzy hodnotiaca orNezvisl ganizcia vykon vlastn hod- organizcia notenie. Vytvor sa zoznam vykonvajca slabch miest hodnotenho hodnotenie predmetu predmetu. Prpadn problmy s rieen poda ich charakteru Certifikan Vsledok bu s certifikanm orgnom orgn hodnotenia alebo v sinnosti so sponzoSleduje proces rom hodnotenia a s vvojrom. hodnotenia a vydva V priebehu hodnotenia sa vycertifikt o pracuje sprva o hodnoten, vsledku ktor je nakoniec odovzdan sponzorovi a certifikanmu Obr. 9.12 Proces hodnotenia orgnu.
Hodnotiaca Sponzor
Uvate, dodvate alebo predvajci, ktor poaduje certifikciu
Certifikt
3. Zveren fza. V nej certifikan orgn analyzuje vsledky hodnotenia uveden v sprve o hodnoten a ur, i boli splnen poiadavky uveden v pecifikcii bezpenosti. V kladnom prpade udel hodnotenmu predmetu certifikt a odovzd ho sponzorovi.
209

Informačné Systémy - Skriptá - 9

Uploaded by

Copyright:

Available Formats

You might also like

Informačné Systémy - Skriptá - 9

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Informačné Systémy - Skriptá - 9

Uploaded by

Copyright:

Available Formats

INFORMAN SYSTMY

BEZPENOS INFORMANCH SYSTMOV

9. Bezpenos informanch systmov

9.1 Priny ohrozenia IS

9.2 Zkladn pohad na informan bezpenos

Obr. 9.2 Zkladn procesy informanho systmu

Fyzick bezpenos (PHYSEC)

Komunikan bezpenos (COMSEC)

Personlna bezpenos (PERSEC)

Potaov bezpenos (COMPUSEC)

Radian bezpenos (TEMPSEC)

Dokumentan bezpenos a alie druhy

Dokumentan bezpenos a alie druhy

Obr. 9.4 Prvky bezpenosti informanch technolgi

9.3 Bezpenostn analza

9.3.1 Analza rizk

9.3.2 Metdy analzy rizk

9.3.3 Nstroje pre analzu rizk

9.4 Fyzick bezpenos informanch systmov

9.4.1 Vlastnosti objektov

9.4.2 Strenie objektu

9.4.3 Mechanick zabezpeenie objektu

9.4.4 Elektrick zabezpeovacia signalizcia

9.4.5 Elektrick poiarna signalizcia

9.4.6 Riadenie vstupu a pohybu osb

9.4.7 Systmy priemyslovej televzie

9.5 Komunikan bezpenos

BEZPENOS INFORMANCH SYSTMOV

9.5.1 Autentizcia sprv

verejn kanl C(M) KPA KPA

genertor M KSA KPB kov KSA KP A

verejn kanl C(M) KSB KPA dveryhodn KPA

genertor kov KPB KSB KPB

N KSA C(N) C(N) KPA

9.5.2 Podpisovanie sprv

BEZPENOS INFORMANCH SYSTMOV

MAC(M) MAC(M) KSA DP DP KPA

BEZPENOS INFORMANCH SYSTMOV

B IDB CVB KPCA KSB

dveryhodn CVA KPCA

KPX KPY ...

chrnen pam chrnen pam

Obr. 9.10 Realizcia dveryhodnho kanlu pomocou certifikanej autority

9.5.3 tandard bezpenosti ISO 7498-2

INFORMAN SYSTMY Bezpenostn sluby

BEZPENOS INFORMANCH SYSTMOV

INFORMAN SYSTMY Sluba

BEZPENOS INFORMANCH SYSTMOV Mechanizmy

9.6 Informan bezpenos

9.6.1 toky proti integrite a dvernosti dt

9.6.2 toky proti dostupnosti informci

9.7 Potaov bezpenos

I/O I/O I/O zariadenia Systmov sbory

uvatesk mdi Modem

9.7.1 Bezpenos operanch systmov

9.7.1.1 Operan systm UNIX

9.7.1.2 WINDOWS NT - server

9.7.2 Identifikcia a autentizcia uvateov