Professional Documents
Culture Documents
Informačné Systémy - Skriptá - 9
Informačné Systémy - Skriptá - 9
Informačné Systémy - Skriptá - 9
Ochrana IS sa vzahuje nielen na daje ale aj na programy, pretoe ich pokodenie vedie k nesprvnej funkcii systmu. Problematike ochrany IS sa treba venova po cel dobu ivotnho cyklu (t.j. v predprojektovej prprave, pri projektovan, pri programovan aj poas rutinnho pouvania). Pod pojmom bezpenos informanho systmu, teda rozumieme ochranu vetkch dajov, ktor systm obsahuje, s do vkladan, spracvan a prenan, ako aj ochranu vetkch ast - technickch aj netechnickch prostriedkov informanho systmu. Ako bude podrobnejie rozveden v alch astiach, bezpenos informanho systmu integruje fyzick, potaov, komunikan, personlnu, administratvnu a prevdzkov bezpenos. V systmoch s nronejmi poiadavkami k tmto opatreniam pribudn ete opatrenia na zabrnenie elektromagnetickho vyarovania. Sasou bezpenosti informanch systmov s nielen technick ale aj organizan opatrenia. Ochrann opatrenia vdy prinaj zvenie nkupnch aj prevdzkovch nkladov a pre pracovnkov a pouvateov IS prinaj niekedy aj nepohodln obmedzenia. Veobecne sa povauje za primeran venova pribline 10 a 20% celkovch nkladov na IS na zabezpeenie jeho ochrany.
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV prostredm - napr. klimatizciou, vpadkom napjania, prrodnou katastrofou a pod.
Uvate
Kad informan systm sa sklad z uritho mnostva komponentov, ktor spolu tvoria ucelen systm (Obr. 9.1). Aplikcia Databzov Vdy je tvoren minimlne technickm vybavenm, operaaplikcia nm systmom a aplikanm programovm vybavenm. Nad technickm vybavenm pracuje operan systm, ktor poskytuje zkladn sluby uvateom aplikcim. Aplikcie posMiddleware SRBD kytuj alie sluby uvateom a sprstupuj im prostrednctvom systmu riadenia bzy dt (SRBD) potrebn daje OS uloen v bze dt. SRBD zaisuje sprvu dt a v podstate vytvra vlastn databzov operan systm zloit obdobne HW ako operan systm. asto ide o systm v systme, ktor m pod kontrolou technick vybavenie (najm operan pam a Obr. 9.1 Vrstvov architektra disky). systmu Zkladn lohy pre zaistenie bezpenosti s tieto tyri zkladn ciele : dostupnos, dvernos, integrita a zodpovednos. Tieto vlastnosti mono povaova za zkladn atribty informanho systmu. Mono ich definova nasledujcim spsobom : integrita reprezentuje neporuitenos vloenej informcie zsahom technickej asti systmu alebo udskho initea. Neporuitenos mono vyjadri ako nhodn proces udalost, ktor znamenaj neautorizovan prjem, neautorizovan vyslanie alebo neautorizovan transformciu informci. dvernos je vlastnos informcie, ktor zaisuje, e informcia nebude poskytnut, neme by odhalen alebo zneuit neoprvnenm subjektom. Pojem subjekt v tomto vzname zaha nielen osoby, ale aj technick prostriedky a programov vybavenie. Dvernos predstavuje hierarchicky usporiadan mechanizmus, ktor zaru poadovan stupe oprvnenia na zpis a tanie informci v urenej asti zabezpeovacieho systmu strojom alebo lovekom. Stupe (rove) dvernosti mono vyjadri ako nhodn proces spenho alebo nespenho pokusu o jej poruenie.
zskavanie (akvizcia)
schova
transformcia
prenos
integrita
dvernos
dostupnos je asov charakteristika, ktor vyjadruje zvislosti medzi poiadavkami riadenho systmu a splnenm tchto poiadadostupnos viek. Obvykle sa reprezentuje v mierke rozdelenia pravdepodobnosti oneskorenia medzi Obr. 9.3 Komplexn vlastnosti zabezpeovacieho sysiadosou o slubu a jej realizciou. tmu 180
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV zodpovednos (accountability) je vlastnos, ktor zaisuje evidenciu udalost spojench s bezpenosou vo vzahu k uvateovi. Zaisuje, e jednotliv akcie spojen s uritou entitou mu by sptne sledovan. Z vyie uvedenho vyplva, e existuj tri zkladn spsoby ohrozenia informci: poruenie alebo strata integrity informci, poruenie alebo strata dvernosti informci, strata dostupnosti informci. Komplexn vlastnosti zabezpeovacieho systmu mono vyjadri plochou trojuholnka (Obr. 9.3). Je potrebn posudzova vdy vetky zkladn vlastnosti. Komplexn posdenie rovne zabezpeovacieho podsystmu treba robi s ohadom na poiadavky riadenho systmu. Pri zabezpeovan IS je potrebn vychdza zo zkladnch funkci, pre ktor je systm uren. Naprklad u systmu obsahujceho vek databzy bez citlivch dajov, bude prevlda poiadavka na zaistenie integrity pred dvernosou a dostupnosou. U spolonosti poskytujcej telefnne sluby bude jednoznane prevlda poiadavka na zaistenie dostupnosti pre ostatnmi ciemi. oraz viac sa kladie draz na zaistenie zodpovednosti. Pre tento el boli v eurpskych kritrich pre hodnotenie bezpenosti informanch systmov (ITSEC) definovan tri kategrie pouvateov: sprvca - me vykonva privilegovan akcie v rozsahu svojej plnej psobnosti, opertor - privilegovan akcie me vykonva v obmedzenom rozsahu, ktor mu predtm bol preddefinovan sprvcom (Napr. me ma prvo zastavi systm alebo zlohova systmov dta). pouvate - neme vykonva privilegovan opercie. Jednou z metd pouvanch k zaisteniu poadovanej rovne zodpovednosti je audit. S nm je spojench niekoko pojmov: auditovan udalos (audit event) systmom detegovan akcia, ktor me vyvola spustenie a zpis auditu; potom ide o zaznamenan udalos; auditn zznam (audit trail) evidencia, ktor umouje kontrolu funknosti asti systmu a vyuitie systmu; poloka auditnho zznamu (audit record) skupina dt zaznamenan v auditnom zzname pri vskyte zaznamenanej udalosti; poloka auditnho zznamu sa sklad z popisu auditu, z ktorch kad m mnoinu svisiacich atribtov auditu; popis auditu (audit description) as poloky auditnho zznamu, kde je popsan jeden zo subjektov alebo objektov, ktor sa na niektorej zaznamenanej udalosti podieali; atribt auditu (audit attribute) urit informcia o zaznamenanej udalosti alebo o jednom zo subjektov alebo objektov, ktor sa na udalosti podieali. Informan systmy mono deli z rznych klasifikanch hadsk. Z hadiska typu informanej bezpenosti rozliujeme tieto druhy bezpenosti (Obr. 9.4): PHYSEC fyzick bezpenos zaha psobenie hrozieb na hmotn aktva potrebn pre prevdzkovanie IS. Tieto aktva s nasaden do konkrtneho prostredia, ktor sa dynamicky vyvja. Fyzick bezpenos teda znamen ochranu informanho systmu a jeho ast proti neoprvnenmu vniknutiu osb (prevenciu a detekciu neoprvnenho vniknutia), spsoby znienia u nepotrebnch informci alebo u nepotrench mdi s informciami (archivanch mdi, tlaovch a inch vstupov informanho systmu), ochranu proti poiaru, ochranu proti vode, plnovanie havri a rieenie krzovch situci (tzv. krzov manament). COMSEC komunikan bezpenos treba eliminova hrozby na hmotn aj nehmotn aktva nevyhnutn pre komunikciu. Tu treba zahrn ako technick vybavenie, tak aj veobecn truktry (napr. defincie komunikanch protokolov, ). Ide teda o ochranu komunikci medzi jednotlivmi asami informanho systmu a to nielen z hadiska vpotovej techniky ale aj z hadiska prenosu faxovch sprv alebo telefonickch rozhovorov. 181
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV COMPUSEC potaov bezpenos zaha hrozby na hmotn aj nehmotn aktva potrebn pre spracovanie informci. V praxi sa alej del na bezpenos technickho vybavenia a programovho vybavenia. Pri zaisovan poadovanej bezpenosti technickch prostriedkov ide naprklad o vber a spoahlivos tchto prostriedkov, zabezpeenie ich okamitho servisu, kontrolu prstupu k tmto prostriedkom, ich ochranu pred elektrostatickou elektrinou a elektromagnetickm vyarovanm. Bezpenos programovch prostriedkov smeruje naprklad k vyladeniu operanho systmu takm spsobom, aby bol skutonm filtrom prstupu k informcim uloenm v IS t.j. aby bola zabezpeen kontrola prstupu, identifikcia a autentizcia uvateov, rozdelenie prvomoc uvateom, sledovanie a zznam innosti systmu aj uvateov. Patr sem tie vber a spoahlivos programovho vybavenia, jeho licenn istota, kontrola prstupu k nemu a pod. INFOSEC informan bezpenos zaha psobenie hrozieb na nehmotn aktva nevyhnutn pre fungovanie IS z hadiska organizanho spracovania informcie. Tu treba zohadni najm citlivos, ivotnos, platnos dt a pod. Pri zaisovan bezpenosti dt sa zaoberme ochranou dt v sboroch a v databzach proti chybm, vrusom, ochranou citlivch dt prostriedkami autorizcie a riadenia prstupu k dtam. PERSEC personlna bezpenos zaober sa predovetkm eliminciou hrozieb spsobench udskm faktorom. Ide v nej o ochranu pracovnkov ako sasti informanho systmu ale tie o ochranu IS pred dsledkami udalost spsobench nekorektnm jednanm pracovnkov.
Bezpenostn pohady
Netechnick bezpenos
Technick bezpenos
Z hadiska rozsiahlosti delme IS na : plon systmy vekho rozsahu v tchto systmoch prevauje COMSEC a v rmci jednotlivch lokalt COMPUSEC. Do tejto skupiny mono tie zahrn vek systmy riadenia pracujce v relnom ase.
182
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV hierarchick systmy strednho rozsahu v tchto systmoch prevlda INFOSEC a COMSEC. Spravidla ide o heterognnu mnoinu potaov a programovho vybavenia, ktor je zalenen do definovanej organizanej truktry. systmy loklneho charakteru v tchto systmoch dominuje INFOSEC v kombincii s COMPUSEC a PERSEC. Do tejto skupiny mono zaradi loklne systmy tvoren sieou LAN s obmedzenou vonkajou komunikciou. systmy minimlneho rozsahu v tchto systmoch prevlda COMPUSEC a INFOSEC. Mono sem zaradi samostatn PC alebo mal skupinu tchto potaov.
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV Nvrh protiopatren hlavnm cieom tchto opatren je eliminova dopad hrozieb na konkrtne asti systmu.
184
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV Systm CRAMM rozliuje dve zkladn aktivity : analzu rizk a maaktva hrozby slabiny nament rizk. Pod analzou rizk sa rozumie identifikcia a ohodnotenie rovne rizk na zklade matematickch ANALZA metd. Dta sa zskavaj od jednotlirizik vch respondentov pomocou dopytov usporiadanch do truktrovanch dotaznkov. Pod pojmom manament rizk MANAMENT sa rozumie vber a aplikovanie adekprotiopatrenia vtnych protiopatren, ktor eliminuj hrozby pri minimalizcii nkladov (Obr. 9.5). Systm CRAMM vychdza Obr. 9.5 Koncepcia analzy rizk v systme CRAMM zo znalosti dtovch tokov a preto sa d vyui najm pre systmy menieho a strednho rozsahu v tdiu pouvania. Analza systmu sa rob v troch etapch. asovo najnronejia je I. etapa, ktor zaha najm : presn vymedzenie hranc obsahu tdie (menovit zoznam osb, lokality, ), popis programov a technickho vybavenia (PC, komunikan systm,), popis personlnej truktry (organizan schma, popis funkci,), ustanovenie zvislosti medzi dtami, programami a technickm vybavenm. CRAMM umouje kvantitatvne aj kvalitatvne ocenenie aktv. Na konci prvej etapy mono uri, i je potrebn urobi pln analzu (t.j. alie dve etapy) alebo sa pouij u overen (spravidla organizan) opatrenia. Prv etapa je charakterizovan zberom dajov. V rmci tejto etapy mono aktva zoskupova do logickch skupn, na ktor mono aplikova nasledujce etapy. V druhej etape (ak sa k nej pristpi) systm kladie podrobn otzky pre bliiu pecifikciu hrozieb a slabn. Tieto otzky s vemi podrobn a nemono ich meni poda potrieb uvateov. Vsledkom druhej etapy s celkov prehady z hadiska stanovenia rovne hrozieb a slabn. V tretej etape systm spolupracuje pri nvrhu protiopatren na potlaenie inkov hrozieb a slabn. Protiopatrenia s rozdelen na hardwarov, softwarov, komunikan, fyzick, procedurlne a personlne. Systm CRAMM spa vetky predpoklady pre pouitie pri analze rizk. Obsahuje prepracovan bzu informci, ktor zaha hrozby, slabiny a protiopatrenia. Cel systm dsledne zdrazuje cenu vlastnch dt, od ktorch sa odvja vetka aktivita systmu. Vsledkom innosti systmu je kompletn sprva, ktor me sli ako zveren sprva pre vrcholov manament, obsahujca vsledky analzy a navrhovan opatrenia. RiskPAC Tento systm vyvinula americk firma CPA (pecializuje sa na problematiku analzy rizk). Ide o expertn systm, do ktorho s implementovan prvky umelej inteligencie. Systm dsledne oddeuje analzu a manament rizk a nadvzuj na alie balky programov - RecoveryPac (umouje vytvra plny obnovy funknosti IS) a System Manager (umouje uvateovi vytvori vlastn dotaznky). V systme s obsiahnut konkrtne dotaznky pecifick pre jednotliv oblasti bezpenosti (fyzick bezpenos, poisovnctvo, bankovnctvo, systmov aplikcia, PC, komunikcie, ). Po vyplnen dotaznka systm vygeneruje jednotliv hrozby a rovne rizk. Systm tie pre jednotliv kategrie rizk navrhuje mnoinu eliminujcich protiopatren. Systm RiskPAC pozostva zo 4 hlavnch ast : Otzky s vyvinut expertmi a s analyzovan v jednoduchej alebo viacrovovej postupnosti pre uahenie opakujcej sa analzy. Otzky mu ma viac odpoved. Vetvenie je mon a je za185
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV loen na vyhodnoten predchdzajcich odpoved. Kad otzka boduje jednu z 26 monch rizikovch kategri. Profily definuj rizikov kategrie a popisuj ohrozenie primeran k tmto kategrim. Rizik s rozlenen do 5 rovn, do ktorch sa zarauje riziko od nzkeho k vysokmu. Zhrnutie otzok vypotava tzv. skre d. Mapujce sbory vzahuj sa k danm profilovm hodnotm a pecifikuj poiadavky na vroky, tandardy alebo odporania. Poiadavky poskytuj radu v oblasti nvrhu protiopatren a s zdruen do pecifickch odpoved alebo cez rizikov kategriu a rove. Reporty RiskPACu umouj uvateovi zvoli si konkrtne riziko, hodnotu alebo kritrium ohrozenia. Vsledok je potom zostaven vzjomnou kombinciou vetkch troch volieb. Nasledujce tabuka obsahuje prehad metd, ktor podporuj systmy CRAMM RiskPAC : Metda Systm CRAMM RiskPAC MM 9 8 MPR 8 9 MALE 8 9 MAA 9 9 MAS 8 8 MDP 8 8
Pomocou tchto systmov mono pokry vetky kov metdy a analyzova tak vinu bench systmov, ktor nevyaduj pecilny druh analzy.
186
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV miestnen v miestnosti bez okien, aby nemohlo djs k ohrozeniu objektu zvonka. Ovldanie klimatizcie mus ma vzbu na elektrick poiarnu signalizciu. Energetick zdroje Zdroj elektrickej energie pre prevdzku informanej technolgie mus zabezpei stabilitu (naptia, frekvencie, ) zdroja. Poda charakteru informanho systmu je potrebn zabezpei urit rove zlohovania zdroja - pouitie zdroja nepretritho napjania (Uninterruptible Power Supply UPS), ktor je v zvislosti od kontrukcie schopn zabezpei v prpade vpadku energetickej siete napjanie celho IS alebo jeho dleitch uzlov (napr. serverov) po dobu niekoko mint a niekoko hodn. Elektrick rozvody pre napjanie informanch technolgi by s ohadom na zvenie fyzickej bezpenosti IS mali by veden samostatne a by chrnen proti preptiu a statickm vbojom. Je samozrejm, e rozvody elektrickej energie ale aj alch energi (rozvody plynu, tepla, vody) a aj vetky intalcie spotrebiov musia by realizovan v slade s platnmi normami.
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV nie) pohybu pchatea pri toku, prpadne agresvnos pouitho nradia. Poda rizika napadnutia mechanickch zbran ich meme rozdeli na: asti vonkajej ochrany objektu (ploty, vrta, zvory, ochrann mry, ) - tzv. perimetrick ochrana objektu, stavebn prvky budov (steny, podlahy, strop, strecha, ), stavebn otvory budov (okn, dvere, ), objekty na schovu (schrnky, skrine, trezory, ).
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV Detektory sa vhodne umiestuj do chrnenho priestoru a zdruuj sa do zn. Vstupy detektorov sa pripjaj na stredne EZS. stredne EZS elom stredn je vyhodnoti signly z pripojench detektorov a v zvislosti od stavu stredne (je v pohotovostnom reime, reime strenia alebo servisnom reime) vyhlsi poplach. Poda kontrukcie existuj stredne: slukov - jednotliv detektory sa pripjaj k stredni prostrednctvom sluiek, v ktorch s vstupn kontakty detektorov umiestnench v jednotlivch znach. Pre kad znu sa spravidla pouva samostatn sluka, o pri zloitejom objekte s vm potom zn vedie k pomerne vysokm nrokom na potrebn poet veden. Uritou nevhodou princpu, je fakt, e v prpade poplachu streda nepozn presn miesto naruenia, len sluku (znu) v ktorej dolo k poplachu. s priamym adresovanm (zbernicov) - detektory s k stredni pripojen prostrednctvom zbernice, ku ktorej sa pripjaj paralelne. Rozdelenie jednotlivch detektorov do zn sa realizuje prostrednctvom pridelenia adresy jednotlivm detektorom, ktor potom priamo komunikuj s stredou. Vhodou tohoto princpu je znalos presnho miesta naruenia v prpade poplachu, nevhodou je najm via zloitos a teda aj cena detektorov. kombinovan - detektory s realizovan jednoduchie s vstupnmi kontaktmi a zapjaj sa do sluiek, ktor s pripojen k tzv. koncentrtorom. Koncentrtory s s stredou prepojen prostrednctvom zbernice. Signalizan zariadenia Zkladnou lohou signalizanch zariaden je indikova poplach. Poplach mono signalizova loklne - prostrednctvom optickej a akustickej signalizcie umiestnenej vo vntri alebo na vonkajej strane strenho objektu. S ohadom na pomerne mal innos loklnej signalizcie sa pri ochrane objektu s vymi nrokmi na bezpenos pouva aj druh stupe signalizcie naruenia prostrednctvom tzv. automatickho telefnneho hlsia (pri signalizcii poplachu vyto naprogramovan telefnne slo a niekokokrt zopakuje sprvu nahran vopred do reovho modulu) alebo automatickho komuniktora pultu centralizovanej ochrany (pri signalizcii poplachu sa urenm kanlom telefonickm v hovorovom alebo nadhovorovom psme alebo rdiovm - spoj s pultom centralizovanej ochrany, ktormu odovzd digitlnu sprvu o stave stredne, druhu poplachu, mieste naruenia a pod.).
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV spravidla vyaduj identifikciu osoby vhodnm spsobom - napr. uritou znalosou (napr. hesla, selnho kdu a pod.), predmetom (ttok s iarovm kdom, magnetick karta, ipov karta, ) alebo vlastnosou kontrolovanej osoby (otlaok prstov, snmka sietnice, dhovky, tvar prstov, ruky a pod.). Pre vber vhodnho systmu je rozhodujce, o od systmu pre riadenie vstupu a pohybu osb poaduje jeho budci uvate alebo majite objektu. Od toho sa odvjaj systmov monosti a tm aj voba vhodnho typu zariadenia. Pre nvrh systmu je potrebn pecifikova: poet kontrolovanch zn, hierarchiu prstupu do zn, mnostvo vyhodnocovanch informci, spsob identifikcie osb, poadovan vzby na in informan systmy, rozahlos chrnenho objektu.
190
INFORMAN SYSTMY
Obr. 9.6 Autentizcia sprvy zaslanej z A do B Autentizciu mono riei s vyuitm asymetrickej ifry (Obr. 9.6). Na zaifrovanie sprvy sa pouije tajn k KSA odosielatea. Verejn k odosielatea potrebn na deifrovanie sprvy by mal prjemca obdra dveryhodnm spsobom. Aby mal istotu, e tento k nie je podvrhnut. Je teda potrebn dveryhodn kanl - me to by naprklad oficilna tlaovina a pod. Nasledujci obrzok (Obr. 9.7) ukazuje monos zlenia utajenia a autentizcie. Najskr sa sprva zaifruje vlastnm tajnm kom KSA (pre nsledn autentizciu) a potom verejnm kom
A Sprva M B Sprva M
C(M)
Obr. 9.7 Zaslanie dvernej sprvy z A bo B vrtane autentizcie sprvy prjemcu KPB. Po zaifrovan sa sprva prenesie verejnm kanlom. Prjemca prijat sprvu odifruje v obrtenom porad. Najskr vlastnm tajnm kom KSB a potom verejnm kom odosielatea KPA. Ak je takto deifrovan sprva itaten, je autentick. Problm autentizcie poiadavky klienta mono vyriei aktivitou servera, ktor sa iadajceho klienta opta, i skutone poaduje vykonanie sluby. Pre zabezpeenie autentizanho dopytu proti pirtskemu odpovaniu a nslednmu falonmu potvrdeniu me server poui princpy kryptografie s verejnm kom - tzv. autentizciu vzvou (Obr. 9.8). Server (centrla) vygeneruje z dvodov 191
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV neopakovatenosti nhodn slo N, ktor klient iadajci o prstup zaifruje svojim tajnm kom a odole serveru. Ten potom na zklade znalosti verejnho ka klienta over jeho totonos.
A autentizovan klient verejn kanl B vyzvajci server N podpis overen
KSA KPA
KPA
dveryhodn
Obr. 9.8 Autentizcia uzla A na vzvu uzla B Autentizcia vzvou me prebehn aj modifikovanm spsobom. Klient pri otvran sluby serveru pred svoj verejn k a nech si odpovedajci tajn k. Ke server prijme poiadavku na vykonanie sluby, zvol nhodn slo (N), zakduje ho klientovm verejnm kom a tto sprvu pole iadajcemu klientovi. Klient tajnm kom slo deifruje a svoju identitu potvrd vrtenm sprvne deifrovanho sla. Pirtsky klient nepozn tajn k, neme teda vrti sprvnu odpove. ancu nem ani vytrval pirt, ktor trvalo sleduje prevdzku v sieti, pretoe server vol slo pre autentizan dopyt nhodne.
192
INFORMAN SYSTMY
A
Dtum Sprva M as
MAC(M)
MAC(M)
sprva overen
KSA KPA
KPA
dveryhodn
Obr. 9.9 Digitlny podpis sprvy zaslanej z A do B Sprva, ktor m by digitlne podpsan, sa spravidla opatr nvesou, dtumom a asom vyhotovenia. Potom sa charakterizuje vhodnou funkciou, naprklad zo vetkch znakov sprvy sa vypota autentizan kd MAC(M) (pozri kap.2). Zmena jedinho bitu sprvy m za nsledok zmenu tohto kdu. Ak je prijat sprva autentick, potom autentizan kd vypotan na strane prjemcu mus shlasi s tm, ktor sa zska odifrovanm digitlneho podpisu DP. Dvojica [MAC(M), DP=MAC(M)KSA] potom tvor digitlny podpis, ktor nemono odvola, pretoe ho mohol vytvori len ten, kto poznal nieo vlun, znme len jemu tajn k KSA. Vo viacerch predchdzajcich spsoboch autentizcie a digitlneho podpisu sa predpoklad existencia dveryhodnho kanlu pre prenos verejnho ka odosielatea alebo prijmatea sprv. Ak by sme mali polygonlnu sie s n uzlami a chceli by sme vdy medzi dvomi uzlami ma samostatn dveryhodn kanl, potrebovali by sme n(n-1)/2 kanlov. Pri pote 100 uzlov je to 4950 kanlov, o je vemi ako technicky realizovaten. Praktick rieenie tohto problmu ponka vybudovanie certifikanej autority, ku ktorej si vetci astnci siete vybuduj kad svoj dveryhodn kanl. Potrebn poet takch kanlov je len n-1, o napr. pri sieti so 100 astnkmi predstavuje len 99 kanlov. V rozsiahlych a heterognnych sieach je mon vytvori sstavu certifikanch autort vrtane ich hierarchickho usporiadania. Ako uznvan a nezvisl certifikan autorita me psobi zvolen uzol siete, ktor mus ma vhodn ochranu. Prklad rieenia certifikanej autority je zobrazen na nasledujcom obrzku (Obr. 9.10). Certifikan autorita vytvor z identifikanch dt uzla A - IDA pomocou tajnho ka certifikanej autority (KSCA) certifikovan hodnotu identifikanch dajov uzla A (CVA), ktor sa nsledne vyuva v komunikcii s ostatnmi astnkmi siete. Certifikan autorita okrem toho vetkm astnkom poskytne svoj verejn k (KPCA). Zaslanie trojice [CVA, IDA, KPA] uzlom A uzlu B sta na to, aby uzol B overil pravos verejnho ka KPA a zaradil ho do svojho chrnenho zsobnka kov. alia komunikcia medzi uzlami A a B sa zaobde bez zriaovania dveryhodnho kanlu medzi nimi.
193
INFORMAN SYSTMY
A IDA CVA KPCA KSA KPA CVA IDA IDA CVA KPCA
verejn kanl
KPCA
KPB
zhoda
IDA
KPA
KPA
194
Vo veobecnosti nie je mon jednoducho uri, ktor bezpenostn sluby s najdleitejie a v praxi zle na potrebch uvateov. V rmci Osi je definovanch 5 bezpenostnch sluieb : autentizcia riadenie prstupu utajenie dt integrita dt neodmietnutie zodpovednosti za slubu Vlastn norma definuje okrem tchto sluieb tie podtriedy pre jednotliv sluby, take sa meme stretn napr. so spojovanmi a nespojovanmi slubami pre zaistenie integrity, s obnovou a bez obnovy a pod. Tab. 9-1 Umiestnenie bezpenostnch sluieb v rmci modelu OSI Vrstva Sluba
autentizcia funknej jednotky entity autentizcia pvodu dt sluba riadenia prstupu utajenie spojenia utajenie rozviazania spojenia utajenie selektvneho poa utajenie prenosovho toku integrita spojenia s monosou obnovy integrita spojenia bez monosti obnovy integrita spojenia vberovho poa integrita nespojovanch sluieb nespojovan sluba integrity vybranho poa neodmietnutie poiadavky na spojenie s previerkou autenticity neodmietnutie poiadavky na spojenie s previerkou doruenia poiadavky
3 A A A A A
4 A A A A A
7 A A A A A A A A A A A A A A
A A
A A
Vysvetlivky : Poznmky :
A 1) 2)
no, sluby me by zahrnut do tandardov pre vrstvu ako sprvca voby nezabezpeen (neposkytovan) Tabuka sa nepoka indikova, ak vstupy maj rovnocenn vhu alebo dleitos Prezentan vrstva obsahuje urit mnostvo bezpenostnch prostriedkov, ktor podporuj poskytovanie bezpenostnch sluieb aplikanou vrstvou
Riadenie prstupu Riadenie prstupu m z pohadu siet pecifick lohu a nie je typickou bezpenostnou funkciou. Ke napr. iadame o spojenie, neiadame priamo o riadenie prstupu, ale tto sluba je volan explicitne. Naviac tto sluba mus spolupracova s autentizciou a sieovm a aplikanm manamentom. Tto sluby poskytuje ochranu pred neautorizovanm pouitm prostriedkov dostupnch cez OSI. Tto sluba sa me poui pre jednotliv druhy prstupov k prostriedkom (pouitie komunikanch prostriedkov, tanie, zpis, vymazanie informci, spracovanie, ) alebo pre vetky prstupy k prostriedkom. Prakticky je tto sluba zaisten na jednotlivch rovniach OSI nasledovne : na linkovej rovni napr. pomocou filtrov v mostoch; 195
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV na sieovej rovni v smerovaoch s obmedzeniami zaloenmi na sieovch adresch; na transportnej rovni v smerovaoch s obmedzeniami na bze TCP socketov; na aplikanej rovni v jednotlivch aplikcich. Kontrola prstupu v nich vrstvch me podstatne redukova monosti toku na systm. V praxi sa pouvaj predovetkm zoznamy pre riadenie prstupu (Access Control) v smerovaoch a alie vlastnosti konkrtnej sieovej technolgie. Norma ISO 7498-2 nepopisuje ako s jednotliv bezpenostn sluby detailne implementovan. K tomu, aby bolo mon realizova bezpenostn sluby, slia nasledujce pecifick bezpenostn mechanizmy : ifrovanie, digitlny podpis, mechanizmus riadenia prstupu, mechanizmus integrity dt, mechanizmus autentizanej vmeny, mechanizmus vyplovania prevdzky, kontrola smerovania, mechanizmus notra. Okrem toho existuj aj nepecifikovan bezpenostn mechanizmy, ktor nezaisuj iadnu jednotliv bezpenostn slubu a nie s preto zaraden do iadnej konkrtnej vrstvy. Napriek tomu mu by v praxi pouit. Niektor z tchto mechanizmov mono povaova za sas sprvy bezpenosti. Veobecne plat, e dleitos tchto mechanizmov priamo svis s poadovanou rovou bezpenosti. Medzi nepecifick bezpenostn mechanizmy patr napr.: dveryhodn funkcionalita, bezpenostn nvesti, detekcia udalost, audit bezpenosti, bezpenostn zotavenie. Tab. 9-2 Vz ah medzi bezpenostnmi mechanizmami a slu bami Mechanizmy Sluba
autentizcia funknej jednotky entity autentizcia pvodu dt sluba riadenia prstupu utajenie spojenia utajenie rozviazania spojenia utajenie selektvneho poa utajenie prenosovho toku integrita spojenia s monosou obnovy integrita spojenia bez monosti obnovy integrita spojenia vberovho poa
ifrovanie Digitlny Kontrola Integrita Autentipodpis prstupu dt zan vmena Vyplo- Kontrola Mechanizsmero- mus notra vanie prevdzky vania
A A A A A A A A A
A A
A A A A
A A A
196
A A
A A A A
A A A A
A A
neodmietnutie poiadavky na spojenie s previerkou autenticity neodmietnutie poiadavky na spojenie s previerkou doruenia poiadavky
Vysvetlivky :
A no, mechanizmus je povaovan za vhodn bu samostatne alebo v kombincii s alm mechanizmom, mechanizmus nie je povaovan za vhodn pre zaistenie tejto sluby
Bezpenostn manament Kovm opatrenm pre zaistenie bezpenostnch sluieb je manament. Sieov architektra potrebuje podporu manamentu pre zaistenie zmien v bezpenostnej politike pri jej presadzovan v systme. Typickm prkladom me by manament kov a sluieb pre zaistenie utajenia a integrity. V prpade sluieb riadenia prstupu treba riadi informcie o tejto kontrole (napr. Access Control List) a v prstupovch lohch uvateov. V sieovom prostred (predovetkm vo vekch sieach) neexistuje jedin autorita, ktor by kontrolovala cel prostredie. Spravidla bva niekoko autort, ktor zastvaj nasledujce bezpenostn autority: autorita pre riadenie kontroly prstupu, autentizan autorita, autorita manamentu kov, auditan autorita.
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV modulov alebo ahiu sprvu dokonenho programu. Niekedy sa v module ponechvaj myselne pre zskanie neoprvnenho prstupu k hotovmu beiacemu programu. Trjske kone Ide o programy, ktor okrem svojich riadnych funkci vykonvaj alie skryt funkcie. Spravidla s to programy, ktor si do systmu vlo sm uvate pre dosiahnutie novch funkci alebo ako doplnky originlnych naintalovanch programov. Salmov tok Ide o programy, ktor sa snaia vyuva vo svoj prospech mal zaokrhovacie chyby na hranici presnosti potaa. Naprklad v bankovch systmoch sa vyskytli programy, ktor prevdzali na konto programtora zvyky vznikajce zaokrhlenm pri vpote rokov. Pri vekom pote vpotovch operci sa tak na jeho konto pripsali celkom zaujmav sumy. Inm spsobom salmovho toku je prava programu, ktor zaisuje bezhotovostn platby tak, e z asu na as zvi zkaznkovi poplatky o mal iastku, ktor nsledne prevedie na vhodn et. Skryt kanly V systmoch spravujcich utajovan informcie aplikan programtori spravidla nemaj prstup k fungujcim programom po ukonen vvoja. Ak chc zska prstup k spravovanm informcim vytvoria skryt kanl - mal doplnenie vhodnho programovho modulu, ktor im po zadan vhodnho hesla (naprklad pri uritej kombincii klves a pod.) sprstupn sluby systmu.
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV Nsledky innosti vrusov s vemi rozmanit od nekodnch obrazovch alebo zvukovch efektov, ktor len rozptyuj obsluhu a zbytone zaauj pota a po rozsiahle pokodenie vetkch dt a programov alebo dokonca technickho vybavenia potaa. Podmienkou renia vrusov je neopatrn manipulcia s programovm vybavenm, prenanie neleglneho software a pod. renie vrusov iastone obmedzuje nstup systmov, ktor poskytuj ochranu pamti a dokonalejiu sprvu prostriedkov potaa. Tieto systmy vak s pomerne komplikovan a mu tak poskytn kryt dokonalejm vrusom. Celkovo vak mono kontatova, e z nstupom novch operanch systmov typu WINDOWS 96 a WINDOWS NT postupne kles vskyt klasickch sborovch aj boot vrusov. Je to spsoben okrem inho faktom, e nov programy pre tieto operan systmy s pomerne rozsiahle a distribuuj sa CD-ROM a podstatne menej na disketch. Podstatne v vskyt vak v poslednom ase zaznamenali tzv. makrovrusy. Makrovrusy vyuvaj fakt, e modern aplikcie s vemi silnmi nstrojmi a vo svojich dtovch sboroch neuschovvaj len ist dta, ale aj nstroje pre ich alie spracovanie - rzne formtovacie prkazy a pod. Ako prklad mu sli naprklad makr programu MS-WORD. Tieto makr s uloen v rovnakom dokumente ako text a mnoho z nich me by spustench automaticky po otvoren dokumentu., alebo spojench s polokou menu, s ikonami alebo s ubovonm klvesom. Existuje jednoduch spsob, ako makro skoprova z dokumentu do globlnej ablny, odkia me by makrovrus aktivovan pri kadom alom spusten programu MS-WORD. Makr s psan v jazyku WORDBASIC alebo v prpade MSOFFICE 97 priamo vo VBA. Tieto jazyky s pomerne jednoduch a pritom vemi siln. Naviac mnoho uvateov si vymiea svoje dokumenty s vyuitm elektronickej poty, o vrazne napomha reniu nkazy. V sasnosti existuje okolo 700 druhov rznym makrovrusov. ervy ervy s sieovou obdobou vrusov, ktor maj schopnos ri sa medzi potami prostrednctvom komunikanch liniek. Vo veobecnosti maj inky obdobn ako vrusy, avak vaka schopnosti ri sa samostatne potaovmi sieami dnes u v celosvetovom mertku, je ich expanzia omnoho rchlejia a teda aj dopad ich psobenia je vraznej. Ochranou proti ervom je kvalitn sprva programovho vybavenia, pouvanie len dobre otestovanch programov a rozdelenie siete na domny, medzi ktormi dochdza k minimlnemu zdieaniu informci, ktor je navye podroben dkladnej kontrole.
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV pdvky mimo bezpenostnho perimetra nemusia by tak prsne. Prakticky mus by definovan rozhranie, ktor me by tvoren naprklad mnoinou systmovch volan jadra OS alebo definciou elektrickch signlov komunikanho protokolu.
Notebook PC
Hranica systmu
X-terminl
Terminl
Bezpenostn perimeter
prepnae login proces
Administrtorsk terminl
uvatesk programy
Loklne tlaiarne
Administrtori
OS
SRBD
Sieov tlaiarne uvatesk mdi
systmov mdi
Router
dokumentcia
Obr. 9.11 Urenie hranc systmu Vetko, o svis s vynucovanm bezpenosti je vdy uloen v tzv. jadre, ktor vykonva funkciu tzv. referennho monitora. Jadro je kombincia technickch a programovch prostriedkov, ktor je z hadiska bezpenosti zodpovedn za vynucovanie bezpenostnej politiky systmu. V jadre je umiestnen databza prstupovch kontrol, ktor obsahuje informcie o bezpenostnch atribtoch a prstupovch prvach. Tto databza je dynamick a men sa poda toho ako sa menia objekty a subjekty so svojimi prstupovmi prvami. Mus by zaisten, e referenn monitor kontroluje plne vetky prstupy subjektov k objektom. Tvorcovia operanch systmov sa usiluj o to, aby jadro bolo o najmenie z dvodu vej efektvnosti a predovetkm preto, e mal jadro sa d lepie otestova a overi z hadiska jeho bezpenosti. V systme jadra meme vysledova mal as, ktor je podmnoinou bezpenostnho perimetra a ktor m na staros vetky dleit innosti svisiace s bezpenosou. Tto mal as sa nazva dveryhodn vpotov bza (Trusted Computer Base - TCB). Obdobne v distribuovanom prostred potaovch siet je definovan sieov dveryhodn vpotov zklada (Network Trusted Computer Base - NTCB). Hlavnm cieom implementcie bezpenostnej bzy (TCB alebo NTCB) do informanch systmov je vybudova ochrann val, o ktor sa mu oprie vetky vznamn bezpenostn funkcie. Chrbticu sasnch informanch systmov tvoria operan systmy, preto sa alia kapitola bude venova implementcii bezpenostnch mechanizmov do operanch systmov.
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV riadenie prstupu k sborom a vstupno-vstupnm zariadeniam - ochrana pred neautorizovanm prstupom, riadenie prstupu k veobecnm objektom - zabezpeenie bezproblmovho sasnho prstupu viacerch pouvateov k rovnakmu objektu, zabezpeenie zdieania - predovetkm zaistenie integrity a konzistentnosti, medziprocesov komunikcia a synchronizcia - systm poskytuje mechanizmus pre bezpen predvanie sprv medzi procesmi, ktor navzjom nekomunikuj priamo ale prostrednctvom operanho systmu.
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV uvateovi - najm jeho prstupov prva, domovsk adresr a alie premenn. Ak je cel proces prihlsenia spen, vytvor bezpenostn systm samostatn objekt nazvan prstupov token. Tento objekt obsahuje okrem inho aj bezpenostn identifikciu uvatea (Security ID - SID), uvatesk meno a zoznam uvateskch skupn, do ktorch uvate patr. Tento token alebo jeho kpie s spojen so vetkmi procesmi, ktor uvate spustil. V systme je implementovan objektov technolgia - zkladnmi stavebnmi prvkami s objekty (prkladom objektov mu by procesy, sbory, adresre, tlaiarne, udalosti a pod.). O tieto objekty sa star sprvca objektov, ktor zaisuje vytvranie, ruenie, ochranu a evidenciu vetkch objektov. WINDOWS NT maj implementovan politiku prstupovch prv k sborom a adresrom a politiku prideovania prv na vykonvanie zvanch akci (napr. zmena systmovho asu). Prstupov a uvatesk prva mono prideli kadmu (everyone), skupine uvateov (groups) alebo jednotlivcom. Systm taktie umouje audit. innos systmu je trvalo monitorovan a je zabezpeen ako okamit vyrozumenie pouvateov, tak aj zaznamenanie menej kritickch udalost do zznamu. Zaznamenvan udalosti sa ukladaj do troch sborov s tmto urenm: systmov zznamy - zaznamenvaj systmov udalosti (napr. vpadok ovldaa v priebehu nabiehania systmu), bezpenostn zznamy - zaznamenvaj udalosti bezpenostnho charakteru, aplikan zznamy - uchovvaj udalosti, ktor generuj aplikcie uren tvorcami aplikci. Tieto zznamy je mon pravidelne analyzova. Prakticky mono monitorova spech alebo nespech nasledujcej mnoiny udalost: prihlsenie a odhlsenie uvateov, prstupy k sborom a objektom, pouitie privilgi uvatea, zmeny uvatea alebo skupiny, zmeny bezpenostnej politiky, inicializcia alebo ukonenie systmu, trasovanie procesov. V oblasti zabezpeenia odolnosti proti chybm na zznamovch mdich je podpora niekokch sborovch systmov: FAT sborov systm vyvinut pre MS-DOS (pozri kap. 4) je k dispozcii pre zachovanie kompatibility s predchdzajcimi verziami WINDOWS a DOS. Tento systm nie je schopn vyuva bezpenostn vlastnosti WIN NT a neponka ani bezpen obnovu v prpade poruchy. NTFS (NT File System) nov sborov systm vyvinut pre WIN NT, ktor je schopn vyui bezpenostn vlastnosti tohto OS. Je zaisten monos zotavenia po chybe disku alebo vpadku systmu. Tto vlastnos je zabezpeen prostrednctvom urnlovho zznamu, kde sa uchovvaj informcie pre zopakovanie alebo zruenie opercie v prpade chyby transakcie. Tento systm nemono poui na disketch. HPFS (High Performance File System) sborov systm vytvoren pre operan systm OS/2. Systm OS/2 nepodporuje bezpenostn funkcie NT a neponka tak rove opravy chb.
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV Identifikciu aj autentizciu pouvateov mono v zsade realizova tromi zkladnmi spsobmi: na zklade znalosti uvatea znalosou hesla, ifrovacieho ka, na zklade vlastnctva uvateom vlastnenm identifikanho predmetu, na zklade vlastnosti uvatea vyhodnotenm biometrickch vlastnost uvatea
203
INFORMAN SYSTMY
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV vyhodnotenie kresby dhovky je obdobou vyhodnotenia obrazu sietnice. Kresba dhovky je obdobne ako obraz sietnice alebo otlaky prstov vemi individulna a vhodn pre identifikciu alebo autentizciu osb. vyhodnotenie hlasu testovan subjekt preta systmom nhodne zvolen frzu, zosnman zvukov stopa sa frekvenne obmedz (obvykle na 3 kHz) a urob sa rozbor zvuku na zklade pvodu jednotlivch zloiek zvuku v innosti hlasovho apartu loveka. Vsledok sa vhodnm spsobom komprimuje na vzorku vekosti 1 a 2 kB a porovn sa s porovnvacou vzorkou v databze. Komplikciou tejto metdy s zmeny hlasu spsoben starnutm osb, chorobou a nakoniec aj odlin zafarbenie hlasu v priebehu da, ktor prinaj dodaton poiadavky na technick a programov vybavenie na realizciu inak jednoduchej metdy. hodnotenie dynamiky podpisu pri tomto spsobe sa sleduj zmeny tlaku, zrchlenie v jednotlivch astiach podpisu, celkov priebeh zrchlenia, zarovnanie jednotlivch ast podpisu, celkov rchlos, celkov drha a as pohybu pera na a nad papierom a pod. Zo zskanch hodnt sa op vytvor vzorka, ktor sa porovn s porovnvacou vzorkou v databze. Vhodou tejto metdy je jej prirodzenos a socilna akceptovatenos, nevhodou je pomerne vysok variabilita podpisu u jednotlivch ud a pomerne mal mechanick odolnos snmaov. Uveden a prpadn alie biometrick metdy sa v zsade mu poui ako pre identifikciu, tak aj pre autentizciu osb. Proces identifikcie biometrickmi metdami je vak zloitej a zdhavej, pretoe systm na zklade zosnmanej vzorky vhodnej biometrickej veliiny mus uri totonos identifikovanej osoby. To ale znamen, e v databze nesm by dve alebo viacer zhodn identifikan vzorky. Tto poiadavka vak priamo kladie nroky na komplikovanejie vzorky v databze a tm na celkov rchlos identifikanho systmu. Vzhadom k tomu sa biometrick metdy astejie pouvaj pre ely autentizcie osb. Kvalitu biometrickch spsobov autentizcie mono posudzova pomocou velin: poetnos chybnch odmietnut autentizovanho subjektu (failed rejected rate - FRR), poetnos chybnch prijat tonka (failed accepted rate - FAR).
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV vhodnho IS potrebuje vhodn mertka, ktor mu umonia porovna rove bezpenosti rznych IS. Preto sa objavili snahy zavies vhodn kritri bezpenosti IS, ktor by spali nasledujce poiadavky: kritri by mali poskytn uvateom mertko pre vyjadrenie stupa dvery, ktor me vloi do IS, ktor chce poui pre spracovanie dleitch informci; kritri by mali poskytn vrobcom vodidlo, ktor prvky bezpenosti maj zabudova do vytvranho IS, aby tento spal poadovan stupe bezpenosti; kritri by sa mali sta zkladom hodnotenia stupa bezpenosti IS certifikanm orgnom. Medzi najznmejie kritri bezpenosti patria tieto : TCSEC (Trusted Computer System Evaluation Criteria) vydan Ministerstvom obrany USA v roku 1983 ITSEC (Information Technology Security Evaluation Criteria) spolon harmonizovan poiadavky na bezpenos informanch technolgi prijat zpadoeurpskymi krajinami v rmci integranho silia v roku 1990 CTCPEC vydan v roku 1990 kanadskm stavom pre bezpenos komunikci (CE) FCITS vydan v roku 1993v USA ako vsledok spoluprce Nrodnho normalizanho rad (NIST) a Nrodnej agentry pre bezpenos (NSA) CCITSE pracovn nvrh veobecnch kritri hodnotenia bezpenosti informanch technolgi, o ktorom sa zaalo diskutova v rmci krajn EU v roku 1995
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV van voi vetkm objektom a subjektom vrtane vetkch zariaden, mus existova analza monch skrytch kanlov. Vlastn systm mus bea v rmci svojej bezpenostnej domny a vykonva kontroly svojej integrity. trieda B3 - bezpenostn domny systm mus by schopn tzv. extenzvneho testovania, mus existova pln popis celkovej truktry nvrhu systmu, mus by konceptulne jednoduch. Musia existova ochrann mechanizmy na rovni jednotlivch objektov, kad prstup mus by testovan, kontrola na rovni vykonvania jednotlivch typov prstupu danho subjektu. Systm mus by vysoko odoln voi prienikom. Zariadenie, ktor vykonva audit prihlsen, mus by schopn odhadn hroziace nebezpeenstvo. Trieda A zaruuje najvyiu bezpenos. Pre zaradenie do tejto triedy mus by nvrh systmu formlne verifikovan, mus existova formlny model bezpenostnho mechanizmu s dkazom konzistentnosti, formlna pecifikcia systmu s overenm, e zodpovedn formlnemu modelu, mus by overen, e implementcia nie je odlin od formlnej pecifikcie, mus by realizovan formlna analza skrytch kanlov.
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV E4 podrobn analza slabn systmu, E5 dkaz, e implementcia zodpoved detailnmu nvrhu, E6 formlne modely, formlne popisy a ich vzjomn korepondencia. Nepredpoklad sa, e by uvatelia menili defincie tchto tried, alebo e by si definovali triedy vlastn. Poiadavky na funknos kritri ITSEC nepredpisuj iadnu vopred dan mnoinu tried funknosti. Len vytyuj zsady ako triedu funknosti vytvori. Pre uahenie prce uvateom s v prlohe kritri uveden prklady tried funknosti. P z tchto tried funknosti (F-C1, F-C2, F-B1, F-B2 a F-B3) je hierarchickch a priamo zodpoved rovnomennm triedam kritri TCSEC. Zostvajcich p tried nem hierarchick truktru. Tieto triedy funknosti s triedy so zvenmi bezpenostnmi poiadavkami v niektorej oblasti bezpenosti : F-IN hodnotenie integrity systmu, F-DI hodnotenie integrity dt pri komunikcii, F-AV hodnotenie dostupnosti systmovch zdrojov, F-DC hodnotenie utajenia komunikcie, F-DX hodnotenie bezpenosti v rmci celej siete. Kad z tchto kritri me by vyhodnocovan nezvisle. Uveden triedy funknosti nie s zvzn a maj sli pre uahenie prce uvateom kritri ITSEC. Uvate m niekoko monost ako kategorizova funknos produktu alebo systmu: 1. Priamo pouije niektor z tried funknosti uveden v kritrich. V takom prpade si spravidla vyberie niektor z tried, ktor s hierarchick a zodpovedaj leneniu TCSEC. 2. Uvate pouije vhodn kombinciu niektorch z tried. Tto monos dovouje uvateovi vytvori triedu funknosti, ktor najlepie vyhovuje jeho poiadavkm. 3. Uvate pouije niektor u vytvoren triedu, ktor nie je sasou kritri ITSEC, ale je vytvoren v slade s tmito kritriami a najlepie vyhovuje poiadavkm uvatea. 4. Uvate si vytvor sm vlastn triedu funknosti, ktor je v slade s poiadavkami kritri ITSEC. Poiadavky na definciu produktu (systmu) Poda kritri ITSEC je dokumentom, ktor definuje bezpenostn vlastnosti produktu pecifikcia bezpenosti. pecifikcia bezpenosti sa sklad z nasledujcich ast : popis produktu alebo systmov bezpenostn politika, poadovan bezpenostn mechanizmy, minimlna sila mechanizmov, poadovan rove hodnotenia. Toto rozdelenie je definovan v kritrich ITSEC a je zvzn. Proces hodnotenia bezpenosti poda kritri ITSEC Procesu hodnotenia sa zastuj tyri subjekty : sponzor obvykle predvajci (v prpade produktu) alebo uvate alebo dodvate (v prpade systmu), ktor si praje demontrova, e hodnoten predmet spa pecifikciu bezpenosti. Sponzor poiada o hodnotenie predmetu hodnotiacu organizciu, zaist vypracovanie pecifikcie bezpenosti a uzatvra kontrakt s hodnotiacou organizciou. Ak hodnotenie skon spene, sponzor obdr od hodnotiacej organizcie certifikt bezpenosti. vvojr obvykle organizcie, ktor vyrba hodnoten predmet. Ak sasne nie je sponzorom, mus s nm spolupracova a tie mus spolupracova s hodnotiacou organizciou. 208
INFORMAN SYSTMY BEZPENOS INFORMANCH SYSTMOV hodnotiaca organizcia jej lohou je vykonva nezvisl hodnotenie hodnotenho predmetu s cieom njs slabiny hodnotenho predmetu a uri, v akom rozsahu s splnen poiadavky uveden v pecifikcii bezpenosti. Hodnotenie sa mus vykonva v slade s kritriami ITSEC a v slade s nrodnmi tandardami krajiny, kde sa hodnotenie realizuje. Hodnotiaca organizcia vypracuje sprvu o hodnoten, ktor odovzd certifikanmu orgnu a sponzorovi. certifikan orgn ttna organizcia, ktor ako jedin m oprvnenie vydva certifikt bezpenosti informanho systmu. Tento certifikt potvrdzuje, e rove bezpenosti hodnotenho predmetu zodpoved poiadavkm uvedenm v pecifikcii bezpenosti a e hodnoten predmet dosiahol niektor z tried miery zruky poda kritri ITSEC. Certifikan orgn m dve lohy: vytvra hodnotiacej organizcii podmienky pre nestrann a objektvne hodnotenie a kontroluje dodranie nestrannosti, objektivity a konzistencie hodnotenia, vydva nestrann certifikt (potvrdenie) bezpenosti. Hodnotenie produktu sa vykonva v troch fzach: 1. Prpravn fza. V tejto fze sponzor kontaktuje vetkch astnkov hodnotenia, uzavrie s nimi kontrakty a zaist vypracovanie Vvojr pecifikcie bezpenosti, ktor dod vetkm astnkom.. Vvojr hodnotenho Hodnotiaca organizcia vypraproduktu alebo cuje odhad predpokladanej ssystmu penosti hodnotenia a v kladPodklady Podklady nom prpade sa ujme hodnotenia. 2. Vlastn hodnotenie. V prieorganizcia behu tejto fzy hodnotiaca orNezvisl ganizcia vykon vlastn hod- organizcia notenie. Vytvor sa zoznam vykonvajca slabch miest hodnotenho hodnotenie predmetu predmetu. Prpadn problmy s rieen poda ich charakteru Certifikan Vsledok bu s certifikanm orgnom orgn hodnotenia alebo v sinnosti so sponzoSleduje proces rom hodnotenia a s vvojrom. hodnotenia a vydva V priebehu hodnotenia sa vycertifikt o pracuje sprva o hodnoten, vsledku ktor je nakoniec odovzdan sponzorovi a certifikanmu Obr. 9.12 Proces hodnotenia orgnu.
Hodnotiaca Sponzor
Uvate, dodvate alebo predvajci, ktor poaduje certifikciu
Certifikt
3. Zveren fza. V nej certifikan orgn analyzuje vsledky hodnotenia uveden v sprve o hodnoten a ur, i boli splnen poiadavky uveden v pecifikcii bezpenosti. V kladnom prpade udel hodnotenmu predmetu certifikt a odovzd ho sponzorovi.
209