Specialization IB - Question 1 (Audit, laws, etc.) Flashcards
Cil auditu?
Zkontrolovat/zajistit, ze bezpecnostni politiky a procedury jsou dobre definovany a implementovany.
Kontrola by mela byt zajistena nezavislou treti stranou, at je audit duveryhodnejsi (nezavisla strana by mela zajistit nestrannost a ze vystup bude spis pravdivy nez klamavy)
Jak probiha audit
- Rozhovory se zamestnanci ve firme
- Analyza systemu
- Testovani system v predem definovanych podminkach
Typy testu v auditu
Blackbox (blind) - auditor ma k dispozici pouze verejne informace, o systemu toho nevi moc (resp. nic), Administratori vedi o auditu
Double Blind - auditor ma k dispozici pouze verejne informace, o systemu toho nevi moc (resp. nic), Administratori nevedi o auditu
Gray Box - kombinace blackbox/whitebox
White Box - auditor ma k dispozici i privatni informace o systemu
Tandem - obe strany vedi detaily testu/systemu v auditu dopredu
Reversal - Pouze auditor vi detaily o testu/systemu. Simluje utok
Rizeni bezpecnosti (Security management)
ISMS (InfoSec Management System) - dokumentovy system, ktery obsahuje definovana chranena aktiva a jak bude rizena bezpecnost. Je to cyklus: plan - do - check - act
Melo by tedy dojit k analyze, navrhu (plan). Vykonej/testuj zmeny (do). Udelat review (check). Rozhodni dalsi kroky - je potreba neco zlepsit/co je treba zlepsit/je to potreba ihned? da se odlozit? (act).
Rizeni bezpecnosti musi byt site na miru firme (v souhre s cily firmy a finance zdravy), schvalene nejvyssim vedenim (aby se uvolnilo financovani) a prosazovat ji (managment hlidal dodrzovani bezpecnostnich politik, Security architect navrhnul reseni, IT team implementoval).
Rizeni bezpecnosti (ISMS) - jake jsou dulezite standardy
ISO/IEC 27000 - standard definuje ucel ISMS
ISO/IEC 27001 - standard definujici detaily implementace, udrzby, zlepsovani ISMS
ISO/IEC 27002 - standard poskytujici best practices pri implementaci a udrzby ISMS
Co je řízení rizik?
Procesy ktere vedou k redukci rizik na akceptovatelnou uroven. Nejlepsi moznost je eliminovat vsechny rizika, realne neni mozne (finance/technologie brani) - proto redukce.
Jak probiha vytvareni a prosazovani Bezpecnostnich Politik?
- Posuzuji se vstupni, vypracuje se deklarace politiky
- Provedeni ohodnoceni rizik
- Vypracovani projektu politiky
- Implementace a prosazeni politiy (navrh a implementace ISMS)
- Plneni cinnosti organizace v souladu s bezpecnostni politikou
- Vyhodnoceni adekvatnosti bezpecnostnich politik
- Znova zacit dalsi kolo od provedeni ohodnoceni rizik
Kdo je role CISO
Chief of Information Security Officer
Vytvari bezpecnostni politiku, urcuje jeji cile, strategie. Informuje ridici vybor o aktualnich pracech, hrozbach, krocich. Vypracovava zpravy o bezpecnostnich incidentech pro vybor a i dalsich problemech.
Protiopatreni
Pravidla definovana v bezpecnosti politice, ktera se uplatnuji pro snizeni pozadovanych rizik na pozadovanou/akceptovatelnou uroven.
Hodnoceni bezpecnosti, co to je/standardy
Je hodnoceni, jestli byla dosazena uroven bezpecnosti. K hodnoceni se vyuziva standard ISO/IEC 15408 a kriteria OWASP
Procesy hodnoceni
Formou auditu
Pro oficialniho ohodnoceni - auditor musi mit licenci
Kriteria hodnoceni - co to je, kym hodnoceni probiha, k cemu je?
seznam podmínek které vyvíjený / kupovaný produkt nebo systém má být schopný ( musí ) plnit .
Hodnoceni probiha nezavislou duveryhodnou stranou (bud komercni licence nebo vladni organizaci)
Je to pro zakaznika pro vyber vhodneho produktu. Pro vyrobce, aby svuj produkt lepe prodaval (zarucil se za nej). Vyrobek dostane certifikat od hodnotitele
Kriteria hodnocneni - druhy
Common Criteria (ISO/IEC 15408) - nejcasteji
ITSEC (IT Security Evaluation Criteria)
TCSEC (Trusted Computer System Evaluation Criteria)
Kriteria hodnoceni CC - skala
Common criteria (ISO/IEC 15408)
Skala: EAL0 - EAL 7
EAL=Evaluation Assurance Level
Kazda uroven oznacuje hloubku hodnoceni
EAL0=zadna
EAL1=Nejnizssi (pouze overi na zaklade uzivatelske dokumentace)
EAL7=Nejvyssi (obsahuje vse co predchozi urovne + formalni verifikace)
Kriteria hodnoceni CC - Dulezite pojmy
Common criteria (ISO/IEC 15408)
TOE = Target of Evaluation (Produkt podroben evaluaci)
ST = Security target (teoreticky koncept/cil) napr. smarcard je tamper-resistant
PP = Protection Profile (skupina bezpecnostnich pozadavku urcite skupiny TOE) napr. pouziti cipovych karet pro nepopiratelnost u podepisovani
Hodnoceni - odpovida TOE v realite teorii (ST)?
EAL (skala) udava miru duvery, ze TOE vskutku odpovida ST
ceritifakt obsahuje i popis:
* profil bezpecnosti (cipove karty, biometrika, atp)
* vlastnosti systemu (anonymita, pseudoanonymita) - obsahuje nebo ne (ano/ne hodnoceni)
Vyssi EAL neznamena vyssi bezpecnost! (muze byt TOE s EAL7 a RSA klicem 2k a TOE s EAL1 a RSA klicem 4k)
Kriteria hodnoceni TCSEC - skala
CLASS D: minimal/no sec
CLASS C: Discretionary Access Control (data owners a admini muzou urcovat, kdo ma pristup k souborum)
CLASS B: system ma Mandatory Access Control (need to know basis)
CLASS A: highest (math formalism)
Co je standard v IT, jake mame typy standardu?
Standard je dokument vysvetlujici domluvu na technicke specifikaci produktu/procesu
2 typy:
De facto standard (officialni, vytvoren organizaci/narodni)
De iure standard (neofficialni, vytvoren komunitou expertu)
Standardy v oblasti IT bezpecnosti a kryptografie - de facto
RFC (Request For Comment) - pro internet a sitove protokoly
OWASP (Open Web Application Security Project) - pro vyvoj web aplikaci
PKCS (Public-Key Cryptography Standard by RSA Labs) - ruzne crypto standardy (jak na padding atp)
Standardy v oblasti IT bezpecnosti a kryptografie - de iure
ISO (International Standardization Organization)
NIST (National Institute for Standard and Technology) - USA vlada (treba AES) - vydavaji FIPS
IEEE
CSNI (ceska narodni)
ANSI
Legislativa tykajici se kryptologie
Staty (CR, EU) schvaluji vybrane sifry/hashovaci funkce, ktere lze pouzivat treba v ramci digitalnich podpisu. V CR dokument s minimalnimi pozadavky vydava NUKIB.
Schvalene jsou treba scrypt, sha-2
neschvalene sha-1
Digitalni podpis - co potvrzuje?
Prvek potvrzujici shlednuti podepsaneho dokumentu (integrita + potvrzeni, ze zpravu jsem cetl/vytvoril)
Elektronicky podpis
Pod elektronicky podpis spada oskenovany rucni podpis, pismena na konci mailu napsana na klavesnici, a pod.
Digitalni podpis spada tez pod elektronicky podpis
Digitalni podpis - konstrukce
Spolehlivy asym alg (RSA, DSA), schvaleny/silny hash alg
Vytvori se hash zpravy, podepise se hash (priv klicem). Prijemce si overi podpis verejnym klicem
Privatni klic musi byt strezen - ukradnuti priv klice znamena, ze zpravu muze podepsat i dalsi osoba
Certifikat s klicem urcuji identitu (vime cloveka, co podepsal zpravu). Ale ukradnuty privatni klic muze tez podepsat
Digitalni podpis - certifikat - format? k cemu verejny klic, co dosahujem spravou verejnych klicu
Verejnym klicem jsme schopni potvrdit, ze dokument byl podepsan privatnim klicem. Pres certifikat je mozne k verejnemu klici je mozne pripojit i dalsi informace - certifikat format x.509 (jmenom, prijmeni).
Duveru v obsah certifikatu (ze jmeno je pravdive) je potreba dal zajistit (Certifikacni Autorita, Signing party - veri tomu certifikatu, clovek ktereho znam, budu mu spis verit i ja).
