1 / 39

OSNOVE BEZBEDNOSTI I ZAŠTITE IKTS

OSNOVE BEZBEDNOSTI I ZAŠTITE IKTS. TEMA 3 PRINCIPI, METODOLOGIJE I MODELI ZAŠTITE IS. METODOLOŠKO – TEHNOLOŠKE OSNOVE. Ciljevi. Razumeti i naučiti: Koncept i značaj principa zaštite sistemske principe zaštite (nikada sam, dužna pažnja, podela dužnosti,..)

lonna
Télécharger la présentation

OSNOVE BEZBEDNOSTI I ZAŠTITE IKTS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. OSNOVE BEZBEDNOSTI I ZAŠTITE IKTS TEMA 3 PRINCIPI, METODOLOGIJE I MODELI ZAŠTITEIS METODOLOŠKO – TEHNOLOŠKE OSNOVE UNIVERZITET SINGIDUNUM Fakultet za poslovnu informatiku

  2. Ciljevi Razumeti i naučiti: Koncept i značaj principa zaštite sistemske principe zaštite (nikada sam, dužna pažnja, podela dužnosti,..) GAISP(Generally Accepted Information Security Principles) GAISP opšte prihvaćene principe zaštite GAISP funkcionalne principe zaštite GAISP detaljne principe zaštite značaj metodološkog okvira za razvoj programa/sistema zaštite opštu metodologiju za razvoj programa/sistema zaštite vrste modelovanja procesa, komponenti i sistema zaštite strukturni i objektno orijentisani model sistema zaštite UNIVERZITET SINGIDUNUM Fakultet za poslovnu informatiku

  3. Terminologija Princip GAISP principi zaštite Opšti GAISP principi zaštite Funkcionalni GAISP principi zaštite Kompletirani GAISP principi zaštite Strategija zaštite Metodologija, Modelovanje, Model Tehnologija, Tehnike, Alati Projekat, Proces, Aktivnost, Procedura UNIVERZITET SINGIDUNUM Fakultet za poslovnu informatiku

  4. Koncept i značaj principa zaštite Pincip(generičkadefinicija): fundamentalna istina, zakonitost uzima se aksiomatski (bez dokazivanja) osnova za izvršavanje racionalne aktivnosti u procesu realizacije koncepta IS (S/Z) ugrađeni u standarde, pravilnike, uputstva IS / SZ u širem smislu uključuje: generičke principe (logike,..), standarde, konvencije, mehanizme i protokole (zaštite) osnovni gradivni elementi procesa(zaštite) UNIVERZITET SINGIDUNUM Fakultet za poslovnu informatiku

  5. Sistemski principi zaštite IS Glavna organizaciona, personalna i administr. -upravljačka rešenja: administrativna ograničenja fizičke prepreke (ograničenja) standardni principi upravljanja IS: nikada sam rotacije radnih mesta razdvajanje dužnosti dužna pažnja, minimum privilegija UNIVERZITET SINGIDUNUM Fakultet za poslovnu informatiku

  6. NAMENAGAISP Promovišu dobru praksu, obezbeđuju referentni nivo zaštite Motivišu industriju/državu da podrže GAISP Obezbeđuju: konzistentnost i merljivost zaštite manje troškove zaštite (ponovljivost procesa) skup pravila/metrika/standarda za upravljanje SZ sertifikaciju SZ i samostalnu izradu politika zaštite veću efikasnost/efektivnost servisa/specijalista zaštite globalnu harmonizaciju principa zaštite brži razvoj metodologije i tehnologije zaštite i.t.d. UNIVERZITET SINGIDUNUM Fakultet za poslovnu informatiku

  7. Struktura GAISP 1. Opšte prihvaćeni principi (9): usmeravaju upravnu strukturu u oblasti zaštite pomažu izgradnju smernica u zaštiti informacija pomažu izradu strategije zaštite informacija 2. Funkcionalni principi zaštite: gradivni blokovi opšte prihvaćenih principa detaljnije definišu taktički nivo zaštite pomažu izgradnju arhitekture sistema zaštite 3. Detaljni (potpuni, kompletni) principi zaštite: gradivni blokovi funkcionalnih principa namenjeni za profesionalce u zaštiti obezbeđuju specifična uputstva za dnevno upravljanje rizikom i sistemom zaštite IS. UNIVERZITET SINGIDUNUM Fakultet za poslovnu informatiku

  8. OPŠTE KARAKTERISTIKE GAISP Precizno definisan, kompletan i konzistentan Usaglašen sa navedenim bezbednosnim ciljem Tehnički izvodljiv i prihvatljiv Prikladan za primenljive standarde i uputstva zaštite Dobro prezentiran (gramatika i sintaksa) Prezentacija: naziv definicija, objašnjenje (opis) primer principa UNIVERZITET SINGIDUNUM Fakultet za poslovnu informatiku

  9. PrimerGAISP Ime: Princip odgovornosti Definicija: U s/z ovlašćenja i odgovornosti moraju biti jasno definisani, shvaćeni i prihvaćeni Objašnjenje: Odgovornost - sposobnost kontrole akcija svih relevantnih učesnika u IKT sistemu Uloge - jasno definišu, identifikuju i dodeljuju ovlašćenja pristupa osetljivim objektima IKT sistema Odnosi između učesnika, procesa i informacija - jasno definisani, dokumentovani i prihvaćeni od strane svih učesnika Kontrolisane odgovornosti(lični nalozi)- svi učesnici u s/z moraju prihvatiti ličnu odgovornost za dodeljena ovlašćenja UNIVERZITET SINGIDUNUM Fakultet za poslovnu informatiku

  10. GAISP Opšti principi zaštite Namenjeni za upravljanje SZ na konceptualnom nivou fundamentalni, retko se menjaju obuhvataju ključne atribute zaštite raspoloživosti, integriteta i poverljivosti informacija integrisani opšti OECD i NIST principi zaštite = opšti GAISP principi zaštite • odgovornosti • preispitivanja i procene • svest o potrebi zaštite • etičnosti • demokratičnosti • integracije • multidisciplinarnosti • proporcionalnosti • blagovremenosti UNIVERZITET SINGIDUNUM Fakultet za poslovnu informatiku

  11. Funkcionalni principi zaštite Definišu taktiku primene kontrola zaštite u praksi: Politika zaštite Obuka i razvoj sveti o potrebi zaštite Odgovornosti u zaštiti Upravljanje sistemom zaštite Upravljanje fizičkom i zaštitom od uticaja okruženja Personalne kompetencije Upravljanje incidentom • Životni ciklus IKT sistema • Kontrola pristupa • Kontinuitet poslovanja i plan VD • Upravljanje bezbednosnim rizikom u IS • Zaštita RM i Interneta • Normativni i ugovorni zahtevi za sistem zaštite • Etički principi (moralni kodeks, zaštita privatnosti) UNIVERZITET SINGIDUNUM Fakultet za poslovnu informatiku

  12. Detaljni principi zaštite definišu ih specijalisti zaštite namenjeni za dnevno upravljanje rizikom i s/z osnovni elementi instrukcija korak-po-korak ili procedura zaštite često se zamenjuju sa tehnologijom i komponentama s/z uključuju metod usaglašavanja sa funkcionalnim principima • sadrže detaljnija objašnjenja principa zaštite • podržavaju jedan ili više funkcionalnih principa zaštite • obuhvataju različite tehnologije/okruženja/ standarde/praksu zaštite • neprekidno uključuju nove tehnologije i dinamički promenljive pretnje UNIVERZITET SINGIDUNUM Fakultet za poslovnu informatiku

  13. PRIMERI 1 Detaljni principi (1.GAISP: Proporcionalnosti) (Funkcionalni:Kontrola pristupa) Detaljni: Upravljanje lozinkom Ime:Jednokratna lozinka Višekratni pasvordi - zastareli tradicionalni mehanizam za AC Jednokratni pasvord – obezbeđuje ga tehnologija smart kartica UNIVERZITET SINGIDUNUM Fakultet za poslovnu informatiku

  14. PRIMER 2: (Finkcionalni: upravljanja rizikom/SZ) Jedinstveni bezbednosni ciljevi: zaštita integriteta, poverljivosti i raspoloživosti informacija Detaljni: Pet (5) osnovnih principa upravljanja rizikom,16 aktivnosti: Procena rizika, određivanje bezbednosnih zahteva i ciljeva Promovisanje svesti o potrebi i obuka Uspostavljanje centralnog upravljanja rizikom/SZ Implementacija rentabilnih politika i kontrola zaštite Nadzor i kontrola s/z - sertifikacija i evaluacija efektivnosti i usklađenosti sa politikom zaštite 2. GAISP: Preispitivanje i provera UNIVERZITET SINGIDUNUM Fakultet za poslovnu informatiku

  15. Implementacija principa zaštite Razvoj programa (programske politike) zaštite razvoj ISMS politike zaštite (ISO/IEC 27001) razvoj pravila (politika) zaštite funkcionalnih komponenti SZ obuka i podizanje svesti o potrebi zaštite nametanje obaveza i elementarna praktična obuka u oblasti zaštite upravljanje kompjuterskim incidentom i razmena informacija o incidentima kooperacija nosioca odgovornosti u SZ UNIVERZITET SINGIDUNUM Fakultet za poslovnu informatiku

  16. Strategija zaštite • 1. Obezbeđuje: • okvir za razvoj SZ za dugoročne bezbednosne ciljeve, • konsolidovanu viziju tekućeg i željenog bezb. stanja: • presek bezbednosnog stanja sistema zaštite • viziju za dostizanje željenog bezb.stanja • inicijative za dostizanje željenog stanja • sistem indikatora za praćenje progresa • akcioni plan za izvršavanje strateškog cilja • 2. Realizuje se konceptima: • metodologije, tehnologije i operativne prakse (uključujući odgovornosti) 1.9.2014. Univerzitet SINGIDUNUM, FPI 16

  17. Strategija zaštite

  18. Cilj razvoja strategije zaštite 1. Obezbediti: usklađenost sa nacionalnim/međunarodnim normativima razvoj programa/SZ za životni ciklus sistema (SDLC) glavne smernice i referentne okvire za procese: definisanja bezbednosnih zahteva i ciljeva definisanja programa, politika i procedura zaštite, projektovanja i dokumentovanja programa/plana SZ razvoja/akvizicije i implementacije SZ održavanja, nadzora i kontrole/revizije SZ obrazovanja i obuke o zaštiti, sertifikacija i akreditacija SZ 1.9.2014. Univerzitet SINGIDUNUM, FPI 18

  19. Metodologije i okviri Definišu se na osnovu: internih i/ili opšte prihvaćenih industrijskih standarda 2. Grupišuse zajedno: kao upravljačke kontrole dodaju strukturu procesima zaštite PRIMERImetodologija (uslovna podela): ISO/IEC27005,ISO/IEC 13335-3, NIST SP 800-30 - za analizu rizika CC-opšti kriterijumi za evaluaciju proizvoda/SZ COBIT-za nadzor i kontrolu SZ ISO/IEC27001 - za upravljanje SZ (ISMS) itd. PRIMERI okvira/modela (uslovna podela): ISO/IEC 21827 (SSE CMM) – model za evaluaciju zrelosti procesa z. ISO/IEC 27002 - za izbor kontrola zaštite itd. NIST SP 800 – xy serija peporuka 1.9.2014. Univerzitet SINGIDUNUM, FPI 19

  20. Tehnologije zaštite Tehničke kontrole zaštite: Izvršavaju ih hw/sw mehanizmi i protokoli zaštite –tehnologije (alati) zaštite: Obezbeđuju: upravljanje identitetom (identifikaciju/autentifikaciju) integrisanu kontrolu fizičkog i logičkog pristupa računarima, mrežama i drugim objektima IS kriptozaštitu informacija (datoteka, direktorijuma, na prenosnom putu, lozinki, ključeva,...) detekciju/sprečavanje upada u sistem (IDPS) kontrolu saobraćaja u RS/RM (skeneri) i dr. 1.9.2014. Univerzitet SINGIDUNUM, FPI 20

  21. Praksa zaštite Organizaciono-operativne kontrole: Izvršavaju ih uglavnom ljudi koji obezbeđuju: izvršavanje aktivnosti i procedura zaštite maksimizaciju upravljačke, funkcionalne i operativne efektivnosti i efikasnosti IS personalnu, fizičku i zaštitu od uticaja okruženja upravljanje vanrednim događajima i incidentom upravljanje promenama (konfiguracijom sistema ) funkcionalno održavanje hardvera i softvera IS/SZ obuku i podizanje svesti o potrebi zaštite 1.9.2014. Univerzitet SINGIDUNUM, FPI 21

  22. Odgovornosti u zaštiti 1. Upravljačke kontrole: pripisuju odgovornosti svim zaposlenim minimiziraju legalne posledice maksimiziraju praksu zaštite kroz zahteve za: procenu rizika planiranje zaštite akvizicija sistema/servisa zaštite analizu kontrola zaštite autorizaciju prava pristupa sertifikaciju i akreditaciju sistema zaštite 1.9.2014. Univerzitet SINGIDUNUM, FPI 22

  23. Metodologija zaštite -Gradivni blokovi- Principi: Sistemski GAISP (Generaly Accepted Infomation Security Principles) 2. Koncepti zaštite/modeli - aproksimacija realnog SZ: definišu razumevanje osnovnih funkcionalnih ili strukturnih elemenata SZ strukturni modeli -funkcionalni i objektno-orijentisani (OO) koncepti - reaktivnog i proaktivnog sistema zaštite 3. Alati i tehnike: alati-realizuju koncepte SZ: upravljački, operativni i tehnički tehnike- načini primene alata, dokumentovane u TD uređaja SZ, u procedurama,… 1.9.2014. Univerzitet SINGIDUNUM, FPI 23

  24. Procesni razvoj SZ 1. Proceszaštite(SE): skup ljudi, sredstava, povezanih aktivnosti/procedura za postizanje jedinstvenog cilja; ima početak i kraj... transformator ulaznih parametara u SZ u izlazne, pomoću procedura, upravljanja, dokumentacije, alata, tehnika… kohezioni faktorljudi, tehnologija, procedura i metoda(odnosa između zadataka procesa) 2. Procedura zaštite: povezuje aktivnostizaštite određujeredosled aktivnosti i dokumentuje proces zaštite 2. Projekat zaštite: skup konačnih procesa i resursa (ljudi, vreme, tehnologije, finansije) namenjenih za dostizanje jedinstvenog cilja 1.9.2014. Univerzitet SINGIDUNUM, FPI 24

  25. Opšta metodologija za razvoj programa/SZ Metodologija SDLC (razvoj ž/c sistema) na bazi: upravljanja rizikom politike zaštite standarda najbolje prakse zaštite: (ISO/IEC 27K, ISO/IEC 21827, NIST SP 800-30, NIST SP 800-53,...) 1. i 2. obezbeđuju koncept reaktivnogSZ - od poznatih napada. 3. obezbeđuje najviši nivo proaktivne zaštite - od poznatih i nepoznatih pretnji 1.9.2014. Univerzitet SINGIDUNUM, FPI 25

  26. STRUKTURNO MODELOVANJE SZ Skup objekata: pasivnih i (aktivnih) komponenti sistema kojima se pristupa na kontrolisan način 2. Skup subjekata: aktivnih komponenti sistema koje koriste i pristupaju objektima 3. Skup pravila: na osnovu kojih subjekti koriste i pristupaju objektima vrši se dekompozicija (klas. i kateg.) objekata na skupove, prema definisanim kriterijumima (jedinstveni bezbednosni ciljevi, jedinstvene funkcije itd.), odbacuju nebitne komponente i smanjuju kompleksnost 1.9.2014. Univerzitet SINGIDUNUM, FPI 26

  27. Primeri primene strukturnih modela Primer: modelovanja sistemaosnovne zaštite IS • Modelovanje IKT sistema • Modelovanje mehanizma logičke kontrole pristupa • Strukturno modelovanje mrežne IKT arhitekture 1.9.2014. Univerzitet SINGIDUNUM, FPI 27

  28. Problemi i nedostaci strukturnog modelovanja 1. Zastareo zbog podele na aktivne (subjekte) i pasivne (objekte) svaki program realizuje konkretni korisnik: realizacija objekta složena objekat je instrument ispunjavanja volje korisnika korisnik direktno (po pravilu indirektno) na svoj rizik zahteva od objekta određeni informacioni servis 2. Ponovljeno korišćenje objekata IS nije obezbeđeno 3. NOSSS (Native OS Security Subsystem) se uzima kao dominantna komponenta zaštite 4. Zahteva se formiranje sveobuhvatnih servisa zaštite RS (za sve objekte) 5. Zaštita RM – problem uspostavljanja koherentnog sistema zaštite 6. Slabo se koriste znanja iz objektno-orijentisanog pristupa i OOM 1.9.2014. Univerzitet SINGIDUNUM, FPI 28

  29. METODOLOGIJA OBJEKTNO ORIJENTISANOG PRISTUPA Svi elementi sistema su objekti (O) Nema pasivnih objekata, svi O su aktivni Struktura IS/SZ dekomponuje se na O O po potrebi izazivaju načine ponašanja (metode) jedan drugoga Realizacija ponašanja je skrivena (inkapsulirana) O povezuju samo interfejsi 1.9.2014. Univerzitet SINGIDUNUM, FPI 29

  30. Klasifikacija (K) • Generička definicija (atributi klasifikacije- K): • Međusobnu isključivost: sprečava preklapanja • Potpunost: unija svih kategorija - sve moguće K • Nedvosmislenost: jasna i precizna • Ponovljivost:ponovljiva, daje isti rezultat • Prihvatljivost:logička i intuitivna • Primenljivost: primenljiva u različitim oblastima

  31. Klasifikacija (K) • Klasa: apstrakcija skupa realnih karakteristika O, objedinjenih opštom strukturom i ponašanjem • Primer: klasa „korisnika“, • objekat „korisnik XY“ • Objekat: • elemenat klase, tj. apstrakcija određene stvarnosti, • aktivni element sa unutrašnjom strukturom i načinom ponašanja (metod objekta) • K svih O IS u bezbednosne kategorije (BK) na kojesu primenljivi svi navedeni atributi K • K informacija prema bezbednosnim nivoima • Primer: interne, službene, službene osetljive, poverljive

  32. Atributi OOM Inkapsulacija: smanjuje kompleksnost, skraćuje unutrašnju strukturu i ponašanje O, vidljivi samo određeni interfejsi suštinski označava „relativnu nezavisnost“ svake grane 2. Polimorfizam: sposobnost O da se svrsta u više od 1 klase korisniciSZ koji nastupaju u različitim ulogama (administratori zaštite, faktori upravljanja zaštitom, obični korisnici) 3. Nasleđivanje: formiranje nove klase O na osnovu postojeće, dodaje podatke/metode smanjuje multiplikativne elemente realnog SZ, ukazuje na promene klasa-potomak - koren nove klase-naslednika sledeći nivo zaštite ne menja se, dopunjuje sa prethodnim omogućava primenu slojevitog koncepta zaštite 1.9.2014. Univerzitet SINGIDUNUM, FPI 32

  33. Atributi OOM-1 4. Nasleđivanje + polimorfizam = modularna skalabilnost 5. Grana objekta: relativno nezavisne (ortogonalne) karakteristike O omogućava raznolikost aspekata apstrakcije O 6. Nivo dekompozicije: važan za vizuelizaciju i SA složenih objekata obično se predstavlja u hijerarhijskoj formi algoritam dekompozicije: tekući nivo hijerarhije razmatra sa nivoom detalja n >0, sledeći se razmatra sa nivoom detalja (n-1) objekat sa nivoom detalja 0 smatra se da je nedeljiv (atomizovan) nivoi detaljizacije variraju za O i grane objekta 1.9.2014. Univerzitet SINGIDUNUM, FPI 33

  34. OOM SISTEMA ZAŠTITE - Smanjenje kompleksnosti- 1.Skup grana informacionih objekata zaštite struktuira bezbednosni cilj - objekte zaštite: raspoloživost, integritet i poverljivost informacija 2. Skup grana objekata sistema zaštite struktuira sredstva – objekte za zaštitu: upravljačke, org.-operativne i tehničke kontrole zaštite 3. Dva skupa su ortogonalna (relativno nezavisna): moguće 12 kombinacija ortogonalnih skupova, što je prihvatljiv nivo kompleksnosti Primer: fiksna grana raspoloživost zahteva sve elemente drugog skupa (U,O,T k/z) 1.9.2014. Univerzitet SINGIDUNUM, FPI 34

  35. ZAKLJUČCI 1. Principi-osnovni gradivni elementi procesa zaštite (šire sadrže: g. principe, standarde, konvencije i meh. zaštite) 2. GAISP: opšti, funkcionalni, detaljni a. Opšti - usmeravaju upravljanje: odgovornost, preispitivanja, svesti o potrebi etičnost, demokratičnost, integracija, multidisciplinarnost, proporcionalnost i blagovremenost b. Funkcionalni principi - čine opšte principe, detaljnije definišu taktiku izgradnje arhitekture SZ c. Detaljni -čine funkcionalne, namenjeni za profesionalce, uputstvo za dnevne aktivnosti upravljanja rizikom i SZ UNIVERZITET SINGIDUNUM Fakultet za poslovnu informatiku

  36. 3. Strateški plan zaštite: dugoročni razvoj programa zaštite, realizuje se krozmetodologiju, tehnologiju, operativnu praksu (uključujući odgovornosti) 4. Metodologija je određena definisanjem: principa,koncepata (modela),metoda (tehnika i alata) i tokarazvoja procesa 5. Opšta metodologija razvoja programa/SZ na bazi: politike zaštite (R), i/ili upravljanja rizikom (R) i/ili standarde najbolje prakse zaštite (P 6. Model- apstrakcija realnog sistema, strukturni i objektno orijentisani smanjuju kompleksnost sistema ZAKLJUČCI-1 1.9.2014. Univerzitet SINGIDUNUM, FPI 36

  37. Pitanja za ponavljanje • Opšte prihvaćeneprincipe zaštite (GAISP) specijalisti zaštite treba da koriste u procesu projektovanja sistema zaštite, proizvođači u proizvodnji komponenti i uređaja zaštite, a vlasnici informacija i menadžeri za razvoj i implementaciju programa zaštite. (Tačno ili Netačno). • Sistemski principi zaštite predstavljaju obavezan okvir u koga se ugrađuju specifični GAISP principi zaštite, a obuhvataju: (Zaokružiti tačne odgovore). • uvek sam • nikada sam • rotacije radnih mesta • što duže na jednom radnom mestu • razdvajanje dužnosti • principe upravljanja IKT sistemom • objediniti što više dužnosti radi smanjenja kadrova • upravljanje zaštitom razdvojiti od upravljanja IKT sistemom

  38. Pitanja za ponavljanje-1 • Navedite osnovne vrste i strukturu GAISP principa zaštite. • Objasnite svojim rečima kako razumete opšte GAISP principe: Princip multidisciplinarnosti i Princip proporcionalnosti. • U primeni potpunih GAISP principa, koje ključne kriterijume (5) specijalisti zaštite treba da obezbede za svaki princip? • Nabrojte po sopstvenom izboru najmanje pet funkcionalnih GAISP principa zaštite koje treba primeniti u razvoju programa zaštite i poređajte ih po značaju. • Strategija zaštite obezbeđuje okvir za kratkoročni razvoj sistema zaštite i kratkoročne bezbednosne ciljeve, pošto sadrži konsolidovanu viziju tekućeg i željenog bezbednosnog stanja sistema. (Tačno ili Netačno). • Metodologije i okviri su upravljačke kontrole koje dodaju strukturu procesima zaštite. (Tačno ili Netačno).

  39. Pitanja za ponavljanje-1 • Koje se tri moguće metodologije generalno koriste za razvoj programa i sistema zaštite? • Navedite osnovne korake u procesu strukturnog modelovanja IKT sistema i sistema zaštite u funkciji smanjenja kompleksnosti sistema. • Povežite objekte sa odgovarajućom granom objekata u objektno-orijentisanom pristupu modelovanja sistema zaštite:

More Related