Bezpečnostní audit e

Transkript

Vysoká kola ekonomická v Praze
Fakulta informatiky a statistiky
Katedra informa ních technologií
Student
: Veronika torková
Vedoucí bakalá ské práce
: Ing. Jan Karas
Recenzent bakalá ské práce
: Ing. Jind ich Hlavá
TÉMA BAKALÁ SKÉ PRÁCE
Bezpe nostní audit e-business
ení
rok : 2004
ení
Prohlá ení
Prohla uji, e jsem bakalá skou práci na téma „Bezpe nostní audit e-business ení“ vypracovala
samostatn a pou ila jen pramen , které cituji a uvádím v seznamu literatury.
V Praze 29.4.2004
…...…………………..
podpis
2
ení
Cht la bych touto cestou pod kovat vedoucímu práce Ing. Janu Karasovi za cenné rady a podporu.
3
ení
1 ABSTRAKT
Tato studie se zabývá bezpe nostním auditem e-business
ení. Jejím cílem je uvést tená e do
tohoto komplexního tématu.Téma je postupn p edstavováno ve ty ech hlavních vzájemn
souvisejících ástech, kterými jsou: význam bezpe nosti pro e-business
ení, analýza rizik a
bezpe nostní audit, automatizované nástroje bezpe nostního auditu, mezinárodní standardy pro
informa ní bezpe nost a výb r z eské legislativy vztahující se k informa ní bezpe nosti.
Úvodní kapitola p edstavuje pojetí e-business, základní komponenty e-business
ení a význam
bezpe nosti v prost edí elektronického podnikání. Následuje bezpe nostní audit, který se skládá
ze dvou hlavních ástí. První je analýza rizik, která poskytuje vstupní informace pro uskute ní
bezpe nostního auditu, p edev ím po adovaný rozsah v jakém má být bezpe nostní audit
proveden. Audit sám o sob je pojat v této studii jako jednorázový audit, který provede d kladné
zhodnocení úrovn zabezpe ení v organizaci, realizující e-business
ení. Zvlá tní d raz le í na
auditu web aplikací a server , proto e ten je pova ován autorkou za hlavní rozdíl mezi klasickým
bezpe nostním auditem a bezpe nostním auditem e-business
ení. Proto e bezpe nostní audit
tohoto typu není myslitelný bez nasazení automatizovaných nástroj , v nuje se dal í kapitola
stru nému p ehledu n kterých automatizovaných program . Software je len n podle základních
komponent e-business
ení, vymezených v úvodní kapitole studie. Záv re ná kapitola je
nována p ehledu mezinárodních standard a eských právních norem, které souvisí s
informa ní bezpe ností. D vodem výb ru je po adavek, e v pr hu auditu by m l také být
prozkoumána shoda s t mito normami a standardy.
4
ení
2 ABSTRACT
The purpose of this paper is to provide the introduction to a security audit conducted in the
specific environment of e-business solutions. The aim is to describe the complex view of such an
issue as the security audit surely is. The guidance contained in this paper is organized into four
main interconected chapters, gradually introducing the topic to a reader. These are: importance of
e-business security, risk analysis and security audit itself, automated auditing tools, international
standards and introduction into Czech law concerning the information security.
Starting with the introduction of the e-business solution, e-business components and specific
requirements for the security being ensured in this environment, it then continues with the security
audit. The audit itself consists of two steps – the risk analysis, which is a fundamental starting
point for a security audit because of providing a scope which should be taken by a security audit.
The audit itself is then understood in this paper as a one-off audit which undertakes a thorough
assessment of the security level in an enterprise conducting e-business solution. The special focus
lies at the web-application and web-servers security because this is understood by the author to be
the most important difference between a classic IT security audit and e-business security audit. As
the security audit conducted in an e-business environment would not be possible without
utilization of automated software tools, provides the following chapter a brief overview of
auditing software. This is organized into areas corresponding with the fundamental e-business
components, as introduced in the initial chapter. The international standards and national
legislation compliance assessment is conducted within the security audit, therefore the elementary
standards and Czech acts of law are introduced in the concluding chapter.
5
ení
3 OBSAH
1
Abstrakt .................................................................................................................................. 4
2
Abstract................................................................................................................................... 5
3
Obsah....................................................................................................................................... 6
3.1
Seznam tabulek................................................................................................................ 7
3.2
Seznam obrázk ............................................................................................................... 7
4
Úvod......................................................................................................................................... 8
5
E-business
6
5.1
Co je e-business
5.2
Komponenty e-business
5.3
Význam bezpe nosti v e-business ................................................................................. 14
ení................................................................................................... 10
ení ...................................................................................... 12
5.3.1
Základní po adavky bezpe nosti e-business
5.3.2
Nástroje bezpe nosti e-business ...................................................................................17
ení........................................................17
Bezpe nostní audit ............................................................................................................... 19
6.1
Analýza a ízení rizik..................................................................................................... 19
6.1.1
Metodiky pro analýzu a ízení rizik...............................................................................23
6.1.1.1
Metodika CRAMM..............................................................................................23
6.1.1.2
Dal í metodiky ....................................................................................................25
6.2
7
ení a význam e-bezpe nosti ......................................................................... 10
Bezpe nostní audit......................................................................................................... 26
6.2.1
Postup p i realizaci BA ................................................................................................28
6.2.2
Výstup BA ....................................................................................................................34
6.2.3
Bezpe nostní audit web aplikací a server ....................................................................35
Nástroje pro automatizovaný bezpe nostní audit............................................................. 39
7.1
Audit opera ních systém .............................................................................................. 39
7.1.1
AuditPro (MS Windows)...............................................................................................39
7.1.2
SMB Auditing Tool (NetBIOS)......................................................................................40
7.1.3
Sunbelt Network Security Inspector..............................................................................40
7.1.4
AuditPro (Unix) ...........................................................................................................41
7.2
Audit web server a aplikací ......................................................................................... 41
7.2.1
Nixu.............................................................................................................................41
7.2.2
IISSecurityAudit...........................................................................................................42
7.2.3
AppScann.....................................................................................................................43
7.3
Databázový audit ........................................................................................................... 44
7.3.1
ApexSQL Log...............................................................................................................44
7.3.2
Pervasive AuditMaster .................................................................................................44
7.3.3
AppDetectiveTM ............................................................................................................45
6
7.4
8
ení
Audit sít a komunika ních kanál ................................................................................ 46
7.4.1
Retina Network Scanner...............................................................................................46
7.4.2
SAINT Scanning Engine...............................................................................................46
Standardy a právní po adavky........................................................................................... 48
8.1
ISO/IEC 17799 Code of Practice for Information Security Management..................... 48
8.2
BS 7799 Information Security Management Standard .................................................. 49
8.3
ISO/IEC 15408 Common Criteria for IT Security Evaluation .................................... 50
8.4
ISO/IEC 13335 Guidelines for the Management of IT Security ................................... 52
8.5
eské právní normy vztahující se k informa ní bezpe nosti......................................... 52
8.5.1
Obecná právní úprava ochrany osob a obchodního tajemství .......................................53
8.5.2
Zákon .101/2000 Sb. o ochran osobních údaj ..........................................................53
8.5.3
Zákon .227/2000 Sb. o elektronickém podpisu.............................................................54
9
Záv r ..................................................................................................................................... 56
10
Literatura.............................................................................................................................. 57
11
Terminologický slovník ....................................................................................................... 60
12
ílohy ................................................................................................................................... 62
3.1 SEZNAM TABULEK
Tab. 1 Po et nahlá ených bezpe nostních událostí........................................................................ 15
Tab. 2 Po et nahlá ených bezpe nostních nedostatk ................................................................... 16
3.2 SEZNAM OBRÁZK
Obr. 1 Zapojení komponent e-business
ení ............................................................................... 12
Obr. 2 Postup analýzy a ízení rizik ............................................................................................... 20
Obr. 3 P íklad zaznamenání záv
z analýzy souladu s ISO/IEC 17799:2000 (CRAMM)......... 24
Obr. 4 Grafický výstup analýzy dopad na innost organizace ..................................................... 24
Obr. 5 Schéma zavád ní e-business
ení a vstup bezpe nostního auditu.................................... 27
Obr. 6 Jednotlivé kroky bezpe nostního auditu ............................................................................ 34
7
ení
4 ÚVOD
Rozvoj Internetu nabral za posledních n kolik let a neuv itelné tempo. Kdo by si p ed pár lety
edstavoval, e se tato komunika ní cesta a médium v jednom infiltruje zásadním zp sobem do
ivota ka dého z nás. e se nap . v tehdej í dob v R dostane z univerzitních a výzkumných
center do domácností, z drahé zále itosti pro firmy se stane tém automatický po adavek v ech
ivatel kabelových televizí apod.Stejn jak Internet p il ot es splasknutí „dot-com“ ílenství
na konci 90. let minulého století, stejn tak nyní elí nebezpe í, které zde bylo od doby vzniku
prvních po íta ových systém a sítí, které ale narostlo stejn tak, jako se Internet roz il. Tím je
internetová bezpe nost, spí by se cht lo íci nebezpe nost. Na e závislost na Internetu a
technologickém rozvoji se stále zv uje. Nedostate nost zabezpe ení starých i nových
technologií a zárove na e neznalost t chto hrozeb a jejich mo ných d sledk , které se u mnoho
let projevují, nyní jen nabývají na objemu a mocnosti. asto jim nev nujeme dostate nou
pozornost a tak se vytvá í ideální prost edí pro zasazení „smrtelného úderu“ - a z pouhé
neznalosti nebo úmysln - jakémukoliv po íta ovému systému z libovolného místa na sv .
Otázka, která se nabízí, je, komu by takový úder u kodil nejvíce? Firmám podnikajícím na
Internetu, nám jako to jejich zákazník m a b ným u ivatel m, vládám, výzkumným a
vzd lávacím centr m, armádám? Nebo spí e v em, kdo vyu ívají tuto komunika ní superdálnici?
Odpov není jednoduchá a její hledání není prvoplánovým cílem této studie, by je touto situací
významn ovlivn na. Zde se budeme zabývat zp soby ochrany firem a organizací podnikajících
na Internetu v rámci tzv. B2B nebo B2C komerce p ed podobným ne ádoucím útokem na
po íta ové systémy, které zaji ují jejich podnikatelskou innost. Roz ení, pom rn snadná,
levná a zárove ve svém principu nebezpe ná implementace Internetu do podnikových aktivit
umo nila mnoha firmám vstoupit na celosv tový, globální – tedy vzájemn propojený – trh.
Zp sobem ochrany myslíme zaji ní bezpe nosti pomocí revize systém p ipojených do
Internetu, které umo ují takový druh obchodní innosti. Revizí systému, tedy hloubkovou
kontrolou, z hlediska bezpe nosti budeme rozum t bezpe nostní audit. V této studii se budeme
novat p edev ím jednorázovému bezpe nostnímu auditu na jednom lánku celého systému
tvo ícího e-business ení, tak jak je vymezen dále v textu. Systémový bezpe nostní audit, resp.
ný bezpe nostní audit, zde chápeme jako integrální sou ást bezpe nostních opat ení
uplat ovaných v organizaci, které poskytují data pro jednorázový bezpe nostní audit.
tená jist chápe, e zde pojednáme o tématu komplexním, jen v sob zahrnuje mnoho oblastí s
nimi se postupn seznámíme. Pro ujasn ní výchozí pozice si na za átku vymezíme, co chápeme
v této studii, ale vlastn i obecn , co je vnímáno odbornou ve ejností, jako e-business
ení.
Jakou roli v n m hrají jednotlivé komponenty z hlediska technologického a jaká je úloha „ebezpe nosti“. Na tuto kapitolu navazuje analýza rizik, která identifikuje aktiva e-business
vy adující ochranu. Pro kvalitní zabezpe ení je v dy nutné v t, co máme chránit, aby tato
ochrana byla smysluplná a ne samoú elná. Analýza rizik nám proto osv tlí, jak zjistit, která aktiva
vy adují ochranu, do jaké míry, jaká rizika mohou hrozit, kdo resp. co je p edstavuje a jak dále ke
zji ným skute nostem p istupovat.
Bezpe nostní audit, který následuje po analýze rizik, provede kontrolu nad získanými daty v
souladu s technickými po adavky, s po adavky mezinárodních standard a právní úpravy
zaji ování informa ní bezpe nosti. Zam íme se p edev ím na specifické stránky e-business
ení, které dodávají prvek odli nosti od klasického bezpe nostního auditu informa ního
systému. Audit sám o sob by byl nemyslitelný, z asových a technických d vod , bez nasazení
automatizovaných auditních nástroj . Proto se následn zam íme na stru ný p ehled aplikací. Ty
jsou schopny za pomoci srovnání se seznamy známých bezpe nostních nedostatk jednotlivých
komponent e-business
ení, p ípadn s vyu itím heuristických analýz a um lé inteligence,
rychle a efektivn ov it a zkontrolovat úrove zabezpe ení a aktuálnost ochranných mechanism
systému. Auditní nástroje jsou rozd leny do skupin podle jednotlivých ástí e-business ení.
8
ení
Záv re ná kapitola v novaná mezinárodním standard m vyzdvihuje význam jejich zapojení
v pr hu auditu. Ty nabývají stále v í d le itosti, proto e standardy jsou vhodným nezávislým
ítkem pro kontrolu souladu bezpe nostních politik a procedur, zavedených ve firm . Zárove
dodávají po adovanou objektivitu celému bezpe nostnímu auditu, kdy auditor, resp. tým auditor ,
e op ít sv j záv re ný výrok nejen o své vlastní odborné znalosti, ale i o know-how expert z
oboru, kte í se na p íprav standard podíleli. Legislativní po adavky si budeme demonstrovat na
vybraných zákonech R, jmenovit na zákonu o ochran osobních údaj a zákonu o
elektronickém podpisu.
Mezi cíle této studie a hlavní p edpokládané p ínosy k danému tématu pat í:
•
úvod do problematiky bezpe nostního auditu e-business
•
srovnání klasického bezpe nostního auditu a e-bezpe nostního auditu,
•
poskytnutí p ehledu n kterých d le itých mezinárodních standard a jejich zam ení,
•
stru ný vý et sou asných automatizovaných auditních nástroj , které mohou být
vyu ity v pr hu bezpe nostního auditu.
ení v ir ích souvislostech,
9
5 E-BUSINESS
ení
ENÍ A VÝZNAM E-BEZPE NOSTI
E-business
ení je pojmem sou asného obchodního sv ta sklo ovaným „ve v ech pádech“. Je
prosazováno jak v pr myslových odv tvích, tak i v oblasti poskytování slu eb. E-business se
prakticky stal synonymem pokrokového smý lení a správné tr ní orientace firemních
management . Samoz ejm se nabízí otázka: Pro ? V sou asné dob se odhaduje, e tr by B2C se
pohybují mezi 1% a 2 % celkových maloobchodní tr eb (v roce 2002 tvo ily ve Spojených
státech finan ní p íjem ve vý i 93 mld. $, tedy se podílely na maloobchodu p ibli
1,5%1).
Tedy mezi d vody zjevn pat í nap . dopln ní stávajících trh , mo nost zvý ení tr eb a tím i
zisku, které podle p edpoklad mají velký potenciál k r stu, oslovení budoucích zákazník , které
by bez Internetu bylo jen t ko realizovatelné, nenasycený trh, resp. trh dopl ující klasický
prodej. Proto e firma, která neroste je odsouzena k zániku. Pro vedení firem tedy potenciální
ínosy e-business ení zní jako „rajská hudba“.
Jak velké jsou pak mo nosti B2B, které p edcházelo samotnému B2C? Podle odhad 2 byly v roce
2003 p inejmen ím desetkrát v í ne B2C. Z tohoto d vodu a dal ích, jako jsou: globálnost trhu,
místa, kde i nevelké firmy mají anci na finan
zajímavý úsp ch, p edpovídané úspory náklad
atd., je ji n kolik let elektronický obchod atraktivní a p ímo vybízí k zamy lení, jestli má firma
stat stranou a jen p ihlí et, a nebo se odvá
vrhnout do sv ta obchodu, který tém nezná
mezí. P esto e elektronický obchod, tak jak je dále vymezen (vým na informací, transakce a
operace realizované pomocí po íta ových sítí a v elektronickém formátu), existuje v této podob
ji tém ty icet let (na platform EDI), o samotném e-businessu se za alo hovo it a s masivním
nasazováním Internetu jako to komunika ní platformy.
Mo nosti globálního trhu, který e-business otevírá v em ú astník m, rostou s ka dým dnem,
stejn tak se zvy uje dosah Internetu a po et jeho u ivatel . Internet zde hraje roli základního
komunika ního média, jen svými pozitivy – roz eností a relativn nízkými implementa ními
náklady – umo uje rychlé a p ijatelné propojení mezi obchodními partnery. Samoz ejm
vyvstává na mysli my lenka o bezpe nosti e-business
ení, postaveném na zapojení
internetových technologií. Prvotním impulsem pro zkoumání bezpe nosti v rámci elektronického
obchodu je toti vým na informací mezi objekty zapojenými do e-business ení. Implementace
Internetu, jako komunika ní platformy, sebou p iná í rizika, stejn významná jako jsou pozitiva, o
kterých se zmíníme v podkapitole Význam bezpe nosti v e-business.
5.1 CO JE E-BUSINESS
ENÍ
Pod pojem e-business je mo né obecn zahrnout jak p ímý obchod mezi firmami a kone nými
spot ebiteli (B2C – Business-To-Consumer), tak mezi firmami samotnými (B2B – Business-ToBusiness), kdy zákazníky, resp. spot ebiteli produkt jsou firmy. Hlavní rozdíly mezi B2B a B2C
lze nap . spat ovat v
•
objemech nákup /prodej /transakcí,
•
finan ní hodnot t chto obchod nebo
•
pom rn pevn stanovených po adavcích na v asné doru ení, p esnost.
Dále v textu budeme pojem e-business pou ívat ve smyslu zast
elektronický obchod.
1
[KOZ]
2
[LEE]
ujícího pojmu pro B2C a B2B
10
ení
Pokud chceme charakterizovat e-business, je vhodné pou ít vymezení pomocí aktivit, které pod
tento pojem spadají. Mezi klí ové aktivity pat í:
•
elektronická tr
vertikální)
(z ízená prodejci, zprost edkovateli nebo nákup ími; horizontální a
o vznikla na základ stejné architektury pou ité pro B2C, ale mají jiný obsah
(pr myslové zbo í, slu by firmám),
o velké mno ství vertikálních e-tr
(tak nazývaných burzy, proto e ve v
ípad se obchod ú astní velké mno ství prodejc a kupujících),
in
o velké nákupní firmy budují svá vlastní e-tr
, aby mohly manipulovat se svými
nabídkami a mohly propojit nákupní proces se svými virtuáln internalizovanými
e-tr ti;
•
on-line podnikové aplikace (ERP systémy);
•
elektronické systémy pro ízení nákup
o tyto systémy podporují management vnitrofiremních nákup a jejich integraci
s externími e-tr ti;
•
vývoj a p echod od EDI platformy na Internet
o zabezpe ené extranety jsou stále populárn
náklady jsou podstatn ni í;
•
í – jejich implementa ní a provozní
systémy ízení dodavatelských et zc
o hlavním d vodem pro spolupráci tohoto typu je sni ování kapacit, inventá
efektivní sdílení informací mezi sp ízn nými stranami,
a
o velké maloobchodní firmy zp ístup ují dodavatel m své datové sklady p es
privátní elektronické centrály/centra na Internetu,
o umo ují dodávky zbo í/materiálu „práv v as“ (JIT – just-in-time);
•
sdílené databáze a virtuální organizace
o prodejci mohou s velkou p esností sledovat chování on-line zákazník a ukládat
tyto informace do databází,
o vzrostla popularita získávání informací z t chto databází pro ízení vztah se
zákazníky, tzv. datamining. Takto získané informace umo ují snadn ji a rychleji
identifikovat potenciální zákazníky, nákupní zvyklosti stávajících zákazníku a
podle toho nap . upravit prodejní strategii;
•
obchod mezi agenty-kupci a agenty-prodejci (agent based commerce)
o pro sní ení transak ního zatí ení mezi nákupními a prodejními agenty se stále
zvy uje nasazení softwarových agent , které vedou k dal ímu vývojovému stupni
elektronického obchodu;
3
•
integrace XML standard s EDI platformou a softwarovými agenty;
•
online katalogy zbo í a slu eb;
•
virtuální vzd lávání a kurzy atd.3.
[LEE]
11
ení
Souhrnn m eme e-business
ení chápat jako technologické a aplika ní
ení, které umo ní
firm realizovat alespo jednu z vý e uvedených aktivit. P íkladem m e být propojení firemního
ERP systému s externím nákupním systémem dodavatelské firmy pro zaji ní automatizovaných
objednávek zbo í na sklad.
5.2 KOMPONENTY E-BUSINESS
ENÍ
Zavád ní a provozování e-business
ení zahrnuje integraci aplikací p esahující hranice
organizace/firmy, nap . mezi obchodními partnery, zp ístupn ní slu eb a produkt p es webové
rozhraní pro koncové u ivatele a mnoho dal ího. Realizace slo itých obchodních proces pak
vy aduje ucelenou integraci a spolupráci velkého po tu r zných aplikací4. Jednu z mo ností
technologické podpory t chto aplikací a podnikových proces , zaji ovanou základními
komponentami e-business ení, schématicky zobrazuje následující obrázek.
Router
Firma 2
LAN
Firma 1 - LAN
DMZ
PC 1
PC 2
PC n
Aplikacni server
Databazovy server
Firewall
Databaze
Web server
Internet
IDS
Sun Solaris server
Windows server
Firewall
Firewall
DMZ
IDS
Web server
PC 1
PC 2
Databázový server
Aplikacni servery
PC n
Router
IDS
Databáze
Linux server
Sun Solaris Server
Obr. 1 Zapojení komponent e-business
ení
Firma 1 p edstavuje malou a st ední firmu, která má e-business
ení zapojené v rámci místní
sít (LAN). Pro p ístup zam stnanc m k aplika nímu serveru a dále do databáze vyu ívá tzv.
silné klienty (fat clients) nebo integra ní brokery. Celá sí se nachází v DMZ (DeMilitarized
Zone), p ístup k e-business komponentám zven í prochází p es zabezpe ený firewall.
Firma 2 je velkou firmou, která má celé e-business ení umíst né na r zných místech (nap . aby
se zajistila stability systému p i výpadcích dodávky elektrického proudu) v DMZ (tj. webové a
aplika ní servery, databázové servery, mail servery atd.). Komunikace mezi interní sítí LAN a
DMZ se uskute uje p es bezpe nou firewall, stejn jako jsou p es firewall a router (logické nebo
fyzické prvky sítí) sm rována ve kerá data, jak ven, tak i dovnit systému.
4
[FEU2]
12
ení
V rámci obou
ení se vyskytuje systém detekce pr niku (IDS – Intrusion Detection System),
který sleduje d ní v rámci systému (resp. subsystém ), zda-li nejsou poru ovaná nastavená
pravidla a v p ípad zji ní neobvyklé aktivity doká e varovat správu systém .
E-business
ení se skládá z
1) aplika ní architektury a
2) technické infrastruktury
Technická architektura je asto základním faktorem determinujícím úsp ch nebo selhání ebusiness
ení. B
, p i návrhu e-business systému, se projektuje aplika ní architektura a
technická infrastruktura s ohledem na po adavky na
•
dostupnost,
•
robustnost/odolnost,
•
výkon,
•
bezpe nost,
•
transak ní integritu,
•
spolehlivost,
•
•
kálovatelnost a
otev enost systému.
Jimi se pak ídí výb r konkrétních
ení. Revize jednotlivých prvk systému, které utvá ejí ebusiness ení, jsou sou ástí bezpe nostního auditu. Proto si zde popí eme podrobn ji základní
komponenty a nej ast ji nasazovaná ení.
Opera ní systém
Výb r opera ního systému má významný vliv p i designu e-business
OS toti ovlivní celou dal í aplika ní architekturu.
ení. Volba konkrétního
Z velkého mno ství dostupných OS, z nich mnohé mají vícemén marginální význam, jsou
nej ast ji nasazované OS typu Unix/Linux nebo MS Windows, p íp. OS/400 od IBM . Jako
reprezentanty OS typu Unix/Linux m eme uvést
•
Unix – Sun Solaris, HP-UX, IBM AIX,
•
Linux – RedHat, Suse.
Webové a aplika ní servery
Webové a aplika ní servery jsou jedním ze základních komunika ních prost edk firem se
zákazníky – nap . informují, zprost edkují objednávky, dodávky produkt (pokud jde o zbo í a
slu by v elektronické form ), elektronické platby a jejich prost ednictvím je zaji ována podpora
zákazník .
Web server je „tvá í“ e-business ení, tedy tím, co u ivatel vidí. Jeho úkolem je zprost edkovat
enos dat mezi klientským browserem a aplika ním/databázovým serverem. Je vstupní bránou do
celého systému, tedy padne-li pod p ímým útokem web server, je vysoká pravd podobnost, e se
hacker dostane dál do systému bez v ích problém .
Aplika ní server obsahuje aplikace, které zaji ují p íslu né slu by u ivatel m, je zde
implementována business logika (nap . akceptace objednávek, realizace on-line plateb atd.), a na
této úrovni se sestavuje prezenta ní vrstva, dále zobrazovaná web serverem. Poskytuje základní
strukturu, která podporuje pot ebné technologie (J2EE, .NET). Zárove zaji uje komunika ní
kanály pro integraci s interními systémy (nap . databázové servery). Pro u ivatele zdánliv
13
neviditelná vrstva e-business
ení, ale díky tomu, e obsahuje celou logiku
roli p i zaji ování funk nosti systému.
ení
ení hraje velkou
Sou asn nasazované webové a aplika ní servery, tedy „2 v1“
ení, p edstavují dva servery
ící na obou nejroz en ích platformách (Unix/Linux nebo MS Windows). Server Apache (v
zných distribucích má podporu v ech hlavních OS – tedy Unix, Linux i Windows). Server IIS
je pouze pro MS Windows. Jako reprezentanty si m eme uvést:
•
Apache Tomcat, Oracle Application Server 9i, Sun One Application Server 7 (zam eno
na EAI), WebSphere (IBM), BEA WebLogic, iPlanet (Sun) - v ude je frameworkem
J2EE.
•
IIS v.6 – od verze 6 je hlavním frameworkem .NET.
Databázové servery
Databáze jsou pam tí e-business – uchovávají data o zbo í, obchodních transakcích (nap .
objednávkách, dodávkách a platbách), zákaznících (jejich nákupní historie), klientech (jim
poskytovaných slu eb), zam stnancích firmy, obchodních partnerech (dodavatelé, odb ratelé) atd.
Výb r vhodného databázové
ení je dal ím faktorem ovliv ujícím výkon celého e-business
ení – rychlost zpracování dotaz nad databází m e mít kritický význam p i volb konkrétního
databázového systému. Producent je op t více, zde si uvedeme nejvýznamn í zástupce.
•
Oracle, IBM DB2 (nejv
•
Informix, Sybase, SAP DB (st ední) - v e pro MS Windows i Unix,
•
MS SQL server (ve v ech kategoriích) - jen pro MS Windows.
í) – pro Unix i MS Windows,
Sít a komunika ní kanály
Sít tvo í páte e-business
ení, proto e zaji ují fyzický p enos dat. Krom samotných
hardware prvk (jako jsou kabely, huby, switche atd.) zde hrají významnou roli logické prvky firewally, routery, proxy servery, brány (gateways). Tyto logické prvky se podstatn podílejí na
zaji ování bezpe nosti, proto je kontrola sítí ned litelnou sou ástí kvalitního bezpe nostního
auditu.
5.3 VÝZNAM BEZPE
NOSTI V E-BUSINESS
Vzr stající závislost na informacích, informa ních systémech a komunikacích, které doru ují tyto
informace; rozsah a náklady sou asných stejn jako budoucích investic do informací; a potenciál
technologií dramaticky m nit organizace a obchodní praktiky, vytvá í nové p íle itosti pro firmy a
sni uje náklady5. V ude je ov em nutné brát v úvahu bezpe nost, resp. její dopad na zavád ná
ení. Bezpe nost je nyní pokládána nejen za konkuren ní výhodu e-business ení, ale zárove
je otázkou d ry obchodních partner a zákazník v danou firmu.
Cílem informa ní bezpe nosti je ochrana zájm t ch, kte í se spoléhají na informace, a
zabezpe ení informa ních systém a komunikací, které doru ují informace, p ed po kozením
plynoucím ze selhání dostupnosti, utajení a integrity. Organizace proto musí ohodnotit rizika pro
informa ní systém. Ta musí být uva ována v kontextu mo ných hrozeb pro organizaci,
pravd podobnosti jejich uskute ní a dopad jejich realizace6.
E-business nabízí nesmírné mo nosti, které má p ed sebou tém ka dá firma. Pokud se rozhodne
pro pomyslnou cestu sv tem e-businessu, nesmí zapomenout, e krom nápadu, dob e
naplánované cesty (firemní strategie a plánu), rozvr ení zdroj (plánování výrobních/pracovních
5
[DOU1]
6
[DOU1]
14
ení
zdroj ), pot ebuje i zaji ní co nejv ího mo ného a p itom efektivního stupn bezpe nosti.
Pot ebuje mít velmi dobrou p edstavu o rizicích, která jí na cest hrozí a jejich d sledcích (plán
ízení rizik) a také mít v záloze ení pro p ípad havárie (plán pro ení nouzových situací), ale
edev ím dob e zpracované postupy, aby k bezpe nostním událostem, jak v d sledku vn ích,
tak i vnit ních událostí nedocházelo (bezpe nostní politiku).7
Proto, kdykoliv mluvíme o e-business
ení, je nutné uva ovat bezpe nost (transakcí, p enosu
dat, komunikace, propojených IS atd.) jako základní kámen, prakticky jeden z nejd le it ích
prvk , bez kterého není úsp ný e-business myslitelný. Pokud je bezpe nost ohro ena,
v závislosti na intenzit ohro ení existuje pravd podobnost korelující s mírou rizika, e bude
po kozeno dobré jméno firmy, b ný provoz nutný pro zaji ní chodu firmy, nebo existence
podniku na trhu v bec.
íve byla bezpe nost managementem firem asto vnímána jako vynucený náklad, který
prodra oval celkový provoz firmy. Dnes je v inou prozíravých firem chápána jako
neodmyslitelná sou ást ízení firmy, která m e zvý it ance na dosa ení úsp chu, dokonce m e
znamenat i konkuren ní výhodu.
Pro firmu, která vsadila na e-business
ení, jsou informace, které si vym uje se svými
obchodními partnery, zákazníky, orgány státní správy atd., jedním z nejd le it ích aktiv. Ty se
spoléhají na bezpe nou vzájemnou komunikaci, která se zakládá na d
e podlo ené
spolehlivými komunika ními prost edky, bezpe nými komunika ními cestami, funk ními
aplikacemi, zabezpe enými databázemi a zodpov dným jednáním zapojených ú astník ebusinessu.
Jak jsme ji uvedli, práv proto e Internet je v sou asné dob nej ast ji vyu ívanou komunika ní
platformou e-business
ení, nelze bezpe nost IS a komunikaci p es Internet pova ovat za
dostate
zabezpe enou. Toto si m eme demostrovat na jednoduchém p íkladu: v okam iku,
kdy je zpráva vyslána z relativního bezpe í firemní sít , je v základní form nechrán na a tedy
odchytitelná a itelná ve v ech bodech, kterými prochází, ne dosáhne svého cíle. I v p ípad , e
je chrán na nap . za ifrováním, není mo né zajistit, e nebude odchycena a e ifrovací
algoritmus nebude prolomen a obsah zprávy zji n a zneu it proti firemním zájm m.
V poslední dob se zárove z eteln ukazuje, e zatímco po et u ivatel p ipojených k Internetu
nar stá, stejn jako slo itost technologií, pov domí u ivatel o bezpe nostních rizicích se zvy uje
eobecn zanedbateln . Podle statistik CERT/CC nar stá po et bezpe nostních událostí od roku
1998 n kdy a o více jak sto procent ro . A p itom se zmi ují pouze o takových, které byly
nahlá ené. Zajímavé je, e princip, na kterém drtivá v ina sou asných (a pravd podobn i
budoucích) útok funguje, se p íli nem ní a vyu ívá stále stejných chybných krok u ivatel
systém a systémových, aplika ních a bezpe nostních chyb, které nejsou dostate
o et eny a
as odstran ny.
Následující tabulky shrnují n které údaje:
Rok
1995
1996
1997
1998
1999
2000
2001
2002
2003
Po et
2.412
2.573
2.134
3.734
9.859
21.756
52.658
82.094
137.529
Tab. 1 Po et nahlá ených bezpe nostních událostí8
7
Jist není bez zajímavosti, e (podle odhadu Gartner Group) p vodci 70% bezpe nostních událostí, které bu
zp sobí firm nep íjemnosti nebo dokonce finan ní ztráty, jsou vnit ní u ivatelé po íta ového systému, tedy
nej ast ji zam stnanci firmy.
8
http://www.cert.org/stats/ - Number of incidents reported
15
ení
Rok
1995
1996
1997
1998
1999
2000
2001
2002
2003
Po et
171
345
311
262
417
1.090
2.437
4.129
3.784
Tab. 2 Po et nahlá ených bezpe nostních nedostatk
9
Pro je otázka bezpe nosti v e-business tak d le itá? Po adavek na zaji
z principu samotných základních inností e-businessu:
ní bezpe nosti vyplývá
•
z efektivní vzájemné vým ny zpráv,
•
z realizace transakcí a operací,
•
ze vzdálených p ístup do databází a systém smluvn zavázaných t etích stran.
Z toho vyplývá, e bezpe nost je pro e-business nezbytn nutnou podmínkou dobrého chodu
firmy. Za nejd le it í m eme pova ovat
•
ochranu komunika ních cest,
•
zaji
•
ochranu p ijatých, zpracovaných a ulo ených informací,
•
chrán ný a odstín ný p ístup jen do ur itých ástí systému pro r zné skupiny u ivatel ,
•
autentizaci a autorizaci u ivatel oprávn ných pro vstup a práci v systému.
ní integrity zpráv a nepopiratelnosti u in ných transakcí/operací,
Podle Smejkala a Raise bezpe nost IS chápeme jako souhrn bezpe nosti automatizované i
neautomatizované ásti IS. V této studii se zabýváme p evá
automatizovanou ástí IS, pro
úplnost uvedeme v echny slo ky bezpe nosti IS, jak je auto i zmi ují. Bezpe nost IS organizace
sestává z následujících ástí:
9
•
personální bezpe nosti – jedná se o soubor opat ení, jeho cílem je, povolit p ístup
k ur itým informacím a k nakládání s nimi pouze pov ené osob ; sou ástí by m la
zárove ochrana této osoby,
•
administrativní bezpe nosti – jedná se o soubor opat ení, jeho cílem je ochrana t chto
informací ji p i jejich tvorb , p íjmu, zpracování, evidenci, p eprav , ukládání,
vy azování, skartaci a archivaci, p ípadn i jiné manipulaci,
•
objektové bezpe nosti – jedná se o soubor opat ení, jeho cílem je zabránit nepovolané
osob v p ístupu do objekt nebo prostor, nebo zabránit po kození, znehodnocení, zni ení
nebo ohro ení informací a systému,
•
hardwarové bezpe nosti – jedná se o soubor opat ení, která mají zabránit úmyslnému i
neúmyslnému fyzickému po kození, zni ení nebo zcizení technických prost edk
zaji ujících chod systému,
•
softwarové bezpe nosti – jedná se o soubor opat ení, která mají zabránit úmyslnému i
neúmyslnému po kození, zni ení nebo zcizení softwarového vybavení (tj. programových
prost edk ), které zaji uje funk nost systému,
•
datové bezpe nosti – jedná se o soubor opat ení, která mají zajistit integritu dat a chránit
je p ed nepovolanými u ivateli,
http://www.cert.org/stats/ - Vulnerabilities reported
16
•
ení
komunika ní bezpe nosti – jedná se o soubor opat ení, která mají zajistit ochranu
komunika ních kanál (nejen cest do Internetu, ale i soukromých datových sítí (VPN),
telefonních, faxových linek apod.)10.
Rozdíl mezi bezpe ností klasického IS a e-business bezpe ností je, e první z nich se zam uje na
to, co je uvnit organizace a p edev ím na ochranu firemních aktiv – dat v maximální mo né mí e.
Oproti tomu je cílem e-business bezpe nost navázat, vyu ívat a udr et kontakt s ostatními
astníky trhu, samoz ejm v nejvý e bezpe né mí e, p es dostupné a zabezpe ené komunika ní
prost edky.
Otázkou, která se nabízí, je, kdy se má za ít o bezpe nosti uva ovat a z eho vycházet. Pokud
chce firma obstát v náro ném konkuren ním prost edí a dostát svým povinnostem a závazk m,
které jí vyplývají nap . ze zákona (firma nakládá s utajovanými skute nostmi), musí být
bezpe nost (slovn formulována a vyjád ena v bezpe nostní politice) bezpodmíne
sou ástí
firemní strategie. Za výchozí bod, který m e být dobrým startem nastavení kvalitní bezpe nostní
politiky, je vhodné a mezinárodními standardy doporu ované vyu ít analýzu rizik. Té se budeme
novat v následující kapitole.
5.3.1
Základní po adavky bezpe nosti e-business
ení
které prvky bezpe nosti klasického IS jsou mnohonásobn výrazn í, uva ují-li se v kontextu
e-business. Jejich význam nar stá s rostoucím mno stvím rizik. Samotné výdaje na bezpe nost by
ov em m ly být v rovnováze s hodnotou firemních aktiv, které mají být chrán ny. Tím se budeme
zabývat dále v ásti v nované analýze rizik.
Za základní prvky bezpe nosti e-business lze z obecného hlediska pova ovat:
•
identifikaci (rozpoznání entity systémem, na základ ur itého identifikátoru, který je
spojen s ur itou osobou, reprezentuje jeho identitu) a autentizaci (ov ení proklamované
identity subjektu),
•
autorizaci,
•
integritu dat obsa ených v systému a integritu systém samotných,
•
rnost (stupe utajení, informace je dostupná pouze u ivatel m s povoleným a
oprávn ným p ístupem) a dostupnost (v inou 24 hodin 7 dní v týdnu),
•
nepopiratelnost provedených operací/transakcí (non-repudiation – musí být zaji
prost edky o potvrzení provedení ur ité operace),
•
pravidelné záplatování komponent (server , aplikací, databází atd.),
•
zabezpe ený a ádn nastavený p ístup u ivatel (osob i systém ) ke komponentám,
•
nastavenou politiku nakládání s daty v systémech a dal í.
5.3.2
né
Nástroje bezpe nosti e-business
Z povahy e-business vyplývá, e hlavní d raz p i zkoumání e-bezpe nosti le í na komunika ních
kanálech mezi zú astn nými stranami, firemních sítích a aplika ních serverech – to v e
v závislosti na pou itém e-business modelu. Bezpe nostní po adavky lze té odvodit z trend ,
které se v poslední dob v B2B objevují. Za hlavní reprezentanty t chto zm n je mo né pova ovat
stále ast í implementace webových slu eb (web services), datovou a aplika ní integraci.
10
[SME]
17
ení
Nástroje pro zaji ní e-business bezpe nosti a vý e uvedených po adavk m eme podle
Bassanesové a Titteringtona11 rozd lit do ty ech kategorií podle oblastí e-bezpe nosti, kterou
mají podporovat. D líme je na:
•
nástroje p ístupové bezpe nosti – ízení u ivatelské autentizace a autorizace,
ivatelské identifikace (v etn vyu ívání tzv. smart cards, identifikace na základ
biometrických m ení a heslo/PIN generujících klí ), ízení u ivatelských skupin a práv
jim p id lených,
•
nástroje komunika ní bezpe nosti – ifrování zpráv a virtuální soukromé sít , tzv.
VPNs (Virtual Private Networks),
•
nástroje obsahové bezpe nosti – filtrování obsahu s cílem sní it ne ádoucí obsah
webových stránek, soubor , databází a komunikace; za ifrované databáze a souborových
prostor ; virová detekce,
•
nástroje správy bezpe nosti – zhodnocení bezpe nosti; detekce pr niku; ohodnocení
zranitelných míst systému; podpora pro vývoj a zavád ní bezpe nostních politik.
Záv r
V této kapitole jsme se seznámili se sou asným pojetím e-business
ení, p íklady n kterých
aktivit, které spadají do oblasti e-business (nap . e-tr
, sdílení databází atd.). Dále jsme
identifikovali základní komponenty, které jsou nezbytn nutné pro vytvo ení a provozování ebusiness ení a uvedli jsme si p íklady nej ast ji nasazovaných systém . Zárove jsme vymezili
základní po adavky na zaji ování e-bezpe nosti, jako jsou nap . integrita dat, ízení p ístupu ke
komponentám a autorizace u ivatel e-business
ení. Na záv r jsme obecn vymezili nástroje
pro zaji ování po adavk e-bezpe nosti.
11
[BASS]
18
ení
6 BEZPE NOSTNÍ AUDIT
Velká ást bezpe nostních nedostatk je v eobecn dob e známá. Informace o nich jsou ve ejn
dostupné a jejich aktualizace se provádí prakticky denn na webových stránkách sv tových
institucí, které se zabývají po íta ovou bezpe ností (viz nap . CERT/CC12, SANS13). P esto
nejsou tyto bezpe nostní problémy ve v in p ípad v as nebo v bec odstran ny. D vody
bývají r zné: vysoké pracovní vytí ení (n kdy a p etí ení) správc systém , sí ových
administrátor a pracovník IT odd lení, kte í se sna í it denní provozní problémy systému a
as na údr bu, pravidelnou kontrolu a patchování (záplatování bezpe nostních d r systém ) jim
nezbývá. Nebo se po ítá s tím, e se firm bezpe nostní událost (napadení systému zven í,
zneu ití u ivatelských práv zam stnanci firmy atd.) p ihodit nem e. Takovéto “d vody” bývají
ve v in p ípad práv p inou nejr zn ích bezpe nostních událostí.
Cílem správn a kvalitn provedeného bezpe nostního auditu je poskytnou p ehled nechrán ných
a zranitelných míst systému a ohodnotit míru jejich nebezpe nosti pro celé e-business
ení.
Bezpe nostnímu auditu p edchází, pokud ji nebyla zpracována d íve, analýza a ohodnocení rizik.
Jejím cílem je ur it aktiva a jejich hodnotu, na které se auditor zam í. Následný bezpe nostní
audit ur í problematická místa systému, stanoví jejich prioritu a doporu í v souladu s nejlep ími
praktikami a mezinárodními standardy vhodné
ení. Tak usnadní jejich opravu a správu a
zárove má preventivní charakter.
Je nutné zd raznit, e jednorázový bezpe nostní audit se zásadn li í od b ného systémového
auditu – p edev ím svým rozsahem a náro ností, jak na as, zdroje a odborné znalosti. Zatímco
systémový audit by m l být rutinní zále itostí ka dodenního provozu systému, jednorázový audit
se v inou koná v d sledku n jaké události, nebo pokud má zadavatel podez ení na mo ný
bezpe nostní problém a vy ené stanovisko k n mu má být nezávislé. V inou je provád n
externími odborníky na bezpe nost. Podrobn se tomuto rozdílu v nujeme je
v samotné
podkapitole této ásti.
V této kapitole se je detailn zmíníme o jednotlivých fázích auditu a na co se zam uje audit
webových aplikací a server . D vod pro výb r auditu web aplikací jako názorné ukázky je ten, e
audit této ásti e-business
ení pova uji za hlavní odli nost mezi klasickým bezpe nostním
auditem ICT a bezpe nostním auditem e-business ení.
6.1 ANALÝZA A
ÍZENÍ RIZIK
Analýza a ízení rizik jsou vstupním p edpokladem pro kvalitní bezpe nostní politiku, schopnou
reagovat na reálnou situaci, tím zprost edkovan jsou také p edpokladem pro kvalitní
bezpe nostní audit. Dob e zpracovaná analýza rizik pom e nastavit vhodná bezpe ností opat ení,
která jsou zárove p ijatelná z hlediska náklad na n nutn vynalo ených. Firma musí zvá it,
která aktiva je nezbytné p ísn chránit a která svou hodnotou nevyrovnají náklady na
bezpe nostní opat ení spojená s jejich ochranou.
Pokud chce firma dosáhnout stanovených a asto i legislativou vy adovaných cíl v oblasti
bezpe nosti, musí v novat bezpe nosti pozornost neustále. V p ípad , e tomu tak není, m e
dojít k bezpe nostní události, která s sebou nese vysokou pravd podobnost ohro ení chodu celé
firmy.
12
http://www.cert.org/nav/index_red.html - sekce Vulnerability Notes Database
13
http://www.sans.org/alerts/index.php
19
ení
Pokud v organizaci neexistuje funk ní bezpe nostní politika s platností pro celou firmu (nejen
nap . pro u ivatelské stanice), je vhodné za ít práv analýzou rizik, která doká e poskytnout
podklady pro vhodn zam enou bezpe nostní politiku.
Aktiva
Hrozby
Zranitelná místa
Analýza rizik
Rizika
Protiopatrení
Rízení rizik
Implementace
Audit
Obr. 2 Postup analýzy a ízení rizik
Analýza rizik je jedním z po adavk BS 7799, který je p edpokladem nasazení co nejvhodn
opat ení, tak aby korespondovala s pot ebami organizace14.
ích
Analýza rizik (risk analysis = RA) zahrnuje identifikaci a ohodnocení
•
míry rizik, vypo ítaných na základ známých hodnot aktiv,
•
míry hrozeb a
•
zranitelných míst daných aktiv15.
Analýza rizik se podle Crafta zabývá esti základními ástmi. Hodnocením
•
firemních aktiv,
•
zranitelných míst,
•
hrozeb,
•
dopad ,
•
pravd podobnosti uskute
•
bezpe nostních opat ení16.
ní se t chto hrozeb,
Mezi základní rizika/hrozby, která je nutné vzít v úvahu b hem analýzy, mohou pat it následující:
•
ztráta, po kození nebo odmítnutí p ístupu ke klí ovým slu bám infrastruktury;
14
[INS1]
15
[CHI97]
16
[CRA]
20
ení
•
selhání nebo nefunk nost zprost edkovatel , distributor nebo dal ích t etích stran, které
mají kritický význam pro chod e-business ení;
•
ztráta nebo po kození klí ových informací;
•
ztráta d ry u ivatel a tím mo ná ztráta obchodu v d sledku nedostate ného testování a
nevýkonných aplikací;
•
sabotá , vydírání nebo obchodní pioná ;
•
úmyslná infiltrace nebo útok na systémy kritického významu17.
Postup analýzy rizik je následující:
•
identifikace – ocen ní aktiv
•
identifikace hrozeb a pravd podobnosti jejich reálného výskytu
•
návrh pat
ných protiopat ení.
Tento proces si probereme podrobn ji. Výsledkem resp. cílem RA je poskytnout doporu ení,
která maximalizují ochranu utajení, integrity a dostupnosti a zárove zajistí funk nost a
dostupnost systému. Na RA by m ly spolupracovat v echny organiza ní úrovn a jednotky firmy,
proto e jejich p ípadné opomenutí by mohlo vést k zavedení nákladných a neefektivních
bezpe nostních opat eních. Základní otázky, které by m ly b hem analýzy padnout pat í
následující:
•
Co je nutné chránit?
•
Kdo a co p edstavuje hrozby a zranitelná místa systému?
•
Jaké jsou d sledky/následky pokud dojde k po kození nebo ztrát ?
•
Co je hodnotou pro organizaci?
•
Co lze ud lat proto, aby byla minimalizována mo nost vystavení firmy ztrát nebo
po kození?
Odpov di na tyto otázky lze získat postupn , probíráním jednotlivých krok RA. T mi jsou
17
•
stanovení rozsahu – poskytuje analytik m p ehled toho, co bude v RA obsa eno a co
nikoliv. Ur uje, co je t eba chránit, do jaké úrovn podrobnosti a jaká je citlivost
chrán ných aktiv. Také identifikuje systémy a aplikace, které budou zahrnuty v RA. P i
ur ování rozsahu by se nem lo zapomenout na budoucí tená e záv re né zprávy a
doporu ení (senior management, IT odd lení nebo certifika ní autorita). Zárove p esn
vymezený rozsah ur uje typ analýzy, zda-li se bude interní, externí nebo provedena jako z
obou pozic.
•
sb r dat – zahrnuje sb r politik a procedur, které jsou k danému okam iku ve firm platné
a ur ení t ch, které chybí nebo nejsou zdokumentovány. Jeho sou ástí je diskuze s
klí ovými zam stnanci a vyhodnocení zji ných zku eností, co m e napomoci p i
identifikaci aktiv a chyb jící nebo zastaralé dokumentace. Systémy a aplikace ur ené v
edchozím kroku jsou konkrétn vyjmenovány a ve keré odpovídající informace o
aktuálním stavu t chto systém shromá ny.
•
analýza politik a procedur – její sou ástí je posouzení a analýza existujících firemních
politik a procedur za ú elem zvá ení míry souladu v rámci organizaci. Zdroji, které
mohou být pou ity jako základní m ítko, jsou n které mezinárodní standardy a p ípadn ,
[KEE]
21
ení
pokud se to na organizaci vztahuje, také právní p edpisy státu, ve kterém má sídlo, týkající
se po adavk na bezpe nost IS. Jako p íklad mezinárodních standard lze uvést – ISO
17799 (p vodní BS 7799), ISO 15408, ISO 13335. Z právních p edpis platných v R je
mo né/vhodné vyu ít nap . zákon o ochran osobních údaj . 101/2000 Sb. i zákon o
elektronickém podpisu . 227/2000 Sb. Tato ást je pom rn rozsáhlá a má zásadní vliv na
následný bezpe nostní audit. Proto se zmíníme o jednotlivých standardech, oblastech
bezpe nosti, které pokrývají a jejich po adavcích na zaji ování bezpe nosti
v organizacích, ale také o n kterých ástech eských právních p edpis v samostatné
kapitole. Výstupem této ásti je popis t ch oblastí, které nejsou v souladu
s bezpe nostními po adavky s ohledem na konkrétní odv tví a typ organizace.
•
analýza zranitelných míst/bezpe nostních nedostatk – cílem je zhodnotit informace,
které byly získány sb rem dat a analýzou politik, a otestovat je za ú elem zji ní
sou asné míry expozice systému, zda-li v daném okam iku platná bezpe nostní opat ení
jsou dostate ná ve smyslu zaji ní pot ebného utajení, integrity nebo dostupnosti
systém . Výsledky analýz r zných nástroj musí být ov eny z d vodu zaji ní jejich
spolehlivosti a vyvarování se ochran oblastí, které ve skute nosti neexistují.
•
analýza hrozeb – hrozbou rozumíme cokoliv, co p isp je k úmyslnému po kození,
zni ení nebo p eru ení jakékoliv slu by nebo p edm tu, mající ur itou hodnotu. Hrozby se
lí na zap in né osobami a zp sobené jinak, ne lov kem. Hrozby je nutné vnímat ve
vztahu k prost edí organizace a jak na ni budou p sobit. Vysoký stupe se p adí t m
hrozbám, které mají vysoký potenciál uskute ní se a motivaci (hlavn u hrozeb ze
strany osob). Cílem analýzy hrozeb je tyto hrozby rozpoznat a klasifikovat je, podel typu
vodce a jejich záva nosti.
•
korelace a ohodnocení p ijatelnosti rizik – jedním ze záv re ných úkol analýzy rizik
je zhodnocení existujících politik a procedur, procedur a ochranných prvk , zda-li jsou
dostate né ve smyslu zji ných rizik. Pokud organizace nemá ádné bezpe nostní
opat ení, je mo né usuzovat, e zde také s vysokou pravd podobností jsou zranitelná
místa. M lo by být provedeno p ezkoumání existujících a plánovaných opat ení, aby se
ur ilo, zda d íve známé a zji né hrozby a rizika byly omezeny. Úkolem analytika není
ur it, jaká rizika jsou pro organizaci p ijatelná. Jeho úkolem je pou ít zji ní RA tak, aby
pomohl organizaci stanovit, jaká míra rizika je pro ni p ijatelná. Výsledky jsou základem
pro výb r vhodných bezpe nostních krok a odstran ní takových opat ení, která nejsou
dostate
efektivní.
V souhrnu m eme íci, e analýza rizik je proces, který by m l být pravideln opakován, proto e
rizika i hrozby se m ní a pro firmu je nutné mít stále k dispozici kvalitní podklady pro efektivní
ízení rizik.
ízení rizik (risk management = RM) zahrnuje identifikaci, výb r a p ijetí protiopat ení, vychází
ze zji ní analýzy rizik. Protiopat ení jsou podlo ena
•
zji
•
snahou sní it tato rizika na p ijatelnou míru18.
nou mírou rizika, které hrozí aktiv m a
ízení rizik není statickou inností. Stejn jako se rizika m ní a vyvíjí v ase, je nutné strategii
ízení upravovat. Je nezbytné zva ovat, jak se hrozby m ní, aby strategie ízení rizik neztratila
schopnost pru
reagovat na zm ny. Nutnost reagovat rychle, aby byla zaji na dostupnost
systému, v p ípad e-business v maximální mí e, tj. 24 hodin denn 7 dní v týdnu, vyplývá
z povahy e-business ení.
18
[CHI97]
22
6.1.1
ení
Metodiky pro analýzu a ízení rizik
Analýza rizik je pom rn komplexním úkolem – pouhé mezinárodní standardy vy adují solidní
znalost slo ek rizika. Z tohoto, ale i dal ích zjevných d vod , nelze provést analýzu rizik s
po adovanou kvalitou bez hlubokých odborných znalostí a zárove bez vyu ití nástroj , které
mohou n které rutinní kroky urychlit a vyhodnotit zadané charakteristiky na základ srovnání se
standardy platnými v daném odv tví. Takovým vhodným nástrojem m e být i kvalitní,
mezinárodn uznávaná metodika. Proto si zde p edstavíme jednu metodiku, a nástroj zárove ,
která je v sou asné dob asto vyu ívána specialisty na odhadování a hodnocení rizika, týkající ho
se informa ních systém . D vodem výb ru byl fakt, e je sou ástí certifika ního procesu podle
britského standardu BS 7799 Information Security Management Standard, který je základem
mezinárodní normy ISO/IEC 17799 Code of Practice for Information Security Management.
6.1.1.1
Metodika CRAMM
Metodika CRAMM (CCTA Risk Analysis and Management Method) byla vyvinuta britskou
vládní agenturou CCTA (Central Computer and Telecomunications Agency) v roce 1985, za
elem poskytnout ministerstv m metodiku pro revize bezpe nosti informa ních systém .
CRAMM pro la b hem poslední doby velkými zm nami a je nyní komer ním nástrojem, který
distribuuje britská firma Insight Consulting19. CRAMM je prakticky realizována v
automatizovaném nástroji (softwaru) stejného jména, který pomocí dotazování se na kvalitativní
charakteristiky a pomocí strukturovaných odpov dí, doká e vyhodnotit míru a kvalitu rizik,
kterým daná firma musí elit. Sou asná verze je 5.
Hodnoty aktiv (nehmotných aktiv – dat, programového vybavení, licencí – a hmotných aktiv) jsou
odvozeny z dopad pr niku do systému resp. po kození d ryhodnosti, integrity, dostupnosti a
nepopiratelnosti – tj., jak jsem si ji d íve uvedli, obecn p ijatých princip informa ní
bezpe nosti.
Tazatelé na základ zji ných skute ností vypracují nejhor í scéná e a sestaví mo né d sledky
nedostupnosti dat nebo jejich zni ení, zve ejn ní, modifikace. Definovaná záva nost t chto
sledk se porovnává s p íslu nými sm rnicemi, které jsou implementovány v CRAMM, tak aby
se odvodil odhadovaný stupe rizika (na stupnici od 1 do 10).
Následují dva dal í klí ové prvky analýzy a t mi jsou
•
stanovení míry ohro ení a
•
zranitelnosti organizace.
Jak ji bylo
eno, jedním z klí ových po adavk na úsp nou implementaci kvalitních
bezpe nostních opat ení je ú inná analýza rizik. Metodika CRAMM je sou ástí certifika ního
procesu podle BS 7799, o kterém se budeme zmi ovat v kapitole Standardy a metodiky, a je
hodnocena jako cenný nástroj, který významn pomáhá p i certifikaci systém /organizací podle
mezinárodních standard 20.
Na základ výstup z analýzy, CRAMM vytvo í soubor takových systémových opat ení, které
jsou pova ovány za nezbytn nutné pro kvalitní ízení identifikovaných i potenciálních rizik.
Mezi silné vlastnosti metodiky CRAMM pat í efektivní podpora p i uspo ádání opat ení tím, e
jim p adí ur itý stupe priority.
19
http://www.insight.co.uk
20
[MAY1]
23
Obr. 3 P íklad zaznamenání záv
ení
z analýzy souladu s ISO/IEC 17799:2000 (CRAMM)21
Obr. 4 Grafický výstup analýzy dopad na innost organizace22
21
[RAC]
22
[RAC]
24
6.1.1.2
ení
Dal í metodiky
Metodika CRAMM je samoz ejm pouze jednou z mnoha, které je mo né vyu ít pro analýzu
rizika v informa ních systémech. Jako dal í p íklady si m eme uvést:
•
Defense-In-Depth – qualitative risk analysis
(http://www.silkroad.com/papers/pdf/archives/defense-in-depth-revisited-original.pdf)
•
GRA – graphical risk analysis
(http://downloads.securityfocus.com/library/OH070302.pdf)
•
VAR methodology (http://www.gloriamundi.org/picsresources/jjjr.pdf)
•
MAGERIT methodology (http://www.csi.map.es/csi/pdf/MAGERIT_ingles.pdf)
•
COBRA – Consultative, Objective and Bi-functional Risk Analysis (http://www.securityrisk-analysis.com/introcob.htm)
•
CERT OCTAVE® – Operationally Critical Threat, Asset and Vulnerability EvaluationSM
(http://www.cert.org/)
25
6.2 BEZPE
ení
NOSTNÍ AUDIT
Prvotním východiskem pro zkoumání bezpe nosti v rámci e-business
ení je poskytování a
ijímání informací zkoumanými objekty. Audit se zabývá tím, jak dob e jsou nastavena
bezpe nostní opat ení, aby byla umo na efektivní a p itom chrán ná vým na informací.
Bezpe nosti se zde v nuje pozornost ve smyslu ochrany základních obecn uznávaných
po adavk informa ní bezpe nosti na: dostupnost, integritu, utajení, nepopiratelnost a
pr kaznost provedených operací. Bezpe nostní audit je proto hloubkovou kontrolou, která se
zabývá revizí opat ení (bezpe nostní politiky, nastavení systém atd.), zda-li jsou v souladu s
mito v eobecn platnými zásadami.
Weber definuje bezpe nostní audit informa ního systému jako
proces, jeho obsahem je sb r a ohodnocení d kaz za ú elem zji ní/ur ení, zda-li bezpe nostní
opat ení informa ního systému pomáhají udr ovat integritu dat, umo ují organizaci efektivn
dosahovat svých cíl a efektivn vyu ívat zdroje23.
Bezpe nostní audit má vést ke kompetentnímu a nezávislému zhodnocení interních kontrol
informa ního systému a tím napomoci organizaci lépe dosáhnout cíl v oblasti bezpe nosti –
dostupnosti, integrity a utajení – a zárove cíl vnit ní kontroly, podporujících firemní procesy –
spolehlivosti, souladu, ú innosti a výkonnosti vnit ního auditu.
Bezpe nostní audit je
•
východiskem - pokud v organizaci neexistuje funk ní bezpe nostní politika, pak je
nevyhnuteln nutné vyjít p i úvahách o zaji ní bezpe nosti z ur itého popisu stavu
systému; pro jeho zji ní je vhodné za ít auditem, jeho cílem je poskytnout podrobné
informace pot ebné pro stanovení vhodné bezpe nostní politiky;
•
sou ástí - kontrolním prvkem a hodnocením bezpe nostní politiky;
•
neodmyslitelným informa ním zdrojem pro efektivní ízení rizik organizace;
•
základem pro stabilní bezpe nost, jako to jednoho ze základních kamen , na kterých lze
stav t úsp né e-business ení;
•
sou ástí plánu udr itelného rozvoje firmy.
Bezpe nostní audit m e být áste ný (provádí se kontrola jednotlivých komponent) a celkový
(kontrola celého prost edí, v etn organiza ního zaji ní a havarijních plán ).
V rámci bezpe nostního auditu se posuzuje nejen technická stránka bezpe nosti, ale také soulad
celkového firemního pojetí bezpe nosti s nejd le it ími bezpe nostními standardy, nap . s
ISO/IEC 17799, i ISO/IEC 13355, a tzv. nejlep ími praktikami (best practices). O t chto se
zmíníme v dal í kapitole. Sleduje se mimo jiné zda-li byla provedena analýza rizik, jestli ve firm
existuje bezpe nostní politika, její sou ástí má být nap . i plán rychlé obnovy (recovery
planning), nebo zaji ní pokra ování obchodní innosti firmy (business continuity planning).
Sou ástí bezpe nostního auditu jsou krom kontroly jednotlivý subsystém také tzv. penetra ní
testy.
Bezpe nostní audit se v inou, podle zku eností konzulta ních firem, asto uskute ní a po
vzniku bezpe nostní události, kdy je pot eba zjistit rozsah kody na systémech a zda-li byla
odstran na v echna “zadní dví ka” pro návrat úto níka. Vhodn í je proto za adit bezpe nostní
audit ji do fáze testování e-business
ení, p ed jeho samotným spu ním a tím zajistit co
nejv í odolnost, proti mo nému pr niku.
23
[DOU2]
26
Bezpecnostní
audit
Analýza
rizik
Plánování ebiz
re ení
Analýza
Návrh ebiz
re ení
Vývoj a
implementace
Obr. 5 Schéma zavád ní e-business
Testování
komponent
ení
Systémové
audity
Spu tení
Provoz a
údr ba ebiz
re ení
ení a vstup bezpe nostního auditu
Bezpe nostní audit samoz ejm není zázra ným lékem, který vy í v echny “nemoci” firmy. U
jen z toho d vodu, e bezpe nost je proces nikoliv stav a je pot eba trvale udr ovat bezpe nostní
opat ení, která ji zaji ují, v nejaktuáln ím mo ném stavu. Bezpe nostní audit je proto v lep ím
ípad p edev ím prevencí, která m e výrazn sní it pravd podobnost vzniku bezpe nostní
události, v hor ím p ípad je “lé ebným” postupem, jak uvést systémy co nejrychleji do
vodního stavu, kdy ov em chyby budou odhaleny a opraveny, a zárove m e urychlit
stanovení rozsahu a p iny kod.
Pokud nebyl ve firm , která provozuje e-business
ení, nikdy proveden bezpe nostní audit, je
velmi pravd podobné, e existuje mnoho zranitelných míst a neo et ených chyb systém , aplikací
a komunika ních cest. Ty pak vá ným zp sobem ohro ují celkovou bezpe nost e-business,
proto e, jak lze voln parafrázovat známý výrok, ”systém je tak bezpe ný, jak bezpe ný je jeho
nejslab í prvek”. Proto by se m l bezpe nostní audit provést okam it . Pokud firma teprve
plánuje zahájení e-business
ení, pak p ed samotným spu ním, jak je nazna eno na obr. 3.
Samoz ejm , e takovýto jednorázový audit je v na em turbulentním sv naprosto nedosta ující
a je nutné provád t pravidelné kontroly, nejlépe za asistence externích odborník na bezpe nost,
aby se zajistila nezávislost hodnocení.
Pova uji za d le ité podrobn ji vymezit rozdíl mezi jednorázovým auditem a b ným
systémovým auditem, o kterých padla zmínka v úvodu této kapitoly.
Jednorázový celkový bezpe nostní audit je, ve smyslu rozsahu a náro nosti, jak je zde
uva ováno, zam en na e-business
ení celkov , na jednotlivé ásti a vazby mezi nimi, na
mo né dopady jednotlivých problémových míst. Bere v úvahu výstupy analýzy rizik a po adavky
ízení rizik, sleduje soulad firemní bezpe nostní kultury se zásadami, které byly formulovány v
mezinárodních standardech, a té s legislativními po adavky státu, kde se firma nachází, tj. má
své sídlo24. Navrhuje
ení, která mají pomoci odstranit zji né problémy a p edev ím je
realizován za pomoci externích specialist . D vodem je po adavek na nezávislé a objektivní
hodnocení a také vysoká odborná znalost problematiky, kterou nemusí spl ovat ani jinak zdatní
pracovníci IT odd lení firmy.
Systémovým bezpe nostním auditem oproti tomu je mín na funkcionalita systém (opera ních
systém , databází, aplikací atd.), která umo uje zaznamenávat klí ové stavy (logování do
systému, práce s kitickými soubory/záznamy atd.) b hem provozu. P em se zárove vyzna uje
vysokou mírou odolnosti proti zni ení i pozm ní po ízených záznam , a lze o n m hovo it
jako o jakési “ erné sk ce” systému25.
Podle normy ISO/IEC 15408-2 Common Criteria by m l “systémový audit zahrnovat
rozpoznávání, zaznamenávání, ukládání a analýzu informací souvisejících s aktivitami
relevantními z hlediska bezpe nosti systému”26. Výsledné auditní záznamy pak mohou být
pou ity ke stanovení, kdy nastaly dané události, které mají vliv na bezpe nost systému a který
ivatel za n nese odpov dnost, nebo jestli byly zap in ny úto níkem vn organizace.
24
Tento bod sám o sob by stál za samostatné zpracování, pro
25
[MIK]
26
[MIK]
zde není bohu el prostor.
27
ení
Mezi hlavní úkoly systémového auditu pat í zaznamenávání bezpe nostních incident , pokus o
ekro ení stanovených p ístupových práv, ale i sledování n kterých události, p i kterých
nedochází k poru ení definovaných práv a nastavené firemní politiky – nap . provedení n kterých
nevratných operací, hromadná manipulace s daty, mazání dat atd. Je tedy sou ástí ka dodenního
provozu systém a tzv. auditní logy, soubory s ulo enými auditními záznamy, by m ly být
pravideln kontrolovány systémovými a sí ovými administrátory.
Z praktického hlediska je subsystém systémového auditu povinnou sou ástí v ech systém a
aplikací certifikovaných nap . pro stupe 4 EAL (Evaluation Assurance Level) podle ISO/IEC
15408 – co je p ípad v iny komer ních opera ních systém (MS Windows, Sun Solaris, HPUX apod.), ale také ady databázových systém (Oracle, Sybase, Informix).27 Otázkou z stává,
zda-li jsou tyto subsystémy skute
vyu ívány pro vnit ní kontrolu. Pokud není spu n a
správn nakonfigurován takovýto subsystém, ani sebelep í certifikát neochrání celý systém p ed
napadením i zneu itím.
Systémový bezpe nostní audit m eme pova ovat za jeden ze zdroj , který m e být podn tem
pro rozsáhlý jednorázový bezpe nostní audit, nap . jsou podkladem pro d vodné podez ení na
nekorektní chování u ivatel systému. Záznamy systémového auditu pak poslou í jako vodítko
i dohledávání stop a p vodc bezpe nostní události.
Nadále se budeme zabývat pouze jednorázovým bezpe nostním auditem a systémový
bezpe nostní audit budeme chápat jako jeden z velmi d le itých informa ních zdroj v rámci
jednorázového auditu.
6.2.1
Postup p i realizaci BA
E-business ení je distribuovaný systém, proto by m l BA probíhat na jednotlivých ástech (u
jednotlivých partner zapojených do e-business ení) jako celková kontrola a audit. Toto berme
jako teoretický p edpoklad, který je v praxi jen t ko splnitelný. Pro jednoduchost budeme v této
studii uva ovat o auditu jedné strany e-business ení. Sou innost partnerské firmy ostatn není
úpln jednodu e realizovatelná, proto e by bylo pot eba otestovat ka dý lánek et zce e-business
ení, tedy ka dou firmu/organizaci, která je zapojena, v tom p ípad by bylo mo né hovo it o
kompletním auditu. Otázkou samoz ejm z stává, zda-li by bylo n co takového v lidských silách
a v silách techniky (z d vod finan ních a asových náklad , náro nosti organizace a
komplexnosti podobného úkolu).
Základem bezpe nostního auditu jsou organiza ní aspekty, které pomohou ur itým zp sobem
vymezit po adavky na audit.
•
systémové po adavky – zde auditor klade obecné otázky na systémové po adavky
o musí být systémy dostupné na bázi 24x7, tj. má e-business
ení u ivatele z
celého sv ta a nedostupnost by mohla zásadn ohrozit chod celé organizace?
(nap . dostupnost Clearingového centra pro mezinárodní zú tování mezi bankami)
o jaké jsou p ístupové po adavky? (je p ístup k dat m omezen pouze pro
management? mohou zákazníci/obchodní partne i vstupovat do jakékoliv ásti
systému?)
o kolik u ivatel pr
rn pou ívá systém v dob nejv
í zát e?
o jak velké mno ství dat je ulo eno a jak citlivá jsou tato data (zde je mo né vyu ít
poznatky z analýzy rizik)?
o jak citlivý je systém sám o sob ?
27
[MIK]
28
ení
o jsou zde/existují právní po adavky na uchovávání dat po ur itou dobu? existují
právní po adavky na ochranu dat p ed zneu itím a vet elci?
•
zkoumání fyzické bezpe nosti, tzn. auditor by m l zkoumat, kde se systém nachází
o nap . uchovávání webových, aplika ních a databázových server v zabezpe ené
místnosti, s klimatizací, kam má p ístup pouze velmi úzký okruh oprávn ných
osob (zam stnanc ) a tento p ístup je kontrolován nap . te kou identifika ních
karet;
o pro systémy kritického významu a s vysokými po adavky na dostupnost (99,99%
doby) je d le ité ujistit se, e je celý systém duplikován a lokalizován na jiném
míst ne je sídlo firmy, pro p ípad ivelné pohromy (nap . po áru; povodn , jak
se nedávno ukázalo i v R) nebo i teroristického útoku, který nelze dnes úpln
vylou it;
o pokud je e-business
ení zaji ováno externí firmou a technické zázemí se
nachází mimo sídlo firmy, m lo by být zaji ováno spolehlivou firmou, m la by
existovat zálo ní ení nap . poskytovatele p ipojení k Internetu;
o
•
le ité je zkontrolovat, zda-li je celá e-business architektura (hardware i
software) duplikována, data jsou zde replikována a pravideln zálohována,
infrastruktura zaji na (firewally, routery, huby atd.)
procedury, role a odpov dnosti – úlohou auditora je zjistit, jestli jsou zavedené procedury,
jestli jsou zapsané a také se podle nich postupuje. D le ité je ujistit se, zda-li jsou auditing
(ve smyslu systémového bezpe nostního auditu) a sledování systému efektivn
vyu ívány.
o jsou zavedené procedury, které mají zajistit, e jsou auditní logy systémové
innosti pravideln kontrolovány a jsou sledovány p íznaky nekalých úmysl
(nap . opakované neúsp né pokusy o p ihlá ení do systému)? Kdo se jimi zabývá
a jak asto? Jsou tyto procedury efektivní?
o jsou ve firm pravidla o nastavení, povinné délce, kombinaci znak , period
obm ny p ístupových hesel (t ko uhodnutelná hesla)?
o jsou ve firm postupy, které ur ují, jak jednat v p ípad výskytu virové nákazy
systému – mají být nap . zastaveny v echny po tovní servery, p ípadn také
echny webové servery?
o kdo má být v podobném p ípad
uskute ná rozhodnutí?
•
informován, kdo ponese zodpov dnost za
identifikace, autentizace a p ístup – schopný auditor by m l v novat pozornost nejen
fyzickým linkám do systému (hardwaru), ale také logickým cestám
o z kterých sítí je mo né vstoupit do systému a jakým zp sobem? Existuje VPN
povolující vstup do místní sít z jiného místa ne budovy firmy? Je mo né
vstupovat do ur itých ástí systému p es web?
o u ka dého logického p ístupového bodu by m l auditor zkontrolovat, zda-li jsou
nasazeny dostate né prost edky pro identifikaci a autentizaci u ivatelských
skupin;
o tam, kde není vhodné p íli asto m nit u ivatelská hesla a p itom data, ke kterým
se p istupuje, jsou pova ována za velmi citlivá, existuje je
jiný dodate ný
prost edek autentizace u ivatele (PIN, SSL klí )?
29
ení
o jsou pou ívány dal í prost edky pro zaji ní nepopiratelnosti provedených
operací (digitální podpisy, asová známka ud lovaná certifikovaným serverem)?
•
le ité je v novat pozornost u ivatelským ú m/p ihla ování a sezením (sessions) –
kontrola p ihla ování/hesel by m la být pozorn plánovaná a provád ná;
o dochází k odhlá ení u ivatele po ur ité dob ne innosti v systému? jsou staré
ivatelské ú ty pravideln mazány? existuje pe livá kontrola toho, kdo m e
zalo it nového u ivatele a jaká mu m e p id lit práva v systému?
o jsou hesla pravideln m na? nutí systém u ivatele, aby nepou ívali hesla, která
jednou byla nasazena? jsou hesla t ko uhodnutelná? je mo né m nit
ístupová hesla p es internet? 28
Dal í ástí auditu je revize technických prost edk , tedy infrastruktury e-business
ení. Zde si
uvedeme základní, obecn platné kroky, které v následující ásti demonstrujeme na
bezpe nostním auditu webových aplikací.
Dobrým vodítkem pro hledání konkrétních bezpe nostních d r m e být nap . databáze NIST
ICAT Metabase29. ICAT je ve ejn dostupná databáze zranitelných míst a odhalení (Common
Vulnerabilities and Exposures – CVE). Umo uje vyhledávat bezpe nostní nedostatky podle
jména producenta, ísla verze a dal ích parametr softwaru. U vyhledaného nedostatku ICAT
poskytuje iroké spektrum informací o jeho vlastnostech (rozsah potenciálního útoku a kody) a
uvádí k n mu odkazy na informace o záplatách z ve ejn p ístupných zdroj 30.
V rámci kontroly technických prost edk
následující oblasti:
•
a infrastruktury by se m l auditor zam it na
po adavky infrastruktury – bezpe nost e-business
ne bezpe nost intranetového IS.
ení vy aduje zásadn rozdílná
ení
o pokud se v e-business
ení vyu ívá extranetové propojení mezi systémy
jednotlivých obchodních partner , pak je nutné p i auditu ov it, zda-li jsou
odd leny jednotlivé ásti interních systém a extranetu a p ístupová práva
id lena podle toho, do jaké skupiny u ivatel spadá;
o architektura extranetu m e obsahovat tzv. demilitarizovanou zónu (DMZ), kde
jsou umíst ny interní systémy a data, a ke které je zaji n p ístup pro
zam stnance skrz vnit ní firewall. Externí firewall by pak m l zp ístupnit pouze
které systémy pro externí u ivatele a v p ípad nap . B2B také vybraným
obchodním partner m;
o velmi d le ité je zkontrolovat, zda-li nejsou v n kterém míst extranetu otev ená
tzv. “zadní dví ka” do firemního intranetu – jako p íklad uve me povolení slu by
FTP na extranetovém web serveru, která m e být následn zneu ita pro získání
ístupu do intranetu;
o u intranetu je nutné zkontrolovat, zda je umo n p ístup pouze pro autorizované
ivatele (nap . v p ípad , e se mobilní zam stnanci p ihla ují do intranetu skrz
VPN);
o autentiza ní a bezpe nostní prvky musí být implementovány na r zných úrovních
architektury – takováto opat ení mohou zahrnovat nap . pou ívání firewallu,
28
[JOH1]
29
http://icat.nist.gov
30
[NIS1]
30
ení
proxy server , soukromých datových sítí na sí ové úrovni. Na databázové úrovni
je mo né omezit p ístup k jednotlivým databázovým server m, databázím,
tabulkám, sloupc m i pohled m a omezit mo né operace nad databázemi nap .
pouze na vyhledávání, za vyu ití databázového zabezpe ení pro u ivatele z
ur itých skupin nebo p ímo jednotlivým u ivatel m. Je mo né vyu ít autentizace
databázového stroje nebo opera ního systému pro identifikaci u ivatel (nap .
pomocí SQL serveru). Na úrovni opera ního systému je vhodné omezit p ístup
k jednotlivým soubor m, adresá m, a povolit jen n které innosti se soubory. Na
úrovni webového serveru je dále mo né omezit u ivatele a skupiny p i p ístupu
ur itých webových stránek, virtuálním adresá m, skriptovacím prvk m atd.
o je nutné, aby auditor znal d sledky pou ití t chto r zných metod a bezpe nostních
opat ení, aby byl schopen zajistit, e jsou vhodn a p im en daným po adavk m
vyu ívány;
o musí být zkontrolováno, jestli integrita dat na webových stránkách z stane
nezm na – toto zahrnuje strukturalizaci transakcí v rámci databáze, jestli je
mo né nedokon enou transakci zru it, a nebo ji m e u ivatel dokon it, kdy se
stránka znovu na te. U velmi citlivých transakcí (nap . zadávání platebních
íkaz pro banku, placení zbo í na Internetu platební kartou), je vy adována
implementace tzn. frontování zpráv (Message Queuing) nebo jiného transakci
zaji ujícího mechanismu;
o zárove je vhodné b hem auditu navrhnout techniky, pokud ji nejsou
implementovány, které zabrání nedostupnosti stránek v d sledku tzv. odmítnutí
slu by (denial–of–service) – bu kv li p etí ení stránky b nými u ivateli a nebo
jak dopad úmysln vedeného útoku.
ením m e být pe livé plánování kapacity
(pro období nejv í zát e) nebo vyu itím rezervního hardwaru (nap . RAID
technologie m e být pou ita pro zaji ní v p ípad selhání disku, aby se zajistil
plynulý chod systémových server );
o vyrovnání zát e – toto
ení m e znamenat zapojení n kolika webových
server dohromady (tzv. Web farms) a sdílení zát e mezi nimi, nebo m e
zahrnovat d lení dat do r zných databází nebo databázových server , v závislosti
za tom, kde je úzké místo celého
ení. V závislosti na citlivosti dat m e být
vhodné rozd lit data tak, aby r zní obchodní partne i nem li p ístup k informacím,
týkajícím se jejich konkurent , a aby se zákazníci nedostali k informacím, které
mají mít k dispozici pouze zam stnanci;
o pro p ípady, kdy je web “shozen”, m e auditor navrhnout zlep ení v oblasti
zálohovací/archivovací strategie a dále detailn pro et it plán pro p ípad havárie
systému.
•
31
konfigurace webového serveru (server ) – p i kontrole pou ívání soubor , adresá a
databázové bezpe nosti na web serveru, je nezbytné zvá it mnoho dal ích aspekt
konfigurace serveru samotného. D vodem je, e samotná instalace a konfigurace je
jedním z nej ast ích a nejv ích zdroj etných bezpe nostních mezer. Proto je nutné
hem auditu ov it, zda-li administrátor web serveru udr uje server v aktuálním stavu
aplikováním záplat, které jsou k dispozici na Internetu ( asto na stánkách samotných
producent t chto softwarových produkt ). U ite né je také vyu ívat SANS Top 2031
stránky, kde je zd razn no 20 nejzáva
ích internetových bezpe nostních problém
(10 pro Microsoft a 10 pro Unix), kterým by m la být stále v nována pozornost.
http://www.sans.org/top20/
31
ení
o je nutné, aby web server nefungoval jako superu ivatel (nebo root), proto e takové
nastavení by mohlo poskytnout ne ekaná privilegia u ivatel m serveru;
o velké mno ství slu eb dostupných na web serveru by m lo mýt omezeno na
minimum – takovými mohou být nap . mail (SMTP), FTP, Telnet, netstat/systat,
DNS apod. Také podpora CGI a ASP by m la být vypnuta (p edev ím v místech,
kde není explicitn nutná pro chod aplikace);
o je dobré zkontrolovat v echny porty a ty, které nejsou pot ebné, na web serveru
zav ít. B nou metodou hackování je toti ur ení povolených port na web
serveru (port scanning) a pomocí na Internetu dostupných utilit získat p ístup do
serveru. To m e vést k hlub ímu proniknutí do celé infrastruktury e-business
ení;
o staré a nedostate
bezpe né skripty (cgi/asp) by m ly být odstran ny, cgi
eklada e dokonce i z bin-adresá ;
o
lo by být mo né omezit p ístup ke konkrétním adresá m na specifických
po íta ích v rámci Internetu (ur eno podle IP adresy nebo DNS jména). Pokud je
takovéto omezení adekvátní, m lo by být v pr hu auditu ov eno;
o obecným pravidlem pro konfiguraci a instalaci web serveru je poskytnou pouze
minimáln mo ný p ístup a slu by u ivatel m a vypnout nebo smazat ve keré
slu by, které nejsou pou ívány;
o samoz ejmostí je adekvátní spu ní/zakázání skriptování, zaji ní, e .exe
soubory a dal í klí ové soubory nejsou nikomu, kdo nav tíví web server,
dostupné, pouze pokud je to nutné. P ejmenování klí ových soubor , klí ových
ivatelských ú
(nap . administrátorský ú et k databázi by m l být zm n tak,
aby se nedal jeho název snadno uhodnout a heslo by m lo být známé pouze
kolika málo odpov dným osobám);
•
vývoj web aplikací – bezpe nostní auditor by m l v novat velkou pozornost zp sobu
vývoje aplikací, které jsou pou ívány v rámci e-business
ení. Mnoho s bezpe ností
souvisejících problém je áste
spojeno s chybami (bugy), které vznikly b hem vývoje
softwaru a nebyly v as odstran ny.
o nej ast í chybou, která vznikne b hem kódování pro webovou stránku, je
povolení nahrávat soubory do stránky a p itom neomezit typy vhodných soubor
(nap . povolit jen .doc, .gif, .jpg, nebo .txt soubory) . Tím je umo no hackerovi,
aby nahrál .exe nebo jiné nebezpe né soubory. Programáto i by si tohoto m li být
dob e v domi.
o následující otázky by m ly vyvstat b hem bezpe nostního auditu: jsou si
vývojá i, databázoví a sí oví administráto i v domi rizika, které plyne z
bezpe nostních d r? Udr ují své znalosti na aktuální úrovni nap . pomocí r zných
kolení, sledování specializovaných web stránek, mail-list apod.? Jsou zavedeny
a dodr ovány standardy pro kódování, jsou vyvinuty b né postupy pro zacházení
s chybami? Jsou plány a kód ádn revidovány za ú elem odstran ní
bezpe nostních d r p ed samotným testováním? Zahrnují testovací postupy také
testování bezpe nostních problém ? Je zdrojový kód efektivn ízen tak, aby se
chyby op tovn nevyskytovaly tím, e se rozmístí patný kód? Zaznamenává kód
echny po adované innosti (IP adresu, ze které se u ivatel p ihla uje, neúsp né
pokusy o p ihlá ení, nebo záznamy databázových transakcí)?
•
antivirový software
32
ení
o má organizace dobrou bezpe nostní politiku ohledn antivirových opat ení a
vhodný antivirový program? Tato politika by m la zajistit, e na v ech po íta ích,
které jsou p ipojeny do sít , je nainstalován, je aktivní a je pravideln aktualizován
antivirový program. Pokud je v systému n kdy antivir vypnut, je nutné celý
systém d kladn zkontrolovat antivirem p edtím, ne je op t p ipojen do sít 32.
o souborové a webové servery, stejn jako kterýkoliv hardware p ipojený do sít , by
ly mít nainstalovány antivirový program.
o v p ípad , e organizace nemá antivirovou politiku, m l by auditor její zavedení
razn doporu it. Zárove by m l upozornit, e nejen systémy od Microsoftu
jsou napadnutelné po íta ovými viry.
•
konfigurace browser
o auditor by se m l ujistit, e v echny prohlí e v rámci organizace, jsou nastaveny
tak, e respektují firemní politiku týkající se stahovatelného/spustitelného obsahu
web stránek;
o dopady povolení ActiveX prvk a skriptování by m ly být d kladn zvá eny,
proto e tyto technologie p edstavují zna né nebezpe í tím, e umo ní sta enému
obsahu stránek navázat kontakt s opera ním systémem na klientském po íta i33;
Dal í ástí celkového bezpe nostního auditu mohou také být penetra ní testy, tzn. testy
simulující pr nik do systému, jak zevnit , tak zven í. Samoz ejm , je nezbytné konzultovat
plánované testy s odpov dným managementem. Testy lze d lit do dvou skupin, na testování se
znalostí systému a testy s nulovou znalostí systému:
•
testování se znalostí systému – toto je útok na systém zevnit . Analytik jej provádí, jako
by z pozice zam stnance, který má základní p ístupová práva a privilegia v systému, a
který má zárove p ístup k informacím, týkajících se systém fungujících v rámci ebusiness ení a sí ové topologie, a zárove zná základní procesy fungování firmy.
•
testování s nulovou znalostí – obvykle se provádí jako útok zven í, kdy analytik nemá
ádné p edcházející informace o tom, jaké systémy tvo í testované e-business ení. Tím
simuluje ohro ení systému ze strany hackera34.
Tyto testy, p edev ím testy s nulovou znalostí, se provád jí za pomoci automatizovaných
auditních nástroj . Jedná se o software, který pom e, asto velmi rychle, odhalit velké mno ství
bezpe nostních d r, které by, v p ípad zneu ití, mohly zásadním zp sobem ohrozit chod celého
e-business
ení. Proto e pova uji automatizované auditní nástroje za zásadní prvek
bezpe nostního auditu, budeme se jim v novat v následující kapitole.
Následující schéma názorn shrnuje jednotlivé kroky bezpe nostního auditu.
32
Je toti astým jevem, e programáto i vypínají na svých pracovních stanicích antivirový program, aby
nezpomaloval chod po íta e.
33
[JOH2]
34
[BAY]
33
8 Doporu ení
vhodných
ení
ení
1 Definování
zranitelných míst
7 Set íd ní
zji ných
bezpe nostních
nedostatk
2 Zvá ení
po adavk odv tví
Souhrn fází
bezpe nostního auditu
3 Prov rka
zavedených
firemních politik
6 Provedení
penetra ních test
5 Kontrola
aktuálního
zabezpe ení,
zam ení se na
vnit ní audit
4 Srovnání s
bezpe nostními
standardy
Obr. 6 Jednotlivé kroky bezpe nostního auditu 35
6.2.2
Výstup BA
Jak jsme uvedli na za átku, bezpe nostní audit má p esn íci, které a jak záva né jsou
bezpe nostní nedostatky. Jeho cílem je ur it, jak velká pozornost by m la být zji ným
problém m v nována a jak jsou tyto nedostatky obecn nebezpe né (zji no v porovnání
s mezinárodní standardy, seznamy známých zranitelných míst systém , aplikací (viz ICAT
NIST)) a jaké mohou mít d sledky pro organizaci. K tomu se vyu ijí podklady z analýzy rizik,
kde je míra nebezpe nosti pro organizaci stanovena. Konkrétní nedostatky a zranitelná místa je
vhodné odstup ovat, p adit jim prioritu, podle míry rizika, kterou p edstavují pro organizaci, jak
intern tak extern . Stupn by pak m ly záviset na mí e záva nosti a odhalení systému. V p ípad
auditu e-business
ení bude pravd podobn nejv í váha p ikládána výsledk m penetra ních
test .
Bezpe nostní audit zárove navrhuje mo ná vhodná
ení
na odstran ní zji ných
problematických
míst,
která
nemusí
nutn
znamenat
dal í
investice
do
zabezpe ení/hardwaru/softwaru. asto sta í nap .
35
•
vyu ít a správn nastavit kontrolní a ochranné mechanismy, které jsou implementovány
ji od výrobc ;
•
pravideln aktualizovat systémy, jejich záplaty (patches) jsou publikovány producenty
komponent/systém ;
[MEL]
34
•
zm nit výchozí nastavení ú
atd.
ení
, zp ísnit po adavky na u ivatelská hesla (password policy)
Výstup auditu shrnuje, co bylo testováno. Jsou v n m vymezeny opera ní systémy, provozované
databáze, aplika ní a webové servery, popsána topologie sít a stroje, které byly p edm tem testu.
Zárove obsahuje p esný popis u in ných krok , provedených test , vý et odhalených problém
a nedostatk a vyjmenovává zji ní u in ná auditorem. Jsou p ipojena doporu ení (nap .
zavedení auditního nástroje pro detekci pr nik do systému – Intrusion Detection System) s
azeným stupn m priority a podrobným popisem.
Hlavními p ínosy bezpe nostního auditu by m lo obecn být
•
odhalení zranitelných míst a potenciálních hrozeb,
•
zvý ení bezpe nosti a odolnosti e-business
•
doporu ení vhodných
ení a opat ení p ímo na míru konkrétnímu e-business
resp. organizaci a jejím pot ebám,
•
je základem pro zlep ení, resp. zavedení kvalitní bezpe nostní politiky firmy.
6.2.3
ení,
ení,
Bezpe nostní audit web aplikací a server
V této ásti se na ukázku zam íme je jednou a podrobn ji na bezpe nostní audit web aplikací a
server . D vod je jednoduchý – b hem auditu jim je v nována nejv í pozornost, proto e jsou
ivotn d le itou ástí a vstupní bránou k dal ím komponentám infrastruktury e-business
ení.
Pokud není web server dostate
zabezpe en, m e zneu ití jeho nedostatk umo nit postup
úto níkovi hloub ji do systému. Zárove je “tvá í” systému, která z pravidla jako jediná ást je
viditelná zven í. Dal ími komponentami e-business
ení se nebudeme zabývat z d vodu
limitovaného rozsahu této studie, která nem e pokrýt ka dou z nich do té míry podrobnosti,
kterou by si jist zasluhovaly. Zárove je d le ité zd raznit, e bezpe nostní audit web server a
aplikací je p edev ím nejd le it ím prvkem, který odli uje tento typ auditu od klasického
bezpe nostního auditu.
Kontrolní seznam36 auditu webových aplikací37 by m l mimo jiné obsahovat:
•
Zaji
ní u ivatelských po adavk , aby obsahovaly nebo zaji ovaly:
o identifikaci aktiv (vychází z analýzy rizik);
o
el za jakým bude aplikace pou ívána;
o identifikace u ivatel . jejich rolí a práv (autorizace a autentizace);
o právní a obchodní otázky – podpora pro nepopiratelnost provedených akcí, auditní
záznam, digitální podpisy a silné ifrování.
•
Pou ívání Javy – auditor by m l zjistit nap ., zda
o existuje kód, který ukládá u ivatelské autentiza ní informace uvnit session
prom nné;
o
ídy dostupné virtuálním stroj m jsou omezené;
36
Kontrolním seznamem rozumíme dokument, který obsahuje vý ty obvyklých bezpe nostních problém a
oblastí, které se na kontrolovaném objektu vyskytují. Slou í k tomu, aby b hem auditu nedo lo k opomenutí
jakého známého (a zásadního) problémového místa.
37
[KRI]
35
ení
o u r zných citlivých Java komponent (beans) mají pouze administráto i p ístup k
omezeným metodám
o jsou ádn definována u ivatelská práva;
o rozsah metod a polí je co nejvíc, jak je to mo né, omezen;
o neexistuje zp tná reference na interní pole (arrays), která obsahují citlivá data.
•
Pou ívání CGI – v p ípad , e .cgi programy jsou pou ívány pro vytvá ení nebo otevírání
soubor , je nutné v novat pozornost následujícímu:
o kód o et ující chyby je schopen varovat u ivatele v p ípad , e soubor ve
skute nosti není soubor, nem e být otev en nebo vytvo en, ji existuje, vy aduje
jiná povolení/práva;
o zaji ní, e soubory nejsou zapsány ve ve ejn p ístupných adresá ích, ve kterých
lze íst a do nich i psát;
o zaji
ní omezení souborových práv na maximální mo nou míru;
o zaji ní, e spu né skripty pou ívají práva u ivatele, který je spustil a ne práva
ID u ivatele (userid) http procesu.
•
Kontrola nebezpe ných HTML tag obsa ených ve web-klientovských po adavcích –
auditor by se m l ujistit, e:
o existuje postup, kterým web-vývojá i zajistí, e dynamicky generované stránky
neobsahují ne ádoucí tagy;
o
e je zde postup pro web-vývojá e, jak omezit prom nné pouze na ty znaky, které
jsou explicitn povolené a tyto prom nné jsou kontrolovány b hem generování
výstupní stránky;
o se vývojá i podle uvedených postup skute
•
ídí.
Minimalizace nebezpe ného obsahu – v této ásti by se m l auditor ujistit, e:
o je pevn dán soubor znak pro ka dou vygenerovanou stránku;
o existuje postup, jak ur it speciální znaky a jak je vyfiltrovat (nap . <, >, &, “ “, “,
mezera a tabulátor, nový ádek, %, ! atd.);
o dynamický výstup je v dy p ekódován;
o na výstupní stran je implementováno filtrování dynamického obsahu;
o existuje postup pro pe livé p ezkoumání cookies, které jsou p ijímány a
filtra ní techniky jsou pou ity k ov ení, e v nich není nebezpe ný obsah;
e
o kódování je aplikováno také na URL adresy a HTML stránky.
•
Testování aplikace
o testování aplikací na bezpe nostní nedostatky pomocí aplika ních skener jako
nap . AppScann (Sanctum), Retina (eEye) nebo Web Inspect (SPI Dynamics).
•
Zaji
o
•
ní soukromí
lo by být zaji no, e aplikace zachází s osobními daty tak, jak je po adováno
právními p edpisy daného státu (nap . v R podle zákona o ochran osobních
údaj – viz dále).
Dokumentace
36
ení
o systém by m l být ádn zdokumentován. Dokumentace by m la zahrnovat:
nastavení serveru a aplikace, povolení zdroj , jaké jsou citlivé zdroje, jak správn
provád t operace a zm ny.
•
Anonymní p ístup
o
•
echny ásti funkcionality by m ly pou ívat ádnou autentizaci spí e ne
anonymní autentizaci;
GET, POST a ifrování
o metoda GET by nem la být pou ívána pro posílání citlivých dat, proto e
informace je zaznamenána v b
itelném textu, i kdy je pou ito SSL. SSL
za ifruje data pouze pro p enos, nikoliv na míst doru ení.
o pokud je pou ívána metoda POST, HTTP t lo není obsa eno v záznamu. Nicmén
metoda POST stále posílá data jako itelný text, proto je nezbytné pou ít
ifrování.
o citlivá data by m la být na aplika ní úrovni ifrována
•
Kontrola vstupních dat
o vývojá i by m li pln zvá it dopady p icházejících/vstupních dat ve smyslu URL
adres, metod, cookies, HTTP hlavi ek a datových polí;
o takový postup by m l být ádn otestován ve smyslu následujícího: jestli e je URL
zm na, m e klient vstoupit do session jiného u ivatele?
o aplikace byla m la být otestována tak, aby vstupní datová pole nemohla zp sobit
ete ení bufferu (buffer overflow) nebo cokoliv p ipisovat k SQL p íkazu (a tak
nap . spustit kód na SQL serveru).
•
Zapomenuté HTML komentá e v kódu
o
•
ádné citlivé informace by nem ly být obsa eny v HTML komentá ích, které jsou
ponechány v kódu klientských skript .
Chybová hlá ení
o chybová hlá ení by nem la prozrazovat citlivé informace (nap . fyzické cesty,
nebo architekturu platformy), které by mohly být pou ity k uskute ní útoku
proti systému/organizaci;
o
•
la by prob hnout kontrola chybových hlá ení spojených s konfigurací serveru a
jak s nimi nakládá aplikace. Pod IIS by m la být vybrána mo nost zobrazení
obecné chyby namísto zaslání detailní ASP chybové zprávy na klienta (jak je
implicitn nastaveno) .
C/C++
o proto e C/C++ nedoká e samo o sob o et it p ete ení bufferu, závisí na
programátorech, aby implementovali zabezpe ení proti této chyb . dal ím
problémem jsou tzv. et zcové útoky (string attacks). Proto je nutné ujistit se, e
byly provedeny ádné revize kódu, aby se ur ily nebezpe né praktiky a zji né
problémy byly opraveny;
o testování s úmyslem najít nebezpe né konstrukce za pou ití nástroj jako L0pht´s
SLINT;
o je nutné ov it, zda-li byla zkontrolována platnost v ech vstupních argument ;
o nem lo by být pou íváno volání system(), shell(), popone a exec*p;
37
o
•
ení
echny funkce by m ly vracet správné hodnoty.
SSL
o je nutné ujistit se, e pro ifrování in-transit prvk je pou ívána SLL.
•
Logy
o logy by m ly být udr ovány a e informace v nich zaznamenávané by m ly být
ite né, nap . jsou dostate
podrobné.
Tento vý et potenciálních problém , které je nutné prov it b hem bezpe nostního auditu,
samoz ejm není kompletní. Ani ve své podstat být nem e – nové bezpe nostní chyby jsou
stále objevovány. S rychlým vývojem technologií vznikají netu ené bezpe nostní díry a
problémy. Zále í na administrátorech, vývojá ích a programátorech, jak zodpov dný postoj
zaujmou k vývoji, testování a provozu web aplikací a server . Jak bylo v jednom bodu uvedeno,
je doporu eno vyu ít p i tak náro né innosti, jakou bezpe nostní audit bez pochyby je,
automatizované auditní nástroje, které na základ testování proti známým bezpe nostním chybám
ípadn za vyu ití heuristických postup , rychle a efektivn zkontrolují bezpe nostní stav
aplikace, serveru, opera ního systému atd. O t chto programech bude pojednáno v následující
kapitole.
Záv r
V této kapitole jsme se podrobn ji seznámili s analýzou rizik – jednotlivými kroky a jejich
obsahem. Také jsme si p edstavili metodiku pro analýzu rizik CRAMM, která je sou ástí
certifika ního procesu podle standardu BS 7799. V ásti v nované bezpe nostnímu auditu jsme si
pro li kontrolní okruhy, které by m ly být zahrnuty v rámci auditu e-business
ení – auditní
po adavky na firemní politiku zabezpe ení systému, zabezpe ení technické infrastruktury,
penetra ní testy. Zmínili jsme se o p ínosech, které by m l bezpe nostní audit poskytnout
auditované firm . Jako názornou ukázku jsme si uvedli p íklad kontrolního seznamu, který by m l
figurovat p i auditu webové aplikace.
38
ení
7 NÁSTROJE PRO AUTOMATIZOVANÝ
BEZPE NOSTNÍ AUDIT
ení, jak vyplývá z uvedených skute ností, je zále itostí velmi
komplexní a náro nou, vy aduje hluboké odborné znalosti auditované oblasti, proto v inou
audit provádí tým specializovaných analytik . Audit je komplikovaný i z toho d vodu, e v ina
dat a informací, které jsou sou ástí auditního procesu je v elektronické form , e jeho p edm tem
jsou, krom jiných, technické a programové prost edky systém , které nelze reáln zkontrolovat
bez pou ití speciálního softwaru. Proto se v této ásti budeme v novat nástroj m, které podporují
automatizované provedení bezpe nostního auditu.
Hodnota t chto nástroj vzniká v rukou analytik , kte í jejich výsledky zhodnotí a p edev ím
navrhují p íslu ná bezpe nostní opat ení, jak systémy nov /lépe nakonfigurovat a jaká mají být
in na opat ení nutná k zaji ní vy ího stupn bezpe nosti.
Auditních nástroj existuje celá ada, proto jsou zde vybráni zástupci pro ka dou komponentu ebusiness
ení. Je z ejmé, e se jedná pouze o nepatrný zlomek mo ných softwarových
prost edk , které lze b hem bezpe nostního auditu vyu ít, a e existují dal í, které mohou
nabídnout op t jiné kvality.38
7.1 AUDIT OPERA
NÍCH SYSTÉM
ina opera ních systém má v sob standardn implementován ur ité auditní charakteristiky,
které umo ují sledování d ní v rámci provozu systém . To umo ují auditní záznamy
po izované nap . v rámci MS Windows Event Viewer (Prohlí
událostí), nebo lastlog v Unixu
pro kontrolu sledování posledního p ihlá ení u ivatele, a dal ích utilit. Generování auditních
záznam je asto automaticky nastaveno p i instalaci systému. My si zde uvedeme auditní
nástroje od jiných výrobc , ne jsou producenti samotných OS.
7.1.1
AuditPro (MS Windows)
AuditPro pro OS Windows obsahuje více jak 85 pro Windows specifických kontrol. Hlavní
edností je podrobná a obsáhlá ohla ovací schopnost. Sou asn s Audit Central Console,
centralizovaným kontrolním softwarem, umo uje provád t audity na jakémkoliv Windows
serveru v rámci celé organizace.39
Zam uje se na známá zranitelná místa a patnou konfiguraci Windows. Kontroluje záplatování
systému, jestli jsou disky NTFS formátované, jaká práva byla p id lena ke kritickým adresá m,
jaké sí ové slu by b í, jací u ivatelé jsou p ihlá eni do systému atd. Hlásí pouze taková
zranitelná místa, která skute
existují, bez potenciálních mo ných. Ke zpráv je p ipojen
Apendix, který poskytuje seznam softwaru instalovaného v systému, seznam COM port , sí ové
karty, modemy atd.
Prov rky AuditPro zahrnují:
• Obecnou informaci (verze opera ního systému, instala ní adresá OS, velikost RAM,
typ procesoru),
• Fyzickou bezpe nost (screensavery, Windows platformy, bezpe nostní klí e registr ),
38
39
Poznámka: Ve keré informace uvád né v této kapitole jsem erpala z materiál poskytovaných producenty
chto auditních nástroj na Internetu, tak jak se odkazuji na jednotlivé web stránky.
Ukázka auditní zprávy AuditPro pro Windows je dána k dispozici v p ílohách.
39
•
•
•
•
•
•
•
•
•
ení
Bezpe nost OS (revize servisních balí
a záplat (servis packs a patches), alternativní
opera ní systémy, formát systému soubor na discích, startup programy, metoda
aktualizace Windows, auditní politiku),
Bezpe nost sít (sdílení a povolení, otev ené TCP/IP porty, seznam slu eb),
ivatelskou bezpe nost (seznam u ivatel a skupin, politiku hesel a zamykání ú ,
dodate né registry, bezpe nostní klí e),
Souborová/adresá ová práva (kontroluje p ístupový seznam k u ivatelem vybraným
slo kám a soubor m),
Bezpe nost IIS (bezpe nostní klí e registr , rodi ovské cesty (parent paths), povolení
ístupu k soubor m),
Internetovou bezpe nost (nastavení zón v Internet Exploreru, makra v balíku Office,
modemy),
Záznamy událostí (event logs – hlá ení ze záznam bezpe nostních událostí, zprávy ze
záznam aplika ních událostí),
Virovou kontrolu (skenuje systém ohledn deseti nejnebezpe
ích vir ),
zné informace (COM porty, sí ové adaptéry, instalovaný software).40
Jako dal í auditní nástroje pro MS Windows si m eme uvést:
7.1.2
SMB Auditing Tool (NetBIOS)
SMB auditní nástroj slou í ke kontrole nastavení hesel v MS Windows. Umo uje otestovat jejich
odolnost proti zneu ití chyby timeout architektury ve Windows 2000/XP a tak výraznému
urychlení uhodnutí hesla (hackerem). B hem spu ní velkého souboru s hesly proti Windows
2000/XP je schopen otestovat cca 1200 login /s. To znamená, e je doká e vyzkou et anglický
slovník o 53.000 slovech proti serveru za dobu pod jednu minutu. Podporuje SMB p es NetBIOS
a nativní SMB p es TCP port 445.
7.1.3
Sunbelt Network Security Inspector41
Auditní nástroj pro MS Windows 95/98/ME/NT/2000/20030XP.
Obsahuje:
•
aktualizovanou databázi bezpe nostních nedostatk , odpovídá standardnímu schématu
CVE (Common Vulnerabilities and Exposures),
•
provádí analýzu jak celé domény, tak jednotlivých stroj ,
•
podává zprávy – pro management, o stavu sít , souhrny zranitelných míst, seznamy
bezpe nostních d r na jednotlivých strojích, atd..
Databáze bezpe nostních nedostatk jsou pravideln aktualizovány a tak u ivatel m poskytuje
podrobné informace o konkrétních nedostatcích (název, popis,
ení, míra rizika, související
webové odkazy, identifika ní íslo CVE atd.).
40
http://www.nii.co.in/software/apwin.html
41
http://www.sunbelt-software.com/product.cfm?id=987
40
7.1.4
ení
AuditPro (Unix)
Navazuje na tradici auditních nástroj jako jsou COPS a SARA, b hem auditu se zam uje
edev ím na patnou konfiguraci a známky kompromitování systému.
AuditPro for Unix se pou ívá na platformách Sun Solaris, IBM AIX a Linux.
Kontroly obsa ené v AuditPro pro Unix:
•
integrita u ivatel a skupin,
•
kontrola práv p ístupu k soubor m,
•
konfigura ní kontroly pro FTP, SMTP a HTTP,
•
kontroly Cron a at,
•
kontroly otev ených port ,
•
•
•
ící sí ové slu by,
otev ené soubory,
ící procesy (se azené podle CPU a pou ívání pam ti),
•
záplaty (patches) aplikované na opera ní systém,
•
seznam instalovaného softwaru,
•
seznam hardwaru jak je vid n opera ním systémem,
•
•
ivatelé p ihlá ení do systému,
kontrola innosti b ných administrátorských nástroj (root-kits).42
7.2 AUDIT WEB SERVER
A APLIKACÍ
Web server m, web aplikacím a jejich bezpe nosti se v e-business p ikládá nejv í d le itost.
vod je prostý – pokud jsou (budou) napadnutelné resp. ohrozitelné, je snadné vyu ít t chto
nedostatk k zahájení útoku proti celé infrastruktu e e-business
ení. To znamená dál na
aplika ní servery, databázové servery atd., jsou tedy kritickou slo kou celého systému.
7.2.1
Nixu
Jedná se o modulární produkt. Konkrétní moduly a po adavky pot ebné k auditu jsou ohodnoceny
edem, aby se zajistila co nejv í efektivnost podniknutých krok . Nixu zahrnuje analýzu,
testovací a auditní moduly, které je mo né vzájemn kombinovat a parametrizovat podle
unikátních vlastností ka dého systému. Hodnotí aktuální úrove zabezpe ení hardwarových a
softwarových prvk . Obsahují detailní zprávy s kompletní technickou analýzou, p azenou
prioritou, zji nými skute nostmi a doporu eními. Mezi moduly pat í:
•
Analýza sít z Internetu
o zahrnuje externí skenování sítí za ú elem zhodnotit úrove jejich zabezpe ení.
Vyu ívá celou paletu nástroj pro identifikaci bezpe nostních problém , které
jsou “viditelné” z Internetu. Tato analýza v sob zahrnuje kontrolu konfigurace
router a dal ích sí ových prvk .
•
42
Analýza sít ze sít
http://www.nii.co.in/software/apunix.html
41
ení
o sestává z p ipojování se k síti z n kolika interních bod s cílem ohodnotit úrove
ochrany proti útok m zevnit organizace. Také m e zahrnovat otestování
konfigurace router a dal ích sí ových prvk .
•
Penetra ní testy
o testují zranitelná místa z pozice internetového úto níka a potenciální problémy
jsou aktivn ozkou eny za ú elem zji ní, jestli by nemohly být úsp
zneu ity
k získání p ístupu do systému. V p ípad , e se poda í získat p ístup k p edem
ur enému systému, zranitelná místa jsou nahlá ena spole
s návrhem na vhodné
ení. Test také m í technické a administrativní schopnosti organizace detekce
pr niku do systému.
•
Testy odmítnutí slu by (DoS)
o otestuje simulovaným útokem typu DoS dostupnost systému. Pomocí
modifikovaných IP paket nebo vysokého objemu dat zjistí odolnost systému.
Výsledná zji ní pomohou navrhnout dostupnou kapacitu.
•
Audit bezpe nosti serveru
o auditní test, který zkou í bezpe nost konfigurace server z hlediska p ístupových
práv, hesel, systémových log a bezpe nostních záplat. Cílem je zjistit jak jsou
servery ohrozitelné vnit ními útoky a jak moc bezpe nostní systém závisí na
ochran firewallem.
•
Audit bezpe nosti aplikací
o
•
zné testy hodnotí, jak je chrán na d rnost, integrita, a dostupnost dat a tak jak
zachází aplikace s autentizací, autorizací, chybami a sledováním session. Cílem je
najít taková zranitelná místa, které jsou zneu itelná kýmkoliv, kdo má webový
prohlí
a právo pou ívat aplikaci.
Audit firewall a soukromých datových sítí (VPNs)
o ov í konfiguraci a implementaci firewall , jako to základních komponent
zabezpe ení propojených sítí a soukromých datových sítí, které zprost edkují
provoz mezi firewallem a vzdálenými u ivateli. Doká e zjistit, zda-li opera ní
prost edí spl uje bezpe nostní a funk ní po adavky.
Podrobné informace na http://www.nixu.com/security/audit/
7.2.2
IISSecurityAudit
Auditní nástroj od firmy LokBox.net je zam en na konfiguraci Windows Server, zji uje
edev ím bezpe nostní nedostatky, které hacke i zneu ívají skrze Internet Information Server
(IIS) od Microsoftu. Upozor uje na obecn známé zranitelnosti systému a doporu uje, jak nastavit
web server, aby byl co nejodoln í proti napadením zven í. Kontroluje bezpe nostní nedostatky
jako jsou RDS, ODBC Shell Access, Internet Printing, IIS AppMappings. Navíc upozor uje na
kterých DoS p íkaz , které by m ly být odstran ny.
•
43
RDS – IIS je zranitelný v i útoku skrze “vzdálených datových slu eb” (Remote Data
Services – RDS). Ty umo ují spustit programy, prohlí et soubory a p istupovat k dat m
v databázovém serveru.43
http://www.lokbox.net/IISSecurityAudit/Vulnerabilities/RDS.htm
42
ení
•
ODBC Shell Access – IIS je zranitelný v i útoku vedenému p es Jet Database Engine,
který umo uje spou t programy na IIS serveru. Jet Engine je back-endem databáze
Access.44
•
Tisk p es Internet (Internet Printing) – OS Windows od verze 2000 má implementován
prvek, který umo uje u ivatel m p ipojovat se k tiskárnám, které jsou sdílené serverem,
es Internet. Je známé, e d ív í verze tohoto prvku byly zranitelné na útok p ete ením
bufferu (buffer overflow attack) a tím umo nil hackerovi spustit kód na serveru.
IISSecurityAudit upozorní v p ípad , e server má n jaké stránky, na kterých je povoleno
mapování tiskáren (.printer mapping).45
•
APP Mappings – IIS obsahuje zna né mno ství dll knihoven, které roz ují
funkcionalitu serveru (nap . asp.dll, která je volána poka dé, kdy u ivatel vstoupí na .asp
stránku). Tyto knihovny jsou ISAPI (Internet Server API) aplikace, z nich n které mohou
být zdrojem mnoha bezpe nostních d r. IISSecurityAudit kontroluje v echny webstránky
na serveru, zda-li je na nich odstran no mapování aplikací: .htr, .idc, .stm, .ida, .idq,
.shtml a .shm.46
•
DoS p íkazy (DoS Commands) – audit upozor uje na programy, které m e úto ník
zneu ít za ú elem sta ení a instalace hackovacích program na server. Mezi n pat í
cmd.exe, command.exe, tftp.exe, ftp.exe.47
Dal í informace na http://www.lokbox.net/IISSecurityAudit.
7.2.3
AppScann
AppScan DE (developer edition) od firmy Sanctum poskytuje snadný a automatizovaný zp sob
pr
né kontroly webových stránek, zda-li v sob neobsahují bezpe nostní nedostatky. Tím
podporuje rychlý vývoj bezpe ných, kvalitních web aplikací v rámci .NET nebo Java vývojových
prost edí. M e být pou it samostatn nebo jako integrovaný nástroj (ve form projektu) ve
Visual Studio.NET resp. jako nativní plugin pro WebSphere Application Developer Studio,
Eclipse a Jbuilder. To lze vyu ít b hem testování aplikace ji p i jejím vývoji. Ke ka dému
bezpe nostními testu poskytuje AppScann podrobné informace – nahlásí nejzáva
í
nedostatky, kde se p esn nacházejí, jak jim porozum t a jak je opravit. Pro ka dý projekt je
mo né nastavit, v kolika úrovních má AppScan vyhledávat bezpe nostní nedostatky.48
AppScann AE (Audit Edition) urychluje hodnocení a analýzu, ov uje aplika ní bezpe nost.
Nabízí:
•
esné zhodnocení bezpe nosti (Accurate security Assesment)
o testuje novou a existující infrastrukturu v etn XML/SOAP aplikací a prost edí
o
ídící prvky jsou parametrizovatelné, aby testování bylo p esné a efektivní
o obsahuje rozsáhlý popis testovaných nedostatk : ASVs, CWVs, útoky na
XML/WebServices, testování zaji ní soukromí
•
analýzu souladu (Compliance Analysis & Reporting)
44
http://www.lokbox.net/IISSecurityAudit/Vulnerabilities/ODBCShellAccess.htm
45
http://www.lokbox.net/IISSecurityAudit/Vulnerabilities/InternetPrinting.htm
46
http://www.lokbox.net/IISSecurityAudit/Vulnerabilities/AppMappings.htm
47
http://www.lokbox.net/IISSecurityAudit/Vulnerabilities/DOSCommands.htm
48
[SANC]
43
ení
o vestav né testování a hlá ení souladu
o parametrizovatelné ablony umo ují testování firemních bezpe nostních praktik
v reálném ase
o generování mnohonásobných zpráv o souladu z jediného ohodnocení aplikace
•
sdílení výsledk (Intelligent Results Communication)
o pln automatizované analýza výsledk , umo uje p esnou interpretaci
o obsahuje XML základy pro mobilní vým nu dat a analýz
o Delta a trendová analýza poskytují pln srovnatelné výsledky, které umo ují
porovnání souladu v ase.49
7.3 DATABÁZOVÝ AUDIT
V e-business nejde pouze o vým ny informací, velmi podstatnou ástí celého obchodního cyklu je
také zpracování a uchovávání získaných informací. Proto firma pot ebuje v t co, kdy, kde a jak
se d je s jejími daty a zárove , kdo je p vodcem t chto operací. Pro audit databází existuje iroká
paleta auditních nástroj , jak od samotných producent databázových systém jako je FGA od
Oracle (Verze 9i a vy í) nebo od firem, které mají ve svém portfoliu bezpe nostních auditních
nástroj takové, které se specializují na databáze.
7.3.1
ApexSQL Log
Jedná se o SQL databázový auditní nástroj, který analyzuje transak ní log SQL Serveru za ú elem
zobrazení informací o datech a strukturálních zm nách. D sledkem tení transak ního logu, je e
nenar stají re ijní náklady na databázi a je mo né auditovat zm ny, které se vyskytly i p ed
okam ikem instalace nástroje.
•
Podporuje export do XML a do tzv. ivých log (live logs).
•
Doká e pasivn auditovat zálohy transak ních log , které byly vlo eny, aktualizovány
(oba p ed i po) nebo smazány z ka dé tabulky v databázi.
•
Nabízí filtrování, t íd ní a seskupování dat z log ; pohled na historii zm n v ádku;
audituje bez naru ení zálohy mnohonásobných transak ních log nebo soubor s „ ivými
logy“.
•
7.3.2
te databázové zálo ní soubory a zpracovává je do informací v itelné form .50
Pervasive AuditMaster
Pervasive AM poskytuje kompletní monitorování databáze a lad ní databázové úrovn aplikací
vytvo ených nad databází. Tím napomáhá rychlé a p esné diagnóze problém . Také usnad uje
harmonizaci postup pomocí prosazování nejlep ích praktik a udr ování detailních auditních stop
a záznam .
•
Umo uje nastavit pravidla pro upozor ování na podez elé transakce (nap . u ivatelé
adili práva sami sob ), podle pot eb pracovi a v souladu s firemními politikami.
•
Sleduje a hlásí ve kerou aktivitu v SQL databázi, bez ohledu na zdroj nebo aplikaci.
49
http://www.sanctuminc.com/solutions/appscanaud/features/index.html
50
http://www.pcworlddownload.com/development-tools/sql/apexsql-log.htm
44
ení
•
Audituje v echna data a operace.
•
Ohla uje zm ny v reálném ase nebo je ukládá jako auditní záznam.
•
Je schopen obnovit integritu databáze k p esn stanovenému okam iku v ase skrz
odvolání transakcí (transaction undo).51
7.3.3
AppDetectiveTM
AppDetective je sí ový nástroj pro posouzení zranitelných míst, který hodnotí sílu bezpe nosti
aplikací v rámci sít . Vybaven bezpe nostní metodologií spole
s rozsáhlou znalostní databází
bezpe nostních nedostatk aplikace lokalizuje, otestuje, nahlásí a pom e s opravou
bezpe nostních d r a patných konfigurací.
V sou asné dob podporuje: Oracle, Sybase, IBM DB2, Microsoft SQL Server.
AppDetective bezpe nostní skener pro Oracle lokalizuje a hodnotí odolnost zabezpe ení
databázových aplikací v rámci sít za pou ití penetra ních test a technik bezpe nostního auditu.
Automatizovan provádí penetra ní testy, kontroluje náklady v oblasti prevence pr niku do
systému tím, e udr uje ádn nakonfigurovanou a zabezpe enou databázi, je schopen okam it
provést test „s nulovou znalostí“, bez pot eby získávání povolení, dodate né konfigurace
databázových spojení nebo instalování soubor na cílových serverech; p ipraví zprávy o
zji ných bezpe nostních dírách, tak aby bylo mo né je p ímo sd lovat (nap . managementu
firmy).
Oracle opera ní módy (Oracle Modes of Operation)
•
Objevování – systematický p ístup k vyhledávání databází a databázových komponent ve
firemní síti. Zakládá se na vlo ení rozsahu IP adres, ze kterých následn lokalizuje a
inventarizuje ve keré databázové komponenty v daném pásmu. Výsledkem jsou ísla verzí a
jména ka dé nalezené komponenty.
•
Pen test – hloubkový bezpe nostní test, který realizuje sérii test za ú elem identifikovat, jak
by mohl vet elec nebo neautorizovaný u ivatel získat p ístup do systému. Tyto testy simulují,
jak by mohl vet elec zneu ít nezabezpe ená místa, tak aby se „vloupal“ do systému zven í.
•
Bezpe nostní audit – hloubková zkou ka interních konfigurací a potenciálních
bezpe nostních d r v databázích. Vy aduje p ístup do databáze jako platný u ivatel, aby
mohl ov it interní konfigura ní nastavení. Zárove zkoumá, jak by mohl neautorizovaný
ivatel získat v í práva nebo obejít bezpe nostní kontroly a mechanismy databáze zevnit .
Kategorie Bezpe nostního auditu nabízí kontrolu
•
ístupových práv (týká se vnit ní bezpe nostní politiky dané aplikace – p ístupové
kontroly mohou být patn nastaveny, proto je pot eba je zkontrolovat a ov it).
•
Integrity aplikace (integrita je stav, kdy je aplikace autentická – nap . instalace „Trojského
kon “ v systému poru ila jeho integritu. Systém si m e zachovat integritu nap . zaji ním
auditních log proti smazání nebo modifikaci úto níkem).
•
Identifikace u ivatel /kontroly hesel (mechanismy a kontrolní prvky pro procesy jako je
tvorba hesla a vypr ení platnosti ú tu).
•
Integrity opera ního systému (zaji uje, e nastavení opera ního systému nebylo zm
neautorizovaným u ivatelem).
51
no
http://www.pervasive.com/auditMaster/
45
ení
Klí ové prvky AppDetective pro Oracle jsou: objevování a inventarizace; neru ivé penetra ní
testy a bezpe nostní audit; distribuovaná podniková architektura; stále aktualizovaná znalostní
báze aplika ní bezpe nosti; dopl ková a kompatibilní bezpe nostní ení.
Více informací na http://www.appsecinc.com/products/appdetective/.
7.4 AUDIT SÍT
A KOMUNIKA NÍCH KANÁL
Sít zprost edkují vým nu dat a informací mezi zú astn nými stranami e-business ení. Jeliko
není mo né provést „audit Internetu“ samotného, zam uje se bezpe nostní audit na kontrolu
vnit ní konfigurace a zabezpe ení sítí v rámci dané organizace.
7.4.1
Retina Network Scanner
Retina sí ový skener od firmy eEye je obecn uznáván pro svou rychlost, snadnou pou itelnost,
neru ivé a pokro ilé skenovací schopnosti, které vyu ívají technologie um lé inteligence (AI).
hem auditu ur í známé bezpe nostní nedostatky a napomáhá s p azováním priority t m
hrozbám, které by m ly být minimalizovány. Retina umo uje zapojení interních politik a
standard pou ívaných v rámci organizace. V rámci distribuovaných sítí je podporováno
skenování za pomoci n kolikanásobných Retina stroj , kontrolovaných p es webové rozhraní. Po
skon ení skenu je dodána obsáhlá zpráva, která podrobn vysv tluje v echny v systému
otestované bezpe nostní problémy a navrhne vhodná ení (nap . sta ení p íslu ných patch nebo
vyu ití Retina automatické schopnosti opravit nevhodné konfigurace).
V distribuovaných firemních prost edích, jakým je e-business ení, m e být Retina nasazena s
REM (Remote Enterprise Management), aby byl vytvo en odolný firemní systém pro ízení
hodnocení a minimalizaci bezpe nostních nedostatk .
Retina vyu ívá schopností CHAM (Common Hacking Attack Methods), technologie zalo ené na
um lé inteligenci (AI). Díky tomu doká e provést kontrolu zakázkového softwaru,
specializovaných aplikací a zastaralých program , které v sob mohou skrývat mnoho neznámých
bezpe nostních d r. CHAM by vyvinut, aby simuloval chování hackera a prov il bezpe nost
ech takto vyvinutých aplikací. V p ípad , e je CHAM funk nost spu na, Retina na sebe bere
dv role: nejd íve provede b nou, skrytou kontrolu a zjistí v echny známé nedostatky. Poté se
epne do CHAM módu a otestuje slabá místa sít v neobvyklých aplikacích nebo upravených
programech.
hem tohoto testu jsou zkontrolována v echna sí ová za ízení a jejich vzájemná komunikace po
síti. Ta je následn podrobena kontrole pomocí simulovaný útok na vybrané protokoly (nap .
HTTP, FTP, SMTP, POP3 atd.). Krom toho je proveden audit p ete ení bufferu.
7.4.2
SAINT Scanning Engine52
SAINT – Security Administrator´s Integrated Network Tool je dal ím nástrojem pro vyhledávání
zranitelných míst sít . Je vyu íván pro neru ivé detekování bezpe nostních nedostatk na
vzdálených místech, které mohou být cílem útoku, v etn server , pracovních stanic, sí ových
za ízení. Zárove zji uje informace o opera ních systémech a otev ených portech. Grafické
ivatelské rozhraní (implementované do web prohlí e) zaji uje p ístup k SAINT data
management, konfiguraci skenu, asovému rozvrhu spou ní skenu a analýze dat. Zprávy o
dokon eném skenu je mo né vygenerovat a ulo it.
V pr
52
hu skenu SAINT
http://www.saintcorporation.com/products/saint_engine.html
46
ení
•
zkontroluje ka dý „ ivý“ systém na síti ohledn TCP a UDP slu eb
•
pro ka dou b ící slu bu spustí soubor test vytvo ených za ú elem detekovat cokoliv, co
by mohlo pomoci úto níkovi p i získání neautorizovaného p ístupu, vytvo it odmítnutí
slu by (DoS) nebo získat citlivé informace o síti.
Kdy jsou bezpe nostní nedostatky detekovány, SAINT rozd lí výsledky do n kolika kategorií,
aby bylo mo né vybrat ty, které mají pro u ivatele nejv í hodnotu. Bezpe nostní problémy lze
seskupit podle záva nosti, typu nebo po tu výskytu. Zárove tento sí ový skener doká e
poskytnout informace o konkrétním hostiteli (host) nebo skupin hostitel a popsat zp soby, jak
opravit problémy, kde získat informace o nejnov ích bezpe nostních záplatách atd.
Záv r
V této kapitole jsme se seznámili s jednotlivými auditními nástroji pro základní komponenty ebusiness
ení. V ina t chto nástroj poskytuje zna
podobnou funkcionalitu v rámci dané
oblasti, li í se nap . vyu itím technologie um lé inteligence, i po tem implementovaných
modul .
47
ení
8 STANDARDY A PRÁVNÍ PO ADAVKY
Dobré standardy jsou jako dobré zákony.
Bezpe nostní audit se zabývá krom zkoumání technického stavu systém a jejich nedostatk ,
také kontrolou firemních bezpe nostních politik. Naskýtá se proto otázka, na základ eho m e
auditor vyslovit sv j výrok o dostate nosti i nedostate nosti bezpe nostních opat ení, politik,
procedur, které jsou ve firm zavedené. Jeho úsudek a zku enosti by mohly být pova ovány za
nedosta ující a málo objektivní. Proto se b hem auditu vyu ívá mezinárodních standard , které
jsou v oblasti informa ní bezpe nosti celosv tov uznávány. Ty nabízí pevné vodítko jak
postupovat, které stránky bezpe nosti pova ovat za podstatné a které prvky mohou signalizovat
hlub í problém ne jak by se na první pohled mohlo zdát (nap . nedostate
vy kolení
zam stnanci v oblasti bezpe nosti, nefungující bezpe nostní politika, neexistence havarijního
plánu atd.). Tyto standardy jsou tedy pou ívány b hem bezpe nostního auditu jako metriky pro
zkoumání bezpe nostní politiky firem, úrovn bezpe nostních opat ení a celkového stavu
bezpe nosti auditované firmy/organizace v bec.
V této ásti se budeme zabývat aktuálními standardy, které jsou v oblasti managementu
informa ní bezpe nosti nejroz en í. Mezi n pat í: BS 7799 Information Security
Management resp. ISO/IEC 17799 Code of Practice for Information Security Management,
ISO/IEC 15408 Common Criteria for IT Security Evaluation a ISO/IEC TR 13335
Guidelines for the Management of IT Security. Zárove se zmíníme o právních po adavcích,
které jsou kladeny eským právním ádem (nejen) na e-business formu podnikání (resp.
elektronický obchod). Nebo bezpe nostní audit by m l také ov it soulad firemních postup s
legislativními po adavky, které se na firemní innost vztahují. Proto e se v nujeme
bezpe nostnímu auditu e-business ení, budeme se v novat dv ma zákon m: .101/2000 Sb. o
ochran osobních údaj a .227/2000 Sb. o elektronickém podpisu. D vod pro jejich výb r je
jednoduchý - nap . ze zákona o ochran osobních údaj , vyplývá, e ka dý zpracovatel osobních
údaj je povinen zajistit ochranu t chto údaj p ed zneu itím, zni ením apod. Zákon o
elektronickém podpisu poskytuje právní podporu základním prvk m informa ní bezpe nosti a to
autentizaci, identifikaci a nepopiratelnosti.
Ka dým vý e uvedeným standardem a zákonem se budeme zabývat v p im ené mí e a ve smyslu
souladu s tématem této studie, proto e problematika standard a právních norem je sama o sob
velmi obsáhlá a jist by stála za zpracování v samostatné práci.
8.1 ISO/IEC 17799 CODE
MANAGEMENT
OF
PRACTICE
FOR
INFORMATION SECURITY
ISO/IEC 17799 Soubor postup pro ízení informa ní bezpe nosti je kodex, který nabízí
sm rnice a nezávazné instrukce pro management informa ní bezpe nosti, a který obsahuje
sou asné nejlep í praktiky (best practices) v oblasti informa ní bezpe nosti. Poskytuje obecný
popis oblastí, které jsou v sou asné dob pova ovány za d le ité v kontextu zavád ní nebo
udr ování informa ní bezpe nosti. Podle Národního standardiza ního institutu (NIST) USA53 by
l být tento standard podpo en technickou metodikou, aby mohl být efektivn vyu it pro revizi
bezpe nosti.
Standard bývá ozna ován jako výchozí bod vytvo ení pro organizaci specifického vodítka v
oblasti zaji ování bezpe nosti, tj. ve smyslu na míru itého. Vodítkem je z toho d vodu, e ne
echny prvky v n m obsa ené jsou pou itelné pro konkrétní organizaci a naopak m ou být
vy adována taková opat ení, která ve standardu uvedena nejsou. Cílem standardu není íci, jak se
53
http://www.nist.gov
48
má co d lat, ale spí formulovat obecn platné zásady v nejr zn
organizace.
Dokument se stru
zalo ení bezpe nostní politiky organizace
•
organiza ní bezpe nostní infrastrukturu
•
klasifikace a kontrola aktiv
•
personální bezpe nost
•
fyzickou bezpe nost
•
komunika ní a opera ní management
•
kontrola p ístupu
•
vývoj a údr ba systém
•
ích oblastech bezpe nosti
zam uje na následující oblasti:
•
•
ení
ízení kontinuity podnikatelských inností a
soulad s po adavky.
ISO/IEC 17799 neposkytuje definitivní nebo konkrétní materiál k jakémukoliv bezpe nostnímu
tématu – nabízí obecné sm rnice. P edkládá vrcholovému managementu p ehled témat týkajících
se informa ní bezpe nosti, který m e napomoci pochopení základním problém m v daných
oblastech.54
eský p eklad standardu zajistila firma RAC (Risk Analysis Consultants), http://www.rac.cz, a
byl p ijat jako norma SN ISO/IEC 17799.
Dal í podrobné informace ke standardu (originálu) jsou k dispozici na http://www.iso17799.com/.
8.2 BS 7799 INFORMATION SECURITY MANAGEMENT STANDARD
Výchozím dokumentem a podn tem pro ISO/IEC 17799 byl britský standard BS 7799 Standard
ízení informa ní bezpe nosti (dále té ISMS), který se postupn dostal za hranice Velké Británie
a jeho první ást byla p ijata v roce 2000 jako mezinárodní standard ISO/IEC 17799. K jeho
roz ení p isp la i skute nost, e se zam uje na bezpe nost informa ního systému v nej ir ím
mo ném smyslu, nejen na úrovni bezpe nosti informa ních technologií. P edev ím zd raz uje
nutnost p ijetí bezpe nosti v emi zam stnanci – od adových pracovník po vrcholový
management – jako to základního prvku firemní kultury a tedy jako jeden z nutných p edpoklad
napln ní strategických plán firmy. K tomuto standardu se vá e i certifika ní ízení, b hem
kterého je ov ován soulad pojetí informa ní bezpe nosti v certifikované firm s po adavky
standardu.
BS 7799-1 Code of Practice for Information Security Management je sbírkou zásad pro ízení
bezpe nosti v organizaci. Pou ívá se jako referen ní dokument pro zam stnance zodpov dné za
vývoj, implementaci a udr ování informa ní bezpe nosti.
BS 7799-2 Specification for Information Security Management Systems je doprovodným
seznamem bezpe nostních opat ení. Tato ást není sou ástí ISO/IEC 17799, ale je specifikací
ISMS a m e být vyu ita jako základ pro autorizovanou certifikaci.55
54
[NIS2]
55
[HLA1]
49
ení
Podle BS 7799 mezi kritické aspekty dobré firemní bezpe nostní politiky pat í:
•
management zam ený na bezpe nost – vedení firmy vnímá nutnost dobré úrovn
bezpe nosti a pln ji podporuje;
•
jasn definované pravomoci pro bezpe nostní aspekty ve firm ;
•
efektivní vnit ní audit zam ený na informa ní bezpe nost v ir ím m ítku, nejen na
bezpe nost ICT, jak se asto d je;
•
detailní porozum ní povinnostem, které vyplývají z po adavku na naprostou bezpe nost a
jejich sdílení mezi odd leními firmy, vedením, technickými pracovníky, u ivateli,
zákazníky a t etími stranami, a jak má být toto rozd lení odpov dnosti adresováno ve
smlouvách, popisech pracovních pozic a dal ích dokumentech;
•
pochopení a p ijetí hodnoty informace pro organizaci;
•
le itost
o kvalitního náboru nových zam stnanc ,
o pov domí o bezpe nosti,
o
kolení a
o bezpe nost zlep ujících politik,
jako základních ástí firemní kultury56.
SANS doporu uje vyu ít standard p i bezpe nostním auditu. Poskytuje k n mu kontrolní seznam,
který podpo í práci auditora tak, aby byl zaji n soulad se standardem. Výb r z tohoto
kontrolního seznamu je dán k dispozici na konci této studie v rámci p íloh.
8.3 ISO/IEC 15408 COMMON CRITERIA FOR IT SECURITY EVALUATION
ISO/IEC 15408 V eobecná kritéria pro hodnocení IT bezpe nosti (dále jen CC) byla vytvo ena za
elem usnadnit hodnocení bezpe nosti produkt a systém informa ních technologií (IT). Jsou
výsledkem mezinárodního úsilí (Evropského spole enství, USA a Kanady), definovat metodiku
hodnocení IT bezpe nosti, která by byla uznávána jak zákazníky, tak i poskytovateli t chto
produkt na celém sv . Filosofie CC je taková, e se tento standard sna í posunout stav
bezpe nosti skrz podporu pro r zné ú astníky trhu IT bezpe nosti. A to tak, e zákazníci mohou
vytvá et tzv. profily po adované ochrany (Protection Profiles), ve kterých formulují své pot eby a
tím p sobí na producenty, aby dostáli po adavk m vyplývajícím z definovaných profil . Tím, e
ijmou výzvu zákazník , se podle CC, otevírá producent m mo nost získat konkuren ní výhodu
a vstoupit na dosud neobsazený trh.
Obecn
eno, záruka bezpe nosti po adovaná zákazníkem, p itom m e plynout z r zných
zdroj – m e být dána výrobcem/poskytovatelem slu by; zákazník si systém m e otestovat
sám, nebo se m e spolehnout na objektivní ohodnocení nezávislou institucí. Proto jsou hodnotící
kritéria m ítkem – pro zákazníky, jako to hodnocení systému, pro producenty záruka
bezpe ných produkt nebo systému a základ pro specifikaci bezpe nostních po adavk .
CC jsou u ite ným pr vodcem
56
•
pro vývoj produkt a systém s IT bezpe nostními funkcemi a
•
pro nákup komer ních produkt a systém s IT bezpe nostními funkcemi.
[MAY]
50
ení
CC poskytují garanci na základ hodnocení, tj. aktivního zkoumání, IT produktu/systému, e
spl uje kritéria. Takovéto hodnocení je vydáváno tzv. expertními hodnotiteli (Expert Evaluators).
Tato certifikace poskytuje solidní základ pro d ru v produkt a jeho bezpe nostní prvky.
CC se skládá ze t í ástí57:
1. ást – Úvod a obecný model
- definuje obecné pojmy a principy hodnocení IT bezpe nosti a p edstavuje obecný
model hodnocení. Tato ást zárove
obsahuje postupy pro vyjad ování cíl
bezpe nosti IT, pro výb r a definování po adavk na bezpe nost IT, pro psaní
vysokoúrov ových specifikací na produkty a systémy. Navíc ke ka dé ásti CC
poskytuje její vyu itelnost/pou itelnost pro ka dou z cílových skupin.
2. ást – Po adavky na funk nost bezpe nosti
- ustanovuje soubor bezpe nostních funk ních komponent jako standardní zp sob
vyjád ení bezpe nostních po adavk na IT produkty a systémy. Katalog je
organizován do t íd, rodin a komponent.
3. ást – Po adavky na záruky bezpe nosti
- tato ást p edkládá katalog zavedených soubor hodnotících slo ek, které mohou být
pou ity jako sm rodatný zp sob vyjád ení hodnotících po adavk na IT produkty a
systémy. T etí ást má op t stejnou strukturu stejných t íd, rodin a komponent.
Zárove podává sedm úrovní záruky (Evaluation Assurance Levels – EALs), které
jsou nadefinovány jako balí ky component, které tvo í CC kálu pro hodnocení
ryhodnosti v bezpe nost IT produkt a systém .
Zú astn né strany, které by m ly mít zájem na certifikaci, jsou:
Zákazníci – CC hodnocení spl ují p ání a pot eby zákazník , proto e ta jsou základním d vodem
a ospravedln ním pro proces hodnocení. Výsledky pomohou v rozhodování, jestli ohodnocený
produkt/systém napl uje jejich bezpe nostní pot eby. CC poskytuje strukturu nezávislou na
implementaci, tedy Profily ochrany (Protection Profiles - PP), ve kterých jsou vyjád eny jejich
speciální po adavky na bezpe nostní opat ení IT.
Producenti a prodejci produkt – producenti pot ebují pochopit, jak PP fungují, proto e
srovnání s nimi je jedním z nejlep ích zp sob , jak zajistit, e produkt vyhovuje po adavk m
zákazníka. Ti, kte í vy adují CC certifikaci, pot ebují pochopit p ístup CC a jaký postup
hodnocení je od nich vy adován.
Hodnotitelé a kontrolo i – CC model poskytuje odd lení rolí hodnotitele a toho, kdo vydává
certifikát. Certifikáty jsou ud lovány na základ národního plánu hodnocení, který je realizován v
nezávislých hodnotících st ediscích (testovací laborato e).
Akredito i – jsou autoritou, která má zplnomocn ní ov it dosa ení po adavk bezpe nostního
standardu za pou ití CC. Akredito i musí porozum t, jak mohou být EAL pou ity, jako to
objektivní m ítko sni ování rizika, p i aplikování na kritické bezpe nostní funkce v IT
systémech.58
hem auditu m e být standard vyu it pro kontrolu, zda jsou ve firm nasazeny certifikované
produkty (hw i sw), tedy takové, které spl ují v eobecné po adavky na bezpe nost. Pou ití
takových produkt m e zna ným zp sobem pomoci sní it, jak je z ejmé z vý e uvedeného, míru
rizika pro celé e-business ení.
57
[CC]
58
[AIZ]
51
ení
Dal í podrobné informace jsou k dispozici na http://www.commoncriteria.com/index1.html
8.4 ISO/IEC 13335 GUIDELINES FOR THE MANAGEMENT OF IT SECURITY
ISO/IEC 13335 Sm rnice pro ízení IT bezpe nosti poskytuje návody pro ízení IT bezpe nosti v
organizaci. Není pouhým základem pro rozvíjení bezpe nostní architektury v rámci firmy
samotné, ale také prost edky pro zaji ní shody mezi organizacemi. Podle filosofie této sm rnice
se bezpe nosti IT dosahuje p edev ím pln ním mana erských funkcí, souvisejících s bezpe ností
IT jako integrální sou ásti pln ní globálního plánu správy organizace.
Standard se skládá z p ti ástí:
1.
ást – Koncepty a modely59
-
2.
edstavuje koncepty a modely pro bezpe nost nezávislé na typu firmy. Definuje
ízení bezpe nosti a po adavky na bezpe nost, její implementaci a správu. Tato ást je
výchozí pro dal í ásti sm rnice.
ást – ízení a plánování60
- definuje úkony, které musí organizace provést p ed zavedením i zm nou své politiky
zabezpe ení IT. Popisuje innosti týkající se ízení a plánování bezpe nosti IT, s tím
související role a odpov dnosti.
3.
ást – Techniky pro ízení bezpe nosti IT61
- popisuje a doporu uje techniky pro úsp né ízení bezpe nosti IT, resp. ICT, zvlá tní
raz je kladen na analýzu bezpe nostních rizik ve firm .
4.
ást – Výb r ochranných opat ení62
- rozebírá mo nosti r zných ení a seznamy bezpe nostních prost edk , zam uje se
na výb r vhodných ochranných opat ení podle pot eb firmy. Tyto prost edky se
mohou li it v d sledku národních legislativ.
5.
ást – Bezpe nost externího spojení (resp. sítí)63
-
8.5
í bezpe nostní problémy elektronické komunikace mezi firmami i ve ejností. Má
poskytnout návod k identifikaci a analýze faktor vztahujících se k bezpe nosti sítí a
komunikací.
ESKÉ PRÁVNÍ NORMY VZTAHUJÍCÍ SE K INFORMA NÍ BEZPE NOSTI
V pr hu bezpe nostního auditu je také d le ité zjistit, podle postupu mezinárodních standard ,
míru souladu s národními legislativními po adavky na zaji ní bezpe nosti údaj
zpracovávaných v automatizovaných systémech.Toto se samoz ejm vztahuje i na innost v rámci
e-business
ení. Zde si stru
p iblí íme zásadní právní normy platné v R, které se vztahují
k dané problematice.
59
[NCI1]
60
[NCI2]
61
[NCI3]
62
[NCI4]
63
[NCI5]
52
8.5.1
ení
Obecná právní úprava ochrany osob a obchodního tajemství
Obecn je ochrana osob a údaj osobní povahy dána l. 10 Listiny základních práv a svobod
(usnesení . 2/1993 Sb.), dále § 11, 12 a 13 Ob anského zákoníku (zákon . 40/1964 Sb.).
l. 10 LZPS64:
(1) Ka dý má právo, aby byla zachována jeho lidská d stojnost, osobní est, dobrá pov st a chrán no jeho
jméno.
(3) Ka dý má právo na ochranu p ed neoprávn ným shroma
údaj o své osob .
ováním, zve ej ováním nebo jiným zneu íváním
Ob anský zákoník65 – ochrana osobnosti
§11 Fyzická osoba má právo na ochranu své osobnosti, zejména ivota a zdraví, ob anské cti a lidské
stojnosti, jako i soukromí, svého jména a projev osobní povahy.
§12 (1) Písemnosti osobní povahy, podobizny, obrazoví snímky a obrazové a zvukové záznamy týkající se
fyzické osoby nebo jejích projev osobní povahy sm jí být po ízeny nebo pou ity pouze s jejím svolením.
§13 (1) Fyzická osoba má právo se zejména domáhat, aby bylo upu no od neoprávn ných zásah do práva na
ochranu její osobnosti, aby byly odstran ny následky t chto zásah a aby jí bylo dáno p im ené zadostiu in ní.
Hlava I, díl V Obchodního zákoníku (zákon .513/1991 Sb.)66 upravuje ochranu obchodního
tajemství.
§ 17 P edm tem práv nále ejících k podniku je i obchodní tajemství. Obchodní tajemství tvo í ve keré
skute nosti obchodní, výrobní, i technické povahy související s podnikem, které mají skute nou nebo alespo
potenciální materiální i nemateriální hodnotu, nejsou v p íslu ných obchodních kruzích b
dostupné, mají
být podle v le podnikatele utajeny a podnikatel odpovídajícím zp sobem jejich utajení zaji uje.
Zpracovatel dat osobní povahy a podnikatel nakládající s p edm tem obchodního tajemství má
proto povinnost zavést a pou ívat taková bezpe nostní opat ení, která zajistí ochranu t chto dat
ed zcizením, po kozením (úmyslným i neúmyslným) nebo zni ením.
8.5.2
Zákon .101/2000 Sb. o ochran osobních údaj
67
Zákon se vztahuje podle §3 na ve keré zpracování osobních údaj , a k n mu dochází
automatizovan nebo jinými prost edky. Z toho vyplývá, e údaje o zákaznících, zam stnancích,
obchodních partnerech a dal í, zpracovávané, pou ívané a uchovávané v e-business systémech
jsou také podrobeny tomuto zákonu. §4 vymezuje pojmy pou ité v rámci zákona – co/kdo je
•
osobní údaj,
•
citlivý osobní údaj,
•
anonymní údaj,
•
subjekt údaj ,
•
zpracování,
•
shroma
•
správce a zpracovatel osobních údaj ,
•
zve ejn ný osobní údaj.
64
[LZPS]
65
[Ob Z]
66
[ObchZ]
67
[ZOOÚ]
ování, uchovávání, blokování, likvidace osobních údaj ,
53
ení
Práva a povinnosti p i zpracování osobních údaj jsou obsa eny mimo jiné v §5, který stanovuje
povinnost ochrany osobních údaj :
§5 odst.(3) Provádí-li správce zpracování osobních údaj na základ zvlá tního zákona, je povinen dbát práva na
ochranu soukromého a osobního ivota subjektu údaj .
Povinnosti osob p i zabezpe ení osobních údaj jsou popsány v §13:
§13 Správce a zpracovatel jsou povinni p ijmout taková opat ení, aby nemohlo dojít k neoprávn nému nebo
nahodilému p ístupu k osobním údaj m, k jejich zm , zni ení i ztrát , neoprávn ným p enos m, k jejich
jinému neoprávn nému zpracování, jako i k jinému zneu ití osobních údaj . Tato povinnost platí i po ukon ení
zpracování osobních údaj .
Zákon .227/2000 Sb. o elektronickém podpisu68
8.5.3
Tento zákon upravuje pou ívání elektronické podpisu. D vod pro zde uvádíme tento zákon je, e
elektronický podpis podporuje po adavky informa ní bezpe nosti na nepopiratelnost a
prokazatelnost provedených operací a integritu dat/informace p ená ené komunika ními kanály
(nap . jednotlivými obchodními partnery, zákazníkem a firmou). V p ípad , e zpráva byla b hem
enosu pozm na, nebude p i ov ování elektronického podpisu souhlasit záv re ná kontrola a
tak se zjistí poru ení integrity zprávy (ale p tení zprávy neoprávn ným subjektem nikoliv).
Nicmén , ani pou ití zaru eného elektronického podpisu nechrání datovou zprávu p ed zji ním
jejího obsahu b hem p enosu. Proti tomu se lze chránit jen pou itím silného ifrování, úkolem
elektronického podpisu je zajistit integritu zprávy a umo nit ov it toto nost osoby, která
provedla ur itou operaci.
Podle §2 písm. a) tohoto zákona se elektronickým podpisem rozumí údaje v elektronické
podob , které jsou p ipojené k datové zpráv nebo jsou s ní logicky spojené a které umo ují
ov ení toto nosti podepsané osoby ve vztahu k datové zpráv . Dále jsou vymezeny pojmy
definované zákonem, co /kdo se rozumí
•
zaru eným elektronickým podpisem,
•
datovou zprávou,
•
podepisující osobou,
•
poskytovatelem certifika ních slu eb,
•
akreditovaným poskytovatelem certifika ních slu eb,
•
certifikátem,
•
kvalifikovaným certifikátem,
•
nástrojem elektronického podpisu,
•
akreditací atd.
Soulad s po adavky na podpis je ustanoven v §3:
§3 Soulad s po adavky na podpis
(1) Datová zpráva je podepsána, pokud je opat ena elektronickým podpisem.
(2) Pou ití zaru eného elektronického podpisu zalo eného na kvalifikovaném certifikátu a vytvo eného pomocí
prost edku pro bezpe né vytvá ení podpisu umo uje ov it, e datovou zprávu podepsala osoba uvedená na
tomto kvalifikovaném certifikátu.
Integrit datové zprávy p i pou ití zaru eného elektronického podpisu se v nuje § 4:
68
[ZElP]
54
ení
§4 Soulad s originálem
Pou ití zaru eného elektronického podpisu zaru uje, e dojde-li k poru ení obsahu datové zprávy od okam iku,
kdy byla podepsána, toto poru ení bude mo no zjistit.
§12 se v nuje nále itostem kvalifikovaného certifikátu, který je spl uje po adavek zaru eného
elektronického podpisu na jednozna nou identifikaci podepisující osoby. Kvalifikovaný certifikát
musí mimo jiné obsahovat
•
ozna ení, e je vydán jako kvalifikovaný certifikát podle zákona o elektronické podpisu,
•
jméno a p íjmení podepisující osoby nebo její pseudonym s p íslu ným ozna ením, e se
jedná o pseudonym,
•
po átek a konec platnosti kvalifikovaného certifikátu,
•
ípadn údaje o tom, zda se pou ívání kvalifikovaného certifikátu omezuje podle povahy
a rozsahu jen pro ur ité pou ití.
§17 stanovuje, co se rozumí prost edky pro bezpe né vytvá ení a ov ování zaru ených
elektronických podpis . Ty musí za pomoci odpovídajících technických a programových
prost edk a postup mimo jiné zajistit, e
•
data pro vytvá ení podpisu se mohou vyskytnout jen jednou a e jejich utajení je nále it
zaji no,
•
nesmí m nit data, která se podepisují,
•
podpis byl spolehliv ov en
•
ov ující osoba mohla spolehliv zjistit obsah podepsaných dat a
•
bylo mo né zjistit ve keré zm ny ovliv ující bezpe nost.
Bezpe nostní audit by m l ov it, zda-li jsou ve firm nasazeny a aktivn vyu ívány prost edky
pro uplatn ní elektronického podpisu, resp. zaru eného elektronického podpisu, v rámci vým ny
dat a informací mezi firmami, resp. firmami a jejich zákazníky.
Za zmínku jist stojí, e v sou asné dob v R je jediným akreditovaným poskytovatelem
kvalifikovaných certifikát , které jsou ze zákona nutnou podmínkou pro pou ívání zaru eného
elektronického podpisu, I.CA (I. certifika ní autorita, podrobné informace na http://www.ica.cz).
Záv r
V této záv re né kapitole jsme se v novali mezinárodním standard m, které lze vyu ít b hem
bezpe nostního auditu e-business ení a nastínili jsme si oblasti jejich p sobnosti. Zárove jsme
si p iblí ili n které normy eského právního ádu, které se zabývají informa ní bezpe ností.
55
ení
9 ZÁV R
ení je téma, které bude aktuání stejn dlouho jako samotná
existence tohoto typu nasazení po íta ových systém p i realizaci elektronického obchodu a
existenci elektronického podnikání. Zárove slo itost a náro nost auditu bude pravd podobn , jak
vyplývá ze sou asné situace, postupn nar stat s mno stvím vyu ívaných technologií a systém .
A také v d sledku chyb, které vznikají p i jejich vývoji, implementaci a provozu. V dy chybovat
je lidské. Av ak v p ípad odpov dného p ístupu k e-business
ení by chybovost systém ,
zap in ná nedokonalostí nás, jejich autor /implementátor /u ivatel , m la být v nejv í mo né
mí e sní ena, ideáln a zcela eliminována. Jak vyplývá z této studie, bezpe nostní audit je
krokem, který m e v tomto procesu výrazn pomoci.
Cíle, které jsme si definovali v úvodu se poda ilo splnit a tím i dosáhnout p edpokládaných
ínos , p edev ím
•
díky zpracování rozsáhlého objemu dostupné literatury bylo mo né na elementární úrovni
osv tlit, co je obsahem bezpe nostního auditu v kontextu e-business prost edí;
•
na základ definování nezbytných komponent utvá ejících e-business
ení se poda ilo
vymezit hlavní rozdíl mezi klasickým bezpe nostním auditem IS a bezpe nostním
auditem e-business ení. Ten jsme nalezli v auditu webových aplikací a server .
Domnívám se, e zde p edlo ené skute nosti, by m lo být mo né reáln aplikovat p i provád ní
bezpe nostního auditu. Je ov em z ejmé, e tato studie je pouhým úvodem, která poskytla hrubý
nástin toho, co skute ný bezpe nostní audit obná í.
Uv domuji si, e není v mo nostech této studie zabývat se n kterými tématy, které zde byly lehce
dotknuty, do detailu a s pozorností, jakou by zajisté zasluhovaly. Oblasti, kterým by mohla být
nována v í pozornost v samostatných studiích, by podle mého názoru mohly nap íklad být:
•
nástroje zaji ování bezpe nosti e-business
ení,
•
ízení rizik p i zaji ování chodu e-business
ení,
•
mezinárodní standardy týkající se r zných aspekt informa ní bezpe nosti.
V úvodu této studie nebyl zd vodn n výb r tohoto tématu pro zpracování bakalá ské práce. Proto
je na ase zmínit jej v záv ru, p edev ím jako varování pro p ípadné tená e, t eba je p ivede
k zamy lení nad skute ným významem bezpe nosti v dne ním virtuálním sv . D vodem byla
osobní zku enost se zneu itím p ístupových práv a nemorálním jednáním správce jednoho
nejmenovaného po tovního serveru. To vyvolalo hlub í zájem o otázky po íta ové bezpe nosti.
Je nutné upozornit, e, a je to zará ející, stejn naivními názory „trpí“ velká ást u ivatel
Internetu a po íta ových systém v bec. P itom neznalost nikoho neomlouvá. P esto e jsou
denn publikovány informace nejen na odborných serverech, ale i v b ných médiích, o nebezpe í
bezmezné (a naprosto nepodlo ené) d ry ve slo itost po íta a tedy jejich nedobytnosti,
znalost otázek po íta ové a internetové bezpe nosti je asto omezena na pov domí o „jakési“
existenci po íta ových vir . Kdyby tomu tak nebylo, v novalo by se obecn více pozornosti
udr ování dobré úrovn bezpe nosti, u jen z toho d vodu, e by takový p ístup vy adovali
samotní u ivatelé.
56
ení
10 LITERATURA
[AIZ]
Aizuddin, A. The Commnon Criteria ISO/IEC 15408 – The Insight, Some
Thoughts, Questions and Issues. SANS Institute. 2001 [pdf dokument]
http://www.sans.org/rr/papers/index.php?id=545 (16.4.2004)
[BASS]
Bassanese, P., Titteringotn, G. E-business without security is not an option.
1.2.2001. [www dokument] http://informit.com/articles/article.asp?p=130960
(10.3.2004)
[BAY]
Bayne, J. An Overview of Threat and Risk Assessment. SANS Institute 2002. [pdf
dokument] http://www.sans.org/rr/papers/index.php?id=76 (7.4.2004)
[CAN]
Canadian Commnunications Security Establishment. Canadian Handbook on
Information Technology Security, 15.5.1998. [pdf dokument] Http://www.csecst.gc.ca/en/documents/knowledge_centre/publications/manuals/ITSG-04e.pdf
(14.4.2004)
[CC]
Common Criteria. [www dokument]
http://csrc.nist.gov/cc/Documents/CC%20v2.1%20-%20HTML/PART1/Part145.htm (12.4.2004)
[CHI97]
Chisnall, W. R. Applying Risk Analysis Methods to University Systems. EUNIS
97, European Cooperation in Higher Education information Systems. Grenoble,
France. 9-11 September 1997. [www dokument]
http://www.lmcp.jussieu.fr/eunis/html3/congres/EUNIS97/papers/022701.html
(15.4.2004)
[CRA]
Craft, R., Wyss, G., Vandewart, R., Funkhouser, D. An Open Framework for Risk
Management. 21 st National Information Systems Security Conference
Proceedings. October 1998. [www dokument]
http://csrc.nist.gov/nissc/1998/proceedings/paperE6.pdf (15.4.2004).
[DOU1]
Doucet, M., Doucet, T. Control and Auditing. San Diego: Academic Press. 2003.
In: Encyclopedia of Information Systems, Volume I. Str. 287. ISBN 0122272412.
[DOU2]
Doucet, M., Doucet, T. Control and Auditing. San Diego: Academic Press. 2003.
In: Encyclopedia of Information Systems, Volume I. Str. 302 ISBN 0122272412.
[FEU1]
Feuerlicht, G. Working Papers: Unit 6 - E-Business Integration. P edná ka z cyklu
mezisemestrálního kurzu IT 475 Integration of enterprise applications, 22.24.1.2004. Str.3.
[FEU2]
Feuerlicht, G. Working Papers: Unit 1 - Introduction. P edná ka z cyklu
mezisemestrálního kurzu IT 475 Integration of enterprise applications, 22.24.1.2004. Str.4.
[FORD]
Ford, Douglas: 8 simple rules for securing your network. 12t September 2003,
GSEC practical assignment, version 1.4b. SANS Institute. [pdf dokument]
[GLO]
SANS Glossary of Security. [www dokument]
http://www.sans.org/resources/glossary.php (2.4.2004)
[HLA1]
Hlavá , J. Klasifikace informací jako hledisko p ístupu k systému. Praha: V E.
2002 [diplomová práce]. Str. 44
[INS1]
Insight Consulting. CRAMM Expert Management Overview datasheet. [pdf
dokument] http://www.cramm.com/downloads/CRAMM%202pp.pdf. (7.4.2004)
57
ení
[ISS]
Internet Security Systems. SCADA Networks and Process Management Systems
Utilizing ISO/IEC 17799 Standards (matrix). Internet Security Systems, Inc. 2004
[pdf dokument] http://documents.iss.net/marketsolutions/SCADABrochure.pdf
(1.4.2004)
[JOH1]
Johnston, M. How to Perform a Security Audit – Part 1. [www dokument]
http://www.informit.com/articles/article.asp?p=24608 (24.3.2004)
[JOH2]
Johnston, M. How to Perform a Security Audit – Part 2. [www dokument]
http://www.informit.com/articles/article.asp?p=24603 (24.3.2004)
[KEE]
Keeling, Ch., O’Reilly, S. Business Continuity in the E-Commerce Environment.
Str. 5-6. [pdf dokument]
http://www.insight.co.uk/downloads/whitepapers/BC%20in%20eCommerce.pdf
(8.4.2004)
[KOZ]
Kozák, David, Tichá, Lenka: Goliá s prakem (obchodní et zce za ínají brát
internet vá ). In: E-biz, únor 2004, str. 36-39. ISSN 1213-063X
[KRI]
Krishni, N. Web Application Checklist. [pdf dokument]
http://www.sans.org/score/checklists/WebApplicationChecklist.pdf (13.4.2004)
[LEE]
Lee, Jae Kyu: Business-to-Business Electronic Commerce. In: Encyclopedia of
Information Systems, Volume I. 2003. Str. 81-97. ISBN
[LZPS]
Usnesení .2/1993 Sb., Listina základních práv a svobod. Ostrava-Habr vka: Ji í
Motloch – Sagit. Str. 14. ISBN 80-7208-257-4.
[MAY1]
Mayall, R. The Internet, e-commerce and BS 7799. Str. 7. [pdf dokument]
http://www.insight.co.uk/downloads/whitepapers/eCommerce%20and%20BS7799
.pdf (8.4.2004)
[MAY2]
Mayall, R. The Internet, e-commerce and BS 7799. Str. 3-4. [pdf dokument]
http://www.insight.co.uk/downloads/whitepapers/eCommerce%20and%20BS7799
.pdf (8.4.2004)
[MEL]
Melymuka, K. How to Do an IT Security Audit. Computerworld. [www
dokument] Http://www.computerworld.com/printthis/2003/0,4814,78005,00.html
(21.3.2004)
[MIK]
Miko, K. Systémový bezpe nostní audit. [www dokument]
http://www.systemoline.cz/site/bezpecnost/miko5.htm (17.4.2004)
[NCI1]
InterNational Commitee for Information Technology Standards. Project 888,
ISO/IEC 13335-1:1996. [www dokument] http://www.ncits.org/scopes/888_1.htm
(16.4.2004)
[NCI2]
(16.4.2004)
[NCI3]
(16.4.2004)
[NCI4]
(16.4.2004)
58
ení
[NCI5]
(16.4.2004)
[Ob Z]
Zákon .40/1964 Sb., ob anský zákoník. Ostrava-Habr vka: Ji í Motloch – Sagit.
Str. 8. ISBN 80-7208-287-6.
[NIS1]
NIST´s Information Technology Laboratory.Computer Security : Use of the
Common Vulnerabilities and Exposures (CVE) Vulnerability Naming Scheme.
[pdf dokument] http://csrc.nist.gov/publications/nistpubs/800-51/sp800-51.pdf
(20.4.2004)
[NIS2]
NIST´s Information Technology Laboratory. International Standard ISO/IEC
17799:2000 Code of Practice for Information Security Management: Frequently
Asked Questions. National Institute of Standards and Technology. 2002. [pdf
dokument] http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf
(16.4.2004)
[ObchZ]
Zákon .513/1991 Sb., obchodní zákoník. Ostrava-Habr vka: Ji í Motloch – Sagit.
Str. 10. ISBN 80-7208-282-5.
[RAC]
Risk Analysis Consultants. Metoda CRAMM. [www dokument]
http://www.rac.cz/rac/homepage.nsf/0/70827b8dd6978a54c1256aed002dd03a?Op
enDocument (23.4.2004)
[SANC]
Sanctum AppScan DE 1.7.
http://www.aspnetpro.com/productreviews/2003/11/asp200311km_p/asp200311k
m_p.asp [www dokument] (20.4.2004)
[YAZ]
Yazar, Zeki: A qualitative risk analysis and management tool – CRAMM. GSEC
practical assignment, version 1.3. SANS Institute 2002. [pdf dokument]
[ZElP]
Zákon .101/2000 Sb. o ochran osobních údaj . [www dokument]
http://business.center.cz/právo/zákony/oou.asp (2.12.2003)
[ZOOÚ]
Zákon .227/2000 Sb. o elektronickém podpisu. [www dokument]
http://business.center.cz/pravo/zakony/epodpis.asp (16.12.2003)
59
ení
11 TERMINOLOGICKÝ SLOVNÍK
Soubor, do kterého jsou zaznamenávány
události; tyto záznamy lze vyu ít v rámci
identifikace neobvyklého chování
systému, p iny výskytu chyby aplikace
apod.
Audit log
B2C EC
business-to-consumer e-commerce
elektronický obchod mezi firmami a
jednotlivými spot ebiteli
B2B EC
business-to-business e-commerce
elektronický obchod mezi firmami
CPU
Central Processing Unit
procesor po íta e
e-exchange
electronic exchange
elektronická burzy je typ e-tr
, kde
mnoho kupujících obchoduje s mnoha
prodávajícími
e-marketplace
electronic marketplace
elektronické tr
, které zobrazuje
elektronické katalogy dodavatel ,
akceptuje objednávky, podporuje pln ní
objednávek a n kdy i elektronické platby
ERP
enterprise resource planning
systém pro plánování firemních zdroj –
financí, lidských zdroj , materiálu. zásob
atd.
sí zalo ená na internetových
technologiích, která spojuje organizace
s jejich partnery
extranet
FTP
File Transfer Protocol
standardní protokol Internetu pro p enos
soubor z po íta e na po íta
HTML
HyperText Markup Language
jazyk pro vytvá ení hypertextových
dokument
HTTP
HyperText Transfer Protocol
protokol pro p enos dokument v
Internetu
ICT
information and
technologies
IS
information system
communication informa ní a komunika ní technologie
informa ní systém
vnit ní podniková sí , která umo uje
komunikaci v rámci firmy, není p ístupná
zven í
intranet
J2EE
Java 2 Enterprise Edition
vývojá ská platforma pro jazyk Java, také
pro vývoj serverových komponent
LAN
Local area network
lokální po íta ová sí
OS
Operation System
opera ní systém
report
auditní zpráva vygenerovaná
automatizovaným auditním nástrojem
60
sm rova paket v sítích TCP/IP,
edává pakety mezi r znými ástmi sít
router
SMTP
ení
Simple Mail Transfer Protocol
protokol pro posílání elektronické po ty
protokol pro komunikaci vyu ívající
HTTP a XML
SOAP
TCP/IP
Transmission
Control mno ina aplika ních a transportních
Protocol/Internet Protocol
protokol , které b í nad IP vrstvou
(zahrnuje FTP, Telnet, UDP, SMTP)
VPN
virtual private network
virtuální soukromá sí , slou ící pro
bezpe ný p enos dat v rámci organizace
webová slu ba – libovolná slu ba
provád ná prost ednictvím rozhraní
WSDL (Web Service Definition
Language) p es sít, vyu ívající protokol
SOAP p ená ející XML data
Web service
WWW/web
World Wide Web
systém propojení informa ních uzl v síti
Internet, zalo ený na hypertextu
XML
eXtensible Markup Language
zna kovací jazyk pro vytvá ení
strukturovaných dokument
61
12
ení
ÍLOHY
1. Security Audits / Vulnerability Assessments by Security Space –
http://www.securityspace.com/smysecure/last30.html (22.4.2004)
2. AuditPro for Windows Consolidated Report by Network Intelligence India –
http://www.nii.co.in/apwin/firstpage.html (28.4.2004)
3. Výb r z kontrolního seznamu organizace SANS pro bezpe nostní audit podle standardu
BS 7799/ISO 17799 – http://www.sans.org/score/checklists/ISO_17799_checklist.pdf
(13.4.2004)
4. Výb r z kontrolního seznamu organizace SANS pro bezpe nostní audit Oracle databáze –
http://www.sans.org/score/checklists/Oracle_Database_Checklist.pdf (13.4.2004)
5. Výb r z kontrolního seznamu organizace SANS pro bezpe nostní audit firewallu –
http://www.sans.org/score/checklists/FirewallChecklist.pdf (13.4.2004)
6. Retina – The Network Security Scanner (whitepaper) –
http://www.amtsoft.com/retina/docs/retina_wp.pdf (1.4.2004)
62

Bezpečnostní audit e

Transkript

Podobné dokumenty

Bezpečnost informačních systémů

databázový server firebird instalace,konfigurace

Neceliakální glutenová senzitivita

Ceník Vulkan Lokring nářadí pro servis 2016

Ceník Vulkan Lokring chlazení a klimatizace

auditpro70cz-96.

Kvantifikace biodiverzity - Katedra genetiky,šlechtění a výživy

Ceník chlazení a klimatizace 2011

PŘÍRUČKA ADMINISTRÁTORA SYSTÉMU

příručka administrátora systému

Bakalářská práce - Unicorn College

AQHA Certificate of Reglstfatlon

novinky 2016 Stránka 1

Kombinované namáhání 1