Skip to content

Commit

Permalink
MPC-CT3: Otázka 10
Browse files Browse the repository at this point in the history
  • Loading branch information
@kamen-u-cesty @jedla97
kamen-u-cesty authored and jedla97 committed May 25, 2023
1 parent 39f5f0d commit de84dca
Showing 1 changed file with 111 additions and 84 deletions.
195 changes: 111 additions & 84 deletions MPC-CT3/text.tex
View file
Original file line number Diff line number Diff line change
Expand Up @@ -616,85 +616,131 @@ \subsubsection{Path traversal}


\clearpage
\section{Standardy v kyberbezpečnosti (ISO, PCI DSS, FIPS, známé organizace), certifikace a hodnocení kyberbezpečnosti (Common Criteria, OWASP).}

\subsection{Standardy v kyberbezpečnosti}
Standardizace a normy v oblasti bezpečnosti ustanovují hlavně:
\begin{itemize}
\item International Organization for Standardization (ISO) a International Electrotechnical Commission (IEC)
\item Národní organizace (NIST, BSI, BS, ...)
\section{Standardy v~kyberbezpečnosti (ISO, PCI DSS, FIPS, známé organizace), certifikace a hodnocení kyberbezpečnosti (Common Criteria, OWASP).}

Kybernetickou bezpečnost je možné rozdělit na:
\vspace*{-1em}\begin{itemize}
\item softwarovou bezpečnost,
\item počítačovou bezpečnost (OS, data),
\item síťovou bezpečnost (rozhraní, protokoly),
\item fyzickou (přístupové a dohledové systémy),
\item bezpečnost procesů a řízení bezpečnosti informací.
\end{itemize}
Hodnocení bezpečnosti by mělo korespondovat s~předpisy a~normami.

\subsubsection{ISO}
Norma – standard ISO/IEC 27001:
\begin{itemize}
\item Součást rodiny ISO/IEC 27000.
\item Definuje požadavky na systém managementu bezpečnosti informací, především pak řízení bezpečnosti důvěry informací pro zaměstnance, procesy, IT systémy a strategii firmy.
\item Samostatná specifikace systému bezpečnosti informací (tzv. ISMS).
\end{itemize}
Standartizace a~normy v~oblasti bezpečnosti ustanovují hlavně
ISO (\emph{International Organizatio for Standartization}),
IEC (\emph{International Electrotechnical Comission}) a~národní organizace (NIST, BSI, \dots).

\subsubsection{PSI DSS}
Bezpečnostní standard PCI DSS (Payment Card Industry Data Security Standard) představuje mezinárodní pravidla, definující podmínky nakládání s údaji držitelů platebních karet, které jsou obsaženy na platebních kartách.

Cílem PCI DSS je omezit rizika úniků dat a snížit jejich zneužití.
\subsection{ISO/IEC 27001}

PCI DSS charakteristika:
\begin{itemize}
\item modelový rámec pro zajištění bezpečnosti
\item nejvhodnější postupy k minimalizaci rizika odcizení dat
\item vyžadováno kartovými asociacemi a společnostmi, které zpracovávají, přenášejí nebo uchovávají data držitelů platebních karet
\end{itemize}
Norma ISMS (\emph{Information Security Management Systems}) je součást rodiny ISO/IEC 27k.
Definuje požadavky na~systém managementu bezpečnosti informací, především řízení bezpečnosti důvěry informací pro~zaměstnance, procesy, IT systémy a firemní strategie.

PCI DSS specifikuje 12 požadavků pro splnění, které jsou organizovány do 6 základních skupin:
Norma rozlišuje pět skupin informačních aktiv: informace, hardware, software, prostory, lidé.

1. Vytvořit a udržovat bezpečnou síť a systémy.

2. Chránit data uživatele karty.
\subsection{PSI DSS}

3. Udržovatel program managementu zranitelností.
Bezpečnostní standard PCI DSS (\emph{Payment Card Industry Data Security Standard}) představuje mezinárodní pravidla definující podmínky nakládání s~údaji držitelů platebních karet.
Cílem je omezit rizika úniků dat a~snížit jejich zneužití.

4. Implementovat silné metody kontroly přístupu.
PCI DSS je modelový rámec pro~zajištění bezpečnosti který určuje nejvhodnější postupy pro~minimalizaci rizika odcizení dat.
Bývá vyžadován kartovými asociacemi a~společnostmi které zpracovávají, přenášejí nebo uchovávají data držitelů platebních karet.

5. Pravidelně monitorovat a testovat sítě.
PCI DSS specifikuje dvanáct požadavků pro~splnění, které jsou organizovány do~šesti základních skupin:
\vspace*{-0.5em}\begin{enumerate}
\item Vytvořit a udržovat bezpečnou síť a systémy.
\item Chránit data uživatele karty.
\item Udržovatel program managementu zranitelností.
\item Implementovat silné metody kontroly přístupu.
\item Pravidelně monitorovat a testovat sítě.
\item Udržovat bezpečnostní politiku informačních systémů.
\end{enumerate}

6. Udržovat bezpečnostní politiku informačních systémů
Požavky na PCI DSS jsou:
\vspace*{-0.5em}\begin{enumerate}
\item Instalace a údržba konfigurace firewallu pro ochranu dat uživatelů karet (tj. uživatelská data).
\item Nepoužívat defaultní hesla a jiné parametry nastavené prodejcem/dodavatelem komponent.
\item Ochrana uložených dat uživatelů karet.
\item Šifrování přenosu uživatelských dat přes otevřené spoje a veřejné sítě.
\item Celková ochrana všech systémů proti malware včetně pravidelných updatů AV programů.
\item Vývoj a údržba bezpečnostních systémů a aplikací.
\item Omezení přístupu k uživatelským datům na potřebné minimum nutného k provedení služby.
\item Identifikace a autentizace přístupu k systémovým komponentům.
\item Omezení fyzického přístupu k uživatelským datům.
\item Sledování a monitorování všech přístupů k síťovým zdrojům a uživatelským datům.
\item Pravidelné bezpečnostní testování systémů a procesů
\item Zajištění pravidel adresující informační bezpečnost pro fyzické osoby.
\end{enumerate}

12 požadavků PCI DSS:

1. Instalace a údržba konfigurace firewallu pro ochranu dat uživatelů karet (tj. uživatelská data).
\subsection{Metodiky hodnocení bezpečnosti zařízení a~systémů}

2. Nepoužívat defaultní hesla a jiné parametry nastavené prodejcem/dodavatelem komponent.
\subsubsection{OWASP}

3. Ochrana uložených dat uživatelů karet.
\emph{Open Web Application Security Project} je celosvětová nezisková organizace zaměřená na~softwarovou bezpečnost.
Veškeré jimi vydávané dokumenty a~software jsou volně dostupné.

4. Šifrování přenosu uživatelských dat přes otevřené spoje a veřejné sítě.
Dokumentační projekty:
\vspace*{-0.5em}\begin{itemize}
\item OWASP Application Security Verification Standard: testování a bezpečný vývoj webových aplikací.
\item OWASP AppSensor: framework a~metodologie pro~implementaci detekce průniku.
\item OWASP Software Assurance Maturity Model (SAMM): open framework pro~organizace pro~zajištění software security.
\item OWASP Top Ten: awareness dokument pro~bezpečnost webových aplikací.
\item OWASP Testing Guide: \emph{best practice} penetration testing framework.
\end{itemize}

5. Celková ochrana všech systémů proti malware včetně pravidelných updatů AV programů.

6. Vývoj a údržba bezpečnostních systémů a aplikací.
\subsubsection{Common Criteria}

7. Omezení přístupu k uživatelským datům na potřebné minimum nutného k provedení služby.
Standard ISO/IEC 15408 pro~certifikaci a hodnocení produktů počítačové bezpečnosti.
CC dávají jistotu že se proces specifikace, implementace a hodnocení bude řídit přísným a standardizovaným způsobem.

8. Identifikace a autentizace přístupu k systémovým komponentům.
Dává jistotu, že proces specifikace, implementace a hodnocení produktu počítačové bezpečnosti se bude řídit přísným a standardizovaným způsobem:
\vspace*{-0.5em}\begin{itemize}
\item Požadavky na~specifikaci mohou snášet samotní uživatelé (komunity), bezpečnostní atributy a implementaci zajišťují výrobci produktů.
\item Testovací laboratoře musí vyhovět ISO 17025 (kontrolováno národní schvalovací autoritou, např. BSI nebo NIST).
\end{itemize}

9. Omezení fyzického přístupu k uživatelským datům.
Součásti tohoto procesu jsou:
\vspace*{-0.5em}\begin{itemize}
\item
Cíl hodnocení (TOE, \emph{Target of Evaluation}):
produkt nebo systém, který je předmětem hodnocení.
\item
Ochranný profil (PP, \emph{Protection Profile}):
identifikuje bezpečnostní požadavky pro~určitou třídu zařízení a který je příslušný danému uživateli ke~konkrétnímu účelu.
\item
Bezpečnostní cíl (ST, \emph{Security Target}):
identifikuje bezpečnostní vlastnosti cíle hodncení.
Může se vztahovat na~jeden nebo více ochranných profilů.
\item
Úroveň bezpečnosti (EAL, \emph{Evaluation Assurance Level}):
specifikuje výslednou úroveň.
Každá úroveň EAL odpovídá balíčku SAR, který pokrývá kompletní vývoj produktu s~danou úrovní přísnosti.
\end{itemize}

10. Sledování a monitorování všech přístupů k síťovým zdrojům a uživatelským datům.

11. Pravidelné bezpečnostní testování systémů a procesů
\subsubsection{FIPS}

12. Zajištění pravidel adresující informační bezpečnost pro fyzické osoby.
FIPS 140-2 je standard který definuje bezpečnostní požadavky na~kryptografické moduly a~jejich software a~hardware komponenty.

\subsubsection{FIPS}
FIPS 140-2 (FIPS PUB 140-2) je standard, který definuje bezpečnostní požadavky a standardy na kryptografické moduly a jejich SW a HW komponenty.
Definuje čtyři úrovně bezpečnosti (\emph{Security Levels}):
\begin{enumerate}
\item
Základní bezpečnostní požadavky pro~moduly.
Bez specifikace fyzické bezpečnosti.
\item
Specifikuje také požadavky na~fyzickou bezpečnost modulu (např. ochrany proti manipulaci, \emph{tamper-evident} ochrany, zabezpečení úložiště klíčů atp.)
\item
Specifikuje také požadavky na~bezpečnost kritických bezpečnostních parametrů v~modulu.
Zajištění smazaní parametrů při~detekci průniků atd.
\item
Nejvyšší úroveň; kompletní fyzická bezpečnost proti aktivním útočníkům.
\end{enumerate}

FIPS 140-2 definuje 4 úrovně bezpečnosti (Security Level):
\begin{itemize}
\item Level 1 – nejnižší úroveň bezpečnosti. Základní bezpečnostní požadavky pro moduly. Bez specifikace fyzické bezpečnosti.
\item Level 2 – nad levelem 1 specifikuje i požadavky na fyzickou bezpečnost modulu (např. ochrany proti manipulaci, tamper-evident ochrany, zabezpečení úložiště klíčů atp.)
\item Level 3 – nad levelem 2 specifikuje i požadavky na bezpečnost kritických bezpečnostních parametrů v modulu. Zajištění smazaní parametrů při detekci průniků atd.
\item Level 4 – nejvyšší úroveň, nad levelem 3, kompletní fyzická bezpečnost proti aktivním útočníkům.
\end{itemize}

\subsubsection{Známé organizace}
Známé národní organizace pro bezpečnost:
Expand All @@ -706,42 +752,23 @@ \subsubsection{Známé organizace}
\item Federal Information Processing Standards (FIPS) – USA
\end{itemize}

\subsection{certifikace a hodnocení kyberbezpečnosti}

\subsubsection{Common Criteria}
Jedná se o mezinárodní standard (ISO/IEC 15408) pro certifikaci a hodnocení produktů počítačové bezpečnosti.


CC vzniklo ze tří standardů: ITSEC (EU), CTCPEC (CA) a TCSE (USA).

Common Criteria dává jistotu, že proces specifikace, implementace a hodnocení produktu počítačové bezpečnosti se bude řídit přísným a standardizovaným způsobem:
\begin{itemize}
\item Požadavky na specifikaci mohou snášet samotní uživatelé (komunity), bezpečnostní atributy a implementaci zajišťují výrobci produktů.
\item Testovací laboratoře musí vyhovět ISO 17025 (kontrolováno národní schvalovací autoritou, např. BSI nebo NIST).
\end{itemize}
\subsection{Legislativa}

Výsledkem CC je EAL:
Zákon č.~181/2014 Sb., o~kybernetické bezpečnosti stanovuje subjekty kterých se týká (poskytovatelé elektronických komunikačních služeb, významné sítě, kritická infrastruktura) a určuje povinnosti, vymezuje pojmy, určuje úlohy národních organizací (NBÚ, NÚKIB).

Úroveň ohodnocení bezpečnosti ujištění - Evaluation Assurance Level (EAL) - specifikuje hloubku (úroveň) ohodnocení. Každá úroveň EAL odpovídá balíčku SAR, který pokrývá kompletní vývoj produktu s danou úrovní přísnosti. CC určuje 7 úrovní EAL, od nejzákladnější EAL 1 (nejlevnější na implementaci a hodnocení), končí nejpřísnější EAL 7 (nejdražší). Nově i tzv. „+“ úrovně (14 úrovní).

\subsubsection{OWASP}
OWASP = Open Web Application Security Project.
Vyhláška č.~316/2014 Sb., o~kybernetické bezpečnosti definuje pojmy uvedené obecněji v~ZoKB.
Obsahuje výčet konkrétních opatření které jsou dotčené organizace povinny učinit aby splnily jednotlivé body zákona.

Celosvětová nezisková organizace zaměřená na softwarovou bezpečnost.
Vyhláška č.~317/2014 Sb., o~významných informačních systémech konkrétně stanovuje na~koho se kybernetický zákon vztahuje.

Veškeré dokumenty a SW jsou volně dostupné.

Hlavní nástroje:
\begin{itemize}
\item Zed Attack Proxy (ZAP) - skener zranitelností u web. aplikací.
\item Web Testing Environment (WTE) – sada nástrojů pro zajištění bezpečnosti web. aplikací.
\end{itemize}
\subsubsection{Legislativa ve~světě}

Dokumentační projekty:
\begin{itemize}
\item OWASP Application Security Verification Standard - pro testování a bezpečný vývoj web. aplikací.
\item OWASP AppSensor - framework a metodologie pro implementaci detekce průniku.
\item OWASP Software Assurance Maturity Model (SAMM) - open framework pro organizace pro zajištění software security.
\item OWASP Top Ten - awareness dokument pro bezpečnost web. aplikací.
\item OWASP Testing Guide - "best practice" penetration testing framework.
\end{itemize}
NIST (\emph{National Institute of Standards and Technology}, USA),
ANSI (\emph{American National Standards Institute}, USA),
BSI (\emph{British Standards Institution}, UK),
BSI (\emph{Bundesamt für Sicherheit in der Informationstechnik}, DE),
FIPS (\emph{Federal Information Processing Standards}, USA),
ENISA (\emph{European Union Agency for Cybersecurity}, EU),
PCI DSS (\emph{Payment Card Industry Data Security Standards}.

0 comments on commit de84dca

Please sign in to comment.