Aplikační bezpečnost
Ing. Vladimír Lazecký
vladimir.lazecky@viavis.cz
− Představte si, že:
− Jste management renomované banky
− Otevíráte nové business příležitosti – krypto měny
− Potřebujete vyvinout SW pro trading kryptoměn
− Víte, že jako banka potřebujete záruku vysoké bezpečnosti
− Úkol:
− Připravte zadání pro externí SW firmu – specifikace bezpečnostních
požadavků
− Definujte, jak ověříte splnění zadání SW firmou u hotového SW
− Zadání prezentujte
Pojďme si hrát
− Představte si, že:
− Jste management SW firmy, 30 zaměstnanců
− Získali jste zakázku banky na vývoj systému tradingu krypto měn
− Banka specifikuje extrémní bezpečnostní požadavky – máme je
− Navrhněte, jak budete postupovat a jak požadavky naplníte
− Jaké máte limity?
− Co vše musíte ošetřit?
− Svůj návrh odprezentujte
Pojďme si hrát
− Aplikační bezpečnost je průšvih
− Neexistují vše řešící metodiky a postupy
− Často se aplikační bezpečnost zužuje na testování
− Víra
− Nejsem expert, nabízím zkušenosti
− Vývoj šifrovací komunikační platformy
− Mnoho chyb…
Smysl hry
− Co je a co není bezpečnost?
− Informační a kybernetická bezpečnost?
− Co je důvodem pro bezpečnost
Malé opakování
− Bezpečnost není stav – častý omyl (nic není absolutně bezpečné)
− Je vlastnost aktiva určená svou mírou – schopností odolávat hrozbám
− Neexistuje „oddělená bezpečnost“
− BOZP
− Informační
− Kybernetická
− Fyzická
− Personální
− Krizová
− Administrativní
− Procesní
− …
Základní pojmy – bezpečnost
− Bezpečnost = zajištění důvěrnosti, dostupnosti a integrity informace
ISO/IEC 27001
− Důvěrnost – zajištění přístupu k informacím pouze oprávněným osobám
− Dostupnost – zajištění přístupu k informacím v požadovaném čase
− Integrita – zajištění celistvosti a neměnnosti informace:
− Zobrazená data jsou totožná se zdrojovými
− Data jsou kompletní, nic nechybí
− Neexistují osiřelá data (SPZ bez auta…)
− Zachování dat v jejich definované struktuře
− Zabezpečení dat u prováděných změn:
− Odolnost proti neoprávněným změnám
− Identifikace pokusů o neoprávněnou změnu
Základní pojmy – bezpečnost informace
− Bezpečnost - ochrana informací:
− Během jejich vzniku, zpracování, ukládání, přenosu a likvidace
− Využitím logických, technických, fyzických a organizačních opatření
− Všechny aspekty musí být v souladu:
− Technická bezpečnost x chování uživatele
− Bezpečnost x komfort užívání
− Nesoulad generuje hrozby
Základní pojmy – bezpečnost informace
− Bezpečnost není jen funkcí systémů zpracovávajících informace
− Bezpečnost systému není pouze funkcí bezpečnosti jednotlivých komponent
− Bezpečný celek není pouhé sestavení z bezpečných prvků
− Požadavky na bezpečnost systému:
− Systém jehož činnost nezpůsobuje nebezpečné stavy
− Každá porucha vede bezpečným směrem
− Míra bezpečnosti x míra spolehlivosti
− Bezpečnostní incidenty lze identifikovat
− Je definována míra bezpečnosti
Základní pojmy – bezpečnost systému
− Komplexní zajištění bezpečnosti:
− Informací
− Systémů
− Uživatelů
− Poskytovaných služeb
− Na výše uvedeném závislých aktiv:
− Businessu
− Ekonomiky
− Organizací
− Státu
− Jednotlivců
− …..
Kybernetický prostor – bezpečnost
− Zajištění stanovené míry bezpečnosti:
− Důvěrnosti
− Dostupnosti
− Integrity
− Během životního cyklu SW:
− Vývoj
− Provozování
− Release cykly
− Ukončení užívání
Aplikační bezpečnost – bezpečnost aplikací
− Unikátnost informačních systémů
− Neexistují dva identické systémy
− Kombinace HW, OS, SW
− Data
− Procesy a kultura užívání
− Uživatelé
− Problém testování…
Trochu motivačního úvodu
− Zjednodušené zúžení:
− Testování aplikací
− Funkční testy
− Validační testy
− Integrační testy
− Výkonové testy
− Penetrační testy
Aplikační bezpečnost – těžké téma
− TCSEC – Trusted Computer System EvaluaSon Criteria
− US standard od roku 1983
− Definice úrovně bezpečnosk:
− D – Minimální ochrana (Minimal Proteckon)
− C1 – Oddělovaná bezpečnostní ochrana (Discrekonary Security
Proteckon)
− C2 – Kontrolovaná ochrana přístupu (Controlled Access Proteckon)
− B1 – Označovaná bezpečnostní ochrana (Labeled Security Proteckon
− B2 – Strukturovaná ochrana (Structured Proteckon)
− B3 – Bezpečnostní domény (Security Domains)
− A1 – Ověřený design (Verified Design).
Standardy pro aplikační bezpečnost
− Od roku 1990
− Opět nejde o standard pro bezpečný vývoj
− 7 úrovní bezpečnostních hodnocení aplikací E0 – E6
− Ověřování se provádí pomocí testování
ITSEC – Information Technology Security Evaluation Criteria
− Od roku 1999 jako ISO standard
− Opět validace a testování
− Posuzování a hodnocení funkcionality
− Hodnocení implementace – významný posun
− CC budou v samostatné přednášce
ISO 15 408 – Common Criteria for Information Technology Security
Evaluation
− Black box?
− Crystal box?
− Problém kombinace pro SW vývojáře…
Black box x crystal box
− Mnoho metodik
− Zjednodušeně:
− Specifikace požadavků
− Návrh
− Kódování
− Testování
− Dokumentace
Vývoj SW
− Jak stanovit míru bezpečnosti
− Jak ji ověřit
− Jak ji udržet
− Destabilizující prvek – zpětná kompatibilita
Problémy SW vývoje
− Do vývoje vstupuje:
− Požadavky na SW
− Technika:
− Vývojové nástroje, HW
− Lidský faktor
− Klient
− Vývojáři
− Testeři
− Uživatelé
− Správci
− Business model
− Plánovaný životní cyklus
Vývoj SW
− Klíčová otázka:
− Jak zkontrolujete vývojáře? Analytika…
− Jak postavíte vývojový tým?
− Jaké role lze/nelze slučovat?
− (Architekt, analytik, vývojář, tester, tvorba dokumentace, implementátor,
podpora…)
Netechnické téma – lidský faktor
− Několik zásad:
− Překryv a zálohování rolí
− Nastavení procesů osobní odpovědnosX
− MoXvační a kontrolní systém
− Dokonalé právní zajištění
Skladba týmu
− Pro bezpečnost aplikací je zásadní
− SW je autorské dílo
− Kdo je autorem?
− Jaká má práva autor?
Právní zajištění – znáte autorský zákon? Zákon č. 121/2000 Sb.
− Počítačový program – software je autorské dílo
− Autorem je vždy fyzická osoba
− Může jít o kolektivní autorské dílo – spoluautoři
− Autorská práva – osobnostní práva, nelze se jich vzdát
Právní zajištění –autorský zákon č. 121/2000 Sb.
− Autor má právo – osobnostní práva:
Právní zajištění – znáte autorský zákon? Zákon č. 121/2000 Sb.
hqps://www.zakonyprolidi.cz/cs/2000-121#cast1
Právo na nedotknutelnost
− Majetková práva
− Právo dílo šířit
− Právo dílo užít
− …
− Vykonavatel majetkových práv autorů
− Může být právnická osoba
− Může být zaměstnavatel
− ALE…
Právní zajištění –autorský zákon č. 121/2000 Sb.
− ALE:
− Zaměstnavatel prokazuje, že dílo je plnění prac. úkolu
− Vytvoření díla externisty na objednávku
− POZOR na právo nedotknutelnosti
− Extrémní situace:
− SW vytvořený v pracovní době bez úkolu
− Významná bezpečnostní rizika
Právní zajištění – autorský zákon č. 121/2000 Sb.
− Vady SW
− Pokud není sjednáno, vada neexistuje
− Vada = rozpor mezi dokumentací a reálným stavem
− (Pokud dokumentace existuje…)
− POZOR na právní vady
− Užití „stažených“ knihoven, ověření licencí
− Omezení způsobu užití
− Záruka a odpovědnost za vady
Právní zajištění – autorský zákon č. 121/2000 Sb.
Máte nějaké dotazy?
Děkuji za pozornost
Ing. Vladimír Lazecký