Varnost informacij - University of Ljubljana · 2007. 6. 4. · visoka varnost posameznih členov še ne zagotavlja visoke skupne varnosti (npr. kriptografija je potrebna, ni pa zadostna),

Varnost informacij2006/07, V1.0

Emil HudomaljMedicinska fakulteta, Univerza v Ljubljani

Emil Hudomalj, Medicinska fakulteta, Univerza v Ljubljani 2

Cilji predavanjakrepitev zavesti o potrebi po varovanju informacij v zdravstvuspoznati nekatere pravne okvireopredeliti varnostne pojme spoznati nekatere rešitve in pristope


VsebinaZakoni in standardiVarnostne zahteve in mehanizmiVloga posameznikaVarnostna politika


Pregled napadov skozi časvčasih – obdobje vandalizma:

zakaj: slavaizbira ciljev: naključno (za potrebe slave)kraja podatkov: je niobjava vdorov: se objavljajo in hvalijo

danes - obdobje denarja:zakaj: finančna korist (za naročnika in izvajalca)izbira ciljev: naključno zbiranje ciljevkraja podatkov: kraja identitet za potrebe (usmerjenega) oglaševanjaobjava vdorov: ni objav

jutri - obdobje ‘politike’:zakaj: doseganje ciljev z uporabo varovanih podatkov (diskreditacija,

zdravstveni podatki)izbira ciljev: usmerjeno (izbrane organizacije in posamezniki)kraja podatkov: kraja izbranih informacijobjava vdorov: ni objav

(vseskozi se uporabljajo tudi ‘stari’ pristopi)


Tehnike napadov – primeripošiljanje virusovonemogočanje storitev (DoS - denial of service)izogibanje nadzoru dostopa (ugibanje gesel...)uporaba fizičnega dostopauporaba stranskih vratprisluškovanje (pasivni vdor) in prestrezanje (aktivni vdor, ponarejevanje) (podatkov, gesel...)dešifriranje sporočil s poskušanjem vseh ključev (brute force)


Tehnike napadov – primerisocialni inženiring (npr. priponka z geslom, telefoniranje zaposlenim, pričanje Kevina Mitnicka), danes zelo pogosto: okužbe z virusi, ki omogočajo oddaljen nadzor in zlorabo brez vednosti lastnika (ti. zombie PCs)‘zastonj’ USB ključi‘phishing’ (password fishing): napad z lažnim predstavljanjem s ciljem pridobiti osebne informacije (gesla, št. bančnih kartic ipd.); napadalec je ribič, trnek je email sporočilo, vaba je lažna internetna stran, riba je uporabnik


Varnost in osebni računalnikuporaba protivirusnih programovredno nameščanje popravkov OS in programovuporaba osebnih požarnih zidovvarovanje gesla, uporaba certifikatov in enkratnih geselizdelava varnostnih preslikav (rezernih kopij podatkov)fizično varovanje, geslo pri vklopuizklop opcij, ki omogočajo dostop preko omrežja (Java, ActiveX, piškotki-cookies)uporaba preverjenih programovuporaba kriptografije


Kaj je varnost informacij?Varnost je zaščita elektronskih podatkov v informacijskem

sistemu pred izgubo, spremembo in pred dostopom za nepooblaščene, tudi če je dostop do teh podatkov za pooblaščene omogočen od kjerkoli in kadarkoli.


Zakonske uredbe in standardiZakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP)Zakon o varstvu osebnih podatkov (ZVOP)Družina standardov 7799 in 27000 (BS 7799, SIST 17799, ISO 17799, BS 7799:2, ISO 27001, EN ISO 27799)Varnostni standardi, ki jih uvaja CEN/TC 251 v medicinsko informatiko


ZEPEPdefinira osnovne pojme kot npr. elektronsko sporočilo, (varen) elektronski podpis, potrdilo, overitelj…izenačuje dokumente/podatke v papirni obliki z dokumenti/podatki v elektronski obliki z ustrezno zaščito


ZVOPdefinira osnovne pojme: osebni podatek, zbirka osebnih podatkov,upravljavec osebnih podatkov, občutljivi osebni podatekkdaj se lahko obdelujejo osebni podatki – če tako določa zakon; z osebno privolitvijo; če je to nujno zaradi uresničevanja zakonitih interesov in ti interesi očitno prevladujejo nad interesi posameznika; v primeru varovanja življenjskih interesov posameznika ... (za občutljive podatke so pogoji strožji)zavarovanje osebnih podatkov – varovani podatki morajo biti posebej označeni, zaščiteni pred nepooblaščenim dostopom in šifrirani med izmenjevanjemstatistična ali znanstveno raziskovalna obdelava se lahko dela le z anonimnimi podatki


ZVOP, VII. DEL, KAZENSKE DOLOČBE, 91. člen

(1) Z globo od 1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik:

1. če obdeluje osebne podatke, ne da bi imel za to podlago v zakonu ali v osebni privolitvi posameznika (8. člen);

2. če posamezna opravila v zvezi z obdelavo osebnih podatkov zaupa drugi osebi, ne da bi sklenil pogodbo v skladu z drugim odstavkom 11. člena;

3. če obdeluje občutljive osebne podatke v nasprotju s 13. členom ali jih ne zavaruje v skladu s 14. členom;

4. če avtomatizirano obdeluje osebne podatke v nasprotju s 15. členom; 5. če zbira osebne podatke za namene, ki niso določeni in zakoniti, ali če jih

nadalje obdeluje v nasprotju s 16. členom; 6. če posreduje uporabniku osebnih podatkov osebne podatke v nasprotju z

drugim odstavkom 17. člena ali če ne uniči osebnih podatkov v skladu s tretjim odstavkom 17. člena ali ne objavi rezultatov obdelave v skladu s četrtim odstavkom 17. člena;

7. če ne obvesti posameznika o obdelavi osebnih podatkov v skladu z 19. členom;


ZVOP, 25. člena, 2.odstavek

Vsi upravljavci osebnih podatkov morajo v svojih aktih urediti zavarovanje osebnih podatkov, ki jih zbirajo in obdelujejo, in sicer:

1. izdelati ‘Pravilnik o postopkih in ukrepih za zavarovanje osebnih podatkov’

2. zagotoviti njegovo izvajanje

S 1.10.2006 je Informacijski pooblaščenec kot inšpekcijski organ napovedal začetek poostrenega inšpekcijskega nadzora in izrekanja zelo visokih kazni (...lahko prepove obdelavo osebnih podatkov in kaznuje...). Primer: globa KC.


Standard BS 7799Sestavljen je iz dveh delov:

prvi (SIST ISO / IEC 17799) predstavlja najboljšo prakso za zadovoljevanje zahtev standarda in predlaga, kaj naj bi organizacija imeladrugi (ISO 27001 / BS 7799:2) je specifikacija lastnosti, ki jih organizacija mora imeti, če želi biti skladna s standardom

Uvedba standarda ni enkratno opravilo ampak je proces, ki sledi logiki Demingovegakroga (Načrtuj, Izvedi, Preveri, Ukrepaj)


Standardi ISO 27000ISO 27000 – upravljanje z varnostjo informacij (prej ISO/IEC 17799)EN ISO 27799 - upravljanje z varnostjo informacij v zdravstvu

ISO 27001:2005Vzpostavitev Sistema Upravljanja z Varnostjo Informacij – SUVI

(ISMS)Uvajanje SUVI pomeni notranjo ureditev poslovanja, ne zgolj

izdelavo pravilnikov.ISO 27001:2005 je nadgradnja ISO/IEC 17799:2005.


CEN/TC 251 – varovanje v zdravstvuCEN: European Comittee for Standardization (Comité

Europpéen de Normalisation)CEN/TC251: European Standardization of Health Informatics Z varnostjo informacijskih sistemov se ukvarja tretja delovna

skupina (WG III):EN 12388 Health informatics - Algorithm for Digital Signature Services in Health CareEN 12924 Health informatics - Security Categorisation andProtection for Healthcare Information Systems (specifikacija modela in metoda kategorizacije ZIS s stališča varnosti in zasebnosti)


Varnostne zahteve in mehanizmiVarnostne zahteve (storitve) podrobno opredeljujejo pojem

varnosti. To so:verodostojnostnadzor dostopazaupnostcelovitostnezmožnost zanikanjarazpoložljivost, zanesljivost

Varnostni mehanizmi omogočajo zmanjševanje ranljivost sistema (računalnika, omrežja) in podatkov na njem.


Verodostojnost in nadzor dostopaVerodostojnost (authentication) je storitev, ki omogoča

ugotavljanje istovetnosti osebe ali izvora podatkov. Oseba je določena z geslom, PIN, kartico, ključem, prstnim odtisom ipd.

Nadzor dostopa je ugotavljanje, ali ima neka entiteta (oseba, računalnik) pravico za nek poseg.


Zaupnost in celovitostZaupnost (confidetiality) podatkov omogoča zaščito podatkov

pred nedovoljenimi vpogledi.Celovitost (integrity) podatkov je zagotovilo, da podatek ni bil

spremenjen.


Nezmožnost zanikanja in razpoložljivostNezmožnost zanikanja (non-repudiation) omogoča

dokazovanje storjenega dejanja, zlasti pri zanikanju ali tajenju.

Razpoložljivost (availability) pomeni možnost uporabe virov in njihovo zanesljivo delovanje.


Razpoložljivost, primerOpis Delovanje Izpad na leto 99.0 % 87 ur 36 minKomercialna (nižja) 99.5 % 43 ur 48 minKomercialna (višja) 99.7 % 27 ur 17 minVisoka 99.9 % 8 ur 46 min‘Fault-tolerant’ 99.99 % 53 min 99.999 % 5 minNeprekinjena 100 % 0


Varnostni mehanizmiosveščanje uporabnikov (izobraževanje za uporabo storitev, predstavitev možnih zlorab), varovanje geselfizična zaščitakriptografijakontrola dostopabeleženje aktivnosti in zagotavljanje sledljivostizaposlovalna politika podvajanje (redundanca) požarni zid (firewall)protivirusna zaščitanameščanje popravkov OS...


TehnologijaZa doseganje ciljev uporabljamo:

aktivno varovanje (spremljanje obnašanja in vzorcev toka podatkov – IDS, beleženje aktivnosti)pasivno varovanje (kriptografija - simetrični in asimetrični sistemi, digitalni podpis, IJK in certifikati, požarni zid)


Požarni zid(= varnostna pregrada, protipožarni zid)

je sistem (strojna in programska oprema), ki omogoča kontrolo dostopa med dvema omrežjema, to je upoštevanje dogovorjenih pravil.

Tipična pravila so oblike: prepovedan dostop od zunaj, dovoljen prehod navzven.

intranet internetpožarnizid


Extranetje oddaljeno omrežje, ki je z intranetom povezano varno preko

interneta.za komuniciranje uporablja znane varnostne mehanizme; tvorijo se nekakšni šifrirani tuneliveč extranetov se lahko povezuje v zasebna omrežja (navidezna zasebna omrežja, Virtual Private Networks) primeri: bančništvo, povezava oddaljenih enot podjetij, elektronsko trgovanje med podjetji ipd.


Extranet

intranet Internet

intranet

intranet

intranetzasebnoomrežje A

zasebnoomrežje B

intranet


Človeški faktorpomembno je zavedanje in znanje o (problemih) varnosti v informatiki (gre za upravljanje z varnostjo) – izobraževanje (primer: virus Zotab, CNN in Cisco)zadolžitve in odgovornosti morajo biti jasno določenevarovati je potrebno vse dele (informacijskega) sistema (seznamadelov sistema velikokrat sploh ni) – ‘varnost je veriga’potrebno je stalno ocenjevanje tveganja (obstaja več metodologij)potrebno je stalno spremljanje sprememb na področju varnosti (varnostna spletišča in forumi):

CERT (www.cert.org)FIRST (www.first.org)Inštitut SANS (www.sans.org)SecurityFocus (www.securityfocus.org)specifični glede na vrsto uporabljene tehnologije (Red Hat, MySQL, IBM, Cisco, Microsoft, Oracle, BSD ...)


Varnostna politikaVarnostna politika neke organizacije je formalni zapis

varnostnih mehanizmov in drugih pravil, ki jih morajo upoštevati vsi posamezniki z dostopom do opreme in informacij.


Varnostna politikaNa varnostno politiko vplivajo:

tehnologija (strojna, programska, omrežna oprema)komunikacijski vidiki (kriptografske osnove in protokoli)organizacijski in pravni vidiki (delovni postopki, zakonodajna podlaga itd.)


Varnostna politikapodrobno določa varnostne zahteve in mehanizme v neki organizacijimora temeljiti na obstoječih in objavljenih rešitvah (skrivajo se ključi)visoka varnost posameznih členov še ne zagotavlja visoke skupne varnosti (npr. kriptografija je potrebna, ni pa zadostna), včasih pa le manjša reorganizacija pomeni znatno povečanje varnosti in obratno (‘varnost je veriga’)izgradnja VP je proces, ki se nikoli ne konča (Demingovkrog)ocena lahko temelji na potencialno povzročeni škodi, če se le-ta da oceniti


Povzetekosnovna zakonska podlaga ter standardi upravljanja z elektronskimi podatki in informacijsko varnostjo obstajajotehnologija obstaja (omrežne infrastrukture ni potrebno menjati)izobraževanje spada med najpomembnejše varnostne mehanizme

Priporočilo: lasten sistem varujemo bolj od povprečja v okolici.


Kako naprej v zdravstvu (vizija)?poudarek izobraževanju (vodstva in uporabnikov)razvoj/sprejem standardov v zdravstvuizgradnja varnega medicinskega omrežjauporaba enotnih varnostnih certifikatov in ključevizdelava generičnega modela standarda BS 7799 za večje zdravstvene organizacije (bolnišnice oz. oddelki, ZD, ZZV, ambulante …)


Dodatki


LiteraturaHardening network security, J. Mallery et al., McGraw-Hill/Osborne, 2005www.information-security-policies.comiso-17799.safemode.orgwww.centc251.orgCERT (www.cert.org)Stajano F. Security… Willey. 2002zakoni, standardi

(neketere prosojnice so povzete po predavanjih D.Rudla in B.Leskoška)


Področja ISO 27001:20051. Organizacija informacijske varnosti2. Klasifikacija informacij in podatkov 3. Nadzor dostopa do informacij in sistemov4. Obdelava informacij in dokumentov5. Nakup in vzdrževanje kupljene programske opreme 6. Naprave za varovanje, periferne naprave in druga oprema 7. Boj proti informacijskemu/računalniškemu kriminalu8. Varnost e-poslovanja9. Razvoj in vzdrževanje lastne programske opreme10.Varnost poslovnih prostorov11. Osebne zadeve in varnost12. Usklajenost z zakonodajo in predpisi13.Odkrivanje in odziv na varnostne incidente14. Načrtovanje neprekinjenega poslovanja

Bold: vsebovano tudi v ZVOP-1


Poglavja EN ISO 27799:2006Foreword Introduction1 Scope 2 Normative references3 Terms and definitions 4 Symbols (and abbreviated terms) 5 Health information security6 Practical action plan for implementing ISO/IEC 17799 7 Healthcare implications of ISO/IEC 17799Annex A Threats to health information securityAnnex B Tasks and related documents of the Information Security

Management SystemAnnex C Potential benefits and required attributes of support tools

(informative) Annex D Related standards in health information security (informative)Bibliography


Primeri varnostnih politikkrovna varnostna politikavarovanje v zvezi z osebjemdodeljevanje gesel in nadzor dostopauporaba Interneta uporaba elektronske pošteprenosljiva komunikacijska in računalniška opreme delo na daljavozaščita pred zlonamerno programsko opremoobravnava varnostnih incidentovuničevanje nosilcev informacijposredovanja osebnih podatkov

izven ustanoveznotraj ustanove


Primeri navodilNavodilo o iznosu informacijskih sredstev iz ustanoveNavodila za namestitev nove programske in strojne opreme IS v ustanoviNavodilo o označevanju dokumentovNavodilo o ravnanje ob varnostnem incidentuNavodilo o poročanju o dostopih do baze podatkov o pacientihNavodila za izločanje nosilcev informacij.....

Documents

Varnost informacij - University of Ljubljana · 2007. 6. 4. · visoka varnost posameznih členov še ne zagotavlja visoke skupne varnosti (npr. kriptografija je potrebna, ni pa zadostna),