Jejda! Tuto stránku nelze nalézt.
Vypadá to, že tady opravdu nic není. Možná zkuste vyhledávání?
Vypadá to, že tady opravdu nic není. Možná zkuste vyhledávání?
The target of the project is to find a supplier which is able:
Usually, the requirements are based on these points:
eBS use many of international norms and recommendations. These norms are professionally interpreted based on conditions in Czechia:
Taken over BS 7799-1:1999 from normalization office from Great Britain. This norm is one of the best of practises in field of security. It does not depend on the size and type of organisation. It gives a lot of applications in commerce and state organisations.
It serves for the procedure determination and necessary steps for above-mentioned norm implementation into the organisation. By using this norm is possible to prove that ISMS was implemented systematically and correctly. This scheme uses mainly organisation in the UK, where is accredited by state.
Complementing methodical guide, which helps in implementing of security. It covers phases from a security organisation to choosing a solution.
We use a lot of methods and utilities for risk analysis of information systems and technologies. Application is driven by requests of specific security systems. Based on this result specific methodic is opted by:
This method is originally developed by British government needs. It belongs to most usable methods because is optimal for all phases of the system life cycle. The recent version of this method (CRAMM 4.0.) reflects the newest trends on analysis and information risk management fields.
Alternative to CRAMM method. Recommendation BSI DISC in progress in documents BSI DISC PD 3002 (for the regular level of risk analysis) and BSI DISC PD 3005 (for detail level of risk analysis). We recommend this method rather for smaller systems because it is connected with a bigger share of direct analytic work in contrast to CRAMM analysis. It takes more time and financial resources.
Methodology application of german institut for processing infromation security. Its purpose is to be effective utility for installation of typified technical solutions (IT Baseline Protection Manual). The way of analysis procedure is appropriate for systems with lower requirements for security. We recommend this methodology like an extra method for the choice of specific technology measures.
Connection to legislative
Our company use in all SP procedures relevant and valid Czech legislative.
In realization phase of security measures is necessary to accept requirements of the law 106/1999 Coll. about free access to information.
Tests are aimed at weak places in the area of connection point to the external networks with concentration to points where is the possibility to hacker access.
Tests evaluate strength and weaknesses of host server and protection which safety device should provide and test of a real configuration of other accessible internal servers like UNIX, Windows before and after this device. Tests are made by special test programs like NESSUS, AFAIK, NetMap, PortMap etc.
Outputs contain recommendations for the correction of the current state. Results of some tests can be distorted, it can contain gaps, which are not present (treatment on a deeper level, library level etc)
External penetration tests can be split into several technological parts:
An extra penetration analysis serves to find password weakness, approval to files, open ports and other services. Vulnerability to known hackers technics like for example sniffing, cracking, hijacking a leakage.
A penetration test can be executed without notification of responsible personal before it starts. The reason is testing of preparedness to possible attack.
During testing will not do a destructive test of systems
Reports will be forwarded in an original and processed state
In the case of clients, interest is possible to process internal penetration tests in the customer network
It can be used different ways for testing or combination.e-Business Services is an enterprise solutions partner of Symantec company. This is the reason we can offer services of monitoring centre Symantec in the Czech Republic.
The second option is regular testing which is provided for customers and even for our internal needs:
We will do:
For scanning of the network will be used Nmap, Nessus and other. Network IDS (in case it is possible to implement it inside internal data network) can be used snort, we also can use hybrid IDS prelude.
We emphasize dynamic testing – we test like it is needed and we aim to actual errors and use more than one software
Solution steps of regular services:
Installation of running services
Weekly monitoring of services
Weekly reports
Monthly in-house reports
Processing of basic testing recommendation in case of new circumstances
Configuration of standard services
The output of monitoring will be weekly information(report) about vulnerabilities of specific servers, lists of servers with specific vulnerability possible solutions. These reports will be sent electronically. Types and way of report realization will be selected during contact preparation. In reports will evaluate security holes with options to minimalize them.
Developing and compliance security policy is a quite hard task. It is based on the complexity of processing sources and mainly continuing changes in their properties and parameters. Utilities for evaluation have preventive character – they can analyze risks and take measures soon as the system is compromised.
The systems for penetration detection are used for testing of penetration to the pc networks and can react against the attacker. Their importance is often confused with firewalls their task to stop an attack. The difference is clear to see in the architecture of both systems. A firewall is entrance point to the system, IDS is placed in the whole network and his architecture is quite complex.
Leader vendor of both detection parts into all-in-one solution under name RealSecure is company Security Systeme (ISS). It uses sensors on the network communication level of communication, operation systems and servers for detection to unusual activities. If something is detected the system reacts by notification of administrator (e-mail, SMS), logging activity to the log and blocking this activity.
Type of sensors
is an automated resource for evaluating vulnerability and compliance with the security policy of computer networks (network-based vulnerability assessment). It controls preferences of network services, firewalls, web servers, file servers, mail servers, routers, RAS servers, operation systems even other equipment which can be used for acquiring unauthorized access. the result of this activity is analysis and many types of reports (technical, managers, trends, an itinerary of networks components) and recommendation of measures for elimination of weaknesses.
it serves for evaluation of vulnerabilities and compliance to security policy on the end systems (host-based vulnerability assessment). It helps to specialists IT to identify of weaknesses of OS, it supplies details recommendation on how to minimalize weaknesses and administrate and implement company security policy on an automated basis.
evaluates vulnerabilities and law compliance of security policy of database systems. It executes detail security analysis from the side of authorisation, authentication and data integrity, it creates a security policy and scans potential weaknesses of systems: weak passwords, saved procedures, trojans, account administrations, error configurations.
Software for detection administration can be replaced by modules into systems CA-Unicenter TNG, HP OpenView a Tivoli.
Basic functions
Reasons of vulnerabilities
Utilities for vulnerability evaluation
Most common attacks
Recommendations
Safety of information systems
Considering to growth of internet technologies and huge information systems we ask more often a question about security against internet attacks, breaking the system, information leak and then compromise them, possibly system crash.
We realize the prevention of these threats means to protect own data against single users even for system errors. For achieving a maximal possible safety of saved data on our servers we use many of specialized products of renown companies.
Security is an instrument to make most of the modern technologies happen. Firewalls, connection thru Virtual private networks (VPN), data transfer encrypting, digital certificates, strength (two-factor) authentication and many more security solutions and products represent entrance gate to the world of open computing and e-commerce. These services are our main domain for many years.
Safety analysis of IS by standards
We make analysis, recommendation and creating of directives for different levels of security and providing of information systems for example safety analysis for GDPR, Cybernetic security law and implement infrastructure PKI and more.
Security policy
Security of IS represents mainly to keep confidentiality and inviolability IS and availability of services served by IT systems. For reaching these requirements is needed IT system to comply with a range of support services for example accountability of all-important action to prove access of single subject to specific information and sources of IS.
Level of importance and content of single parts of security for specific IS defines security policy (SP). SP can have the character of required principles changeable only by a small group of people (administrators) or optional principles which administrate owners of information sources. The benefit of required rules is better protection against data leak even by mistake of the user.
IS which comply security policy we call trustworthy system. It is necessary to realize it is not possible to build absolutely safe system, for example, legislative is different in every country. If we talk about a trustworthy system we think a system where is security policy warranty only in the specific application field. Another thing we have to realize the absolute safety of IS we can achieve only by absolutely isolation. Based on these the chosen security level of a real working system is in all cases compromise between prices we are willing to pay and level of risk we a willing to accept.
The main aspect of IS safety is users respectively their interest on secure IS. There is a huge risk of breaking the SP principles. This is the reason why it is not possible to avoid technics like an audit, detection of the defect and restore procedures.
It is important to calculate the value of secured assets, system vulnerability, threats, risks price, system restore, opinion of the organisation to risks etc. It is necessary to evaluate every accessible countermeasure their effectivity, price and price of installation. Every design of IS should contain even a definition of security policy. The formal creation of SP helps to comply with norms for IT sources protection, responsibility for flow administration, creation of basic behaviour rules and methodical tutorials for every subject in the organisation.
SP task is to provide a secure and trustworthy system. The important role represents the personal responsibility of every employee. SP has to be formally documented. If not it can not be evaluated and it is difficult to implement SP. In the line of the hierarchic build of IS is appropriate to support implementation SP layer on a specific level of architecture and lower levels of architecture appropriate form of generic services achieving function for security. For every object, it can be kept mechanism for proving access to objects.
Accredited certification authority APCS eIdentity a.s. provides wide assortment of services connected with issuing of electronic certificates.
Use the offer of company SpiNet a.s., where is possible to order a wide range of domains, cost-effective Webhosting, e-mail services and much more.
Akreditovaná certifikační autorita. APCS eIdentity a.s. poskytuje široký sortiment služeb spojených s vydáváním elektronických certifikátů..
Využijte nabídku služeb společnosti SpiNet a.s., kde je možné objednat širokou škálu domén, cenově výhodný webhosting, e-mailové služby mnoho dalšího.
Vypracování a dodržování bezpečnostní politiky je poměrně náročný úkol, což je dáno komplexností zpracovávaných zdrojů a především neustálou změnou jejich vlastností a parametrů. Nástroje pro vyhodnocování mají preventivní charakter – umožňují analyzovat rizika a přijímat opatření dříve, než dojde k napadení systému.
Systémy pro detekci průniku slouží ke zjišťování průniku do systémů a počítačových sítí a případnému zásahu proti útočníkům. Jejich význam je často zaměňován s významem firewallů, jejichž úkolem je naopak neoprávněnému průniku zabránit. Rozdíl je vidět i v architektuře obou systémů – zatímco firewall je typicky vstupním bodem do systému, IDS bývá rozmístěn po celé síti a jeho architektura je poněkud složitější.
Vedoucím výrobcem, který integruje obě tyto části detekce do jediného řešení pod názvem RealSecure, je firma Internet Security Systéme (ISS). Využívá tzv. senzorů na úrovni síťové komunikace, operačního systému a serveru k detekci neobvyklé aktivity, na kterou pak reaguje upozorněním správce (mailem, SMS), logováním uvedené aktivity a případně i jejím automatickým blokováním.
Druhy senzorů
je automatizovaný prostředek pro vyhodnocování zranitelnosti a dodržování bezpečnostní politiky počítačových sítí (network-based vulnerability assessment). Zkoumá nastavení síťových služeb, firewallů, web serverů, file serverů, poštovních serverů, směrovačů, RAS serverů, operačních systémů i dalších zařízení a vyhodnocuje slabiny, které mohou být využity pro získání neautorizovaného přístupu. Výsledkem jeho činnosti jsou jednak analýzy a různé typy reportů (technické, manažerské, určení trendů, přehledný inventář síťových komponent) a jednak konkrétní návrh opatření na eliminaci zjištěných slabin.
slouží k vyhodnocování zranitelnosti a dodržování bezpečnostní politiky na koncových systémech (host-based vulnerability assessment). Pomáhá specialistům IT identifikovat slabiny OS, dodává detailní doporučení jak případné slabiny odstranit, automaticky spravuje a implementuje firemní bezpečnostní politiku.
vyhodnocuje zranitelnost a dodržování bezpečnostní politiky databázových systémů. Provádí detailní bezpečnostní analýzu z hlediska autorizace, autentizace a integrity dat, zřizuje bezpečnostní politiku, sleduje potenciální slabiny systémů: slabá hesla, uložené procedury, trojské koně, správu účtů, chybné konfigurace.
Software pro správu detekce průniku může být nahrazen moduly do systémů CA-Unicentr TNG, HP OpenView a Tivoli.
Základní funkce
Příčiny vzniku zranitelných míst
Nástroje k hodnocení zranitelnosti
Nejčastější typy útoků
Doporučení
Bezpečnost informačních systémů
S neustálým rozvojem internetových technologií a mohutných informačních systémů se stále častěji setkáváme s otázkou jejich zabezpečení proti útoku z internetu prolomení systému, úniku informací, jejich následné zneužití, případně zhroucení celého sytému.
Uvědomujeme si, že předejít všem těmto hrozbám znamená patřičně svá data chránit jak proti jednotlivým uživatelům, tak i proti systémových chybám. Abychom docílili maximální možné bezpečnosti dat uložených na našich serverech, využíváme celou řadu specializovaných produktů renomovaných společností.
Bezpečnost je to, co umožňuje většinu moderních technologii uvést do praxe. Firewalls, spojení přes Virtuální Privátní Sítě (VPN), šifrovaní přenosů dat, digitální certifikáty, silná (dvoufaktorová) autentizace a řada dalších bezpečnostních řešení a produktů představuje vstupní bránu do světa open computingu a elektronického obchodu tedy činností, jejíchž uvedením v aktivní službu českým společnostem, firmám a logicky i konečným uživatelům se s úspěchem zabýváme již několik let.
Analýzy bezpečnosti IS podle platných standardů
Provádíme analýzy, doporučení a vytváření směrnic pro různé úrovně bezpečnosti a provozování informačních systémů, např. bezpečnostní analýzy pro GDPR, zákon o kybernetické bezpečnosti, pro nasazení infrastruktury PKI a další.
Bezpečnostní politika
Bezpečností IS rozumíme především zajištění důvěrnosti a neporušitelnosti IS a dostupnosti služeb poskytovaných systémem IT. Pro splnění těchto požadavků je třeba, aby systém IT plnil řadu podpůrných služeb, jakou je např. účtovatelnost všech důležitých akcí, aby bylo možné prokázat přístup jednotlivých subjektů ke konkrétním informacím a zdrojům IS.
Míru závažnosti a obsah jednotlivých složek bezpečnosti pro daný IS specifikuje bezpečnostní politika (BP). BP může mít charakter povinných zásad, měnitelných pouze velmi úzkou skupinou lidí (zejména správci), nebo nepovinných zásad, jejichž uplatnění určují vlastníci jednotlivých informačních zdrojů. Výhodou povinných zásad je skutečnost, že lépe chrání před únikem dat, byť i omylem obsluhy.
IS, který splňuje bezpečnostní politiku, nazýváme důvěryhodný systém. Zde je však třeba si uvědomit, že absolutně bezpečný systém nelze vybudovat, např. z důvodu rozdílné legislativy v různých zemích. Hovoříme-li tedy o důvěryhodném systému, máme tím na mysli IS, u kterého je záruka, že plní bezpečnostní politiku vždy pouze v jisté aplikační oblasti. Dále si musíme uvědomit, že absolutní bezpečnost IS můžeme dosáhnout pouze jeho absolutní izolovaností. Z toho vyplývá, že zvolený rozsah bezpečnosti reálně pracujícího systému je vždy kompromisem mezi cenou, kterou jsme ochotni na bezpečnost vynaložit a mírou rizika, kterou jsme ochotni připustit.
Stěžejním aspektem bezpečnosti IS jsou uživatelé, resp. jejich zájem na bezpečnosti IS. Zde je značné riziko porušení zásad BP. Z tohoto důvodu se nelze vyhnout používání takových technik, jako jsou audit, procedury pro detekci poruch, procedury pro obnovu po poruše atd.
Při přípravě BP je třeba vzít v úvahu hodnotu zabezpečovaných aktiv, zranitelnost systému, hrozby, rizika, ceny možných poruch a jejich obnovy, stanovisko organizace k rizikům apod. Je také nezbytně nutné uvážit dostupná protiopatření, jejich efektivnost, cenu a cenu jejich instalace. Každý návrh IS by měl obsahovat i definici bezpečnostní politiky. Formální vypracování BP totiž napomáhá při zavádění norem pro ochranu zdrojů IT, stanovení odpovědnosti za správu toků informací vypracování základních pravidel chování a metodických návodů pro výkon funkcí pro každý subjekt v organizaci.
Účelem BP je prosadit bezpečný, resp. důvěryhodný systém. Důležitou roli hraje zdůraznění úlohy jednotlivce a osobní zodpovědnosti každého zaměstnance organizace zavádějící bezpečný systém IT.
BP musí být formálně dokumentovaná. Jinak by nebylo možné vyhodnotit dosaženou úroveň bezpečnosti po implementaci BP a zavedení BP v organizaci by bylo obtížné.
V souladu se zásadami hierarchické výstavby IS je vhodné, aby systém IT poskytoval pro implementaci BP vrstvy na jisté úrovni architektury a v nižších úrovních architektury vhodnou podporu formou generických služeb plnících funkce pro prosazení bezpečnosti. Pro každý objekt lze udržovat v činnosti mechanismus, který prověřuje přístup jednotlivých subjektů k objektům, ať již byl realizován přímým příkazem nebo zprostředkovaně. Při prověřování přístupu musí být možné příslušný subjekt autentizovat. Má-li subjekt hierarchickou strukturu (uživatel – aplikace – operační systém – HW), může BP požadovat prověřování důvěryhodnosti všech podpůrných systémů.
Cílem projektu je najít takového dodavatele, který je schopen:
Zpravidla jsou požadavky vymezeny tak, že projekt obsahuje body:
eBS využívá při své činnosti řadu mezinárodně uznávaných norem a doporučení, která jsou odborným způsobem interpretovány na podmínky ČR:
Převzatá norma BS 7799-1:1999 od normalizačního úřadu Velké Británie. Uvedené norma je sbírkou nejlepších praktik v oblasti bezpečnosti bez ohledu na velikost a typ organizace a to ji dává možnost širokého uplatnění jak v komerčních organizacích, tak i státních organizacích.
Slouží pro určení postupu a nutných kroků pro zavedení výše uvedené normy do organizace formou vytvoření systému řízení bezpečnosti informací v organizaci (ISMS). Využití této normy umožòuje prokázat organizaci, že její ISMS byl zaveden systémově správně a tím umožòuje organizaci provést vlastní certifikace podle certifikačního schématu BSI c:cure. Této možnosti využívají hlavně organizace v UK, kde je certifikační schéma akreditované státem.
Slouží jako doplňující metodické vodítko (z důvodu statutu normy pouze jako technické zpráva a nikoliv plnohodnotná norma jakou je například ISO/IEC 17799:2000) při zavádění bezpečnosti organizace pro podporu dalších metodik. Pokrývá fáze od organizace bezpečnosti, až po výběr protiopatření.
Využíváme řadu metodik a nástrojů na analýzu rizik informačních systémů a technologií. Jejich použití se řídí požadavky jednotlivých systémů na bezpečnost, podle které se vybírá konkrétní vhodná metodika:
Tato metodika, původně vypracována pro potřeby britské státní správy, patří mezi nejšíře použitelné metodiky, protože je určena pro všechny fáze životního cyklu systému. Vlastní metodika je široce ve světě využívána a v aktuální verzi (CRAMM 4.0) reflektuje nejnovější trendy v oblasti analýzy a řízení rizik informací.
Je využívána jako alternativa metodiky CRAMM doporučení BSI DISC rozpracované v dokumentech BSI DISC PD 3002 (pro obecnou úroveò analýzy rizik) a BSI DISC PD 3005 (pro detailní úroveò analýzy rizik). Doporučujeme uvedenou metodiku spíše pro menší systémy, protože je spojena hlavně s větším podílem přímé analytické práce, která musí být na rozdíl od metodiky CRAMM analýze věnována, což prodlužuje a tím také prodražuje práce, které jsou podle metodiky prováděny.
Jedná se o aplikaci metodiky německého Institutu pro bezpečnost zpracování informací (GISA), která je určena jako efektivní pomůcka pro zavedení typizovaných technických řešení (IT Baseline Protection Manual). Tomu odpovídá i způsob provedení analýzy rizik, kde metodika provádění analýzy rizik je vhodná pro systémy s nižšími požadavky na bezpečnost. Doporučujeme ji využít jako doplòkovou pro výběr konkrétních technických a technologických opatření.
Návaznost na legislativu
Naše společnost při všech činnostech v rámci projektů BP využívá relevantní platnou legislativu ČR (tj. příslušné zákony, vyhlášky, předpisy, případně normy).
Ve fázi realizace bezpečnostních opatření je zároveň nutno, mimo výše uvedené zákony, brát v úvahu a akceptovat i požadavky zákona č. 106/1999 Sb. o svobodném přístupu k informacím.
Testy se zaměří na slabá místa v oblasti připojení do externích sítí, s koncentrací na body, které umožňují přístup hackerům.
Testy se vykonají automatizovaně z Internetu, odhalí slabé místa a konfigurační chyby nejčastěji zneužívané hackery.
Testy ohodnotí silné a slabé stránky hostitelského serveru a ochrany, kterou má poskytovat ochranné zřízení a otestují skutečnou konfiguraci ostatních přístupných interních serverů jako UNIX, Windows NT, za a před tímto zařízením.
Testy se provedou pomocí speciálních testovacích programů jako jsou NESSUS, AFAIK, NetMap, PortMap apod.
Výstupy testů budou obsahovat doporučení pro nápravu daného stavu. Výsledky některých testů mohou být zkreslené, to jest mohou ukazovat mezery, které v daném systému nejsou (ošetření na hlubší úrovni vnoření, na úrovni knihoven apod.)
Externí penetrační testy lze rozdělit do několika technologických celků:
Dodatečné penetrační analýzy slouží na určení zranitelnosti systému hesel, povolení na přístup k souborům, otevřených portů a možných služeb. Zranitelnost vůči známým hackerských technikám jako je např. sniffing, cracking, hijacking a leakage.
Penetrační test může být vykonán bez předcházejícího upozornění personálu zodpovědného za IS, aby se otestovala i jeho připravenost reagovat na možný útok.
Používány mohou být různé způsoby testování nebo i jejich kombinace. e-Business Services je „enterprise solutions partnerem“ společnosti Symantec. Proto můžeme nabídnou i služby dohledového centra Symantec v České republice.
Druhou možností je pravidelné testování, který dnes zajišťujeme jak pro vlastní potřebu tak pro zákazníky uvedené v našich referencích prostřednictvím těchto nástrojů a následujícím způsobem:
Pro scanování sítě budou použity prostředky Nmap, Nessus a některé další. Jako síťové IDS (pokud ho bude možno umístit do vnitřní datové sítě) lze použit snort, také umíme a můžeme použít hybridní IDS prelude.
Demo fungováni Nessusu naleznete na adrese Nessus
Zdůrazňujeme dynamickou povahu testovaní – tj. testujeme způsobem, který je zrovna třeba, zaměřujeme se na aktuální chyby a nespoléháme jen na jeden software.
Postup řešení pravidelných služeb:
Výstupem sledování bude týdenní informace (report – viz příklady v příloze) o zjištěných zranitelnostech jednotlivých serverů (s možností sledovat vývoj v čase), seznam serverů s danou zranitelností a popis zranitelnosti s možnostmi řešení. Tyto reporty bude eBS zasílat zadavateli v elektronické podobě. Typy a způsob provedení reportů bude definitivně určen po dohodě v rámci projednávání smluvních podmínek. V rámci reportů budou posouzeny bezpečnostní díry bude také proveden základní návrh protiopatření. Je si však třeba uvědomit, že neexistuje trvalá záruka bezpečnosti, jediné, co se dá dokázat, je to, že v dané chvíli sytém vykazuje určité bezpečnostní díry s poukazem na jejich nzávažnost, doložit že neexistuje žádná bezpečnostní díra nelze.