Archive for the ‘CISSP’ Category

h1

nmap.pl już jutro :)

Kwiecień 14, 2007

tak tak, już jutro „rusza” serwis nmap.pl który jak mam nadzieję będzie jedynym swego rodzaju polskim merytorium poświęconym szeroko pojętemu bezpieczeństwu w IT. Twórca serwisu Łukasz `__nvm` Raczyło  jak zwykle się postarał, wszystko stworzył od 0 i zebrał przy tym  niesamowitą ekipę ( „i” mnie:]) która już samą obecnością przynajmniej mnie podnosi na duchu i pozwala wierzyć że w końcu będzie konkretne źródło informacji poświęconym bezpieczeństwo i w naszej polskiej sieci. Narazie serwis ruszy pod względem „technicznym” tj, ruszy a z czasem będzie uzupełniany o content. Nie spodziewajcie się nagłego wylewu artów, poradników i innych. Wszystko co wyjdzie na światło dzienne będzie starannie przygotowywane i analizowane tak aby end-user – czyli prawdopodobnie właśnie Ty drogi czytelniku – otrzymał „produkt pierwszej klasy” :)

zainteresowanych zapraszam na kanał #nmap w sieci IRCnet.

Reklamy
h1

Certyfikacje, książki ebooki i inne… czyli co daje google :)

Styczeń 13, 2007

Jako że dnia 27 Stycznia 2007 będę brał udział w egzaminie 70-270 to pomyślałem że wypadałoby jeszcze poszukać trochę materiałów no więc z proźbą o pomoc standardowo zgłosiłem się do znajomego googla :)

na wstępie standardowo

testking filetype:pdf

co zaowocowało niesamowitą ilością testów w całosci do sciągnięcia , ofcourse za free :)

jednak idąc trochę dalej po prostu wpisałem 70-270 filetype:pdf i znalazłem takie zbiory że aż pomyślałem że żeby Was zachęcić do bawienia się z googlami pokaze Wam przyklad tego co mozna dostac :)

http://lab.lpicn.org/pub/books/ < da best :)

no nie ma to jak google :)

h1

Information Classification Process.

Listopad 5, 2006

Proces klasyfikacja informacji o którym będę dziś pisał jest jednym z kluczowych. Po co klasyfikować ? Odpowiedź jest prosta, bo nie wszystko jest „równie ważne”. Są takie dane które są bardziej wartościowe dla firmy a są takie które są mniej co wcale nie oznacza że nie mają żadnej wartości. Myślę że to jest logiczne więc o tym czy i po co rozpisywać się nie będę. Dla zachęty dodam może coś o tych profitach z klasyfikowania danych.

  • Pokazuje oddanie firmy zagadnieniom bezpieczeństwa danych.
  • Pozwala wskazać które dane są najbardziej wartościowe dla firmy. Które są najwrażliwsze, które najbardziej cenne w dla zachowania poufności i integralności danych o których wspominałem w którymś z wcześniejszych tekstów.
  • Pomaga ustalić do jakich danych zastosować jaką politykę bezpieczeństwa.
  • No i klasyfikacja może się przydać w kwestiach legalnych/prawnych.

Classification Terms czyli pojęcia związane z klasyfikacją.

  • Unclassified (niesklasyfikowane) – dane o nieokreślonej wartości, których upublicznienie nie naruszy przyjętych zasad poufności.
  • Sensitive but Unclassified (wrażliwe lecz nie sklasyfikowane, w skrócie SBU) – dane które mogą być uznane za poufne ale ich upublicznienie nie sprawiłoby większych szkód.
  • Confidential (poufne) – informacje które są z założenia poufne. Nieautoryzowany dostęp do nich mógłby spowodować zagrożenie dla bezpieczeństwa kraju (np). Ten poziom znajduje się między dokumentami oznaczonymi SBU a tymi z etykietką „Secret”.
  • Secret (tajne) – Tajne informacje. Nieautoryzowany dostęp mógłby spowodować poważne zagrożenie dla bezpieczeństwa kraju.
  • Top Secret (ściśle tajne) – najwyższy poziom klasyfikacji dla informacji ( w stanach tylko prezydent ma prawa do tego poziomu ).

no ale to by było odnośnie bardziej takich hmmm formal spraw… a co z sektorem prywatnym ? Tutaj klasyfikacja wygląda odrobinkę inaczej :

  • Public – tak jak poziom „unclassified” w poprzednim listingu poziomów.
  • Sensitive – te dane są „troszku” bardziej ważne i zabezpieczone przed nieautoryzowanym dostępem.
  • Private – dane które mogą mieć skutek dla firm i jej pracowników, dane poufne. Np lista płac, badań pracowników to dane klasy „private”.
  • Confidential – wyłącznie do wewnętrznego użytku firmy. Nieautoryzowany wgląd na nie mógłby bardzo zagrozić firmie i negatywnie wpłynąć na jej wizerunek.

Ok to teraz jak już wiemy jak się dzielą musimy się dowiedzieć jak przydzielić jakieś informacje konkretnym grupkom…

Kryteria klasyfikacji :

  • Value (wartość) – najważniejszy z kryteriów dla klasyfikacji dancyh w sektorze prywatnym. Jeśli informacja jest wartościowa musi zostać sklasyfikowana.
  • Age (wiek) – klasyfikacja informacjimoże być obniżona jeśli wartość jej maleje z czasem. W departamencie obrony ( Department of Defense) pewne sklasyfikowane dane po określonym czasie zostają zdeklasyfikowane.
  • Useful Life (czas użyteczności) – jeśli informacja stała się przeterminowana z powodu nowych informacji, zmian w firmie lub innych powodów może zostać zdeklasyfikowana.
  • Personal Association (powiązania personalne) – jeśli informacja jest powiązana z pewnymi indywidualnymi osobami bądź jest chroniona prawami właności może wymagać klasyfikacji.

No to już coś nieco wiemy, nadeszła więc pora na działania. Wiadomym jest że przy tak ważnym i kluczowym zadaniu jak klasyfikacja informacji nie możemy sobie pozwolić na „odwalenie roboty”. Aby więc wszystko poszło sprawnie i dokładnie musimy wykonać kilka konkretnych kroków :

  1. Identyfikacja Administratora/Opiekuna informacji.
  2. Ustalenie kryteriów klasyfikacji i etykietowania informacji.
  3. Klasyfikacja danych przez właściciela,
  4. Ustalenie i udokumentowanie wszystkich wyjątków od polityki klasyfikowania danych. (hmmm z tego co zrozumialem to ta polityka ktora powstaje w punkcie drugim).
  5. Ustalenie kontrolek które będą zastosowane do każdego poziomu klasyfikacji.
  6. Ustalenie procedur przedawnienia dla deklasyfikacji informacji bądź przekazania opieki nad informacją innej jednostce.
  7. Stworzenie programu „wiarygodności” dla przedsiębiorstwa odnośnie kontroli klasyfikacji.

no i ok, 03:04 na zegarku… chwilowo kończę, jutro opiszę jeszcze informacje o dystrybucji danych i podziału na Właściciela, Opiekuna i Użytkownika (w odniesieniu do danych rzecz jasna :] )…

h1

Security Management Concepts

Listopad 2, 2006

The C. I. A. triad…
Confidentiality, Integrity, and Availability… czyli wielkie drzewko zarządzania bezpieczeństwem.
Poufność. W bezpieczeństwie informacji pojęcie poufności związane jest z próbą zapobiegania zamierzonego lub nieumyślnego nieuatoryzowanego ujawnienia ważnych dla nas danych. Strata poufności może się wydarzyć na wiele sposobów takich jak umyślne opublikowanie prywatnych informacji firmy lub admin dupa i sami wiemy jak jest :)
Integralność. Co zapewnia nam integralność w bezpieczeństwie firmy ? :

  • Modyfikacje do poufnych danych nie są dokonywane przez nieautoryzowany personel lub „proces”
  • Nieautoryzowane modyfikacje do poufnych danych nie są dokonywane przez autoryzowany personel lub „proces”
  • Dane są wewnętrznie i zewnętrznie zgodne, i.e.

Dostępność. W bezpieczeństwie informacji pojęcie „dostępności” gwarantuje że systemy pracują i są dostępne wtedy gdy są potrzebne.

odwrotnością CIA jest DAD czyli disclosure, alteration, and destruction…. proste i logiczne :)

Pozostałe ważne pojęcia :

  • Identyfikacja (identification) – sposób w jaki użytkownik przedstawia dowód na swoją tożsamość systemowi.
  • Autentykacja(authentication) – sposób w jaki system sprawdza dowód tożsamości użytkownika. Ustalenie tożsamości użytkownika i potwierdzenie lub nie czy jest tym za kogo się podaje.
  • Accountability – umiejętność systemu do indywidualnego obsługiwania pojedynczego usera. Audyt logów umozliwia przejzenie konkretnych userów.
  • Autoryzacja (authorization) – Prawa i zezwolenia nadane pojedynczym ludziom (procesom), które dają dostęp do zasobów komputera. Po autentykacji tożsamości, poziom autoryzacji ustala jakie prawa zostaną nadane.
  • Prywatność (privacy) – poziom poufności i prywatności dany użytkownikowi w systemie.


Oglądaliście film „The Hackers” ? Sure you did. Pamiętacie scenę w knajpie kiedy rozmawiają o Red Book, Green Book, Black Book itd ? A wiecie ze takie knigi naprawdę istnieją ? (tj nie do końca pamiętam jak je nazwali w filmie ale pomyślałem że się z Wami podzielę tym co wiem o tym jak jest in real life :P bo wiecie…to był tylko film… they’re not real…well… that’s what they’ve told me…ups…)…

Książki zostały wydane w „Rainbow Series” przez Narodowy Ośrodek Bezpieczeństwa Komputerowego USA (NCSC- National Computer Security Center).

  • Orange BookTrusted Computer System Evaluation Criteria (TCSEC). Dokument w którym NCSC zdefiniowało siedem poziomów bezpieczeństwa komputerowego systemu operacyjnego. Każdy z poziomów wyżej zawiera ten poniżej. Wymienie je poniżej (za jakiś czas chwilowo mi się nie chce :] )
  • Red BookTrusted Networking Interpretation. Zawiera informacje odnośnie oceny bezpieczeństwa sieci.
  • Green Book – (znalazłem kilka wersji tej…) – jak i w jaki sposob i jakie używać hasełka :)

Orange Book :

  • D1Minimal Protection – zero :P tj bezpieczeństwo na poziomie ujemnym… totalny brak bezpieczeństwa..
  • C1Discretionary Protection – najniższy poziom bezpieczeństwa. Mamy tu uprawnienia read/write, autoryzacje. Brak logowania przebiegu pracy usera.
  • C2Controlled Access Protection -Dodana opcja logowania (w sensie prowadzenia dziennika zdarzeń w systemie ) i zapewniona silniejsza ochrona tych ważniejszych danych.
  • B1 – wprowadzone kilka poziomów bezpieczeństwa (tajne tajniejsze :P ).
  • B2Labeled Security Protection – wprowadzenie etykietek określających prawa do pliku w odniesieniu do aktualnie przyjętej polityki bezpieczeństwa. Etykietki mogą się zmieniać dynamicznie w zależności od tego jakie zasoby będą w danej chwili używane.
  • B3 – dodatkowe skupienie na bezpieczeństwie sprzętu.
  • A1Verified Design – Najwyższy poziom . Wszystko tu musi być zapięte na ostatni guziczek (potwierdzone matematycznie wręcz).

ps. przypominam że każdy poziom zawiera wszystkie niższe… tj kiedy patrzysz na A1 bierzesz pod uwagę że w sieci/firmie zostały już wzięte pod uwagę poprzednie podpunkty…

cdn…