#language cs
## 20160405 AK
----
 '''česky''' | [[RiskAssessment|english]]
----
==== Předmluva ====

Toto je zpráva o posouzení rizika na základě AS / NZS 4360: 2004. Je ve stavu rozpracování a nebyla schválena výborem CAcert.

<<TableOfContents(3)>>

= Kontext =

Toto posouzení rizik se vztahuje na činnost CAcert jako certifikační autority. Mnoho povinností v oblasti správy a provozu certifikační autority CAcert se váže na provoz sdružení CAcert Incorporated a tyto aspekty jsou začleněny do tohoto hodnocení rizik.

Rizika, která mají být spravována, jsou ta, která mají vliv na životaschopnost funkce certifikační autority CAcertu.

''Dotaz (Iang): Co je to organizace? Je zde CAcert Inc Association, the certifiční autorita, síť zaručovatelů, rozličné jiné, a konečně komunita. Organizace jako celek je snad komunitou, ale také CA...

Odpověď (dan): Omezme se na CA a na určité rozšíření týkající se závislostí řízení / komunity''

== Externí kontext ==

CAcert je komunitní organizace působící v oblasti ověřování totožností a poskytující službu certifikátů / X509 na tom postavenou. Pracuje globálně. Jako u všech certifikačních autorit (CA) jsou rizika součástí korektního procesu a technologie, která podporuje kvalitní ověření totožností (identit) pro držitele certifikátů. Reputace (pověst) je pro CAcert nesmírně důležitá.

Povinnosti certifikační autority CAcert závisí na komunitě zaručovatelů a [[http://www.cacert.org/policy/CAcertCommunityAgreement.php|Dohoda komunity CAcert]] nastavuje standard vzájemného závazku, který CAcert musí obhájit. Na rozdíl od většiny CA rozdíl mezi zaručením a vydáním certifikátu vytváří velký závazek sloužit komunitě zaručovatelů.

Klíčovými cíli činnosti CAcert je získat statut vložení [kořenových certifikátů] (InclusionStatus) do předních prohlížečů. Organizace[[http://www.mozilla.org/projects/security/certs/policy/|Mozilla]] vyžaduje - ke splnění předpokladů pro statut vložení - dokončení projektu [[Audit]], což je tedy hlavním cílem.

Projekt [[Audit]] je založen na [[http://www.nlnet.nl/|NLnet]] a je veden podle [[http://svn.cacert.org/CAcert/CAcert_Inc/Funding/MoU_Audit_for_CAcert_Final.pdf|závazku]] vydávat k určeným [kalendářním] datům výsledky.

== Interní kontext ==

Podkomisi výboru a správy (M-SC) tvoří dobrovolníci, kteří vzali tyto cíle organizace za své. Ovšem jejich čas je omezen. CAcert je [[CAcertIncorporated|inkorporovanou organizací]] v australském Novém Jižním Walesu (NSW), řízenou [[Board|výborem]]. Výbor delegoval CEO-podobné [asi: výkonné] povinnosti na M-SC.

Aktiva CAcert zahrnují vlastnictví serverů, které poskytují různé on-line funkce nezbytné pro provoz CA. Služby auditu a dokumentace byly smluvně zakotveny, například hosting nebo správa firewallu.

Finanční aktiva CAcert jsou široce dotované aktivity závislé na vydávání výsledků.

Vnitřním cílem je zlepšit správu systému na podporovatelnou úroveň.

= Ošetření rizik =

Rizika hodnocená výše než Medium (střední) budou ošetřena. Medium rizika budou ošetřena, jestliže to umožní čas/cena. Riziko určují faktory následků/pravděpodobnosti, uvedené dále.

== Hodnocení následků ==

Zde se popisují škody, které nastanou, splní-li se hrozba.

 || '''Kategorie následků''' || '''Význam''' ||
 || Katastrofický || Ovlivní životnost organizace na dlouhou dobu ||
 || Velké || Způsobí, že kořenové certifikáty CAcert budou vyřazeny z předních prohlížečů ||
 ||  || Ztráta utajení kořenových privátních klíčů CAcert ||
 ||  || Způsobí odvolávání nebo nové vydávání certifikátů ve velkém měřítku ||
 || || Vážné poškození pověsti (reputace) CAcert: managementu / osazenstva / kritických systémů ||
 || || Neschopnost vydávat certifikáty déle než dva týdny ||
 || || Významná nepříjemnost pro uživatele certifikátů CAcert v širokém měřítku, jako nečitelné ověření e-mailů podepsaných CAcert/ nedostupnost serverů CAcert chybou CRL/OCSP ||
 || Mírné || Neschopnost vydávat certifikáty déle než dva týdny ||
 || || Odmítnutí služby CRL nebo OCSP delší než 5 minut ||
 || || Významná PR žádala o zjištění nedostatků (?)||
 || || Zpoždění postupu podle příruček auditu / systémů (?) ||
 || || Neplánované výdaje vyšší než 1000 € ||
 || Menší || Tisk ve spojení s kompromitováním méně důležitých systémů ||
 || || Akce, které vyžadují právní zastoupení ||
 || || Porušení důvěrných komunikací ||
 || || Neplánované výdaje vyšší než 400 € a nižší než 1000 € ||
 || Nevýznamné || Nedostupnost méně důležitých systémů, trvající méně než 1 den ||
 || || Nutnost zrušit registraci totožnosti jednotlivce ||

(skutečně tyto by měly být stanoveny a zrušeny managementem)

''Dotaz (iang): Ve výběru katastrofických a velkých rizik je zajímavá poznámka, která klade přežití organizace výše, než CA a důvěru (explicitní a implicitní) stran. Celkem s tím souhlasím, ale určitě se o tom musí diskutovat. Uvedený výběr jistým způsobem odráží "širší poslání" bezpečnosti, spíše než "užší poslání certifikátů zdarma".

Odpověď (dan): Jak já to chápu, je ke splnění "širšího poslání bezpečnosti" vyžadována řídicí struktura, aby obdržela nezbytnou důvěryhodnost, která je zcela nařízena v bezpečnosti komunity.''

''Dotaz (iang): Současná debata o datu narození (DoB) se zakládala na hrozbě krádeže totožnosti (identity). Současný vývoj trhu důvěry v USA (USA-credit-market) indikuje, že krádež totožnosti ve velkém rapidně vzrostl z menšího rizika (pokud pokrytého) na velké riziko (jak se regulátoři angažovali, jsou pravděpodobné pokuty, žádá se rozsáhlá revize bezpečnosti, atd.).

Odpověď (dan): Tohle skoro vede k posouzení rizik založenému na PR a právním risku (což je skoro stejné [?]). Vlastně nevím, je-li to tak špatné.''

== Hodnocení pravděpodobnosti ==

 || Skoro jisté || Denně ||
 || Pravděpodobné || Jednou za 3 měsíce ||
 || Možné || Jednou za rok ||
 || Nepravděpodobné || Jednou za 5 roků ||
 || Vzácné || Méně než jednou za 5 roků ||

== Matice rizik ==
Rizika jsou:
 * E - Extrémní
 * V - Vysoké
 * S - Střední
 * N - Nízké

 |||||||||||| '''Následky''' ||
 || || Nevýznamné || Menší || Mírné || Velké || Katastrofické ||
 || Skoro jisté || V || V || E || E || E||
 || Pravděpodobné || S || V || V || E || E ||
 || Možné || N || S || V || E || E ||
 || Nepravděpodobné || N || N || S || V || E ||
 || Vzácné || N || N || N ||  S || V ||

= Aktiva =

Zde jsou uvedena aktiva se (zhodnoceným následkem) v případě, že aktivum přestane existovat.

== Dlouhodobá aktiva ==

 * Splnění závazků pro zahrnutí CA do Mozilly (Velká)
 * Stav začlenění (Mírná)
 * Reputace (pověst) (Velká)
 * Podpora komunity, například ochota zaručovatelů zaručovat lidi (Mírná)

== Systémy ==

Různá aktiva jsou z různých důvodů kritická. Dále je uvedeno, které bezpečnostní hledisko aktiva má následky.

=== Kritické systémy ===

 || Aktivum || Utajenost || Integrita || Krátkodobá dostupnost || Dlouhodobá dostupnost ||
 || Kořenový klíč (Root Key, RK)<<FootNote(Kořenový klíč musí být dostupný alespoň jednou týdně, jinak nebudou dostupné CRL a OCSP.)>> || Velká || Mírná || Mírná (<1 týden) || Velká (>1 týden) ||
 || Mechanismus podepisování (signing mechanism, SM) včetně hlavního webu || Nevýznamná || Velká || Mírná (<2 týdny) || Velká (>2 týdny) ||
 || Služba OCSP / distribuční místa CRL<<FootNote(Zásady Mozilly určující dostupnost těchto služeb: http://www.mozilla.org/projects/security/certs/policy/)>>^,^<<FootNote(Pokud nebude funkční, pak přestanou Thunderbird a Firefox fungovat pro všechny servery s certifikáty CAcert.)>> || Nevýznamná || Velká || Mírná (<5 minut) nebo 99.9999% || Velká (>5 minut) nebo < 99.999%||
 || DNS <<FootNote(Následky jsou přímo spojeny se schopností podporovat OCSP/CRL)>>|| Žádná || Velká || Mírná (<5 minut) nebo 99.9999% || Velká (>5 minut) nebo < 99.999%||
 || Databáze uživatelů (UDB) || Velká || Velká || Menší (<24 hodin) || Mírná <<FootNote(Více než 24 hodin vyvolá aféru PR)>> (>24 hodin) ||
 || Hlavní web včetně ping-testu e-mailu/domény || Menší<<FootNote(Ztráta SSL klíče webu - předpokládá blokovaný přístup do Databáze uživatelů viz výše)>> || Nevýznamná || Menší (<24 hodin) || Mírná<<FootNote(Více než 24 hodin vyvolá aféru PR)>> (>24 hodin) ||

=== Nekritické systémy ===

 || Aktivum || Utajenost || Integrita || Krátkodobá dostupnost || Dlouhodobá dostupnost ||
 || Server seznamů (e-maily výbor/arbitráž) || Mírná || Mírná || Menší <1 týden || Střední >1 týden ||
 || Server e-mailů || Mírná || Mírná || Menší <1week || Mírná<<FootNote(Na základě typických dob opakování e-mailu; pro e-mailové služby podpory / managementu / arbitráže)>> >1 týden ||
 || Wiki || Menší (pro acl stránky) || Menší (pro acl stránky) || Menší <1 týden || Mírná >1 týden ||
 || Blog || Nevýznamná || Mírná || Nevýznamná <2 týdny|| Menší >2 týdny ||
 || IRC || Nevýznamná || Nevýznamná || Nevýznamná <2 týdny|| Menší >2 týdny||
 || SVN || Nevýznamná || Menší || Nevýznamná <2 týdny|| Minor >2 týdny||
 || CATS || Menší || Mírná || Nevýznamná <2 týdny|| Menší >2 týdny||
 || Test || Nevýznamná || Mírná<<FootNote(Testové systémy mají potenciální místo prozrazení kódu, a to při migraci do provozních)>> || Nevýznamná <2 týdny|| Menší >2 týdny||
 || Audit || || || || ||

''CO DÁL: zjistit/určit účel auditu''

=== Ostatní aktiva ===

 * Finanční aktiva (Mírná)
 * Vztahy k dodavatelům služeb ([[http://www.bit.nl|Bit]] a [[http://www.tunix.nl|Tunix]]) (Velká)
 * Domény (cacert.org a další [cacert.at - významná?]) (Velká)

= Hrozby =

Po zařazení do prohlížečů Mozilla se profil hrozby významně zvedne. Protože schopnost odpovědi na tuto hrozbu závisí na čase, předpokládá tento odhad rizik, že už bylo dosaženo statutu vložení [kořenových certifikátů CAcert do prohlížeče Mozilla / Firefox].

 * Komerční CA
   * Model "nulové ceny", který používá CAcert, významně podkopává životaschopnost ostatních, komerčních CA.
 * "Krakeři, louskači"
   * Předpokládá se, že budou financováni komerčními CA
 * Podvodné zločinecké organizace
   * Vydávání certifikátů finančních institucí bude v útocích typu "vylákání" (phishing) vysoce ziskové
 * Vláda
   * Některé vlády považují šifrování ve velkém měřítku za hrozbu managementu ''nutnosti mapovat hrozby vůči účelům/prioritám právních/zpravodajských služeb''
 * Zákon
   * Předvolání k soudu k obhájení záležitostí týkajících se certifikátů
   * Konfiskace systémových aktiv při obviněních jako pirátství, porušení autorských práv (copyrightu)
 * Nespokojené osazenstvo / členové

''Dotaz (iang): výše uvedené body představují původce [osoby, organizace], zatímco hrozby mohou být: hacking, právo (podaný případ, právní exekuce, soukromé vyšetřování, vyšetřování jiným regulátorem, atd.); kromě toho krádeže, ztráty, destrukce, nečitelné zálohy;  chybějící data, sdílení dat, zneužití zdrojů,... hm, to vypadá na další matici. Původce / čin / celkový účinek?

Odpověď (dan): Rád bych je umístil do tabulky posouzení rizik (Risk Assesment, RA) níže.''

= Posouzení rizik =

== Systémy ==

Identifikátory rizik jsou zřetězením systému, bezpečnostního rizika ('''C'''onfidentiality [důvěrnost] / '''I'''ntegrity [integrita] / '''A'''vailability [dostupnost]) a jednoznačného identifikátoru.

 || id || Aktivum || Hrozba || Pravdě-podobnost || Následky || Výsledné riziko || Náprava || Pravdě-podobnost (po nápravě) || Následky (po nápravě) || Riziko (po nápravě) ||
 || RK.C.1 || Důvěrnost kořenového klíče || Podvodné zločinecké organizace || Nepravdě-podobné || Velké || Vysoké || Řízený fyzický přístup a výmaz narušení (tamper zeroisation) || Vzácná || Velké || Střední ||
 || RK.C.2 || Důvěrnost zálohy kořenového klíče || Podvodné zločinecké organizace || Nepravdě-podobné || Velké || Vysoké || Bankovní trezor || Vzácná || Velké || Střední ||
 || RK.I || Integrita kořenového klíče || Soupeřící CA/kraker || Mírná || Nepravdě-podobné || Nízké || není potřebná || || || ||
 || RK.A || Dostupnost (dlouhodobá) kořenového klíče || Riziko RK.C.1 nebo předvolání || Nepravdě-podobné || Velké || Vysoké || Přístupné postupy backup/restore a činnost ve více zemích || Vzácná || Velké || Střední ||
 || SM.I || Změny mechanismu podpisu || Soupeřící CA/kraker || Nepravdě-podobné || Velké || Vysoké || Postupy auditu k detekci falešných podpisů || Vzácná || Velké || Střední ||
 || SM.A || Dlouhodobá dostupnost mechanismu podpisu || Soupeřící CA/kraker || Nepravdě-podobné || Velké || Vysoké || jako u RK.A || Vzácná || Velké || Střední ||
 || OCSP.I || Ukazatele OCSP/CRL kompromitovány, následek - DoS řádným uživatelům (neplatný stav platného / platný stav neplatného certifikátu) || Podvodná zločinná organizace / Kraker / Soupeřící CA || Nepravdě-podobné || Velké || Vysoké || důvěryhodné služby || || || ||
 || OCSP.A || DDoS služby CRL/OCSP || Vydírání podvodnou zločinnou organizací / Kraker/soupeřící CA || Nepravdě-podobné || Velké || Vysoké || Redundance služby (lze?) || Vzácná || Velké || Střední ||
 || DNS.I || Falešné záznamy DNS pro hlavní web/CRL/OCSP || Kraker/Soupeřící CA/zločinný podvod || Nepravdě-podobné || Velké || Vysoké || Změna řízení a Monitorování integrity s akcí opravy/ukončení. Zásady TTL (?). DNSSEC || Nepravdě-podobné || Mírné || Střední ||
 || DNS.A || DNS nedostupné kvůli DDoS || Jako u OCSP.A || Vzácná || Velké || Střední || Přídavné služby, je-li náprava DNS.I možná || Vzácná || Mírné || Střední ||
 || UDB.C || Prozrazena databáze uživatelů || Krakeři/soupeřící CA, zločinní podvodníci || Možné || Velké || Extrémní || Neočekávané dotazy spustí uzavření DB a audit kódu hlavního rozhraní a IDS na SM || Nepravdě-podobné || Mírná || Nízké ||
 || UDB.I || Poškozená databáze uživatelů || Zločinní podvodníci získají výnosné certifikáty vydíráním zaručovatele || Možné || Mírné || Střední || Kontrola zaměřená na domény/zaručení || Možné || Malé || Nízké ||

Legenda:
 * RK = Root Key (kořenový klíč)
 * SM = Signing Mechanism (mechanismus podpisu)
 * OCSP = Online Certificate Status Protocol (online protokol stavu certifikátu) spolu s CRL = Certificate Revocation List (seznam odvolaných certifikátů;
 * DDoS = Distributed Denial of Service (distribuované odepření služby [zahlcení serveru mnoha požadavky z různých stran])
 * DoS = Denial of Service (odepření služby [zahlcení serveru mnoha požadavky])
 * DNS = Domain Name Service/System (služba/systém doménových názvů)
 * UDB = User Database (databáze uživatelů)
 * IDS = asi: Intrusion Defense System (systém obrany proti proniknutí)

== Kritéria Mozilly ==

Jsou založena na Zásadách certifikátů CA Mozilly (Mozilla CA Certificate Policy 1.2). Číslování se shoduje s požadavky v uvedených [[http://www.mozilla.org/projects/security/certs/policy/|Zásadách]].

 || id || Aktivum || Hrozba || Pravdě-podobnost || Následky || Výsledné riziko || Náprava || Pravdě-podobnost (po nápravě) || Následky (po nápravě) || Riziko (po nápravě) ||
 || MOZ.4.U || Vydávání certifikátů bez znalosti entit, na jejichž údaje se certifikáty odkazují || Vnitřní chyby/škodící zasvěcené osoby || || || || || || || ||
 || MOZ.4.F || Vědomé vydávání certifikátů zjevně pro podvodné použití. || Vnitřní chyby/škodící zasvěcené osoby || || || || || || || ||
 || MOZ.4.T.1 || ASN.1 chyby kódování DER, chybné veřejné klíče, duplicitní názvy vydavatele a pořadová čísla, nesprávná rozšíření || Vnitřní chyby/škodící zasvěcené osoby || || || || || || || ||
 || MOZ.4.T.2 || Rozšíření "cRLDistributionPoints" nebo OCSP "authorityInfoAccess", pro něž neexistuje služba CRL nebo OCSP. || Vnitřní chyby/škodící zasvěcené osoby || || || || || || || ||
 || MOZ.6.I || Poskytnutí určité služby týkající se typických uživatelů našich softwarových produktů || Vnitřní chyby/škodící zasvěcené osoby || || || || || || || ||
 || MOZ.6.F || Zveřejnění informací o svých zásadách a obchodních praktikách || Vnitřní chyby/škodící zasvěcené osoby || || || || || || || ||
 || MOZ.6.V || Před vydáním certifikátu ověřit CSR způsobem přijatelným pro Mozilla Foundation || Vnitřní chyby/škodící zasvěcené osoby || || || || || || || ||
 || MOZ.6.G || Poskytnout atestaci, že vyhovuje stanoveným požadavkům na ověření a dalším provozním kritériím, vydanou kompetentní nezávislou stranou nebo stranami s přístupem k vnitřním procesům CA. || Slabé vedení || || || || || || || ||
 || MOZ.7.CV || Pro certifikát použitý pro digitální podpis a/nebo šifrování e-mailových zpráv dělá CA rozumná opatření k ověření, že entita předkládající žádost ovládá e-mailový účet přidružený k e-mailové adrese uvedené v certifikátu, nebo nebo byla oprávněna vlastníkem e-mailového účtu jednat v jeho zastoupení. || Vnitřní chyby/škodící zasvěcené osoby || || || || || || || ||
 || MOZ.7.SV || Pro certifikát použitý pro servery se SSL dělá CA rozumná opatření k ověření, že entita předkládající žádost o podpis certifikátu (CSR, certificate signing request) Má registrovanou doménu/domény uvedenou/uvedené v certifikátu, nebo byla registrátorem domén oprávněna jednat v jeho zastoupení. || Vnitřní chyby/škodící zasvěcené osoby || || || || || || || ||
 || MOZ.7.CS || Pro certifikáty použité pro digitální podpis objektů s kódem dělá CA rozumná opatření k ověření, že entita předkládající CSR je totožná s entitou uvedenou v certifikátu, nebo byla oprávněna entitou uvedenou v certifikátu jednat v jejím zastoupení. || Vnitřní chyby/škodící zasvěcené osoby || || || || || || || ||
 || MOZ.7.EV || Vyhovuje [[http://www.cabforum.org/EV_Certificate_Guidelines.pdf|Směrnicím pro vydávání a správu certifikátů s rozšířeným ověřením]] (Extended Validation Certificates) a [[http://www.cabforum.org/erratum.html|erratu]] || Vnitřní chyby/škodící zasvěcené osoby || || || || || || || ||

== Zákony ==

 || id || Aktivum || Hrozba || Pravdě-podobnost || Následky || Výsledné riziko || Náprava || Pravdě-podobnost (po nápravě) || Následky (po nápravě) || Riziko (po nápravě) ||
 ||  ||  ||  || || || || || || || ||

==== Odkazy ====

 * [[http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf|Průvodce správou rizik pro systémy informačních technologií]]
 * [[RisksLiabilitiesObligations/CZ|Rizika - Odpovědnost - Závazky]]
 * [[Audit/CommunityReport20080602]]
 * [[Board/Minutes/20080229]]
 * [[Advisory/AMinutes20080416]]
 * [[OverviewProjectsBoard/AuditToDo]]
 * [[ThreatList/CZ|Seznam hrozeb]]
 * [[https://svn.cacert.org/CAcert/Policies/SecurityPolicy.html|Zásady bezpečnosti]] a [[SecurityManual|Příručka bezpečnosti]]
   * [[http://svn.cacert.org/CAcert/SecurityManual/|Starší analýza SM a hrozeb]] - [[PhilippGüring]]

==== Poznámky pod čarou ====

----
 . CategoryAudit