Zóny pre každého študenta

Ochrana údajov, bezpečnosť IS

Ochrana údajov, bezpečnosť IS - technická a programová ochrana

Ochrana údajov a bezpečnosť IS
Je isté, že význam bezpečnosti vzrastá s množstvom a dôležitosťou spracúvaných informácií. Pretože už viacero spoločností riešilo problémy súvisiace so stratami dôležitých údajov, začali sa niektoré firmy orientovať na odhaľovanie problémov súvisiacich s bezpečnosťou IS.
Situácia v tejto oblasti je komplikovaná aj preto, že príčiny strát údajov je niekoľko. Patria sem:
· neúmyselné chyby
· úmyselné útoky
· podvody
· zneužitia a krádeže údajov hackermi, zamestnancami, ale aj špiónmi.
 
Pod pojmom bezpečnosť informačného systému rozumieme ochranu všetkých údajov, ktoré systém obsahuje a sú doň vkladané, spracúvané a prenášané, ako aj ochranu všetkých častí, teda technických, ale aj netechnických prostriedkov.
Pojem bezpečnosť teda integruje fyzickú, počítačovú, komunikačnú, personálnu, administratívnu a prevádzkovú bezpečnosť. V systémoch s náročnejšími požiadavkami k uvedeným pribudnú ešte opatrenia na zabránenie elektromagnetického vyžarovania.
Ak chceme vybudovať bezpečný IS musíme splniť tri základné požiadavky:
· Dôvernosť - je to vlastnosť informácie, ktorá zaisťuje, že informácia nebude poskytnutá neoprávnenému subjektu, pričom pojem subjekt zahŕňa nielen používateľa ale aj technické prostriedky a software.
· Integrita - zaisťuje, aby informácia nebola zmenená (ale ani zmazaná) neautorizovaným subjektom.
· Dostupnosť - zabezpečuje ochranu proti odmietnutiu alebo zadržaniu služieb a zdrojov informačného systému.
 
Hodnotenie bezpečnosti - je pochopiteľné, že používatelia sa usilujú overiť si, do akej miery sú nimi používané systémy bezpečné. Vo svete existuje viacero kritérií hodnotenia bezpečnosti IS. Medzi najznámejšie patria:
. TCSEC - vydané Ministerstvom obrany USA v roku 1983
· ITSEC - spoločné harmonizované požiadavky na bezpečnosť IT, prijaté západoeurópskymi krajinami v rámci integračného úsilia v roku 1990
· CTCPEC - vydaná v roku 1990 kanadským ústavom pre bezpečnosť komunikácii (CE)
· FCITS - vydaná v roku 1993 v USA, je výsledkom spolupráce Národného normalizačného úradu NIST a Národnej agentúry pre bezpečnosť NSA
· CCITSE - je to pracovný návrh všeobecných kritérii hodnotenia bezpečnosti IT, o ktorom sa v rámci krajín EU začalo diskutovať v roku 1995
 
Tak, ako v mnohých oblastiach, i v tejto má zámorie, či skôr USA, výrazný náskok, a tak nečudo, že vlastne všetky špecifikácie kritérií vychádzajú z amerických kritérií TCSEC, známych pod názvom "oranžová kniha". TCSEC zaviedla pojem trieda bezpečnosti, pričom jednotlivé triedy predstavujú úroveň bezpečnosti.

Jednotlivé triedy sú začlenené do skupín:
· Skupina D - má iba jednu triedu, systém zaradený do nej nevyhovel požiadavkám na zaradenie do vyššej triedy, jednak sú to produkty, ktorým chýbajú niektoré bezpečnostné vlastnosti, jednak produkty, ktoré nevyhoveli z formálnej stránky.
· Skupina C - obsahuje dve triedy C1 a C2, zjednodušene sa dá povedať, že zariadenia spĺňajúce podmienky zaradenia do týchto skupín disponujú takzvanou "výberovou ochranou, teda nie sú komplexne chránené, najvýznamnejšími podmienkami je ochrana prístupu, kontrola integrity, vytváranie kontrolných záznamov apod. , trieda C1 definuje zabezpečenie na nižšej úrovni, C2 na vyššej
· Skupina B - zahŕňa tri triedy B1, B2, B3" zjednodušene by sa dalo povedať, že okrem splnenia predchádzajúcich požiadaviek patrí k najvýznamnejším podmienkam zaradenia IS do tejto skupiny zavedenie ochrany údajov tzv. štítkom, v podstate ide o presne definované zásady pohybu dokumentu od jeho vzniku až po zánik vrátane definovania osôb oprávnených nahliadnuť do nich prípadne vykonávať v nich zmeny
· Skupina A - zaručuje najvyššiu bezpečnosť. Na zaradenie do nej musí byť pomocou formálnej bezpečnostnej verifikácie dokázané, že IS má požadované vlastnosti.
 
Základným kameňom bezpečnosti IS je bezpečnostná politika. Predstavuje súhrn pravidiel pre prístup subjektov k informáciám a prostriedkom informačného systému. Konkrétnejšie to znamená, že určuje akým spôsobom budú vnútri IS distribuované, uchovávané, organizované a spracúvané nielen informácie, ale aj samotné prostriedky IS. Podmieňujúcim faktorom je integrácia všetkých súčastí (S do bezpečnostnej politíky. Ide teda o komplex personálnych, fyzických a organizačných bezpečnostných pravidiel a opatrení. Neoddeliteľnou súčasťou je určenie bezpečnostných cieľov a definovanie rizík. Z praktického hľadiska to znamená, že treba stanoviť nielen predmet ochrany, ale aj špecifikovať aj možné spôsoby, ktorými sa budú viesť "útoky" proti tejto ochrane.
Pokiaľ ide o bezpečnostné funkcie, ich škála je pomerne pestrá. Sú to napr.: · identifikácia - prihlásením sa užívateľa do systému napr. zadaním mena
· autentizácia - ide o proces alebo aj výsledok overenia totožnosti používateľa
  · na základe znalostí - heslom
· na základe vlastníctva - predmetom (čipová al. magnetická karta)
· na základe našich vlastnosti - biometrickými vlastnosťami (odtlačok prsta)
· riadenie prístupu
· dôveryhodnosť údajov
· integrita údajov
· opakované použitie
· presnosť
· spoľahlivosť služieb
. bezpečnosť prenosu údajov · potvrdenie prijatia údajov
· identifikácia zdroja údajov
· audit
Zones.sk – Najväčší študentský portál
https://www.zones.sk/studentske-prace/informatika/4218-ochrana-udajov-bezpecnost-is/