Ochrana údajov, bezpečnosť IS
Ochrana údajov, bezpečnosť IS - technická a programová ochrana
Ochrana údajov a bezpečnosť
IS
Je isté, že význam bezpečnosti vzrastá s množstvom a dôležitosťou spracúvaných informácií. Pretože už viacero
spoločností riešilo problémy súvisiace so stratami dôležitých údajov, začali sa niektoré firmy orientovať na odhaľovanie problémov
súvisiacich s bezpečnosťou IS.
Situácia v tejto oblasti je komplikovaná aj preto, že príčiny strát údajov je niekoľko. Patria
sem:
· neúmyselné chyby
· úmyselné útoky
· podvody
· zneužitia a krádeže údajov hackermi, zamestnancami, ale aj
špiónmi.
Pod pojmom bezpečnosť informačného systému rozumieme ochranu všetkých údajov, ktoré
systém obsahuje a sú doň vkladané, spracúvané a prenášané, ako aj ochranu všetkých častí, teda technických, ale aj netechnických
prostriedkov.
Pojem bezpečnosť teda integruje fyzickú, počítačovú, komunikačnú, personálnu, administratívnu a prevádzkovú
bezpečnosť. V systémoch s náročnejšími požiadavkami k uvedeným pribudnú ešte opatrenia na zabránenie elektromagnetického
vyžarovania.
Ak chceme vybudovať bezpečný IS musíme splniť tri základné požiadavky:
· Dôvernosť - je to
vlastnosť informácie, ktorá zaisťuje, že informácia nebude poskytnutá neoprávnenému subjektu, pričom pojem subjekt zahŕňa nielen
používateľa ale aj technické prostriedky a software.
· Integrita - zaisťuje, aby informácia nebola zmenená (ale ani
zmazaná) neautorizovaným subjektom.
· Dostupnosť - zabezpečuje ochranu proti odmietnutiu alebo zadržaniu služieb a
zdrojov informačného systému.
Hodnotenie bezpečnosti - je pochopiteľné, že používatelia sa usilujú overiť si, do
akej miery sú nimi používané systémy bezpečné. Vo svete existuje viacero kritérií hodnotenia bezpečnosti IS. Medzi najznámejšie
patria:
. TCSEC - vydané Ministerstvom obrany USA v roku 1983
· ITSEC - spoločné harmonizované požiadavky na
bezpečnosť IT, prijaté západoeurópskymi krajinami v rámci integračného úsilia v roku 1990
· CTCPEC - vydaná v roku
1990 kanadským ústavom pre bezpečnosť komunikácii (CE)
· FCITS - vydaná v roku 1993 v USA, je výsledkom spolupráce
Národného normalizačného úradu NIST a Národnej agentúry pre bezpečnosť NSA
· CCITSE - je to pracovný návrh všeobecných kritérii
hodnotenia bezpečnosti IT, o ktorom sa v rámci krajín EU začalo diskutovať v roku 1995
Tak, ako v mnohých oblastiach, i v tejto
má zámorie, či skôr USA, výrazný náskok, a tak nečudo, že vlastne všetky špecifikácie kritérií vychádzajú z amerických kritérií
TCSEC, známych pod názvom "oranžová kniha". TCSEC zaviedla pojem trieda bezpečnosti, pričom jednotlivé triedy predstavujú úroveň
bezpečnosti.
Jednotlivé triedy sú začlenené do skupín:
· Skupina D - má iba jednu triedu, systém
zaradený do nej nevyhovel požiadavkám na zaradenie do vyššej triedy, jednak sú to produkty, ktorým chýbajú niektoré bezpečnostné
vlastnosti, jednak produkty, ktoré nevyhoveli z formálnej stránky.
· Skupina C - obsahuje dve triedy C1 a C2, zjednodušene sa dá povedať,
že zariadenia spĺňajúce podmienky zaradenia do týchto skupín disponujú takzvanou "výberovou ochranou, teda nie sú komplexne
chránené, najvýznamnejšími podmienkami je ochrana prístupu, kontrola integrity, vytváranie kontrolných záznamov apod. , trieda C1 definuje
zabezpečenie na nižšej úrovni, C2 na vyššej
· Skupina B - zahŕňa tri triedy B1, B2, B3" zjednodušene by sa dalo povedať, že
okrem splnenia predchádzajúcich požiadaviek patrí k najvýznamnejším podmienkam zaradenia IS do tejto skupiny zavedenie ochrany údajov tzv.
štítkom, v podstate ide o presne definované zásady pohybu dokumentu od jeho vzniku až po zánik vrátane definovania osôb oprávnených
nahliadnuť do nich prípadne vykonávať v nich zmeny
· Skupina A - zaručuje najvyššiu bezpečnosť. Na zaradenie do
nej musí byť pomocou formálnej bezpečnostnej verifikácie dokázané, že IS má požadované vlastnosti.
Základným
kameňom bezpečnosti IS je bezpečnostná politika. Predstavuje súhrn pravidiel pre prístup subjektov k informáciám a prostriedkom
informačného systému. Konkrétnejšie to znamená, že určuje akým spôsobom budú vnútri IS distribuované, uchovávané, organizované a
spracúvané nielen informácie, ale aj samotné prostriedky IS. Podmieňujúcim faktorom je integrácia všetkých súčastí (S do bezpečnostnej
politíky. Ide teda o komplex personálnych, fyzických a organizačných bezpečnostných pravidiel a opatrení. Neoddeliteľnou súčasťou je
určenie bezpečnostných cieľov a definovanie rizík. Z praktického hľadiska to znamená, že treba stanoviť nielen predmet ochrany, ale aj
špecifikovať aj možné spôsoby, ktorými sa budú viesť "útoky" proti tejto ochrane.
Pokiaľ ide o bezpečnostné funkcie, ich
škála je pomerne pestrá. Sú to napr.: · identifikácia - prihlásením sa užívateľa do systému napr. zadaním mena
· autentizácia -
ide o proces alebo aj výsledok overenia totožnosti používateľa
· na základe znalostí - heslom
·
na základe vlastníctva - predmetom (čipová al. magnetická karta)
· na základe našich vlastnosti - biometrickými vlastnosťami
(odtlačok prsta)
· riadenie prístupu
· dôveryhodnosť údajov
· integrita údajov
·
opakované použitie
· presnosť
· spoľahlivosť služieb
. bezpečnosť prenosu údajov ·
potvrdenie prijatia údajov
· identifikácia zdroja údajov
· audit
Zones.sk – Zóny pre každého študenta