Pojmy: Bezpečnosť a manažment informačných systémov
Pojmy: Bezpečnosť a manažment informačných systémov
Analýza rizík – proces identifikovania
bezpečnostných rizík, určujúci ich závažnosť a oblasti, ktoré vyžadujú ochranné opatrenia.
Aktívum –
čokoľvek, čo má pre spoločnosť hodnotu.
Auditovateľnosť – vlastnosť, ktorá zabezpečí, že činnosť
subjektu môže byť jednoznačne identifikovateľná pre daný subjekt.
Autenticita – požiadavka na zaistenie
spracovania údajov, ktoré zodpovedajú skutočnosti, teda nie sú sfalšované.
Autorizovaná osoba – v rámci spoločnosti funkcia/osoba, ktorá je oprávnená vykonávať určitú činnosť alebo má nejaké
privilegované oprávnenia, ktorej meno, podpis a osobné údaje sú známe útvaru bezpečnostného manažéra.
Bezpečnostný incident – ľubovoľná udalosť, ktorá spôsobila alebo by mohla spôsobiť stratu alebo zničenie aktív
spoločnosti alebo činnosť, ktorá je v rozpore s platnou bezpečnostnou politikou a bezpečnostnými predpismi.
Bezpečnostný manažér IT – funkcia/osoba vrcholovo zodpovedná za bezpečnosť IT v rámci celej spoločnosti.
Bezpečnostné opatrenia – prax, postupy alebo mechanizmy, ktoré znižujú bezpečnostné riziká. V praxi sa taktiež
používa ekvivalentný pojem ochranné opatrenia.
Bezpečnostná politika – súbor základných
cieľov, zásad a povinností slúžiacich na zaistenie bezpečnosti. Druh bezpečnostnej dokumentácie vypracovávanej za spoločnosť ako celok,
pre jednotlivé IS.
Bezpečnostné štandardy – rozpracovanie zásad bezpečnostnej politiky pre jednotlivé
oblasti a úrovne ochrany IS na úrovni dispozície využívanej pri výkonnej činnosti.
Bezpečnostný zámer –
Druh bezpečnostnej dokumentácie vypracovávanej pre IS. Bezpečnostný zámer býva súčasťou bezpečnostného projektu IS.
Bezpečnostný projekt – Druh bezpečnostnej dokumentácie vypracovávanej pre IS. Platná legislatíva
definuje svoje požiadavky na obsah tohto druhu bezpečnostného dokumentu.
Bezpečnosť –
vlastnosť objektu alebo subjektu, ktorá určuje mieru jeho ochrany proti možným škodám. Taktiež stav, pri ktorom je riziko poškodenia osôb
alebo vecí obmedzené na prijateľnú úroveň.
Ciele bezpečnosti – spoločnosť zvyčajne definuje viac
cieľov. Medzi hlavné ciele v oblasti bezpečnosti IT patrí zabezpečenie integrity, autenticity, dôvernosti, dostupnosti dát
a informačných služieb.
Cieľ riadenia IT – formulácia požadovaného výsledku alebo zámeru, ktorý má byť
dosiahnutý implementovaním riadiacich procedúr v určitej čiastkovej aktivite v rámci IT.
Dostupnosť –
zabezpečenie prístupu k informáciám a súvisiacim aktívam IS pre autorizovaných používateľov vtedy, keď je to potrebné.
Dôvernosť – zaistenie toho, že k informáciám majú prístup len tí, ktorí majú na to autorizáciu.
Funkcia – pre potreby plánovania obnovy činnosti po havárii ide o činnosť vykonávanú niektorým útvarom spoločnosti.
Taktiež pracovné zaradenie zamestnanca alebo miesto v organizačnej štruktúre spoločnosti.
Funkčnosť
riadenia – charakteristika systému riadenia, ktorá znamená, že systém riadenia je vybudovaný a že funguje.
Gestor aplikácie – organizačná jednotka, útvar alebo osoba, ktorá protokolárne preberá do
používania vytvorené a/alebo dodané aplikačné programové vybavenie. Gestor zodpovedá tak za funkčnú, ako aj bezpečnostnú stránku
aplikácií, ktoré má pod svojou gesciou.
Gestor dát – organizačná jednotka, útvar alebo osoba, ktorá
protokolárne prevzala zodpovednosť za správnosť údajov, s ktorými daný systém nakladá.
Hrozba –
čokoľvek, čo môže spôsobiť škodu. Akcia alebo udalosť, ktorá môže ohroziť bezpečnosť IS.
Chyba – nesplnenie požiadavky na zamýšľané použitie, vrátane požiadavky, ktorá sa týka bezpečnosti.
Implementácia bezpečnosti IT – praktická realizácia schváleného súboru organizačných,
technických, softvérových a iných bezpečnostných opatrení.
Informácia - hovorovo
akákoľvek správa získaná rozhovorom, z novín, televízie, rádia. Podľa vedeckej teórie je informácia istá veličina, ktorá znižuje
doterajšiu neurčitosť, neznalosť o nejakom jave.
Informácie podnikateľské – sú informácie obiehajúce
v podnikateľskej sfére. Využívajú sa na ovplyvňovanie výrobných, obchodných, riadiacich a iných procesov. Týkajú sa vzťahov ľudí
k podnikateľským procesom, vzťahov medzi ľuďmi, potrieb, záujmov a cieľov podniku.
Obvyklými druhmi informácií vyskytujúcimi sa
v podnikaní sú:
· informácie z odboru podnikania;
· informácie právne;
· informácie ekonomické;
·
informácie o trhu;
· informácie zo zahraničia;
· informácie všeobecné;
· informácie obchodné;
· informácie
organizačné;
· informácie personálne;
· informácie o systéme riadenia.
Informačná
bezpečnosť – bezpečnosť informácií a všetkých ostatných aktív informačných technológií a informačných systémov. Podľa
ISO/IEC 17799 informačná bezpečnosť je charakterizovaná ako uchovanie:
a) dôvernosti: zabezpečuje, že informácie sú dostupné len
tým, ktorí sú autorizovaní pre prístup k nim;
b) integrity: zaisťuje presnosť a úplnosť informácií a metód spracovania;
c)
dostupnosti: zabezpečuje, aby autorizovaní používatelia mali prístup k informáciám a súvisiacim aktívam vtedy, keď to potrebujú.
Informačná bezpečnosť sa dosahuje implementáciou vhodnej sady opatrení, ktorými môžu byť politiky, praktiky, procedúry, organizačné
štruktúry a softvérové funkcie. Tieto opatrenia je nutné zaviesť, aby sa zabezpečilo splnenie špecifických bezpečnostných zámerov
organizácie.
Informačný systém – súbor technických (hardvér) a programových (softvér)
prostriedkov, záznamových médií, dát a personálu, ktoré spoločnosť používa na spracovanie informácií v určitej oblasti pôsobenia.
Podľa ISO/IEC 12207 – Information Technology – Life Cycle Procesess je IS definovaný ako integrované zloženie ľudí, produktov
a procesov, ktorí poskytujú schopnosti zabezpečiť určené potreby alebo ciele. Elementy tvoriace systém sú uvedené na obrázku.
Inovačný zámer – uvážené rozhodnutie (úmysel, plán, cieľ) dosiahnuť obnovenie, zavedenie
niečoho nového.
Integrita – zabezpečenie presnosti a kompletnosti informácií a metód
spracovania.
Informačná technológia – vedecká, technologická a inžinierska disciplína na riadenie techník
používaných na spracovanie dát. Taktiež rôzne technológie poskytujúce rôzne služby súvisiace s automatizovanými systémami
spracovávania dát, avšak mimo priameho spracovávania dát, napr. telekomunikačný systém, satelitný prenosový systém, e-mail, a pod.
Individuálna zodpovednosť – vlastnosť zaisťujúca, že činnosti určitej entity môžu byť
sledované jedinečne pre túto entitu.
ISMS – Information Security Management Systém – Systém riadenia informačnej
bezpečnosti je časť celkového systému riadenia podniku, založená na prístupe k rizikám podniku, ktorej úlohou je zaviesť,
implementovať, prevádzkovať, monitorovať, revidovať, udržiavať a zlepšovať informačnú bezpečnosť.
Kompatibilita – schopnosť objektov spĺňať pri spoločnom použití za špecifikovaných podmienok príslušné požiadavky
(zlúčiteľnosť).
Komplexný systém riadenia bezpečnosti – systém riadenia podporujúci
analýzu, budovanie, riadenie, monitorovanie a vyhodnocovanie bezpečnostných opatrení v celom životnom cykle IS a na všetkých úrovniach
budovania IS spoločnosti a na všetkých úrovniach riadenia spoločnosti.
Kontaktná osoba – osoba určená
vedúcim pracovníkom na sprostredkovanie potrebnej podpory alebo na riešenie zadanej úlohy.
Kontinuita –
nepretržitá dostupnosť všetkých zdrojov potrebných pre prevádzku spoločnosti alebo procesov spoločnosti na úrovni prijateľnej pre
vedenie.
Kontrola – činnosti ako sú meranie, skúšanie, testovanie, porovnávanie s kritériom
v rozsahu jedného alebo niekoľkých znakov objektu, porovnávanie výsledkov so špecifikovanými požiadavkami s cieľom určiť dosiahnutie
zhody v jednotlivých znakoch.
Kritická kombinácia prístupových práv – kombinácia, ktorá
predstavuje zvýšené riziko zneužitia IS, umožňujúca u jedného zamestnanca zlúčenie nežiaducich činností.
Kvalita – celkový súhrn znakov objektu, ktorými objekt nadobúda schopnosť uspokojovať určené a predpokladané potreby.
Manažment – systém a metódy riadenia podnikovej činnosti, hospodárstva. Skupina pracovníkov zaoberajúca sa
vedením a riadením. Synonymum pojmu riadenie.
Manažment kvality – všetky činnosti celkovej funkcie manažmentu určujúcej
politiku kvality, ciele a zodpovednosť, ktoré sa uplatňujú v systéme kvality prostredníctvom plánovania kvality, operatívneho riadenia
kvality, zabezpečenia kvality a zlepšovania kvality.
Manažment rizík – celkový proces
identifikovania, kontrolovania a eliminovania alebo minimalizovania nepredvídaných udalostí, ktoré môžu ovplyvniť zdroje systému IT.
Model – Zmenšené detailné znázornenie predmetu slúžiace obyčajne ako plán alebo vzor. Schéma javu, predmetu,
slúžiaca na jeho skúmanie.
Model budovaného IS – umožňuje vymedziť spôsob spracúvania informácií,
ktorý bude vyhovovať požiadavkám kladeným na budovaný IS. Model IS by mal špecifikovať najmä nasledovné informácie:
- rozhranie IS s okolím;
- funkčnú špecifikáciu;
- dátovú špecifikáciu;
- špecifikáciu používateľských
rozhraní (interfejsov);
- špecifikáciu riadenia procesu spracúvania IS.
Metodológia životného cyklu IS
– metodológia obsahuje štandardy a procedúry, ktoré majú vplyv na plánovanie, analýzu, návrh, vývoj,
implementáciu, prevádzku a podporu IS. Metodológie životného cyklu využívané v praxi sú rôzne, napr. waterfall (vodopád), spiral
(špirála), inkrementálna, evolutionary (vývojová), fast-track a pod.
Nezhoda – nesplnenie
špecifikovanej požiadavky.
Objektívny dôkaz – informácia, ktorej pravdivosť možno
preukázať na základe faktov zistených porovnávaním, meraním, skúšaním alebo inými prostriedkami.
Ohodnotenie rizík – ohodnotenie hrozieb, dopadov a zraniteľnosti informácií a informácie spracúvajúcich zariadení a
určenie pravdepodobnosti ich výskytu.
Overovanie, verifikácia – potvrdenie skúmaním a poskytnutím
objektívneho dôkazu, že sa splnili špecifikované požiadavky.
Plán akceptačného testovania IS – špecifikuje
testy, ktoré budú vykonané zo strany zadávateľa IS pred prevzatím IS od zhotoviteľa ešte pred začatím rutinnej prevádzky. Plán by mal
definovať testovacie dáta, testovacie procedúry, kritéria pre jednotlivé testy, ako aj zloženie testovacích tímov.
Plán kvality – dokument opisujúci špecifické postupy v oblasti kvality, zdroje a postupnosti
činností, ktoré sa vzťahujú na určitý výrobok, projekt alebo zmluvu.
Postup –
špecifikovaný spôsob vykonávania určitej činnosti.
Používateľ – organizačná jednotka
alebo útvar spoločnosti, ktorý využíva informácie získané z IS alebo tieto informácie žiada v rámci služieb poskytovaných systémom,
ako aj každý zamestnanec, ktorý používa výpočtovú techniku pri svojej práci.
Používateľ zodpovedá za bezpečnosť svojho
počítačového pracoviska, vedie predpísanú prevádzkovú dokumentáciu počítačového pracoviska a prevádzkuje svoje lokálne aplikácie
vrátane zálohovania dát.
Privilegované a špeciálne oprávnenia – oprávnenia používateľov IS umožňujúce
prácu na úrovni operačného systému alebo nastavenie systémových parametrov operačného systému, databázy alebo aplikácie.
Proces – sústava vzájomne súvisiacich zdrojov a činností, ktoré transformujú vstupy na výstupy.
Procedúra – činnosť vykonávaná ľuďmi, spravidla usmernená internou normou riadenia.
Programové prostriedky – operačné systémy, komerčné programy, vlastné programy a ich zdrojové kódy.
Projektant bezpečnosti IS – člen riešiteľského tímu dodávateľa IS, ktorý rieši bezpečnostnú stránku IS. Jeho
partnerom zo strany budúceho prevádzkovateľa budovaného IS je bezpečnostný manažér IS.
Riadenie –
sústava zásad, nástrojov, prostriedkov (i osôb) usmerňujúcich istú činnosť.
Riziko –
potenciálna možnosť, že daná hrozba využije zraniteľnosť aktív alebo skupiny aktív a spôsobí tak stratu alebo zničenie
aktív.
Spoľahlivosť – schopnosť systému dlhodobo dodržať predpísané vlastnosti pri prevádzke. Taktiež
súhrnný termín používaný na opis pohotovosti a činiteľov, ktoré ovplyvňujú spoľahlivosť a to: bezporuchovosť, udržiavateľnosť,
zabezpečenosť údržby.
Spoločenské požiadavky – požiadavky vyplývajúce zo zákonov, vyhlášok, predpisov,
kódexov, stanov a iných okolností.
Správca aplikačnej úlohy/aplikácie – zamestnanec
spoločnosti autorizovaný na zadávanie požiadaviek na funkčné a bezpečnostné vlastnosti aplikácie. Spolupracuje pri testovaní vyvinutých
aplikácií a je oprávnený predpísaným postupom zadávať požiadavky na úpravy softvéru aplikácie. V praxi sa taktiež používa pojem
gestor aplikácie.
Správca technických prostriedkov – správca vykonávajúci
spravidla nasledovné činnosti:
- spracovanie návrhov koncepčného riešenia technického rozvoja IS;
- identifikácia
technických porúch a zabezpečenie ich odstránenia;
- koordinácia činnosti interných a externých dodávateľov
servisných prác;
- zabezpečovanie dokumentácie technických prostriedkov;
- zabezpečenie prevádzky EPS, EZS
a energetických zdrojov;
- zabezpečenie prepäťovej ochrany.
Systém –
účelný spôsob usporiadania nejakého celku, sústava. Súbor prvkov spätých istými (vymedzenými) vzťahmi, sústava.
Systém kvality – organizačná štruktúra, postupy, procesy a zdroje potrebné na uplatnenie
manažmentu kvality.
Stratégia – základný prístup k riešeniu určitej oblasti.
Stratégia bezpečnosti – presnejšie povedané, stratégia riadenia bezpečnosti je vlastne základný
prístup k otázkam bezpečnosti v rámci spoločnosti.
Stupeň naliehavosti
obnovy – Výsledok analýzy obchodných dopadov spočívajúci v určení priority z hľadiska naliehavosti obnovy danej funkcie, počas
obnovovania činnosti spoločnosti po havárii. Podľa stupňa naliehavosti obnovy sa funkcie delia na životne dôležité, dôležité, pomocné
a podporné.
Špecifikácia – dokument špecifikujúci požiadavky.
Špecifikácia
dátová – opis štruktúry a vzájomných vzťahov medzi spracúvanými dátami
Špecifikácia funkčná
– opis funkcií a ich väzieb, ktoré má IS vykonávať
Špecifikácia požiadaviek na IS
– opis požiadaviek zadávateľa (budúcich používateľov IS) na systém, ktorý sa má vybudovať. Požiadavky sa zvyčajne členia na
funkčné, spoľahlivostné, bezpečnostné a kvalitatívne.
Štúdia IS – Feasibility Study
– štúdia vykonateľnosti IS. Druh dokumentu o IS, ktorý sa má vybudovať. Rozpracováva viaceré varianty možného
riešenia IS, pre ktorý boli špecifikované základné požiadavky a zámery v Inovačnom zámere IS. Štúdia obsahuje aj ekonomické porovnanie
navrhovaných variantov.
Technické prostriedky – počítače, monitory, terminály, skenery,
tlačiarne, dátové nosiče, štruktúrovaná kabeláž, a pod.
Zabezpečenie kvality – všetky plánované
a systematické činnosti využívané v systéme kvality a preukazované podľa potreby, s cieľom získať dôveru, že objekt bude spĺňať
požiadavky na kvalitu.
Zákazník – príjemca výrobku dodávaného dodávateľom.
Zhoda – splnenie špecifikovaných požiadaviek.
Zostatkové riziko – riziko, ktoré zostáva po
implementácii ochranných opatrení.
Životný cyklu IS – informačný systém je dynamický,
vyvíjajúci sa celok, ktorý počas svojho vývoja prechádza určitými fázami, ktoré možno považovať za obsahovo relatívne samostatné časti
životného cyklu. Súhrn týchto fáz sa nazýva životný cyklus informačného systému.
Zones.sk – Zóny pre každého študenta