Informačná bezpečnosť

Informačná bezpečnosť

Ako v prípade zabezpečenia akéhokoľvek iného chráneného záujmu, aj informačná bezpečnosť musí vychádzať z ucelenej previazanosti základných pojmov, prístupov a funkcií. Prechod od počiatočnej koncepcie bezpečnostného myslenia k aktivácii bezpečnostného manažmentu je zachytený na nasledujúcom obrázku:

3.1 ZÁKLADNÉ POJMY V OBLASTI BEZPEČNOSTI

Riziko – Pravdepodobnosť vzniku straty alebo škody

Zraniteľnosť – Množina slabých miest v systéme ktorá môže byť využitá k spôsobeniu škody, alebo straty

Ohrozenie – Vonkajšie, alebo vnútorné pôsobenie na systém, ktoré môže viesť ku potenciálnym stratám, alebo škodám

Bezpečnosť – Vlastnosť systému definujúca mieru ochrany voči ohrozeniu [ 3 ]

3.2 TERMINOLÓGIA ANALÝZY RIZÍK

3.3 DEFINÍCIA INFORMAČNEJ BEZPEČNOSTI

Z vyššie uvedených definícií a grafu terminológie je možné odvodiť, že „informačná bezpečnosť“ je vlastnosť definujúca mieru ochrany aktív v oblasti virtuálneho, elektronického sveta voči ohrozeniam.

Túto vlastnosť je efektívne možné vysvetliť porovnaním základných diferencií s rovnakými vlastnosťami vo fyzickom svete. Kým bezpečnostné opatrenia v oblasti objektovej (resp. fyzickej) bezpečnosti smerujú k prevencii alebo eliminácii strát, krádeže alebo zničenia majetku, peňažnej hotovosti, cenín a predídeniu hrozieb a potenciálnych strát na zdraví a živote osôb, informačná bezpečnosť smeruje k prevencii kompromitácie informačných zdrojov, zamedzeniu krádeže informácií, zamedzeniu neautorizovanej zmeny a neoprávnenej manipulácie s dátami, prevencii nedostupnosti dát, alebo nemožnosti použitia informácií, prevencii ľudských pochybení, zanedbania, sabotáže, chybného ovládania, alebo chybných procesov. [ 4 ]

Informačná bezpečnosť je v prvom rade zabezpečenie fungovania, dostupnosti a výkonu informačných systémov. Ďalej sa jedná o kontrolu a riadenie prístupu k informačným zdrojom v súlade s definovanou bezpečnostnou politikou a ochranou integrity informácií. Informácie musia byť chránené tak, aby:

· k nim mali prístup len oprávnené osoby

· boli chránené proti kompromitácii (vyzradeniu, odtajneniu, zverejneniu, atď.)

· bola zaistená ich integrita

· bola zaistená nepopierateľnosť odosielateľa a prijímateľa informácie

· bola zaistená dostupnosť

V oblasti informačnej bezpečnosti aktíva s najvyššou hodnotou predstavujú informácie. Pokrytý je nasledujúci rozsah správy aktív:

· spracovanie informácií

· úschova informácií

· distribúcia informácií

· prezentácia informácií

Tieto úlohy sú zhrnuté v štyroch základných kritériách informačnej bezpečnosti:

Confidentiality – dôvernosť (Prístup k informáciám len pre oprávnené osoby)

Integrity – celistvosť (Ochrana informácií pred neoprávnenou modifikáciou)

Availability – dostupnosť (Spoľahlivý a včasný prístup k informáciám)

Accountability – sledovateľnosť (Jednoznačná identifikovateľnosť prístupu k informáciám)

3.4 HROZBY A ICH VPLYVY

V tabuľke sú naznačené vplyvy jednotlivých hrozieb v jednotlivých kritériách informačnej bezpečnosti:
Tabuľka 1. Vplyvy hrozieb v kritériách informačnej bezpečnosti