Systémová bezpečnostná politika IT

Ostatné » Informatika

Autor: verca123
Typ práce: Referát
Dátum: 31.05.2014
Jazyk: Slovenčina
Rozsah: 978 slov
Počet zobrazení: 2 688
Tlačení: 228
Uložení: 265
Systémová bezpečnostná politika IT
 
Systémová bezpečnostná politika IT  definuje spôsob implementácie celkovej bezpečnostnej politiky IT v konkrétnom informačno-technologickom prostredí. Vypracováva sa obvykle pre časový horizont dvoch až päť rokov. Stanovuje súbor princípov a pravidiel pre ochranu IS (preto sa o nej hovorí tiež ako o bezpečnostnej politike IS) a jej poskytovaných služieb, zaoberá sa voľbou konkrétnych technických, procedurálnych, logických a administratívnych bezpečnostných opatrení v závislosti na konkrétnych IT a čiastočne aj voľbou fyzických a personálnych bezpečnostných opatrní, pokiaľ tieto môžu ovplyvniť bezpečnosť IS. Implicitne sa zaoberá bezpečnosťou elektronickej (počítačovej) časti IS. Bezpečnosť neelektronickej časti IS rieši tam, kde by neelektronická časť IS mohla výrazne ovplyvniť bezpečnosť elektronickej časti. Všetko rieši v harmonickej náväznosti na už existujúce a presadzované bezpečnostné opatrenia. Systémová bezpečnostná politika IT konkrétne sleduje, ako chrániť (organizovať a distribuovať) konkrétne aktíva, stanovuje konkrétne bezpečnostné ciele, vymenúva konkrétne hrozby zistené analýzou rizík, definuje konkrétne bezpečnostné opatrenia, t. j. funkcie presadzujúce bezpečnosť – autorizáciu, autentizáciu, audit, klasifikáciu dát, riadenie prístupu apod., ktoré sú už implementované alebo sa musia implementovať.
 
  Systémová bezpečnostná politika IT musí byť v súlade s celkovou bezpečnostnou politikou organizácie a s celkovou bezpečnostnou politikou IT organizácie, musí rešpektovať súčasný stav prevádzkovaného systému, i jeho plánovaného rozšírenia. Z celkovej bezpečnostnej politiky IT preberá stanovenie kategórie minimálnej sily bezpečnostných mechanizmov a konkrétne definuje, ako implementovať bezpečnostné funkcie (šifrovaním, elektronickými podpismi, a pod.). Vrcholový manažment organizácie musí schváliť odporučenia pre tvorbu systémovej bezpečnostnej politiky IT stanovujúce prijateľné reziduálne riziká, charakter prijímaných opatrení pre minimalizáciu rizík.
 
  Ten, kto vypracúva systémovú bezpečnostnú politiku, vychádza ďalej z vymedzenia hranice zabezpečovaného prostredia z hľadiska aplikačných cieľov IS a jeho poslania, z kvantifikovaných odhadov nepriaznivých dopadov na chod organizácie v dôsledku nedostupnosti služieb IT, odmietnutia ich prevedenia, resp. obmedzenia ich výkonu, neautorizovaných modifikácií informácií a/alebo softwaru a neautorizovaných odhalení dôverných informácií, včítane kvalifikovaných odhadov dopadov realizácii týchto hrozieb na povesť organizácie, ohrozenia života, súkromia atď...
 
Medzi ďalšie východiská sa radí výška investícií venovaných na zabezpečenie IS a stanovené medze nákladovej záťaže vznikajúce  zabezpečovaním IS. Autori systémovej bezpečnostnej politiky musia poznať zraniteľné miesta, hrozby a riziká, jej realizátori musia mať k dispozícii prehľad dostupných bezpečnostných opatrení a ich cien a charakteristiky externých dodávateľov a vzťahov organizácie s nimi. Pokiaľ je organizácia alebo jej IS príliš rozsiahly a rôznorodý, je vhodné vypracovať samostatne systémovú bezpečnostnú politiku fyzickej ochrany, systémovú bezpečnostnú politiku technickej ochrany (elektronika, software), personálnu systémovú bezpečnostnú politiku, komunikačnú systémovú bezpečnostnú politiku atď.
 
8.1 Fyzická systémová bezpečnostná politika
týka sa ochrany fyzických aktív, budov, počítačov, médií, prevencie krádeži, prevencie prírodných, objektívnych útokov.
 
8.2 Personálna systémová bezpečnostná politika
je súčasťou širšej personálnej politiky a jej cieľom je pokrytie hrozieb predstavovaných zamestnancami, dodávateľmi, zákazníkmi, neskúsenými užívateľmi, hackermi, profesionálmi, špiónmi a ochrana vlastných zamestnancov organizácie.
 
8.3 Komunikačná systémová bezpečnostná politika
ochrana poštovných zásielok, faxu, telefónov, hlasová komunikácia, prenosu dát.
 
8.4 Prevádzková systémová bezpečnostná politika
špecifikuje program školení – zvyšovanie vedomosti potenciálnych obetí o možných útokoch, postupy pri uplatňovaní preventívnych bezpečnostných opatrení, postupy pri detekcii útokov a ochranu týchto postupov, havarijné plány a vývoj metód prevencie a detekcie.
 
  Generickú štruktúru dokumentu, ktorý je prezentáciou systémovej bezpečnostnej politiky a východiskovým materiálom pre zahájenie jej implementácie do bezpečnostného programu, približuje nasledujúca osnova:
Analýza súčasného IS rešpektujúca použité IT.
Výsledky analýzy rizík IS.
Výsledky analýzy zraniteľných miest IS.
Popis hrozieb pre IS.
 
Aby sa zaistilo, že popis hrozieb bude vyčerpávajúci, je vhodné postupovať podľa vopred stanoveného systému. Môže sa použiť aplikačno-orientované triedenie (strata dôvery, odposluch, zlomyseľný operátor, modifikácia dát, maškaráda, zneužitie autorizácie...) alebo generické triedenie podľa nejakej normy (triedenie podľa použitých bezpečnostných funkcií).
 
8.5 Technická bezpečnostná politika
Uvádzajú sa konkrétne zákony, štandardy, normy, pravidlá, použité praktiky pre riadenie spracovania citlivých informácií, pre používanie hardwaru, pre používanie softwaru, de jure a de facto normy...
 
Personálna bezpečnostná politika.
 
Administratívna bezpečnostná politika.
Uvádza sa súbor vnútroorganizačných noriem a predpisov.
 
Udržovateľnosť IS z hľadiska bezpečnosti.
Jedná sa o výpočet kritických činností a zodpovedajúcich opatrení pre akcie typu registrácie užívateľov, inovácie softwaru apod.
 
Formálny model bezpečnosti IS.
Uvádzanie formálneho modelu je voliteľné podľa toho, či sa požaduje zodpovedajúca úroveň zaručiteľnosti bezpečnosti IS.
Definícia súboru relevantných bezpečnostných opatrení.
Uvádzajú sa špecifikácie bezpečnostných funkcií zabezpečovaného IS včítane identifikácie nimi pokrývaných hrozieb.
 
Použité bezpečnostné mechanizmy.
Vhodne systematicky triedený výpočet, napr. podľa kategórií – logické, technické, fyzické bezpečnostné mechanizmy.
 
Havarijný plán.
Bezpečnostná dokumentácia
Plán implementácie systémovej bezpečnostnej politiky, bezpečnostný program.

Uvádzajú sa detailné pracovné plány implementácie prijatých bezpečnostných funkcií, priority, náklady a časové plány, špecifikácie projekčných aktivít (záväzné zdroje a zodpovednosť, kontrolné dni, správy o stave riešenia, oponentúry). Súčasťou bezpečnostného programu je plán školenia pre celý tím IT organizácie, kam patria vývojári IS, prevádzkový pracovníci, bezpečnostný manažér, bezpečnostní správci, pracovníci zodpovední za autorizáciu ostatných pracovníkov, koncoví užívatelia atď. Stanovujú sa prevádzkové a správne procedúry a podmienky akreditácie bezpečnostného programu, t. j. pripraví sa hodnotenie jeho implementácie.

8.6 Metodika procesu vytvárania bezpečnostných politík
Projekčný tím celkovej a systémovej bezpečnostnej politiky musia tvoriť odborníci, ich znalosti pokrývajú aspoň nasledujúce oblasti:
-  bezpečnostné architektúry výpočtových (distribuovaných, otvorených) systémov
-  bezpečnostné personálne štruktúry organizácie
-  zásady udržania fyzickej bezpečnosti
-  zákony, vyhlášky a nariadenia súvisiace s poslaním organizácie
-  zásady etiky chovania z hľadiska manipulácie s informáciami
-  spôsoby zainteresovania zamestnancov organizácie na bezpečnosti
-  princípy klasifikácie dôvernosti dát
-  mechanizmy riadenia prístupu
-  obecné kryptografické metódy zabezpečenia integrity a dôvernosti
-  metódy zabezpečenia integrity a dôvernosti pri prenose dát
-  možné hrozby a im zodpovedajúce riziká v cieľovom prostredí
-  metódy správy rizík – procesov určovania neistých (nepredvídateľných) udalostí ovplyvňujúcich škody na aktívach a určovanie adekvátnych opatrení
-  metódy identifikácie a ohodnocovania aktív, metódy analýzy rizík a nástroje pre ich automatizáciu
-  zásady tvorby havarijných plánov
-  metódy hodnotenia bezpečnosti
 
Proces tvorby bezpečnostnej politiky nie je jednorazový. Dobrá bezpečnostná politika nikdy nevniká jednorazovou akciou, lebo sa menia chránené aktíva, menia sa informačné technológie, menia sa motivácie a skúsenosti útočníkov atď. Životný cyklus tvorby bezpečnostnej politiky možno zjednodušene vyjadriť nasledujúcimi (opakovane) uskutočňovanými krokmi:

1.  posúdenie vstupných vplyvov
2.  analýza rizík
3.  vypracovávanie bezpečnostnej politiky
4.  implementácia bezpečnostnej politiky
5.  nasadenie bezpečnostnej politiky, kontrola jej účinnosti a vyslovovanie záverov.
Oboduj prácu: 10 9 8 7 6 5 4 3 2 1

Vyhľadaj ďalšie vhodné študentské práce pre tieto kľúčové slová:

#identifikácia bezpečnostných rizík #počítačové právo #personlne praktiky


Odporúčame

Ostatné » Informatika

:: KATEGÓRIE - Referáty, ťaháky, maturita:

0.015