Bezpečnostné štandardy
10. Uveďte príklady na bezpečnostné štandardy. Čo je bezpečnostný model a ako vzniká? Ako sa tvorí analýza
rizík, aké sú potrebné vstupy a čo sa od nej očakáva? Aké typy bezpečnostných opatrení poznáte? Čo zahŕňa Disaster recovery planning
(havarijné plánovanie)?
Bezpečnostná politika, tak ako ju definuje RFC 2196 je formálne vyjadrenie
pravidiel, ktoré musia ľudia s oprávneným prístupom k aktívam organizácie (technologickým a informačným) dodržiavať. Základným
dôvodom, prečo je potrebné mať bezpečnostnú politiku je stanovenie základu od ktorého sa odvíjajú pravidlá používania, konfigurácie a
údržby IS. Bezpečnostný model je obyčajne odvodený z tradičných princípov ochrany.
Existujú tri tradičné princípy ochrany:
- disperzná, rozptýlená ochrana, zameraná na minimalizáciu strát,
- redundantná ochrana, zabezpečujúca funkčnosť IS aj keď
niektorý prvok IS bude poškodený, prestane fungovať (záloha, zdvojenie jednotlivých prvkov IS, zálohované komunikačné linky, záložné
zdroje, záložné servre, atď.),
- hĺbková ochrana, navrhnutá tak, že útočník musí prekonať sériu bariér prv, než by mohol
poškodiť podstatnú časť IS.
Analýza rizík
Analýza rizík vyžaduje zodpovedanie štyroch
základných otázok: 1) Čo potrebujeme chrániť? 2) Akú to má hodnotu? 3) Pred čím to potrebujeme chrániť? 4) A ako to môžeme
chrániť? Musíte identifikovať všetky aktíva, možné hrozby a identifikovať zdroje potrebné na efektívne minimalizovanie hrozieb.
Identifikácia aktív
Zoznam aktív by mal obsahovať všetky systémy, ktoré sú súčasťou vášho IS,
nielen automatizované systémy, ktoré zabezpečujú počítače. Ďalej, hardvér, softvér, dáta, a ľudské zdroje. Taktiež je treba
uvažovať nad aktívom ako je dobré meno firmy, dobré odberateľsko - dodávateľské vzťahy a podobne. Kompletný zoznam zahŕňa vlastne
všetok hmotný a nehmotný majetok, ktorý akýmkoľvek spôsobom ovplyvňuje chod IS. Je vhodné bližšie špecifikovať dáta na základe ich
dôležitosti. Nie všetky dáta je potrebné chrániť rovnakou úrovňou. Inak sa budú chrániť dáta, ktoré obsahujú zoznamy zamestnancov
a inak patenty, ktoré sú vlastníctvom firmy. Ďalej, aj ľudské zdroje majú určitú hodnotu. Ich pracovný čas a hodnota práce je istým
meradlom hodnoty, ktorú predstavujú pre organizáciu. Je dobré takýmto spôsobom špecifikovať aj nehmotné aktíva, akými sú: image
organizácie, vzťahy so zákazníkmi, verejná mienka atď.
Hodnotenie aktív
Ohodnotenie aktív
môže byť dosť komplikované. Pre bezpečnostné účely nie je podľa mňa dôležité robiť presné ohodnotenia. Väčšina aktív, ako
hardvér a softvér sa dajú oceniť peniazmi, majú určitú trhovú hodnotu, poprípade hodnotu zostatkovú. Ostatné sa môžu hodnotiť formou
nákladov, ktoré by vytvorili, ak by prestali plniť požadovaný účel a funkciu. Napríklad firma, ktorá predáva svoj tovar aj pomocou
Internetu má približnú predstavu, o aké možné zisky by prišla ak by ich server vypovedal službu na povedzme 48 alebo 120 hodín (jeden
pracovný týždeň). Ďalej je možné tieto aktíva hodnotiť ako relatívny percentuálny podiel z celkovej hodnoty podniku. Pochopiteľne,
renomovaná spoločnosť, ktorá podniká na Internete môže byť cenená viac, než je jej trhová hodnota. Hodnotenie sa môže líšiť aj od
toho, kto posudzuje hodnotu týchto aktív. Pre personálne oddelenie môžu mať údaje o svojich zamestnancoch hodnotu ich opätovného získania,
no pre konkurenciu, či možného útočníka môžu mať tieto isté údaje inú cenu. Je dobré, výslednú hodnotu aktív brať ako priemer
týchto dvoch protikladov, čiže priemer nákladov prevádzkovateľa a zisku útočníka.
Identifikácia
hrozieb
Ak už máme identifikované aktíva, ďalším krokom je priradenie hrozieb k týmto aktívam. Akokoľvek je
Internetová hackerská komunita medializovaná, väčšina útokov a hrozieb prichádza z vnútra organizácie. Dokonca i tá najmenšia hrozba
vyliatia kávy na klávesnicu a následne spôsobený skrat môže zničiť celý počítač. Veľké organizácie, ktoré využívajú počítače
vo svojich informačných systémoch už majú skúsenosti z takýchto hrozieb / incidentov. Je veľmi užitočné, ak sa vedú záznamy,
takzvané logy o týchto incidentoch. Tieto záznamy sa môžu potom využiť pri neskoršom bezpečnostnom plánovaní, ako zdroj možných
hrozieb. Okrem interných zdrojov, je možné, podľa hesla „učíme sa z cudzích chýb“, získať informácie o možných hrozbách aj
z Internetu, odbornej literatúry a konzultačno - poradenských firiem.
Identifikácia ochranných
opatrení
Keď už máme identifikované aj možné hrozby, musíme identifikovať aj bezpečnostné opatrenia a mechanizmy,
ktorými sa budeme snažiť tieto hrozby minimalizovať. Niektoré mechanizmy budú hardvérového charakteru, ako bezpečnostné zámky,
pamäťové karty, mreže. Iné môžu byť procedurálne opatrenia, ako previerky zamestnancov, strážna služba alebo poistenie. Bezpečnostné
opatrenia by mali byť plánované, aby mohli zabezpečiť ochranu do hĺbky, pri všetkých kľúčových prvkoch IS. Nedá sa spoliehať len na
jedno zraniteľné opatrenie, ktorého častým príkladom z praxe je firewall. IS, ktorý využíva komunikáciu s okolitými počítačmi
a inými IS by mal mať viac úrovňovú ochranu. K takejto ochrane patrí: fyzická ochrana, ochrana účtov (accounts), a hesiel užívateľov,
ochrana súborového systému, ochrana procesov a tokov dát, sieťová ochrana, atď.
Na vypracovanie havarijného plánu možno
použiť aj plány (dokumentáciu) na riešenie havarijných situácií vyhotovenú podľa osobitných predpisov a okrem ohrozenia činnosti IS
z vnútra a z vonku, tieto predpisy a povinnosti z nich vyplývajúce musia obsahovať napríklad aj
- príslušnú dokumentáciu na
úseku ochrany pred požiarmi,
- plán ochrany zamestnancov
- plán havarijných opatrení na ochranu pred živelnými pohromami,
- plán opatrení na zmierňovanie priebehu a odstraňovanie dôsledkov havarijných stavov podľa predpisov na ochranu ovzdušia,
a podobne, teda ohrozeniami zdanlivo nesúvisiacimi.
Zones.sk – Zóny pre každého študenta