Bezpečnostné štandardy

10.  Uveďte príklady na bezpečnostné štandardy. Čo je bezpečnostný model a ako vzniká? Ako sa tvorí analýza rizík, aké sú potrebné vstupy a čo sa od nej očakáva? Aké typy bezpečnostných opatrení poznáte? Čo zahŕňa Disaster recovery planning (havarijné plánovanie)?

Bezpečnostná politika, tak ako ju definuje RFC 2196 je formálne vyjadrenie pravidiel, ktoré musia ľudia s oprávneným prístupom k aktívam organizácie  (technologickým a informačným) dodržiavať. Základným dôvodom, prečo je potrebné mať bezpečnostnú politiku je stanovenie základu od ktorého sa odvíjajú pravidlá používania, konfigurácie a údržby IS. Bezpečnostný model je obyčajne odvodený z tradičných princípov ochrany.
Existujú tri tradičné princípy ochrany: 
-  disperzná, rozptýlená ochrana, zameraná na minimalizáciu strát,
-  redundantná ochrana, zabezpečujúca funkčnosť IS aj keď niektorý prvok IS bude poškodený, prestane fungovať (záloha, zdvojenie jednotlivých prvkov IS, zálohované komunikačné linky, záložné zdroje, záložné servre, atď.),
-  hĺbková ochrana, navrhnutá tak, že útočník musí prekonať sériu bariér prv, než by mohol poškodiť podstatnú časť IS.
 
Analýza rizík
Analýza rizík vyžaduje zodpovedanie štyroch základných otázok:  1) Čo potrebujeme chrániť?  2) Akú to má hodnotu?  3) Pred čím to potrebujeme chrániť?  4) A ako to môžeme chrániť?  Musíte identifikovať všetky aktíva, možné hrozby a identifikovať zdroje potrebné na efektívne minimalizovanie hrozieb.
 
Identifikácia aktív
Zoznam aktív by mal obsahovať všetky systémy, ktoré sú súčasťou vášho IS, nielen automatizované systémy, ktoré zabezpečujú počítače.  Ďalej, hardvér, softvér, dáta, a ľudské zdroje.  Taktiež je treba uvažovať nad aktívom ako je dobré meno firmy, dobré odberateľsko - dodávateľské vzťahy a podobne.  Kompletný zoznam zahŕňa vlastne všetok hmotný a nehmotný majetok, ktorý akýmkoľvek spôsobom ovplyvňuje chod IS.  Je vhodné bližšie špecifikovať dáta na základe ich dôležitosti.  Nie všetky dáta je potrebné chrániť rovnakou úrovňou.  Inak sa budú chrániť dáta, ktoré obsahujú zoznamy zamestnancov a inak patenty, ktoré sú vlastníctvom firmy.  Ďalej, aj ľudské zdroje majú určitú hodnotu.  Ich pracovný čas a hodnota práce je istým meradlom hodnoty, ktorú predstavujú pre organizáciu.  Je dobré takýmto spôsobom špecifikovať aj nehmotné aktíva, akými sú:  image organizácie, vzťahy so zákazníkmi, verejná mienka atď. 
 
Hodnotenie aktív
Ohodnotenie aktív môže byť dosť komplikované.  Pre bezpečnostné účely nie je podľa mňa dôležité robiť presné ohodnotenia. Väčšina aktív, ako hardvér a softvér sa dajú oceniť peniazmi, majú určitú trhovú hodnotu, poprípade hodnotu zostatkovú.  Ostatné sa môžu hodnotiť formou nákladov, ktoré by vytvorili, ak by prestali plniť požadovaný účel a funkciu.  Napríklad firma, ktorá predáva svoj tovar aj pomocou Internetu má približnú predstavu, o aké možné zisky by prišla ak by ich server vypovedal službu na povedzme  48 alebo 120 hodín (jeden pracovný týždeň).  Ďalej je možné tieto aktíva hodnotiť ako relatívny percentuálny podiel z celkovej hodnoty podniku.  Pochopiteľne, renomovaná spoločnosť, ktorá podniká na Internete môže byť cenená viac, než je jej trhová hodnota.  Hodnotenie sa môže líšiť aj od toho, kto posudzuje hodnotu týchto aktív. Pre personálne oddelenie môžu mať údaje o svojich zamestnancoch hodnotu ich opätovného získania, no pre konkurenciu, či možného útočníka môžu mať tieto isté údaje inú cenu.  Je dobré, výslednú hodnotu aktív brať ako priemer týchto dvoch protikladov, čiže priemer  nákladov prevádzkovateľa a zisku útočníka. 
 
Identifikácia hrozieb
Ak už máme identifikované aktíva, ďalším krokom je priradenie hrozieb k týmto aktívam.  Akokoľvek je Internetová hackerská komunita medializovaná, väčšina útokov a hrozieb prichádza z vnútra organizácie. Dokonca i tá najmenšia hrozba vyliatia kávy na klávesnicu a následne spôsobený skrat môže zničiť celý počítač.  Veľké organizácie, ktoré využívajú počítače vo svojich informačných systémoch už majú skúsenosti z takýchto hrozieb / incidentov.  Je veľmi užitočné, ak sa vedú záznamy,  takzvané logy o týchto incidentoch.  Tieto záznamy sa môžu potom využiť pri neskoršom bezpečnostnom plánovaní, ako zdroj možných hrozieb.  Okrem interných zdrojov, je možné, podľa hesla „učíme sa z cudzích chýb“, získať informácie o možných hrozbách aj z Internetu, odbornej literatúry a konzultačno - poradenských firiem.
 
Identifikácia ochranných opatrení
Keď už máme identifikované aj možné hrozby, musíme identifikovať aj bezpečnostné opatrenia a mechanizmy, ktorými sa budeme snažiť tieto hrozby minimalizovať.  Niektoré mechanizmy budú hardvérového charakteru, ako bezpečnostné zámky, pamäťové karty, mreže.  Iné môžu byť procedurálne opatrenia, ako previerky zamestnancov, strážna služba alebo poistenie.  Bezpečnostné opatrenia by mali byť plánované, aby mohli zabezpečiť ochranu do hĺbky, pri všetkých kľúčových prvkoch IS.  Nedá sa spoliehať len na jedno zraniteľné opatrenie, ktorého častým príkladom z praxe je firewall.  IS, ktorý využíva komunikáciu s okolitými počítačmi a inými IS by mal mať viac úrovňovú ochranu.  K takejto ochrane patrí: fyzická ochrana, ochrana účtov (accounts), a hesiel užívateľov, ochrana súborového systému, ochrana procesov a tokov dát, sieťová ochrana, atď.
 
Na vypracovanie havarijného plánu možno použiť aj plány (dokumentáciu) na riešenie havarijných situácií vyhotovenú podľa osobitných predpisov a okrem ohrozenia činnosti IS z vnútra a z vonku, tieto predpisy a povinnosti z nich vyplývajúce musia obsahovať napríklad aj
-  príslušnú dokumentáciu na úseku ochrany pred požiarmi,
-  plán ochrany zamestnancov
-  plán havarijných opatrení na ochranu pred živelnými pohromami,
-  plán opatrení na zmierňovanie priebehu a odstraňovanie dôsledkov havarijných stavov podľa predpisov na ochranu ovzdušia,
a podobne, teda ohrozeniami zdanlivo nesúvisiacimi.