Manažment IS a ochrana informácií
Manažment IS a ochrana informácií - Vysvetlite úlohu kontroly pri ochrane IS. Vysvetlite čo sú to autorské práva a ako to súvisí so
softvérom, licenciami a intelektuálnym vlastníctvom.
Ako všetky ostatné aktíva, tak aj IS hardvér, softvér, siete a
dáta je potrebné kontrolovať, aby bola zaistená ich kvalita a bezpečnosť. Cieľom efektívnej kontroly je bezpečnosť informačného systému,
t.j. presnosť, integrita a bezpečnosť aktivít a zdrojov IS. Ďalším cieľom je zaistenie kvality IS, t.j. odstrániť chyby a zneužitie IS a
eliminovať negatívny dopad, ktorý IS môže mať na biznis.
3 kategórie kontroly:
1. Kontrola IS - kontrola vstupu, spracovania,
výstupu a uloženia info
2. Kontrola procedúr - štandardné procedúry, dokumentácia, autorizácia požiadaviek, audit
3. Kontrola
zariadení - fyzická ochrana, kontrola zlyhania počítačov, kontrola telekomunikácií, poistenie
Kontrola IS -
metódy a nástroje na zaistenie presnosti, platnosti a vlastníctva info, navrhnuté na monitorovanie a udržanie kvality a bezpečnosti
vstupov, spracovania, výstupov a uchovania info akéhokoľvek IS.
Kontrola vstupov - na riadne a
presné vloženie dát do počítač. sys. Pomáha vyhnúť sa problémom ako: nečitateľné dáta, neskorý update, pravopisné chyby, nepresné
dáta, nesúhlasné polia, príliš veľa revízií, kt. vedú k nedostatku jasnej komunikácie, sklamaniu zákazníka a jeho nespokojnosti
s kvalitou služieb. Príkladom takejto kontroly sú: heslá, bezpečnostné kódy, formátované formuláre na vstup dát, signalizácia chýb,
predčíslované formy a pod. Počítačový softvér môže identifikovať chybné dáta, ak dáta presiahnu určité limity alebo postupnosti. Na to
sa využíva najmä vypočítavanie a monitorovanie tzv. control totals - kontrolné súčty - napr. spočítanie počtu zdrojových dokumentov a
porovnanie tohto čísla s počtom záznamov v inej fáze prípravy vstupu. Ak čísla nesedia, vznikla chyba.
Kontrola spracovania - na identifikovanie chýb v aritmetických a logických funkciách. Zaisťuje tiež, že sa dáta nestratia
alebo neostanú nespracované. Patria sem kontrola hardvéru - mikroprocesorov - správny počet bitov v každom byte, kontrola čítacích hláv a
iných periférií. a kontrola softvéru - že sa spracúvajú tie správne dáta- napr. pomocou interných názvov súborov na zač. a na kon.
magnetického disku alebo kontrolné súčty na tzv. checkpoints počas spracovania.
Kontrola výstupov
- že výstupné dáta sú správne a kompletná a sú k dispozícii užívateľovi v správnom čase. Tiež sa tu používajú kontrolné
súčty, kt. sa porovnávajú so súčtami na vstupe a v priebehu spracovania.
Kontrola uloženia dát
- zodpovednosť za kontrolu - do rúk špecialistov a administrátorov! Databázy sú chránené pred neautorizovaným a náhodným
použitím bezpečnostnými programami, ktoré vyžadujú identifikáciu užívateľa. Používajú sa bezpečnostné kódy a viacnásobné heslá a
niekedy aj smart cards, kt. generujú náhodné čísla k užívateľovmu heslu. Dôležité je aj použitie back-up zálohových súborov, ktoré
sú vlastne duplikátmi dátových súborov a programov, sú uložené mimo počítačového centra. Ak súčasné súbory sú zničené, súbory
z predchádzajúcich periód sú použité na ich rekonštrukciu.
Kontrola zariadení - metódy na
ochranu počítačových a sieťových zariadení organizácie pred stratou a zničením. Počítačové centrá a siete sú ohrozované najmä:
havárie, prírodné katastrofy, sabotáž, vandalizmus, neautorizované použitie, priemyselná špionáž, zničenie a krádež. Preto sú potrebné
kvalitné bezpečnostné procedúry a najmä preto, lebo stále viac a viac firiem funguje na základe electronic commerce.
Bezpečnosť electronic commerce:
- Privacy - Súkromie - schopnosť kontrolovať kto a za akých podmienok môže vidieť
info
- Authenticity - Autentickosť - schopnosť poznať identitu komunikujúcich strán
- Integrity - Integrita - zaistenie, že
uložené a prenášané info sú nezmenené
- Reliability - Zodpovednosť - zaistenie, že systém bude k dispozícii, keď treba a bude
fungovať kvalitne
- Blocking - Blokovanie- schopnosť blokovať nechcené info
Bezpečnosť siete - Jedna
z možností ochrany - špeciálny softvér - system security monitors - umožňujú iba autorizovaný prístup a aj autorizovaní užívatelia
mnohokrát majú prístup iba k niektorým súborom a programom. Ďalšia možnosť je Encryption (kódovanie?) - ochrana dát najmä na internete
- špeciálne aritmetické algoritmy a kľúče na transformáciu dát predtým ako sú prenášané. Fire Walls - počítače a softvér, ktoré
slúžia ako "vrátnik" a chránia intranet spoločnosti pred neoprávneným vniknutím a slúžia ako filter pre prístup do a z internetu
a iných sietí. Dovoľujú prístup iba autorizovaným užívateľom.
Fyzická ochrana - alarm, bezpečnostná
služba, kamerový sys., elektronické zámky, detekcia požiaru, hasiace sys., núdzové energetické napájanie, kontrola teploty a vlhkosti, a
pod.
Biometrická kontrola - novo rozvíjajúca sa oblasť počítačovej bezpečnosti - využíva individuálne fyzické črty
jedincov - overenie hlasu, odtlačkov prstov, dlane, podpis, rozpoznanie tváre, analýza sietnice, genetika a pod.
Kontrola zlyhania počítačov - predísť zlyhaniu alebo minimalizovať jeho následky. Zlyhania z dôvodov: energetické
napájanie, elektronické poruchy, telekomunikačné problémy, programovacie chyby, vírusy, chyby operátorov... Je potrebné: preventívna
údržba, softvérový update, náhradný zdroj energie, klimatizácia, požiarna ochrana, backup systém, trénovaný personál...
Kontrola procedúr - zaistenie presnosti a integrity počítačových a sieťových systémov
Štandardné procedúry a dokumentácia - ich použitie minimalizuje chyby a zneužitia, pomáha pochopiť užívateľom, čo sa od nich očakáva
Požiadavky na autorizáciu - každá zmena programu, nový hardvér, softvér a sieťové komponenty musia byť odsúhlasené niekým, kto má
k tomu autorizáciu.
Obnova systému po jeho zničení - musí existovať plán na obnovenie systému, ktorý obsahuje podrobné procedúry,
ľudí a ich úlohy.
Audit IS - oddelenie informačných služieb by malo mať pravidelný audit internými
zamestnancami firmy. Auditing around computer system - overenie správnosti a kvality vstupných a výstupných dát bez hodnotenia ich spracovania.
Auditing through computer system- ohodnotenie presnosti a integrity softvéru, kt. spracúva dáta ako aj vstupných a výstupných dát.
2
základné typy kontroly:
- Generálna kontrola - zahŕňa kontrolu celkového designu, bezpečnosti, používania
počítačov a files v organizácii ako celku. Patrí tu fyzická hardwarová kontrola, systémová softwarová kontrola, kontrola
počítačových operácií, kontrola implementačného procesu a administratívnych procedúr. Firewalls pomáhajú k samozabezpečeniu
privátnych sietí od neautorizovaných prístupov, keď org. používa intranet alebo internet. Kryptovanie dát sa používa pri
elektronických platbách.
- Aplikačná kontrola – týka sa špecifických počítačových aplikácií, zameriava sa na
kompletnosť a presnosť vstupov, updating, správnosť informácií v systéme. Pozostáva z kontroly inputov, procesnej kontroly a
kontroly outputov.
Software a licencie:
Softvér je chápaný ako produkt, na ktorý sa vzťahuje právo jeho tvorcu
a je definované ako autorské právo. Autorské práva sú upravené v legislatíve jednotlivých štátov. K tomu aby bolo možné takýto
výtvor používať je v prípade komerčného softvéru potrebné zakúpiť licenciu na jeho používanie. Zdrojové kódy takýchto programov
obyčajne nebývajú zverejňované a akýkoľvek zásah do programu je zakázaný. Takéto programy však môžu byť aj voľne dostupné, vtedy
hovoríme o freeware, prípadne môžu byť voľne dostupné plno funkčné, ale napríklad časovo obmedzené (shareware), alebo aj funkčne
obmedzené (DEMO). Ochrana užívateľa oproti nezodpovednosti vývojára však prakticky neexistuje. Výrobca môže napríklad v ponúkanom
produkte propagovať vlastnosti ktoré tento vôbec nemá. Toto je živnou pôdou pre crackerov, ktorý vytvoria program – crack, ktorý umožní
zrušenie všetkých obmedzení voľnej verzie. Isto pre overenie funkčnosti neraz drahého softvéru a na ochranu spotrebiteľa je to
pochopiteľné, avšak ide o nelegálnu činnosť. Komerční producenti by sa mali zamyslieť nad vlastnou serióznosťou, a tak vziať možnosti
crackerom. Používanie softvéru a jeho legálnosť vo firmách sledujú organizácie ako je BSA, prípadne softvérová polícia. V prípade
porušenia zákona a odhalenia nelegálneho softvéru hrozia firmám nemalé pokuty.
Naproti tomu je postavený softvér vyrábaný pod
GNU GPL (general public licence) licenciou. Všetky zdrojové kódy sú verejne dostupné, program možno ľubovoľne modifikovať, je voľne
šíriteľný, ale neznamená to že, vždy musí byť zadarmo.
Program je slobodný software, pokiaľ užívatelia majú všetky tieto
slobody: Môžete distribuovať kópie, modifikované kópie, zadarmo alebo s poplatkom za distribúciu komukoľvek a kdekoľvek. Mať slobodu
robiť tieto veci znamená (okrem iného), že nemusíte nikoho žiadať o povolenie, alebo za ne platiť.
Software môžete modifikovať
a používať modifikovanú verziu súkromne, alebo v zamestnaní alebo vo voľnom čase, bez toho, aby ste sa museli zmieňovať o jej existencii.
Pokiaľ zverejníte vaše zmeny, nie ste nútený ich niekomu zvlášť oznamovať.
Sloboda distribuovať kópie musí zahŕňať binárne
i spustiteľné podoby programu, rovnako ako zdrojový kód pre modifikované i nemodifikované verzie. Je v poriadku, aj keď nie je možné
vytvoriť spustiteľnú alebo binárnu verziu, ľudia ale musia mať slobodu distribuovať podoby programu, aby mali spôsob, ako ho vytvoriť.
Dostupnosť zdrojového kódu je teda nevyhnutnou podmienkou pre slobodný software. Aby tieto slobody boli skutočné, musia platiť tak dlho,
pokiaľ sa niečím nepreviníte; ak má vývojár software moc zmeniť licenciu bez toho, aby ste mu k tomu svojim jednaním dali príčinu,
nejedná sa o slobodný software.
Napriek tomu sú niektoré pravidlá spôsobu distribúcie slobodného software prijateľné, pokiaľ nie sú
v rozpore zo základnými slobodami. Napríklad copyleft (veľmi jednoducho povedané) je pravidlo, ktoré hovorí, že pokiaľ distribuujete
program, nesmiete k nemu pridať žiadne obmedzenia, aby ste odopreli základné slobody ostatným. Toto pravidlo nijak neobmedzuje základné
slobody, skôr ich chráni.
Za získanie kópii GNU software môžete platiť, alebo ich obdržať zdarma, ale bez ohľadu na spôsob, ako
ste ich získali, máte vždy slobodu kopírovať a meniť software, dokonca predávať jeho kópie.
Využívanie najnovších verzií
softvéru pre profesionálne použitie je nevýhodné, pretože nový softvér môže obsahovať a obyčajne aj obsahuje chyby, ktoré môžu
v podstatnej miere ohroziť chod organizácie, ktorá takýto program používa. Tiež ale nie je výhodné používať veľmi staré programy,
pretože už nemusia podporovať nový HW. Kompromis je vo využívaní o verziu staršiu ako je najnovšia dokončená verzia programu. Takáto
verzia je už dostatočne overená a aj chyby sú už výrobcom odstránené.
Zones.sk – Zóny pre každého študenta