Referaty
Home
Anglictina
Biologie
Chemie
Dejepis-Historie
Diplom-Projekt
Ekonomie
Filozofie
Finance
Fyzika
Informatika
Literatura
Management
Marketing
Medicina
Nemcina
Ostatni
Politika
Pravo
Psychologie
Public-relations
Sociologie
Technologie
Zemepis-Geografie
Zivotopisy

loading...



Téma, Esej na téma, Referátu, Referát, Referaty Semestrální práce:

Koncepce ochrany informačního systému - softwarové, organizační a hardwarové aspekty ochrany informačních systémů. Rizi

Koncepce ochrany informačního systému - softwarové, organizační a hardwarové aspekty ochrany informačních systémů. Riziková analýza.

Režimová ochrana (organizační, administrativní) - režim je administrativní, organizační a věcné uspořádání vztahů mezi lidmi, jejich činnostmi a vlastními procesy v oblasti výkonu i řízení za účelem sladění všech prvků a s cílem dosahování harmonického stavu v dané organizaci. Opatření se týkají činnosti vlastních zaměstnanců, pohybu a chování osob přicházejících zvenku, oběhu dokladů a informací uvnitř organizace (administrativní nebo spisový pořádek), výstupu informací, dat, dokumentů vně organizace.



Základní dokumenty režimové ochrany - statut organizace (účel, cíl činnosti), organizační řád, pracovní řád, spisový pořádek, skartační řád, směrnice strážní služby, provozní řád pracoviště.

HW ochrana - HW - napěťové filtry, ochrana proti přepětí, nástroje a prostředky pro hibernaci, náhradní zdroje (UPS), generátory, ochrana proti prachu, vlhkosti, proti zcizení, antivirový HW, Boot Sector Virus Protection.

Ochrana nosičů informací - výběr a nákup spolehlivých značkových médií, bezpečné ukládání a manipulace s nimi, plán práce s médii, likvidace dat na médiích, vyřazení a likvidace nepoužitelných médií, vhodné vybavení archivu.

Ochrana PC - hardlock (HW klíč), bezpečnostní karty, čipové karty, identifikační karty, optické paměťové karty. 24226ryv33cjf2g

SW ochrana - certifikace systémů (třídy bezpečnosti), poplachové a dohlížecí procedury, bezpečnost systémových pgm (identifikace, autorizace, výstražní signalizace, dohlížení, integrita), bezpečnost a ochrana informací (duhová série), programovatelné zámky, identifikace uživatelů, autorizační schémata (co může uživatel oprávněnost k využívání zdrojů), zálohování souborů, AV ochrana.

Bezpečnostní analýza IS - souhrn metod pro zjišťování míry bezpečnosti IS, analýza (speciální SW) a zvládání rizik. Používané pojmy - aktivum (vše s hodnotou), hrozba (nebezpečnost, přístup, motivace), zranitelnost (interakce mezi hrozbou a aktivem), protiopatření (efektivita a náklady na pořízení, zavedení, provozování), hranice bezpečnostní analýzy (složky IS, budovy, zdroje pro IS).

Vztahy v bezpečnostní analýze:

  • Mechanismus uplatnění rizika probíhá tak, že hrozba využije zranitelnosti, překoná protiopatření a působí na aktivum, kde způsobí škodu (důsledek). yj226r4233cjjf

  • Aktivum (svou hodnotou) motivuje člověka k aktivaci hrozby. Vůči působení hrozby se aktivum vyznačuje určitou zranitelností. Aktivum je zároveň chráněno protiopatřeními před hrozbami.

  • Protiopatření chrání aktiva, detekuje hrozby a zmírňuje nebo zcela zabraňuje jejich působení na aktiva. Protiopatření zároveň odrazují od aktivování hrozeb.

  • Hrozba působí jednak přímo na aktivum, nebo na protiopatření, s cílem získat přístup k aktivu. Aby mohla hrozba působit, musí být aktivována. Pro svou aktivaci vyžaduje zdroje (vytvoření podmínek pro její působení).

Obecný postup - stanovení hranice, identifikace aktiv - služby (informační, technické a komunikační), informační aktiva (db, datové soubory, dokumentace a manuály), plány při haváriích, SW aktiva, fyzická aktiva, stanovení hodnoty (pořizovací, závislost IS na aktivu, cena informace atd.) a seskupování aktiv, identifikace hrozeb - zkušenost, seznam podle funkcí, analýza hrozeb a zranitelností, stanovení úrovně rizika (míra nejistoty stanovení), nejvýznamnější atributy, tj. co má největší negativní vliv na důvěrnost, integritu a dostupnost IS. Zabývat problémem jak na tyto negativní vlivy reagovat. Nabízí se zde celá řada reakcí, od jejich akceptování až po přijímání opatření na jejich eliminaci. Úroveň rizika může být zmenšena tím, že se v rámci procesu zvládání rizik implementuje taková architektura systému, která zahrnuje organizační, administrativní, personální, fyzické a technické bezpečnostní komponenty. Proces zvládání rizik tvoří plánování, organizování, řízení a kontrola zdrojů za účelem zajištění přijatelné zbytkové úrovně rizika a úměrných nákladů. vybírání protiopatření. V oblasti bezpečnosti IS se setkáváme s určitými obtížemi, které vznikají jako důsledek dynamických změn rizikových faktorů a prudkého vývoje IT. Nejsou-li včas a adekvátně vzaty v úvahu všechny faktory rizika, může to vést k neefektivním a zbytečně drahým opatřením. Zvládání rizik musí být považováno za jeden z rozhodujících kroků řešení bezpečnosti.

Obecný postup řešení bezpečnosti IS - přípravné práce, analýza rizik, zvládání rizik s definováním požadavků na bezpečnost a výběrem protiopatření, realizace protiopatření, testování, hodnocení, certifikace, akreditace, provoz a údržba, rozhodnutí o změnách.

Nepodstatný

Zkvalitnení návrhu systému

Odstranení nebo premístení rizika

Snížení rizika

Prijatelné riziko

Podstatný

Požadavek na zmenu

 

rozhodnutí

 

BEZPECNOSTNí ANALÝZA

 

 

 

 

 

Cíle

 

Rozsah

 

Sber informací

 

Popis systému

 

Úroven zbytkového rizika

 

Úroven záruk

 

Akreditace

Provoz

a

údržba

 

rozhodnutí

 

rozhodnutí

 

 

 

 

 

Identifikace aktiv

 

Ustanovení citlivosti

 

 

Identifikace hrozeb

 

Identifikace zranitelnosti

 

Identifikace soucasných opatrení

 

Odhad pravdepodobnosti kompromitace

 

Odhad následku kompromitace

 

Urcení míry rizik

 

 

 

Rizika se snažíme:

 

Snížit

 

Presunout

 

Akceptovat

 

Vyhnout se jim

Úvodní

cást

Analýza rizik

Zvládání rizik

Úvodní analytické práce

Definování bezpecnostních požadavku

Výber bezpecnostních opatrení

 

administrativní personální

fyzické

technické

Vývoj a implementace

Hodnocení

a certifikace

Ukoncení vývoje systému

Obr. 1 Bezpečnost a životní cyklus IS

Typické hrozby pro IS - neoprávněné čtení (z obrazovky, z klávesnice, z paměťových médií), zneužití zdrojů systému (zneužití služeb, vyřazení systému, viry, trojské koně, nedbalost), průniky (záměrné překonávání zabezpečení IS), nedostatek v návrhu, selhání komponenty (zařízení, nepředpokládané stavy IS, prostředí ovlivňování), modifikace prvků IS, odposlouchávání, modifikace přenášených zpráv, odepření komunikačních služeb

Možná rizika - katastrofy a živelné pohromy, chyby technického a pgm vybavení - výpadek PC, poškození stopy disku, disk (disketa) nečitelný, chyba v aplikačním pgm poškozuje záznam, lidská nepozornost - chyba zavádění vstupních dat, zavedení a aktualizace nesprávných dat, fyzické poškození nosného média, úmyslné poškození (sabotáž, zlomyslnost uživatele, kriminalita, zpronevěra, korupce, špionáž), narušení soukromí (zvědavost, neúmyslné prozrazení soukromých informací).

Příznaky ohrožení systému - neexistující plán celkové ochrany, nedostatek vyváženosti celkových opatření (např. přehlížení osob pro manipulaci s daty), provozní nepořádek, nedostatečná dokumentace pgm, nízká pracovní morálka, neadekvátní rozdělení odpovědností, nedostatek vnitřní kontroly bezpečnostních aspektů.



Etapy zabezpečení IS:

  • řešení bezpečnosti IS se prolíná všemi fázemi jeho životního cyklu

  • pro každou fázi jsou podrobně předepsány vstupní a výstupní dokumenty, např. pro úvodní studii vstupními dokumenty jsou právní předpisy, záměr vytvoření IS, bezpečnostní politika, výstupními dokumenty jsou úvodní bezpečnostní studie, koncepce testování

  • je nutné dodržet všechny níže rozepsané etapy:

ÚST - záměr vytvoření IS a vlastní úvodní studie (právní požadavky, bezpečnostní politika, charakteristika současného stavu, cílů, vztahu k okolí, všeobecná charakteristika IS, koncepce bezpečnosti a podmínky pro bezpečnost).

GAN, DAN - rozpracování požadavků do konkrétních opatření, bezpečnostní model a architektura, návrhy rozhraní, ověření úplnosti návrhu, dotažení na úroveň SW, HW, organizace.

IMP, ZAV - provozní dokumentace, realizace testů, získání akreditace, zaškolení obsluhy a uživatelů.

PÚR - průběžné školení, vedení záznamů, kontrola dodržování, analýza rizik, reakce na změny prostředí a změny požadavků

Plán bezpečnostních opatření - popisuje, jak daná organizace přistupuje k otázkám bezpečnosti, musí být dostatečně často revidován a musí být zkoumáno jeho dodržování, vypracováním plánu bývá pověřena skupina odborníků pokud možno ze všech důležitých organizačních struktur firmy, velikost a struktura tohoto týmu závisí na velikosti firmy

Plán bezpečnostních opatření - součásti:

  • politika - vyhlášení bezpečnostních cílů (např. ochrana dat před katastrofami, před úniky mimo organizaci apod.), participace personálu, zodpovědnosti, závazky organizace na udržení bezpečnosti (počet vyčleněných pracovníků, minimální vyčleněné výdaje)

  • popis současného stavu

  • doporučení ke splnění bezpečnostních cílů

  • kompetence osob ke splnění bezpečnostních cílů (uživatelé PC ručí za svůj počítač, administrátor databázového systému zodpovídá za přístup k datům a jejich integritu, firma může pověřit zvláštního pracovníka zodpovědného za vytvoření obecných pravidel práce s daty a jejich uvolňování či rušení, pracovníci osobního oddělení zodpovídají za přijetí důvěryhodných a spolehlivých pracovníků atd.)

  • časový harmonogram

  • trvalé sledování - záznamy, plán prověrek, inovací

  • dodržování - seznámení všech pracovníků, dostatečná podpora vedení organizace

Ochranné vrstvy IS - kontroly bezpečnosti a přesnosti zabudované v systému, fyzická obrana, administrativní kontroly, legislativní a společenské prostředí

Vybrané aspekty ochrany IS (prolínají se):

  • personální - přihlédnutí při přijímání, působení na bezpečnostní povědomí zaměstnanců, dohoda o zachování mlčenlivosti

  • organizační - kontrola, disciplinární opatření, hlášení bezpečnostních incidentů, správa oprávnění, práce s hesly, ochrana před viry a jinými nežádoucími programy včetně nelegálního SW, zálohování, postupy v případě havárií

Odhad pravděpodobnosti vzniku nežádoucích situací:

  • dlouhodobé sledování výskytu jevů (pojišťovny - počet požárů, počet obytných domů a výše škody, trestné činy, frekvence lidských chyb)

  • sledování a charakteristika konkrétního systému (počet HW a SW chyb, objem dat apod.)

  • odhad daného odborníka

  • Delfský přístup - pravděpodobnost výskytu jevu odhadována nezávislými odborníky, korekce mínění odborníků po srovnání jejich názorů, snaha po konsensu

Základní aspekty ochrany dat, základní požadavky - bezpečnost a správnost dat, oprávněnost přístupu k datům, právo na soukromí.

poznatky:

  • Udržovat dostatečnou míru bezpečnosti (absolutní bezpečnost nedosažitelná)

  • náklady na zabezpečení by měly odpovídat stupni zranitelnosti systému a hodnotě dat

  • celkové riziko je součtem dílčích rizik - cílem je jeho minimalizace

  • při odhadu rizika se často pracuje s pojmy: pravděpodobnost výskytu chyby, kategorie velikosti ztrát, pravděpodobnost zabránění chybě, náklady na zabránění chybě

  • tři zásady - prevence (minimalizace pravděpodobnosti vzniku), minimalizace vzniklých škod, návrh rychlé a spolehlivé metody obnovy

Analýza rizik:

Hodnota
Utajení
Integrita
Dostupnost
Hardware
 
přetížení, zničení, narušení
krádež, ztracení, nedostupnost
Software
zcizení, kopírování, zneužití
viry, trojské koně, modifikace
vymazání, ukončení práva užívání
Personál
zneužití přístupových práv
 
výpověď, odchod na dovolenou
Data
odhalení, vnější narušitel, dedukce
poškození chybou SW, HW nebo uživatele
vymazání, záměna, zničení
Dokumentace
 
neautorizovaná úprava
ztráta, zcizení, poškození
Materiál
 
 
ztráta, zcizení, poškození