Referaty
Home
Anglictina
Biologie
Chemie
Dejepis-Historie
Diplom-Projekt
Ekonomie
Filozofie
Finance
Fyzika
Informatika
Literatura
Management
Marketing
Medicina
Nemcina
Ostatni
Politika
Pravo
Psychologie
Public-relations
Sociologie
Technologie
Zemepis-Geografie
Zivotopisy






Téma, Esej na téma, Referátu, Referát, Referaty Semestrální práce:

Zabezpečení dat v operačních systémech. Specifika MSDOS a W95. Třídy bezpečnosti operačních systémů, duhov&aacu

Zabezpečení dat v operačních systémech. Specifika MSDOS a W95. Třídy bezpečnosti operačních systémů, duhová série. Bezpečnostní standard SIS.

Vybrané aspekty ochrany IS (prolínají se):

  • personální - přihlédnutí při přijímání, působení na bezpečnostní povědomí zaměstnanců, dohoda o zachování mlčenlivosti

  • organizační - kontrola, disciplinární opatření, hlášení bezpečnostních incidentů, správa oprávnění, práce s hesly, ochrana před viry a jinými nežádoucími programy včetně nelegálního software, zálohování, postupy v případě havárií



Základní aspekty ochrany dat, základní požadavky:

  • bezpečnost a správnost dat 42257dov77hjz2b

  • oprávněnost přístupu k datům

  • právo na soukromí

poznatky:

  • Udržovat dostatečnou míru bezpečnosti (absolutní bezpečnost nedosažitelná) oj257d2477hjjz

  • náklady na zabezpečení by měli odpovídat stupni zranitelnosti systému a hodnotě dat

  • celkové riziko je součtem dílčích rizik - cílem je jeho minimalizace

  • při odhadu rizika se často pracuje s pojmy: pravděpodobnost výskytu chyby, kategorie velikosti ztrát, pravděpodobnost zabránění chybě, náklady na zabránění chybě

  • tři zásady - prevence (minimalizace pravděpodobnosti vzniku), minimalizace vzniklých škod, návrh rychlé a spolehlivé metody obnovy

Normotvorná činnost v oblasti bezpečnostních technologií vychází především z norem amerického ministerstva obrany a norem evropského společenství.

Duhová série návazných norem (asi 25 publikací) - oranžová kniha tvoří základ.

TCSEC (Orange Book) - oranžová kniha - kritéria hodnocení důvěryhodných počítačových systémů, první a základní dokument pro hodnocení zabezpečených systémů, dvě části.

Část I. obsahuje podrobný popis kritérií - skupiny A, B, C, D.

D - minimální ochrana, je nejméně bezpečná a jsou do ni zařazovány všechny systémy, které nesplnily požadavky pro vyšší ohodnocení

C - výběrová ochrana, určena pro systémy, které poskytují výběrové řízení přístupu a obsahuje 2 třídy

C1 - zabezpečení ochrany výběrem, poskytuje oddělení uživatelů a dat, zahrnuje v sobě řízení přístupových omezení tak, aby uživatel mohl chránit svoje soukromá data před náhodným čtením nebo zničením jiným uživatelem

C2 - ochrana řízeným přístupem, je uplatněno jemnější výběrové řízení přístupu než v C1 a tím stanoví uživatele osobně zodpovědným za veškerou činnost v systému. Tato odpovědnost je v systému podporována mechanismy v přihlašovací proceduře, revizí bezpečnostně významných činností subjektu a izolací jednotlivých zdrojů systému

B - povinná ochrana, je novým hlavním požadavkem uplatnění souboru povinných pravidel pro řízení přístupu, systémy musí vycházet z bezpečnostního modelu, skupina je rozdělena do 3 tříd (B1, B2, B3)

B1 - ochrana bezpečnosti návěštím, je vystavena na neformálním modelu bezpečnostní politiky systému, pevném spojení objektů s jejich návěštími stupně utajení a povinným řízením přístupu subjektu k objektu

B2 - strukturovaná ochrana, požadavky zesíleny, požadovaná je jasná definice formálního modelu bezpečnostní politiky, analýza skrytých kanálů a realizace chráněné cesty při použití procedury login



B3 - bezpečnostní zóny, musí vyhovovat požadavkům bezpečnostního monitoru, od systému jsou požadovány procedury bezpečného zotavení. Systém třídy B3 je vysoce odolný proti proniknutí.

A - ochrana s verifikací, použití metod formální verifikace bezpečnosti

Rozdělení systémů do 7 tříd podle jejich bezpečnosti se prolíná celou duhovou sérií a všechny publikace této série na toto rozdělení navazují bližším vysvětlením nebo zpřesněním bezpečnostních požadavků.

Trusted Database Interpretation, definuje standardy bezpečnosti pro db aplikace

Trusted Network Interpretation (Red Book) - červená, důvěryhodnost sítí

Password Management Guideline (Green Book) - zelená, směrnice pro správu hesel

TCSEC in Specific Environments (Yellow Book) - žlutá, směrnice pro aplikaci TCSEC ve specifických prostředích.

ITSEC - vychází z oranžové knihy

Existuje analogie mezi kritérii ITSEC a TCSEC

E0D

E1F-C1C1

E2F-C2C2

E3F-B1B1

E4F-B2B2

E5F-B3B3

E6A1

ITSEM - příručka hodnocení bezpečnosti IT (IT Security Evaluation Manual) navazuje na kritéria ITSEC a doplňuje o sadu hodnotících metod, cílem je poskytnutí podrobných informací o metodách hodnocení a odpovídajících procedurách.

Státní informační systém (SIS) ČR:

  • budován SIS ČR, jehož efektivní a bezchybnou činnost by mělo výrazně podpořit definování standardů SIS

  • je vhodné, aby tvůrci IS respektovali standardy SIS

  • schválenými standardy SIS ČR jsou - katalog datového standardu SIS, průvodka souboru, organizační standard SIS ČR, standard pro komunikaci IS státní správy a samosprávy na bázi protokolů TCP/IP, standard SIS k územní identifikaci, technický standard SIS ČR, národní prostředí, standard SIS pro popis datových prvků

Bezpečnostní standard SIS,

určeno pro: řídící pracovníky, projektanty, odpovědné bezpečnostní pracovníky

části: úvodní ustanovení, definice pojmů, rozbor zabezpečení IS (etapy životního cyklu IS, analýza rizik IS, návrh zabezpečení), SIS a bezpečnost (vymezení prostředí SIS, organizace bezpečnosti, globální bezpečnostní požadavky), hodnocení, certifikace, akreditace, přílohy (mezinárodní standardy bezpečnosti informačních technologií, právní předpisy související s bezpečností IS)

výhody: pokus o důslednou a komplexní formalizaci bezpečnostních požadavků IS pro státní správu

nevýhody: příliš velká formálnost, nevhodné členění s malým provázáním jednotlivých částí