Správa bezpečnosti

späť na zoznam


Pri snahe zaistiť bezpečnosť treba mať na pamäti, že žiadny počítačový systém nemôže byť úplne bezpečný. Väčšina ani nemusí byť a pri mnohých systémoch je vhodnejšie upustiť od reštriktívnych bezpečnostných opatrení v prospech použiteľnosti systému.
Pri systémoch obsahujúcich citlivé údaje je vhodné vytvoriť bezpečnostnú politiku, ktorá definuje, aký stupeň bezpečnosti je vyžadovaný a akým spôsobom sa kontroluje jej dodržiavanie.
Pred zabezpečením systému by mala byť vykonaná bezpečnostná analýza, pomocou ktorej je možné identifikovať možné hrozby pre daný systém. Pri analýze treba vziať do úvahy riziká, ohrozenia a výslednú zraniteľnosť systému.
Riziko predstavuje možnosť, že by útočník mohol získať prístup k systému. Je potrebné zistiť, aké možnosti zneužitia by sa tým útočníkovi otvorili a podniknúť kroky na ich minimalizáciu.
Ohrozenie pochádza od niekoho, kto má motiváciu získať neautorizovaný prístup k systému. Na tento faktor treba myslieť pri udeľovaní bezpečnostných oprávnení používateľom, ktoré by nemali byť zbytočne rozsiahle.
Zraniteľnosť udáva, ako dobre je systém chránený a aká je možnosť získať k nemu neautorizovaný prístup. Je nutné analyzovať možné dopady takéhoto prístupu a následne určiť primeraný stupeň zabezpečenia.
Väčšina bezpečnostných politík začína formuláciou „Čo nie je povolené, je zakázané.“ Výsledkom bezpečnostnej analýzy by teda mali byť pravidlá pre prípustné použitie systému a správanie používateľov. Všetka ostatná činnosť by mala byť považovaná za implicitne neprípustnú.

Hodnotenie bezpečnosti

späť na zoznam


Za účelom objektívneho kvalitatívneho zhodnotenia zabezpečenia počítačových systémov vzniklo po celom svete viacero štandardov. Takéto hodnotenie je dôležité pri rozhodovaní, či je daný systém vhodný na nasadenie pri spracovaní určitého stupňa citlivých informácií.
V osemdesiatych rokoch dvadsiateho storočia ministerstvo obrany USA za týmto účelom zostavilo štandard TCSEC (Trusted Computer System Evaluation Criteria), tzv. oranžovú knihu.
V Európe sa v deväťdesiatych rokoch začal presadzovať štandard ITSEC (Information Technology Security Evaluation Criteria).
Z týchto štandardov vychádza nový jednotný medzinárodný štandard ISO/IEC 15408 vydaný v roku 2005.
Bezpečnosť je presadzovaná pomocou TCB (Trusted Computing Base), čiže množinou všetkého hardvéru a softvéru, ktorý je pre bezpečnosť systému kritický. Presadzovaním bezpečnosti sa zaoberá aj norma ISO/IEC 10181-1.

Kritériá hodnotenia bezpečnosti TCSEC

späť na zoznam


Podľa štandardu TCSEC je systém posudzovaný z viacerých hľadísk, ktoré sú zohľadnené v týchto hodnotiacich triedach:

TCSEC delí systémy podľa bezpečnosti do skupín a tried. Definované sú tieto štyri skupiny:

Jemnejšie rozdelenie systémov do siedmich inkrementálnych bezpečnostných tried je realizované na základe nasledujúcich pravidiel:

Hodnotenie úrovni bezpečnosti podľa ISO/IEC 15408

späť na zoznam


Štandard ISO/IEC 15408 delí systémy do siedmich inkrementálnych úrovní záruk hodnotenia („evaluation assurance levels“).
Posudzované sú nasledujúce kritériá: Úrovne záruk hodnotenia sú definované takto:

Právne a etické otázky počítačovej bezpečnosti

späť na zoznam


Počítačová etika je odvetvie aplikovanej psychológie, ktorá sa zaoberá otázkami, ako by sa mali informatici rozhodovať a ako by mali konať pri výkone svojho povolania. Okrem iného sa zaoberá aj otázkami „hackingu“, prístupu k cudzím údajom, či softvérového pirátstva. Pravidlá, ktoré vznikli na základe poznatkov tejto vedy, sú v mnohých profesných organizáciach považované za etické štandardy (napr. ACM Code of Ethics).
Bezpečnostný administrátor by sa nielenže týmito pravidlami mal riadiť, ale mal by ich zohľadňovať aj v bezpečnostnej politike systému tak, aby ich dodržiavali aj používatelia. Takisto by v najvyššej možnej miere mal dbať na ochranu súkromných údajov používateľov pred prípadnými útočníkmi.
V Slovenskej republike sa právnym otázkam súvisiacim s počítačovou bezpečnosťou venujú tieto zákony: