Autor: Tomáš Přibyl, externí odborný redaktor ICT SECURITY

Jedním ze základních pravidel informační bezpečnosti je „chránit lze jen to, v čem máme pořádek“. Aneb vládne-li v datech, přístupových právech či topologii sítě chaos (nebo dokonce Chaos), pak je pochopitelné, že se jakákoliv snaha o bezpečnější systém mine účinkem.

Základní pravidla

Jednoduchou rukověť „jak udělat pořádek v informačním systému“ nám nabízí třeba politiky nakládání s utajovanými skutečnostmi. Ty jsou v mnoha ohledech použitelné kdekoliv: stačí jen mírně upravit terminologii a pravidla. Zpravidla jde o větší či menší povolování poměrně přísných mantinelů.

Pokud se opřeme o bezpečnostní politiku postavenou tak, aby pokrývala informační systém pracující s utajovanými skutečnostmi, máme navíc jistotu, že odpovídá legislativním požadavkům.

O „minimálních“ požadavcích na bezpečnostní politiku hovoří například vyhlášky pro certifikaci informačních systémů a patří mezi ně zejména:

• Jednoznačná identifikace a autentizace uživatele, která musí předcházet všem dalším aktivitám uživatele v informačním systému, a musí zajistit ochranu důvěrnosti a integritu autentizační informace.

• Volitelnost řízení přístupu k objektům na základě rozlišování a správy přístupových práv uživatele a identity uživatele, nebo jeho členství ve skupině uživatelů.

• Nepřetržité zaznamenávání (logování) událostí, které mohou ovlivnit bezpečnost informačního systému, do auditních záznamů, a zabezpečení auditních záznamů před neautorizovaným přístupem, zejména modifikací nebo zničením. Zaznamenává se zejména použití identifikačních a autentizačních informací, pokusy o zkoumání přístupových práv, vytváření nebo rušení objektu nebo činnost autorizovaných uživatelů ovlivňující bezpečnost informačního systému

• Možnost zkoumání auditních záznamů a stanovení odpovědnosti každého jednotlivého uživatele informačního systému.

• Ošetření paměťových objektů před jejich dalším použitím, zejména před přidělením jinému subjektu, které znemožní zjistit jejich předchozí obsah,

• Ochranu důvěrnosti dat během přenosu sítěmi s tím, že utajovaná informace musí být v procesu přenosu mezi zdrojem a cílem chráněna náležitým způsobem.

Další požadavky

Máme-li mít v informačním systému pořádek, musíme se odpovídajícím způsobem věnovat požadavkům na jednotlivé aspekty bezpečnosti. Jejich taxativní vyjmenování je nad možnosti tohoto materiálu, takže jen telegrafické seznámení s okruhy, kterým je zapotřebí se věnovat a na které je nutné dbát důraz. Patří mezi ně zejména:

• Požadavky na organizaci bezpečnosti informačního systému.
• Požadavky fyzické bezpečnosti informačního systému.
• Požadavky personální a administrativní bezpečnosti.
• Požadavky odvozené z bezpečnostního provozního módu.
• Požadavky na bezpečnost v prostředí počítačových sítí.
• Požadavky na dostupnost informace a služeb informačního systému.
• Požadavky odvozené z analýzy rizik.
• Požadavky ochrany proti parazitnímu vyzařování.
• Požadavky na bezpečnost nosičů informací.
• Požadavky na bezpečnost informací v samostatných osobních počítačích.
• Požadavky na bezpečnost mobilních a přenosných informačních systémů.
• Požadavky testování bezpečnosti informačního systému.
• Požadavky na bezpečný provoz informačního systému.

V některých odůvodněných případech lze některé bezpečnostní funkce realizovatelné prostředky počítačové bezpečnosti nahradit použitím prostředků personální nebo administrativní bezpečnosti, fyzické bezpečnosti nebo organizačními opatřeními. V těchto případech musí být dodrženy následující zásady:

• Bezpečnostní funkce musí být plně realizována.
• Kvalita a úroveň bezpečnostní funkce musí být zachována.

Pořádek a komplexnost

Jak vyplývá z výše uvedeného, základem kvalitní informační bezpečnosti je nejen pořádek, ale také komplexnost. Bez nich bude jakákoliv snaha o dosažení kvalitního zajištění informačního systému předem odsouzena k nezdaru…