Úvodní slovo k novému seriálu o informační bezpečnosti ze všech úhlů

Kalendář akcí

<< Září 2010 >>
Po	Út	St	Čt	Pá	So	Ne
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30

Odborné seriály

Hlavní témata

Nové články

Úvodní slovo k novému seriálu o informační bezpečnosti ze všech úhlů

Středa, 03 Červen 2009 06:30

Autor: RNDr. Helena Křepelková, CSc., externí redaktorka ICTsecurity, auditor a manager bezpečnosti informací dle ČSN ISO /IEC 27001

Vážení čtenáři,
představíme Vám sérii článků, které se zabývají různými stránkami informační bezpečnosti. Zadání této série je přirozenou reakcí na masivní šíření technických poznatků v oblasti přenosu informací. Tak jako každý objev, na počátku je lidstvem používán laicky, nikdo nedohlédne, kam až může zajít užití a současně zneužití technického objevu. Je třeba si přiznat, že užití a zneužití jde ruku v ruce ve všech oborech. Od jaderné reakce - elektrárna nebo bomba, přes herbicidy a pesticidy – záchrana kvalitních potravin nebo defoliant ničící krajinu, až po informační technologie – záchrana mnoha lidí před živelní katastrofou nebo nelegální odposlech vedoucí k vydírání, rychlá výměna obchodních informací nebo likvidace firmy odhalením a zneužitím jejího výrobního know-how nebo informačním napadením její obchodní sítě.

Tento lavinovitý rozvoj nastal zejména ve dvou etapách, kdy se oddělil fyzický nosič informace od jejího obsahu:
Prvním milníkem byl telefon a telegraf. Místo fyzického putování informace, uložené v paměti člověka nebo napsané na nějakém nosiči – hmotném předmětu, přenášeném kurýrem, bylo možno předat informaci na velikou vzdálenost hlasem nebo kódem, pokud byla tato vzdálená místa spojena vedením pro přenesení signálu.
Druhým milníkem byl technický vynález bezdrátové komunikace, který definitivně oddělil místo vzniku a vyslání informace od jejího příjemce a jeho výrazný technický skok – satelitní komunikace.

Od té doby již prakticky každodenně vzniká někde v akademických a průmyslových centrech nová, dokonalejší forma tohoto způsobu předávání informací. Těžko si představíme člověka v pracovním procesu bez počítače, e-mailu, mobilního telefonu vybaveného nahrávací a fotografickou technikou s možností přímého předání textové, zvukové a mnohdy i obrazové informace komukoliv, kdo je technicky vybaven na její příjem.

A najednou vzniká otázka, zda je skutečně příjemcem informace jen určený adresát, nebo se informace může zatoulat někam, kde číhá možnost jejího zneužití. Nebo zda se dokonce s použitím téže techniky najde osoba nebo organizace, která vyvine potřebné úsilí a získá informaci během přenosu nebo z místa uložení u odesílatele nebo příjemce.

Obavy nad tím, kam až může vést zneužití informací, které si běžně jejich odesílatelé a příjemci – oprávnění vlastníci - potřebují vyměňovat, je řešeno na úrovni vlád, mezivládních komisí a mezinárodních organizací, etických kodexů, legislativních úprav, mezinárodních norem i pravomocemi mocenských složek států nebo dokonce jejich větších uskupení, například Evropské Unie.

Legislativa a normalizace

V České republice se začala prosazovat legislativa, upravující nakládání s informacemi a ochranu zájmů osob, obchodních organizací i státu. Na mezinárodní úrovni vznikly systémové normy, vydávané ISO a akceptované i v ČR.

Uvedeme na tomto místě přehled těch nejzákladnějších norem a zákonů, které se dotýkají ochrany informací v ČR.
Normy: ČSN ISO/IEC 27001 Požadavky na systém managementu bezpečnosti informací,
ČSN ISO /IEC 27002 (dříve ISO/IEC 17799) Soubor postupů pro management bezpečnosti informací
Soubor norem ČSN ISO/IEC TR 13335 –1 až 5, obsahující obecně platné Směrnice pro řízení bezpečnosti IT
ČSN ISO/IEC TR 13569 Informační bezpečnost v bankovnictví
ČSN ISO/IEC TR 18044 Management incidentů v oblasti informační bezpečnosti

Existuje celá řada technických norem výrobkových a oborových, které popisují technické požadavky na konstrukci a výrobu elektronických zařízení, používaných v IT.

Zákony: Zákon 513/1991 Sb. Obchodní zákoník, (část zaměřená na obchodní, výrobní a technické tajemství).
Zákon 22/1997 Sb. v aktuálním znění a navazující nařízení vlády týkající se elektromagnetické kompatibility
Zákon č. 101/2000 Sb. o ochraně osobních údajů v aktuálním znění
Zákon 227/2000 Sb. o elektronickém podpisu v aktuálním znění
Zákon 148/1998 o ochraně utajovaných skutečností v aktuálním znění

Kromě uvedených zákonů existuje řada evropských směrnic a národních vyhlášek, které upřesňují nebo doplňují uvedené zákony.

Terminologie

Jako v každém oboru, vyvinula se i pro obor ochrany informací a speciálně pro management elektronických dat specifická terminologie. Několik základních pojmů uvádí tento odstavec, aby byly tento a další články i pro člověka méně znalého oblasti IT a ochrany dat srozumitelné.

- informační technologie-IT
Veškerá technika zabývající se zpracováním informací, zejména se jedná o výpočetní a komunikační techniku a její programové vybavení.

- informační systém-IS
Identifikovatelný funkční celek, zabezpečující cílevědomé a systematické shromažďování, zpracování a zpřístupňování informací – informační systém integruje informační základnu (data), HW a SW a doplňující vybavení, finanční prostředky, procedury a pracovníky.

- bezpečnost informačního systému
Stav informačního systému, kdy rizika, jímž je vystaven, jsou snížena na přijatelnou úroveň na základě vhodných bezpečnostních opatření.

- bezpečnostní incident
Událost, která má nebo může mít negativní dopad na bezpečnost IS. Příčinou je velmi často úmyslná nebo neúmyslná činnost člověka.

- citlivá informace
Informace, jejíž ztráta, chybné použití, neoprávněná modifikace nebo zneužívání neoprávněnou osobou může způsobit organizaci škodu.

- důvěrnost informace
Prevence proti neautorizovanému odhalení informace. Jednou z nejbezpečnějších metod zajišťujících důvěrnost informací je šifrování.

- integrita informace
Prevence proti neautorizované modifikaci informace (úmyslné nebo v důsledku chyby, omylu). K nejbezpečnějším metodám zajištění integrity informací patří digitální podpis a kryptografické kontrolní součty (MAC).

- dostupnost informace
Prevence proti znemožnění oprávněného použití informace.

- heslo
Posloupnost znaků (písmen, číslic a speciálních znaků) používaná k autentizaci vstupu uživatele do IS. heslo je bezpodmínečně nutno udržovat v tajnosti, aby plnilo svoji funkci. Aby bylo zabráněno jeho odhalení neoprávněnou osobou, musí heslo splňovat kvalitativní požadavky ( dostatečný počet znaků, speciální znaky, časově omezená platnost).

- DMZ (demilitarizovaná zóna)
Počítač vložený jako neutrální zóna mezi privátní síť organizace a vnější veřejnou síť, znemožňující přímý přístup z vnější sítě do vnitřní sítě organizace.

- SET
Bezpečnostní protokol užívaný při elektronickém obchodu, umožňuje provedení identifikace a ověření komunikujících stran.

- sociální inženýrství
Neoprávněné získávání důvěrných informací (například technické parametry vyvíjených zařízení, adresy osob, přístupová hesla, obchodní záměry a podobně) na základě komunikace s lidmi. Jedná se například o telefonování pod cizím jménem

- aktivum
Nehmotný nebo hmotný majetek mající v rámci IS určitou hodnotu.

- hodnota aktiva
Hodnota aktiva vychází z objektivního vyjádření vnímané ceny nebo subjektivním ohodnocení důležitosti aktiva, případně je kombinací obou procesů.

- analýza rizik
Činnost prováděná v souladu s normou ČSN EN ISO 19011, zaměřená na odhad ztrát, které mohou vzniknout působením hrozeb na IS, získání přehledu o závažnosti jednotlivých hrozeb, slabých místech (zranitelnosti) hodnoceného IS a rizikách, kterým je IS vystaven.

- bezpečnostní audit

- Provedení kontroly IS se zaměřením na jeho bezpečnost. Audit může být proveden jako interní pracovníky organizace, nebo externí pracovníky specializované nebo certifikační organizace.

- kryptografie
Věda o tvorbě šifer a příbuzných bezpečnostních nástrojů, je součástí vědního oboru kryptologie.

- kryptologie
Vědní obor, zahrnující kryptografii a kryptoanalýzu.

- šifrovací klíč
Utajovaný parametr šifrovacího algoritmu, který se používá při zašifrování a odšifrování zpráv, při vytváření a ověřování digitálních podpisů, při tvorbě kryptografických kontrolních součtů. Klíče jsou utajovány a právě na jejich bezpečnosti závisí bezpečnost kryptografických metod.

- šifrovací algoritmus
Postup, podle kterého probíhá zašifrování a odšifrování textu.Šifrovací algoritmus je hlavní součástí šifrového systému. V současné praxi se šifrovací algoritmy neutajují, bezpečnost šifer spočívá v utajení šifrovacího klíče.

- zašifrování
Transformace otevřeného textu užitím šifrovacího algoritmu a daného šifrovacího klíče na zašifrovaný text, kterým je neoprávněnému subjektu tento text nečitelný. Opačnou operací je odšifrování.

Podrobný terminologický slovník obsahují výše citované mezinárodní normy.

Celý seriál o informační bezpečnosti

Hledat
Komentářů

|2009-06-14 05:22:55 konsultant - o malinko blíž

Milá paní doktorko
a) prosím o přečtení vlastního díla před uveřejněním - např. nesouvislá definice auditů
b) nebylo by lepší respektovat defince z norem?
(A možná diskutovat definice, které se v normách nepovedlo sjednotit)
c) doporučuji při uvádění legislativy užívat legislativně validní výra z "ve znění pozdějších předpisů" namísto "aktuálního znění"
d) norma ISO 19011 se n ezabývá riziky, nýbrž auditováním systémů managementu

Pouze registrovaní uživatelé mohou přidat komentář!

Novinky

Odborné články

Editorial

Kalendář akcí

Odborné seriály

Hlavní témata

Nové články

!joomlacomment 4.0 Copyright (C) 2009 Compojoom.com . All rights reserved."

Fórum - poslední příspěvky