Informacijska varnost

Iz Wikipedije, proste enciklopedije

Informacíjska várnost pomeni varstvo podatkov in informacijskih sistemov pred nepooblaščenim dostopom, uporabo, razkritjem, ločitvijo, spremembo ali uničenjem. Izrazi informacijska varnost, varovanje računalniških sistemov, varstvo informacij se pogosto uporabljajo kot sopomenke. Kljub temu, da so ta področja v medsebojnem odnosu in si delijo skupne cilje varstva zaupnosti, neokrnjenosti in razpoložljivosti informacij, obstajajo med njimi komaj opazne razlike. Informacijska varnost je opredeljena kot zaupnost, neokrnjenost in razpoložljivost podatkov ne glede na njihovo obliko: elektronsko, tiskano ali katero drugo.

Vrednost informacije izvira iz treh glavnih lastnosti ali kvalitet: zaupnost, neokrnjenost in razpoložljivost (ang. confidentiality, integrity and availability). Informacijski sistem je sestavljen iz treh glavnih delov: strojne opreme, programske opreme in standardov informacijsko-varnostne industrije, ki se uporabljajo kot mehanizem zaščite in preprečitve na treh ravneh: fizičnem, osebnostnem in organizacijskem. Bistveno je, da se pove ljudem (administratorji, uporabniki, operater), kako uporabljati produkte, da se zagotovi informacijska varnost znotraj organizacije.

Vlada, vojska, finančne institucije, bolnišnice in privatna podjetja kopičijo velike količine zaupnih informacij o svojih zaposlenih, strankah, proizvodih, raziskavah in finančnem položaju. Večina teh informacij je zbrana, obdelana in shranjena na računalnikih in prenesena skozi mreže na druge računalnike. Zaupni podatki o poslovnih strankah ali financah nove proizvodne linije bi lahko padli v roke konkurenta, posledično pa v izgubo posla. Varovanje zaupnih podatkov je tako poslovna, kot v mnogih primerih tudi etična in pravna zahteva. Informacijska varnost ima za posameznika pomemben vpliv na zasebnost, ki je v različnih kulturah videna različno.

Področje informacijske varnosti se je močno povečalo in se v zadnjih letih močno razvija. V smislu poklicne kariere obstajajo številne poti, kako se vključiti v to področje, ki ponuja mnogo področij specializacije, vključno z revizijo informacijskih sistemov, načrtovanje neprekinjenega poslovanja in digitalne sodne znanosti.

Zgodovina[uredi | uredi kodo]

Glavni državniki in poveljniki vojske so od prvega dne pisanja vedeli, da je treba nujno vzpostaviti mehanizme varstva zaupnosti dopisovanja. Zaradi želje po varnosti komuniciranja so uporabljali pečatni vosek in druge priprave iz voska, da bi zaznamovali verodostojnost dokumenta, preprečili vmešavanje in zagotovili zaupnost dopisovanja.

Julij Cesar je zaslovel z iznajdbo cesarske šifre leta 50 pred našim štetjem, da bi preprečil, da bi njegovo tajno sporočilo bilo prebrano, če bi padlo v napačne roke.

Druga svetovna vojna je prinesla mnogo prednosti na področju informacijske varnosti in je zaznamovala njen začetek strokovnega področja. Videla je napredek v fizičnem varovanju informacij z barikadami in oboroženimi stražami, ki so kontrolirali dostop do informacijskih centrov. Prav tako so prispevali k formalni klasifikaciji baze podatkov na osnovi občutljivosti informacij in kdo lahko dostopa do njih.

Konec 20. stoletja in v zgodnjih letih 21. stoletja je prišlo do hitrega napredka v telekomunikacijah, računalniški strojni in programski opremi in algoritmu za šifriranje podatkov. Obdelava elektronskih podatkov je postala dostopna majhnim podjetjem in domači uporabi zaradi majhne, bolj zmogljive in cenovno ugodnejše računalniške opreme. Računalniki so postali medsebojno povezani preko mreže, splošno imenovane internet ali splet. Hitro rast in široko uporabo obdelave elektronskih podatkov in elektronskih poslov, ki potekajo na internetu, spremlja tudi mednarodni terorizem, za kar so potrebne boljše metode varovanja računalnikov in informacij.

Osnovni principi[uredi | uredi kodo]

Osnovni principi informacijske varnosti so zaupnost, neokrnjenost in razpoložljivost - poznano kot CIA triada (ang. confidentiality, integrity and availability).

Zaupnost[uredi | uredi kodo]

Dejansko ni mogoče dobiti vozniškega dovoljenja, najeti apartma, prejeti zdravstveno oskrbo, ali vzeti posojilo brez tega, da bi povedali zelo zaupne informacije o sebi, kot so ime, naslov, telefonska številka, datum rojstva, št. socialne varnosti, materialni status, število otrok, materin dekliški priimek, dohodek, delovno mesto, zgodovina zdravja, itn. To so vse zelo zasebne informacije, ki so od nas zahtevane za izvršitev določenega posla. Običajno jih povemo z upanjem, da bo oseba ali institucija, ki ji zaupamo tako zasebne informacije, zagotovila zaščito le-teh pred nepooblaščenim odkritjem, slučajnim ali namernim, in da bodo naše informacije posredovane ljudem, institucijam, ki so pooblaščene za dostop in, ki jih resnično potrebujejo.

Informacije, ki so smatrane kot zaupne že po naravi, morajo biti dostopne, uporabljene ali razkrite osebam, ki imajo pooblastilo za njih in takrat ko je to resnično potrebno. Do kršitve zaupnosti pride, ko je informacija, ki je že po naravi smatrana kot zaupna ali bi to morala biti, uporabljena, kopirana ali razkrita od nekoga, ki ni pooblaščen za dostop do nje.

Primer: dovoliti nekomu, da gleda čez tvojo ramo na ekran računalnika, ko imaš na njem zaupne podatke, je kršitev zaupnosti, če oseba ni pooblaščena za dostop do teh informacij. Ukradeni prenosni računalnik iz avtomobila, ki vsebuje informacije o zaposlitvi in zaslužkih okrog 100,000 zaposlenih, pomeni kršitev zaupnosti, ker so informacije sedaj v rokah nekoga, ki ni pooblaščen, da bi jih imel.

Neokrnjenost[uredi | uredi kodo]

Neokrnjenost, v sklopu pojma informacijske varnosti pomeni, da podatki ne smejo biti ustvarjeni, spremenjeni ali uničeni brez pooblastila. Prav tako pomeni, da so podatki shranjeni v enem delu informacijskega sistema, v skladu z drugimi sorodnimi podatki, shranjenimi v drugem delu informacijskega sistema (ali v drugem sistemu). Primer: do izgube neokrnjenosti lahko pride, ko informacijski sistem ni primerno ugasnjen, ali ko informacijski strežnik nenadoma izgubi električno energijo. Izguba neokrnjenosti pomeni tudi nenameren ali zlonameren izbris pomembne informacijske datoteke.

Razpoložljivost[uredi | uredi kodo]

Koncept razpoložljivosti pomeni, da informacijsko-računalniški sistem obdela informacije, pri čemer varnostna kontrola varuje, da so informacije razpoložljive in pravilno delujejo, ko je informacija potrebna. Nasprotje razpoložljivosti je zavrnitev storitve.

Leta 2002 je gospod Donn Parker predlagal alternativni model za klasično CIA triado (ang. confidentiality, integrity and availability), ki jo je poimenoval šest pomembnih elementov informacije. Njegov alternativni model vsebuje zaupnost, neokrnjenost, verodostojnost, razpoložljivost in uporabnost, ki so predmet debate med strokovnjaki za varnost.

Verodostojnost[uredi | uredi kodo]

V računalništvu, e-poslovanju in informacijski varnosti je pomembno zagotoviti, da so podatki, izvrševanje, zveza in dokumenti (elektronski ali fizični) resnični (ne smejo biti ponarejeni).

Nezatajljivost[uredi | uredi kodo]

Obsega namen nekoga, da izpolni obveznosti do pogodbe. Prejete izvršitve ne morejo biti zanikane in tudi poslane izvršitve ne morejo zanikati. Elektronsko poslovanje uporablja tehnologije, kot so digitalni podpis in šifriranje za osnovanje verodostojnosti in neponarejanja (nezatajljivosti).

Obvladovanje tveganj[uredi | uredi kodo]

CISA Review Manual 2006 priskrbi sledeče definicije obvladovanja tveganj: Obvladovanje tveganj je proces prepoznavanja ranljivosti in grožnje za informacijske vire, ki jih uporabljajo organizacije za doseganje poslovnih ciljev, in odločanje o nasprotnih ukrepih, če so ti potrebni za zmanjševanje tveganj na sprejemljivo raven, osnovano na vrednotah informacijskih virov organizacije. V definiciji sta dva elementa, ki terjata nekaj pojasnil. Prvo, proces obvladovanja tveganj je ponavljajoč proces, ki je neomejen. Poslovno okolje se neprestano spreminja in nove grožnje ter ranljivost se pojavljajo vsakodnevno. Drugič, izbira nasprotnih ukrepov (kontrole) z obvladovanjem tveganj mora oblikovati ravnovesje med produktivnostjo, ceno, učinkovitostjo nasprotnih ukrepov, in varovanje vrednosti informacijske pridobitve.

Tveganje je verjetnost, da se zgodi nekaj slabega, kar povzroči škodo na informacijski pridobitvi (ali izgubo te pridobitve). Ranljivost je šibkost, ki lahko ogrozi ali povzroči škodo na informacijski prednosti. Grožnja je nekaj, kar ima potencial za povzročitev škode.

Tveganje ustvarja verjetnost, da bo grožnja izrabila ranljivost za povzročitev škode. Posledice nastopijo kadar grožnja izrabi ranljivost ter povzroči škodo. V kontekstu informacijske varnosti, je posledica izguba razpoložljivosti, neokrnjenosti ter zaupnosti in morda še drugih izgub (izguba dobička, izguba življenja, izguba lastninske pravice). Sklenemo lahko, da ni možno identificirati vsa tveganja, niti jih izločiti. Ostalo tveganje je imenovano preostalo tveganje.

Tveganje oceni skupina ljudi, ki ima specifično znanje določenega posla. Člani skupine lahko variirajo skozi čas kot so ocenjeni različni deli posla. Za ocenitev so lahko uporabljene subjektivne kvalitativne analize osnovane na utemeljenih možnostih ali kvantitativne analize, kjer na to kaže verodostojen dolar in dostopne zgodovinske informacije.

ISO/IEC 27002:2005 Običajen postopek za upravljanje informacijske varnosti zahteva ocenitev tveganja, ki zahteva sledeča preverjanja:

  • varnostna politika,
  • organizacija informacijske varnosti,
  • upravljanje dobička, varnost človeških virov,
  • fizična in okoljska varnost,
  • komunikacijsko in operacijsko upravljanje,
  • kontrola dostopa,
  • pridobitev informacijskega sistema,
  • razvoj in vzdrževanje,
  • informacijska varnost obvladovanja incidentov,
  • upravljanje neprekinjenega poslovanja in
  • normativna skladnost.

Širok proces upravljanja tveganj sestoji iz:

  1. Identifikacije premoženjskega stanja in ocenitve njene vrednosti. Vsebuje: ljudi, stavbe, računalniško strojno opremo, programsko opremo, podatke (digitalne, tiskane, ostalo), sredstva za oskrbo.
  2. Ocenitev tveganja. Vsebuje: delo narave, posledice vojne, nesreče, zlonamerno delovanje, ki izvira iz notranje in zunanje organizacije.
  3. Ocenitve ranljivosti in verjetnost, da bo le-ta izkoriščena. Vrednotenje politike, postopkov, standardov, izobraževanja, fizične varnosti, kvalitete kontrole, tehnične varnosti.
  4. Izračuna vpliva, ki bi ga povzročena grožnja imela na dobiček. Uporaba kvalitativne ali kvantitativne analize.
  5. Identifikacije, izbire in izvršitve primerne kontrole. Priskrbeti sorazmerne odgovore. Upoštevanje produktivnosti, cene učinkovitosti in vrednost dobička.
  6. Ocenitve produktivnosti merjenja kontrole.

Vodstvo podjetja lahko sprejme tveganje, temelječe na relativno nizkih vrednotah dobička, relativno nizki frekvenci pojavitve, in relativno nizkemu vplivu na posel. Vodenje lahko ublaži, zmanjša tveganje z izbiranjem in izvrševanjem primerne kontrole merjenja. V nekaterih primerih je tveganje lahko preneseno na drug posel z zavarovanjem ali z zunanjim poslom. Realnost nekaterih tveganj je lahko sporna. V teh primerih lahko vodenje ne dopusti tveganja. To je samo po sebi potencialno tveganje.


Kontrole[uredi | uredi kodo]

Ko upravljanje ublaži tveganje, bo to narejeno z izvršitvijo ene ali več od treh različnih tipov kontrole:

1. Upravne Upravne kontrole (imenovane tudi proceduralne kontrole) vsebujejo priznano napisano politiko, postopke, standarde in smernice. Oblikujejo ogrodje za vodenje posla in upravljanje z ljudmi. Obveščajo ljudi, kako poteka posel in kako se upravlja z dnevnimi dejavnostmi. Pravo in reguliranje, oblikovano s strani vlade, je prav tako vrsta administrativne kontrole. Nekateri industrijski sektorji imajo politiko, procese, standarde in smernice, ki bi jim morali slediti. Kot dober primer je Visa in Mater Card s podatkovno varnostnimi standardi. Drugi primer upravne kontrole vsebuje skupno varnostno politiko, politiko gesel, najemniško politiko in disciplinsko politiko.

Upravna kontrola oblikuje osnove za izbiro in izvršitev logičnih in fizičnih kontrol. Logične in fizične kontrole so dokaz upravnih kontrol. Administrativne kontrole so najpomembnejše.

2. Logične Logične kontrole (imenovane tudi tehnične kontrole) uporabljajo računalniško programsko opremo in podatke za nadzor in kontrolo dostopa do informacijsko komunikacijskih sistemov. Primer: geslo, omrežje in požarni zid, omrežni varnostni sistem, lista kontrole dostopa, šifriranje podatkov in logična kontrola.

Pomembna logična kontrola, ki je pogosto prezrta, je »princip najmanjšega privilegija«. Noben program/oseba ne sme imeti večjega privilegija, kot je najnujnejše potrebno za opravljanje njegove storitve/dela. Do kršitve tega načela pride, ko posameznik dobi privilegij dodatnega dostopa čez čas. To se lahko pripeti, ko se obveznosti zaposlenega spremenijo, ali ko je premeščen na nov položaj ali oddelek.

3. Fizične Fizične kontrole nadzirajo in kontrolirajo delovno mesto in računalniške pripomočke. Prav tako nadzirajo in kontrolirajo dostop do in od teh pripomočkov. Primer: vhode, zapornice, ogrevanje in klimatizacijo, kadilske in požarne alarme, sisteme, ki onemogočajo širjenje ognja, kamere, ograje, varnostne sisteme, itd. Ločenost omrežja in delovnega prostora v funkcionalno področje, je prav tako fizična kontrola.

Pomembna fizična kontrola, ki je pogosto prezrta, je ločenost obveznosti, ki zagotovi, da posameznik ne more kritično opraviti naložene naloge. Primer: zaposleni, ki predloži zahtevo za odškodnino, prav tako ne more odobriti plačila. Programer prav tako ne more biti administrator za strežnik ali administrator baze podatkov – te vloge in obveznosti morajo biti ločene.

Varnostna klasifikacija informacij[uredi | uredi kodo]

Pomemben aspekt informacijske varnosti in upravljanja z varnostjo je prepoznati pomembnost informacije in določanje primernih postopkov in varnostnih zahtev za informacijo. Vse informacije niso enakovredne in zato tudi ne zahtevajo enake stopnje zaščite. Tu pa nastane potreba po varnostni klasifikaciji informacij.

Prvi korak pri zaupnih informacijah je identifikacija pripadnika menedžmenta kot lastnika določene informacije, ki se jo označi kot zaupno. Nadalje je treba razviti klasifikacijsko usmeritev. Ta usmeritev naj bi opisovala različne klasifikacijske označbe, definirala merila za informacijo, ki ji je določena označba dodeljena, ter za vsako razvrstitev določevala potrebne varnostne nadzore.

Med dejavniki, ki vplivajo na to katero informacijo se označi kot zaupno, spadajo vrednost ter starost informacije, ter podatek o tem ali je ta informacija morda že zastarela.

Skupne označbe za zaupne informacije, ki so uporabljene s strani poslovnih sektorjev so: javne, občutljive, privatne, zaupne. Označbe za zaupne informacije uporabljene s strani vlade pa so naslednje: neklasificirane, občutljive a neklasificirane, omejene, zaupne, tajne, strogo zaupne ter njihove protivrednosti.

Vsi zaposleni v organizaciji, kot tudi poslovni partnerji, morajo biti izurjeni in tako obvladovati razvrstitveno shemo, pomembno pa je tudi, da razumejo potrebne varnostne nadzore ter obravnavane postopke pri vsaki klasifikaciji. Zaupna informacije mora biti občasno tudi ocenjena, saj je s tem zagotovljeno, da je razvrstitev za informacijo še vedno primerna, poskrbljeno pa je tudi za varnosti nadzor, ki je za klasifikacijo potreben.

Nadzor dostopa[uredi | uredi kodo]

Dostop do zaščitenih informacij mora biti omejen na ljudi, ki so pooblaščeni za dostop do teh informacij. Računalniški programi in v veliko primerih tudi računalniki, ki obdelujejo informacije morajo imeti prav tako pooblastilo oziroma dovolilnico. To zahteva, da so mehanizmi na mestu kjer kontrolirajo dostop do zaščitenih informacij. Dovršenost mehanizmov za nadzor dostopa mora biti enakovredna vrednosti zaščitenih informacij- bolj občutljiva oziroma dragocena kot je informacija, ostrejši morajo biti mehanizmi nadzora. Temelja na katerih so zgrajeni mehanizmi za nadzirani dostop sta identifikacija in avtentikacija.

Identifikacija je izjava, kdo oziroma kaj nekdo je. Če oseba sporoči » Živjo, moje ime je Janez Novak.«, daje izjavo o tem kdo je. Vendar pa je lahko ta izjava lažna. Preden je Janezu Novaku dodeljen dostop do zaščitenih informacij, bo treba preveriti ali je oseba, ki se izdaja za Janeza Novaka resnično ta oseba.

Avtentikacija(potrditev pristnosti) je poteza, ki preverja trditve o identiteti. Ko gre Janez Novak v banko po gotovinski dvig, se predstavi bančniku kot Janez Novak (trditev o identiteti). Bančnik prosi Janeza za oseben dokument, ter nato preveri, ča slika ustreza osebi, ki trdi, da je Janez Novak. Če slika in ime ustrezata, potem je ta oseba dokazano Janez Novak.

Obstajajo trije različni tipi informacij, ki se lahko uporabljajo za avtentikacijo: nekaj kar veš, nekaj kar imaš, ali nekaj kar si. Primeri za prvi tip, torej nekaj kar veš so naslednji: PIN, geslo ali materin dekliški priimek. Primeri drugega tipa (nekaj kar imaš) pa so: vozniško dovoljenje ali brezkontaktna kartica. Nekaj kar si pa se nanaša na biometrijo. Primeri biometrije vključujejo odtise dlani, prstne odtise, posnetke glasu ter slikanje očesne mrežnice. Za intenzivno avtentikacijo je potrebna informacija, ki pripada dvema tipoma overovitvene informacije. Na primer, nekaj kar veš plus nekaj kar imaš. To imenujemo dvostopenjska overovitev.

Na računalniških sistemih, ki so danes v uporabi je uporabniško ime najpogostejša oblika identifikacije, geslo pa najpogostejša oblika avtentikacije. Uporabniško ime in geslo pa v modernem svetu nista več najprimernejša in se ju počasi zamenjuje z bolj vrhunskim avtentikacijskimi mehanizmom. To imenujemo avtorizacija.

Avtorizacija za dostop do informacij in drugih računalniških storitvah se začne pri administrativnih politikah in postopkih. Politika predpisuje katere informacije in računalniške storitve so lahko dostopne, s strani koga in pod katerimi pogoji. Mehanizmi za nadzirani dostop so nato oblikovani za uveljavljanje te politike.

Različni računalniški sistemi so opremljeni z različnimi vrstami mehanizmov za nadzirani dostop, nekateri pa lahko ponudijo tudi izbiro med temi različnimi mehanizmi. Ti mehanizmi sistemske ponudbe temeljijo na enem od treh postopkov za pridobitev nadzora ali pa so pridobljeni s kombiniranjem pristopov.

Dostop do informacij in drugih virov po navadi temelji na podlagi posameznikove funkcije (vloge) v organizaciji ali naloge, ki jo kot posameznik opravlja. Diskreten pristop da avtorju oziroma lastniku informacijskega vira zmožnost kontrolirati dostop do danih virov. Obvezen je pristop pri katerem je dostop do informacijskega vira dodeljen ali prepovedan na osnovi varnostne klasifikacije, ki je temu viru pripisana.

Primeri mehanizmov za nadzirani dostop, ki se danes uporabljajo, so kontrola dostopa, ki je na razpolago v veliko naprednih podatkovnih bazah upravljalnih sistemov, preprosta datotečna dovoljenja, ki jih ponuja UNIX in Windows operativni sistemi, Kerberos, Radius, Tacacs, ter seznami dostopov, ki se uporabljajo pri požarnih zidovih in usmerjevalnikih.

Politike in drugi varnosti nadzori morajo biti izvršljivi in podprti, saj bodo le tako učinkoviti. Učinkovita politika pa mora poskrbi tudi za to, da se ljudje čutijo odgovorne za svoje dejanja. Vsak napačen in uspešen poskus avtentikacije mora biti zabeležen, prav tako pa mora vsak dostop do informacije pustiti neko revizijsko sled.

Kriptografija[uredi | uredi kodo]

Pri informacijski varnosti se uporablja kriptografija za preoblikovanje oblike informacij in sicer se informacija preoblikuje v formo, ki je uporabna samo za pooblaščene uporabnike. Ta proces imenujemo šifriranje. Informacija, ki smo jo šifrirali se lahko preoblikuje nazaj v prvotno obliko s pomočjo pooblaščenega uporabnika, ki ima šifrirni ključ. Ta postopek imenujemo dešifriranje. Kriptografija se uporablja za zaščito informacij pred nepooblaščenimi ali naključnimi odkritji, med prenosom informacij (elektronskem ali fizičnem) in skladiščenjem.

Kriptografija omogoča varnost informacij z drugimi uporabnimi aplikacijami, kot tudi z vključevanjem izboljšanih metod avtentikacije, digitalnih podpisov, nezataljivosti in kodiranimi omrežnimi komunikacijami. Starejše, manj varne aplikacije kot so telnet in ftp(protokol za prenos datotek) se počasi zamenjujejo z bolj varnimi aplikacijami, kot so ssh, ki uporablja šifrirane omrežne komunikacije. Brezžične komunikacije se lahko kodirajo z uporabo WPA ali WPA 2 protokola. Za šifriranje podatkovnih datotek in e-pošte pa se uporablja programska oprema kot je GNUPG ali PGP.

Kriptografija lahko ogrozi varnost kadar ni pravilno implementitana. Kriptografske rešitve morajo vsebovati preverjene in javno objavljene ter široko sprejete algoritme, ki so prestale stroge preglede neodvisnih strokovnjakov na področju kriptografije. Dolžina in jakost šifrirnega ključa sta prav tako pomembna. Ključ, ki se uporablja za šifriranje in dešifriranje mora biti zaščiten z enako mero strogosti kot katerekoli zaupne informacije. Informacije morajo biti zaščitene pred nepooblaščenimi zlorabami, hkrati pa morajo biti na voljo, kadar je to potrebno. PKI (Public Key Cryptography) rešitve pokrivajo številne probleme, ki se navezujejo na ravnanje s ključi.

Globinska obramba[uredi | uredi kodo]

Varnost informacij mora zaščititi informacije skozi njihov celoten obstoj, od njihovega nastanka do odstranitve. Informacija mora biti zaščitena tako med gibanjem kot mirovanjem. Skozi celoten obstoj mora informacija preiti skozi številne različne sisteme procesiranja. Informacije in informacijski sistemi so lahko ogroženi na različne načine. Za popolno zaščito informacije skozi njeno življenjsko dobo, mora imeti vsaka komponenta informacijskega sistema procesiranja svoj lasten mehanizem zaščite. Izgradnja, povezovanje in prekrivanje varnostnih meril se imenuje globinska obramba. Jakost posameznega sistema ni večja kot je jakost najšibkejšega člena. Z uporabo strategije globinske zaščite je omogočena učinkovita zaščita tudi ob okvari posameznega obrambnega sistema.

Trije tipi kontrol (administrativna, logična in fizična) se lahko uporabijo za tvorbo osnove na kateri se lahko izgradi strategija globinske zaščite. S tem pristopom se lahko globinska zaščita pojmuje kot troplastna zaščita. To zaščito si lahko predstavljamo kot zgradbo čebule s podatki v njeni sredici, ljudmi v zunanjem sloju, notranje sloje pa tvorijo omrežna zaščita in zaščita aplikacij.

Postopek[uredi | uredi kodo]

Izrazi razumen, preudaren, prizadeven in skrben so se številna leta uporabljali na področju financ, varnosti in prava. V zadnjih letih so se ti izrazi začeli uporabljati tudi na področju računalništva in varnosti podatkov.

V poslovnem svetu delničarji, stranke, poslovni partnerji in vodstva pričakujejo, da bodo korporacije vodile posle v skladu s sprejetimi poslovnimi praksami in po predpisih z zakoni in ostalimi regulatornimi zahtevami. To se pogosto opisuje kot pravilo razumne in preudarne osebe. Preudarna oseba mora poskrbeti za to, da se posli vodijo po poslovnih in etičnih načelih.

Na področju informacijske zaščite ponuja Harris naslednje definicije za skrbnost in prizadevnost.

»Skrbnost so koraki s katerimi podjetje prikazuje odgovornost za aktivnosti znotraj korporacije in je hkrati naredilo potreben korak, ki pripomore k zaščiti podjetja, njegovih virov in zaposlenih.« Prizadevnost pa predstavlja « ponavljajoče se aktivnosti, ki zagotavljajo, da so zaščitni mehanizmi redno vzdrževani in operativni.«

Treba je nameniti pozornost dvema pomembnima točkama v navedenih definicijah. Prvič, koraki prikazujejo- to pomeni, da so lahko koraki preverjeni ter merjeni. Drugič, ponavljajoče se aktivnosti- to pomeni, da posamezniki dejansko opazujejo in vzdržujejo zaščitne mehanizme, te aktivnosti so redne.

Varnostni nadzor[uredi | uredi kodo]

Med karakteristike uspešnega varnostnega nadzora vključujemo:

  • Razširjena podjetniška sporna vprašanja.
  • Vodje so odgovorni.
  • Spremljan kot poslovni pogoj.
  • Temelji na analizi tveganja.
  • Vloge, odgovornosti in segregacija dolžnosti so določene.
  • Naslovljen in uveljavljen v politiki.
  • Primerna sredstva so izročena.
  • Osebje ozaveščeno in izurjeno.
  • Zahtevan razvoj življenjskih ciklov.
  • Planiran, voden, merljiv in izmerjen.
  • Ocenjen in revidiran.

Načrt ukrepanja ob informacijskih nesrečah[uredi | uredi kodo]

Pravilniki(ne tehnični), ki obravnavajo:

  • Izbiro članov ekipe.
  • Definiranje vloge, odgovornosti in načinov avtoritete.
  • Definiranje varnostnih nemirov.
  • Vadbo.
  • Detekcijo.
  • Klasifikacijo.
  • Stopnjevanje.
  • Obvladovanje.
  • Izkoreninjenje.
  • Dokumentacijo.

Upravljanje sprememb[uredi | uredi kodo]

Upravljanje sprememb predstavlja formalen proces vodenja in kontroliranja sprememb v okolju obdelave informacij. To vključuje spremembe v namizju računalnika, omrežju, strežnikih in programski opremi. Namen upravljanja sprememb je zmanjšanje tveganja, ki ga povzročijo spremembe pri obdelavi podatkov in izboljšanje stabilnosti in zanesljivosti predelovalnega okolja. Smoter upravljanja sprememb ni onemogočanje ali oviranje nujnih sprememb, ki morajo biti izvedene.

Vsaka sprememba pri obdelavi podatkov predstavlja tveganje. Preproste spremembe lahko imajo nepričakovane posledice. Eden izmed velikih odgovornosti menedžmenta je obvladovanje tveganja. Del procesa upravljanja sprememb poskrbi, da spremembe niso opravljene v neprimernem času, torej v času, ko jih lahko prekinejo poslovni procesi ali se vmeša druga sprememba, ki mora biti prav tako opravljena.

Ni potrebno, da je vsaka sprememba izvršena. Nekatere vrste sprememb so del vsakdanje rutine obdelave podatkov in se drže standardnega postopka, ki zmanjša tveganje v predelovalnem okolju. Ustvarjanje novega uporabniškega poročila ali razvitje novega računalniškega namizja so primeri sprememb, ki ne zahtevajo upravljanja sprememb. Vendar prenašanje uporabniških datotečnih delov ali izboljšanje e-poštnih strežnikov niso vsakdanje dejavnosti in predstavljajo višjo raven tveganja v predelovalnem okolju. Kritični prvi korak pri upravljanju sprememb zahteva (a) definiranje sprememb in (b) definiranje obsega sistemske spremembe.

Upravljanje sprememb po navadi nadzira odbor za pregled sprememb, ki je sestavljen iz predstavnikov ključnih poslovnih področij, varnosti, mrežnega povezovanja, upraviteljev sistemov, upraviteljev podatkovnih baz ter centra za pomoč uporabnikom. Naloga odbora za pregled sprememb bi lahko bila olajšana z avtomatskim pretokom dela. Njihova odgovornost je poskrbeti, da organizacije dokumentirajo upravljanje sprememb postopkov, ki so spremljani. Proces upravljanja sprememb je, kot sledi:

  • Zahtevan. Vsakdo lahko zaprosi za spremembo. Oseba, ki izdela prošnjo za spremembo je lahko ali pa tudi ne oseba, ki dela analize ali izvaja spremembe. Ko je prošnja za spremembo sprejeta, se presodi ali je kompatibilna s poslovnim modelom in praksami organizacije, ter oceni količina sredstev potrebnih za izvršitev spremembe.
  • Odobren. Vodstvo mora odobriti prošnje za spremembe in spremembam pripisati prioritete. Če sprememba ni združljiva s poslovnim modelom, industrijskim standardom ali praksami, se lahko vodstvo odloči za zavrnitev prošnje. Prošnja se lahko zavrne tudi če sprememba zahteva veliko več sredstev kot jih je namenjenih.
  • Načrtovan. Načrtovanje sprememb vključuje odkrivanje področja in vplivov predlaganih sprememb; analiziranje kompleksnosti sprememb, razpored virov in razvijanje, testiranje in dokumentiranje tako realizacije kot umika načrta. Treba je določiti kriterije, po katerih bo sprejeta odločitev o realizaciji ali umiku načrta.
  • Testiran. Vsaka sprememba mora biti preizkušena v testnem okolju, ki odraža proizvodno okolje, še preden je sprememba na tem okolju izvedena. Preizkušen mora biti tudi rezervni načrt.
  • Časovni razpored. Ena od nalog odbora za pregled sprememb je pomagati načrtovati spremembe s pregledom predlaganih datumov za potencialna nesoglasja.
  • Sporočen. Ko je enkrat sprememba načrtovana mora biti sporočena ostalim. Ta komunikacija pa daje drugim možnost, da opomnijo odbor na preostale spremembe ali kritične poslovne aktivnosti, ki so bile med načrtovanjem spremembe prezrte. Hkrati se opozarja center za pomoč uporabnikom, ter uporabnike, da bo izvedena sprememba. Odgovornost odbora za pregled sprememb je tudi, da zagotovijo, da so bile načrtovane spremembe primerno sporočene tistim, ki bodo te spremembe občutili ali imajo sicer interes do te spremembe.
  • Izveden. Sprememba mora biti izvedena glede na določen čas in datum. Del procesa načrtovanja je bilo namreč razviti realizacijski načrt, testirajoč načrt ter nadomestni načrt. Če bi se realizacija spremembe izneverila, ali bi prišlo do drugih nevšečnosti se uporabi nadomestni načrt.
  • Dokumentiran. Vse spremembe morajo biti dokumentirane. Dokumentacija vključuje začetno prošnjo za odobritev spremembe, prioriteto, ki ji je bila dodeljena, realizacijo, testni in nadomestni načrt, oceno odbora za pregled sprememb, datum in čas izvedbe spremembe, podatek kdo je izvedel spremembo ter ali je bila sprememba izvedena uspešno, je spodletela oz. je bila odložena.
  • Ocenjen. Odbor za pregled sprememb mora podati oceno spremembe. Še posebej je pomembno podati oceno za spodletelo oziroma odloženo spremembo. Odbor mora razumeti težave, ki so nastopile in poiskati načine za izboljšanje.

Postopki upravljanja sprememb, ki so preprosti, lahko v veliki meri zmanjšajo celotno tveganje, ki se pojavi pri izvrševanju sprememb v okolju obdelave podatkov. Dobri postopki izboljšajo kvaliteto in uspeh sprememb ko se uveljavljajo. To je doseženo skozi načrtovanje, kritiko, dokumentacijo in komunikacijo.

Načrt reševanja nesreče[uredi | uredi kodo]

Dva ali trije odstavki (ne- tehnični), ki razpravljajo:

  • Kaj je Načrt reševanja nesreče
  • V čem je razlika med NRN in BCP
  • Kako sta NRN in BCP povezana
  • Projektni vodje
  • Identifikacija glavnih vlagateljev
  • Identifikacija glavnih pridobitev
  • Prednostne poslovne funkcije in glavne pridobitve
  • Pregled trenutnega ujemanja statusa
  • Izdelava plana

Zakoni in pravila[uredi | uredi kodo]

V spodnjem odstavku so navedeni delni zakoni in pravila vlad Evrope, Velike Britanije, Kanade in ZDA, ki imajo ali bodo imeli v prihodnosti pomemben vpliv na obdelavo podatkov in informacijsko varnost. Pomembni regulatorji industrijskih sektorjev so bi ravno tako vključeni, saj imajo pomemben vpliv na informacijsko varnost.

  • Akt Velike Britanije za zaščito podatkov – UK Data Protection Act 1998 ustvarja nove uredbe glede obdelave podatkov, ki zadevajo posameznike, vključno s pridobivanjem, zadrževanjem, uporabo ali razkritjem tovrstnih informacij. Direktiva Evropske Unijeza zaščito – European Union Data Protection Directive (EUDPD) zahteva, da vse članice EU sprejmejo direktive oz. pravila glede zaščite zasebnih podatkov za državljane po vsej Evropi.
  • Zakon parlamenta VB iz leta 1990 o zlorabi računalnika – Computer Misuse Act opredeljuje računalniški kriminal (hekanje) za kriminalno dejanje. Zakon je postal model za mnoge druge države, vključno z Kanado in Republiko Irsko, ki so snovale svoje zakone, ki zadevajo informacijsko varnost.
  • Zakoni EU o pridržanju podatkov – EU Data Retention laws, zahtevajo od internetnih in telefonskih servisov, da vsako elektronsko sporočilo ali telefonski klic hranijo med 6 meseci in dvema letoma.
  • Družinske pravice do izobraževanja in zasebnosti – The family educational and privacy act (FERPA) (20 U.S.C. § 1232 g; 34 CFR Part 99) je v ZDA zakon, ki ščiti pravico do zasebnosti študentov o zapisih med izobraževanjem. Zakon se nanaša na vse šole, ki prejemajo sredstva ministrstva za izobraževanje. Na splošno morajo imeti šole pisno privolitev staršev v primeru vsakega vpogleda v izobraževalne zapise učenca.
  • Zakon zdravstvenega zavarovanja, prenosljivosti in odgovornosti – Helth insurance portability and accountability act (HIPAA) zahteva sprejetje nacionalnih standardov za elektronsko vodeno zdravstveno oskrbo in nacionalne pokazatelje za oskrbovalce, načrte zdravstvene oskrbe in zaposlovalce. In od zagotavljavcev zdravstvene oskrbe, zavarovalnic in zaposlenih zahteva varovanje in zasebnost zdravstvenih podatkov.
  • Gamm-Leach-Bileley Act of 1999 (GLBA), ki je poznan tudi kot Zakon o modernizaciji finančnih servisov iz leta 1999, varuje zasebnost in varnost zasebnih finančnih informacij, ki jih zbirajo, zadržujejo in obdelujejo finančne institucije.
  • Sarbans-Oxley Act of 2002 (SOX) Odstavek 404 od podjetij, ki poslujejo javno zahteva, da oceni učinkovitost svojih internih kontrol za finančni nadzor, ki zagotavljanje letna poročila za vsako fiskalno leto. Glavni informacijski nadzorniki so zadolženi za varnost, natančnost in zanesljivost sistemov, ki obvladujejo in poročajo finančne podatke. Zakon od podjetij, ki poslujejo javno zahteva tudi, da zagotovi neodvisne nadzornike, ki morajo potrditi veljavnost ocen poročila.
  • Payment Card Data Security Standards (PCI DSS) zagotavlja obširne zahteve za povečanje varnosti podatkov transakcijskih računov. Razvit je bil s strani temeljnih plačilnih znamk PCI varnostnega sveta, ki vključuje American Express, Discover Financial Services, JBC, MasterCard WorlWide in Visa International, da bi zagotovili čim širše varnostne standarde v svetovnem merilu. PCI DSS je večplasten standard varnosti, ki vključuje zahteve za zagotavljanje varnosti, procedure, mreže, mrežno arhitekturo, programsko opremo in druga kritična varnostna merila.
  • Državni State Security Notification Laws (Kalifornija in mnoge druge države) zahtevajo da poslovne, neprofitne in državne institucije obvestijo potrošnike v primeru, da bi nezavarovani »osebni podatki« lahko bili ogroženi, izgubljeni ali ukradeni.
  • Varovanje osebnih podatkov in elektronskih dokumentov – Personal Information Protection and Electronic Dosument Act (PIPEDA) – je bil ustanovljen za podporo in promocijo elektronskega poslovanja z zagotavljanjem varovanja osebnih podatkov, ki se zbirajo med poslovanjem, so uporabljeni ali razkriti v določenih okoliščinah, za zagotavljanje in promocijo elektronskih sredstev za komunikacijo ali beleženje informacij ali transakcije in z izboljšanjem Canada Evidence Act, Statutory Instruments Act in Statute Revision Act.

Izvori standardov[uredi | uredi kodo]

Mednarodna organizacija za standardizacijo – International Organization for Standardization (ISO) je usmerjevalec nacionalnih standardov 157 držav s centralnim sekretariatom v Ženevi, Švica, ki koordinira sistem. ISO je največji svetovni razvijalec standardov. ISO 15443: »Informacijska tehnologija – varnostne tehnike – Okvir za zagotavljane IT varnosti«, ISO-1779: »Informacijska tehnologija-Varnostne tehnike – Kode za izvajanje informacijskih varnostnih ukrepov.«,ISO-20000: »Informacijska tehnologija – Upravljanje služb« in ISO-27001: »Informacijska tehnologija-Varnostne tehnike – Sistemi za zagotavljanje informacijske varnosti« so še posebej zanimivi specialistom za informacijsko varnost.

Ameriški Narodni urad za standarde in tehnologijo (The USA National Institute of Standards and Tehnology, NIST) je ne-regulatorna vladna agencija znotraj U.S. Commerce Department's Tehnology Administration. NIST oddelek za računalniško varnosti – Computer Security Division razvija standarde, metrike, teste in veljavnostne programe, objavlja standarde in usmeritve za povečanje varnosti. NIST je tudi skrbnik ameriškega Federal Information Processing Standardpublications (FIPS).

Informacijska družba – The Internet Society (ISOC) je profesionalna organizacija z več kot 100 organizacijami in več kot 20,000 individualnimi člani znotraj več kot 180 držav. Zagotavlja usmeritve pri obravnavanju problemov s katerimi se bo soočil internet v prihodnosti, je krovna organizacija za skupine, ki so odgovorne za standarde internetne infrastrukture, vključno z Internet Engineering Task Force (IETF) in Internet Architecture Board (IAB). ISOC je gostitelj Requests for Commerce (RFC's) ki vključuje Official Internet Protocl Standards in RFC-2196 Site Securiy Handbook. Informacijski varnostni forum – Information Security Forum je globalna neprofitna organizacija več stotih vodilnih organizacij in finančnih servisov, izdelovalcev, telekomunikacij, potrošniških dobrin, vlad in drugih področij. Zagotavlja najboljše načine raziskovanja in nasvete, ki jih zbere v dvoletnih standardih dobrega delovanja – Standard of Good Practice, ki vključujejo podrobne specifikacije mnogih področij.

Profesionalizem[uredi | uredi kodo]

Leta 1989 je Univerza Carneige Mellon ustanovila Information Networkih Institute, prvi raziskovalni in izobraževalni center v ZDA posvečen informacijskemu mreženju. Akademske discipline o računalniški varnosti, informacijski varnosti in informacijskih zagotovilih so se pojavili skupaj z mnogimi profesionalnimi organizacijami v poznem 20. stoletju in zgodnjem 21. stoletju.

Vstop na področje je lahko dosežen skozi samo-učenje, gimnazijo, višjo polo ali univerzo na področju, ali s pomočjo tedenskih usmerjenih tečajev. Mnogo gimnazij, visokih šol in univerz ter učnih kampov ponujajo svoje programe na spletu. GIAC-GSEC in Security+ certifikata sta oba ovrednotena kot osnovna varnostna certifikata. Članstvo v Inštitutu za profesionalce na področju informacijske varnosti - Institute of Information Security Professionals (IISP) je v VB vedno bolj uveljavljen kot profesionalni standard za profesionalce na področju informacijske varnosti.

The Certified Information Systems Security Professional (CISSP) je prav tako uveljavljen kot srednje in višje-stopenjski certifikat informacijske varnosti. Information Systems Security Architecture Professional (ISSAP), Information Systems Security Engineering Professional (ISSEP), and Information Systems Security Management Professional (ISSMP) certifikati so prav tako visoko uveljavljeni certifikati na področju informacijske varnosti, arhitekture, inženiringa in upravljanja.

Obstajajo vedno večje zahteve po poklicih na področju informacijske varnosti. Povečane so potrebe po profesionalnih varnostnih profesionalcih, ki so izkušeni na področju pregledovanja informacijske varnosti, testiranju penetracije in digitalnih forenzičnih preiskavah.

Zaključek[uredi | uredi kodo]

Informacijska varnost je proces, ki se izvaja varno in vztrajno zaradi varstva informacij in informacijskih sistemov pred neodobrenimi vdori, uporabo, razkritjem, razdorom, modifikacijo ali distribucijo. Nikoli končan proces informacijske varnosti vključuje nenehno šolanje, ocenjevanje, varovanje, nadzor in odkrivanje, reakcijo na slučaje in popravila, dokumentacijo in pregled.

Zapiski in reference[uredi | uredi kodo]

  • 44 U.S.C § 3542 (b)(1) (2006)
  • Quist, Arvin S. (2002). »Security Classification of Information« (HTML). Volume 1. Introduction, History, and Adverse Impacts. Oak Ridge Classification Associates, LLC. Retrieved on 2007-01-11.
  • ISACA (2006). CISA Review Manual 2006. Information Systems Audit and Control Association, p. 85. ISBN 1-933284-15-3.
  • Harris, Shon (2003). All-in-one CISSP Certification Exam Guide, 2nd Ed., Emeryville, CA: McGraw-Hill/Osborne. 0-07-222966-7.

Zunanje povezave[uredi | uredi kodo]

Literatura[uredi | uredi kodo]

  • Allen, Julia H. (2001). The CERT Guide to System and Network Security Practices. Boston, MA: Addison-Wesley. ISBN 0-201-73723-X.
  • Krutz, Ronald L.; Russell Dean, Vines (2003). The CISSP Prep Guide. Indianapolis, IN: Wiley. ISBN 0-471-26802-X.
  • Layton, Timothy P. (2007). Information Security: Design, Implementation, Measurement, and Compliance. Boca Raton, FL: Auerbach publications. ISBN 978-0-8493-7087-8.
  • McNab, Chris (2004). Network Security Assessment. Sebastopol, CA: O'Reilly. ISBN 0-596-00611-X.
  • Peltier, Thomas R. (2001). Information Security Risk Analysis. Boca Raton, FL: Auerbach publications. ISBN 0-8493-0880-1.
  • Peltier, Thomas R. (2002). Information Security Policies, Procedures, and Standards: guidelines for effective information security management. Boca Raton, FL: Auerbach publications. ISBN 0-8493-1137-3.
  • White, Gregory (2003). All-in-one Security+ Certification Exam Guide. Emeryville, CA: McGraw-Hill/Osborne. ISBN 0-07-222633-1.
  • Dhillon, Gurpreet (2007). Principles of Information Systems Security: text and cases. NY: John Wiley & Sons. ISBN 978-0471450566.