Co je to infomační bezpečnost? Popište problematiku a z technického i sociologického hlediska
Informační bezpečnost je komplex opatření, který zahrnuje proces navrhování, schvalování a implementaci softwarových, hardwarových, technických, personálních ochranných opatření spojených s minimalizací možných ztrát, vzniklých v důsledku poškození, zničení nebo zneužití informačních systémů. Předmětem ochrany z pohledu informační bezpečnosti jsou informace bez ohledu na to, zda jsou uloženy v informačním systému, vytištěny na papíře nebo existují pouze v něčí mysli.
Informační bezpečnost lze řešit pomocí dvou cest. Za prvé technickými opatřeními a za druhé propagací a zvyšováním uživatelské gramotnosti.
Obsah
Cíle informační bezpečnosti
- Confidentiality (důvěrnost): K informacím má přístup pouze oprávněná osoba nebo osoby.
- Integrity (celistvost): Jsou jasně stanovena práva pro pozměňování a případné zničení informací.
- Availability (dostupnost): Zajištění dostupnosti informací.
V praxi je důležité zajistit také:
- Autentizaci (ověření, že subjekt je tím, za koho se vydává).
- Autorizaci (omezení dostupnosti operací, jakými jsou například čtení nebo zápis informací, jen pro oprávněné uživatele).
- Nepopiratelnost (vyloučení možnosti popřít dřívější provedení nějaké operace).
Technické aspekty informační bezpečnosti
Řešení informační bezpečnosti z technického hlediska je obvykle rozděleno do šesti kroků: studie informační bezpečnosti, riziková analýza, tvorba bezpečnostní politiky, bezpečnostní standardy, bezpečnostní projekt, implementace bezpečnosti, monitoring a audit.
Standardizace informační bezpečnosti
Informační bezpečnost v současné době zaopatřuje řada norem ISO 27000. Základní normy informační bezpečnosti jsou[1]:
- ČSN ISO/IEC 27002:2014 Informační technologie -Bezpečnostní techniky - Soubor postupů pro opatření bezpečnosti informací
- ČSN ISO/IEC 27001:2014 Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Požadavky
Postup při zvyšování informační bezpečnosti informačního systému
Jako první krok se obvykle provádí studie informační bezpečnosti. To je zmapování výchozího stavu bezpečnosti v organizaci, ze kterého se vychází. V této fázi musí být také stanoveny cíle a strategie řešení bezpečnosti IS. Riziková analýza - pro fungování a přežití organizace je nutné poznat, jaká hrozí rizika, tato rizika vyhodnotit a buď je snížit, nebo zcela odstranit, anebo je, pokud jsou přijatelná, akceptovat. Proti některým rizikům se může organizace pojistit (povodeň), proti jiným ne. Pro analýzu rizik existují specializované programy, nástroje a postupy, např. Cobra, CRAMM, NetRecon, RiskWatch aj.
Tvorba bezpečnostní politiky - z analýzy rizik vychází tvorba bezpečnostní politiky. Obvykle se rozlišují dva druhy bezpečnostní politiky, a to celková BP (CPB) a systémová BP (SPB). Rozdíl mezi nimi je ten, že CBP je stručný dokument, který shrnuje hlavní zásady, co se bude chránit, kdo za to nese odpovědnost, jakým způsobem se bude postupovat při budování bezpečnosti. Systémová bezpečnostní politika definuje způsob implementace v konkrétním prostředí daného systému.
Bezpečnostní politika vytyčí cíle, kterých by mělo být dosaženo. Pro jejich naplnění jsou vytvořeny bezpečnostní standardy a detailní procedury. Další fáze tvorby bezpečnosti již zahrnuje zcela konkrétní opatření, tj. technická opatření hardwarového nebo softwarového typu, různé prostředky bezpečnosti, různé postupy (např. změna hesel), směrnice, normy apod.
Implementace bezpečnosti - konkrétní nasazení výše uvedených bezpečnostních technologií, norem atd. v dané organizaci. Může trvat i roky - pilotní projekt obvykle dopadá dobře, a přesto se řadu konečných řešení již nikdy nepodaří realizovat. Monitoring a audit - po vybudování bezpečnostních mechanismů je třeba neustále prověřovat, zda odpovídají dané situaci, jsou dobře nastaveny, zda se podmínky nezměnily tak, že již nevyhovují atd. Vzhledem k tomu, že budování bezpečnosti je nikdy nekončící proces, jde vlastně stále o opakování kroků: maximální prevence bezpečnostních incidentů, detekce incidentů, zlepšení prevence, obnova stavu před incidentem, např. zálohování.
Technické metody pro bezpečnost informací
Šifrování dat aneb Kryptografie.
- Kryptografie neboli šifrování je nauka o metodách utajování smyslu zpráv převodem do podoby, která je čitelná jen se speciální znalostí.
- Kryptologie zahrnuje kryptografii a kryptoanalýzu, neboli luštění zašifrovaných zpráv.
- Moderní kryptografie - V dnešní době se k šifrování zpravidla nepoužívají žádné zvlášť vytvářené přístroje, ale klasické počítače.
Klasické metody kryptografie
- Steganografie - Starší sestrou kryptografie je steganografie neboli ukrývání zprávy jako takové. Sem patří různé neviditelné inkousty, vyrývání zprávy do dřevěné tabulky, která se zalije voskem apod. V moderní době lze tajné texty ukrývat například do souborů s hudbou či obrázky namísto náhodného šumu.
- Substituční šifry - Substituční šifra obecně spočívá v nahrazení každého znaku zprávy jiným znakem podle nějakého pravidla. Pravděpodobně nejstarší popis substituční šifry je v Kámasútře, která se datuje do 4. století, ovšem její autor čerpal z pramenů až o 800 let starších.
- Aditivní šifry - Caesarova šifra je pojmenovaná po Juliu Caesarovi, který ji pravděpodobně používal jako první. Každé písmeno tajné zprávy je posunuto v abecedě o pevný počet pozic. Šifra je z dnešního pohledu velmi snadno luštitelná, protože je jen málo možných klíčů. Ve své době ale představovala nevídanou metodu a osvědčila se velmi dobře.
- Transpoziční mřížka - Tabulka, v níž jsou některá políčka vystřižena a do těchto je vpisován otevřený text. Po zaplnění všech políček je tabulka otočena o 90° a postup se opakuje. Tuto šifru použil Jules Verne ve své knize Matyáš Sandorf (Nový hrabě Monte Christo). Jsou možné i jiné tvary tabulky než čtverec. Například lze použít šestiúhelník se šestiúhelníkovými políčky, který se 5× otáčí o 60°. Klíčem této šifry je rozložení vystříhaných políček.
Moderní metody kryptografie
Symetrické šifry (klíč k zašifrování i k dešifrování je stejný)
- První standardizovaná symetrická šifra DES (Data Encryption Standard).
- Současný kryptografický standard AES (Advanced Encryption Standard), jinak také Rijndael (rozdíl je v tom, že AES podporuje jen některé délky bloku a klíče).
- Finalisté soutěže o návrh standardu AES (Advanced Encryption Standard) - Twofish, RC6, Serpent, Mars a Rijndael, který soutěž vyhrál a byl přijat za standard AES.
Asymetrické šifry (klíč k zašifrování je jiný než k dešifrování, jednocestné matematické funkce)
- Asymetrická kryptografie – používá soukromý a veřejný klíč.
- RSA, nejpoužívanější asymetrická šifra.
- Phil Zimmermann, PGP a OpenPGP.
- Hašovací funkce.
- Digitální podpis.
Zdroje
Reference
- ↑ BUDÍN, Emil. Využití automatizovaných nástrojů pro řízení bezpečnosti informací dle norem řady ČSN ISO/IEC 27000. Brmo, 2014. Dostupné z: https://is.muni.cz/th/212378/ff_m/Diplomova_prace.pdf. Diplomová práce. Masarykova univerzita v Brně. Vedoucí práce Petr Škyřík.