====== Zadání ====== Autorizace: Autorizace, principy. Vazba autentizace a autorizace. Bezpečnostní politiky, řízení bezpečnosti. ====== Vypracování ====== ===== Autorizace ===== Autorizace je poskytnutí přístupových práv uživateli, programu nebo procesu. Autentizace je ověření tvrzení o identitě uživatele, programu nebo procesu. Autorize může záviset od identity ověřené autentizací. ====== Bezpečnostní politiky ====== Bezpečnostní politika (security policy) je celkový záměr a směr dosažení bezpečnosti formálně vyjádřený vedením organizace. Bezpečnostní politika spracování informací (IT security policy) je celkový záměr a směr dosažení bezpečnosti spracování informací, t.j. bezpečnosti systémů, služeb a infrastruktur spracovávajících informace a bezpečnosti lokality, systémů, ve kterých jsou informace uchovávané, formálně vyjádřený vedením organizace. Bezpečnostní politika stanovuje: * co se chrání proti čemu - bezpečnostní cíle * jak se ochrana uplatňuje - způsob dosažení bezpečnostních cílů Pro vypracování bezpečnostní politiky je nutnou podmínkou znalost a stanovení bezpečnostních cílů. Důvěryhodné bezpečnostní politiky jednoznačně stanovují/popisují stavy systému a správně zvládají reakce na bezpečnostní incidenty podle jednoznačně stanovených požadavků na bezpečnosť. Důvěryhodná bezpečnostní opatření prosazují důvěryhodnou politiku a jsou implementovány správně. Za dosaženou úroveň důvěryhodnosti lze vyslovit záruku - obvykle formou certifikátu. Perfektní bezpečnost má blízko ke "kdo nic nedělá, nic nepokazí" a zvláště nejde zavést v síťově otevřených systémech. Prolomení všech ostatních způsobů zabezpečení je pouze otázkou času - od milisekund až po miliardy let (útoky hrubou silou). Mezi kritéria bezpečnostní politiky patří: * zájmy uživatelů, výrobců a posuzovatelů * cíl posouzení * profil ochrany (smartcard, biometrika, ...) * cíl (teoretický koncept, ...) * posouzení cíle - odpovídá teorie realitě? * zajištění funkčnosti Při stanovování politiky je určena velikost rizika, cílem je, aby náklady potřebné na překonání opatření byli větší než možný zisk a aby náklady na realizaci bezpečnostní politiky nebyli vyšší než možné stráty. Cíle bezpečnostní politiky by měli vyplývat z IT cílu společnosti. Bezpečnostní politika pomáhá při stanovování priorit nebo převezmutí plné odpovědnosti uživateli. Každý mechanizmus vyžaduje kooperaci všech zúčastněných stran. Koncoví uživatelé musí být vytrénovaní aby zvládali použít mechanizmus a musí mít o něj zájem. Manažment se musí procesu bezpečnosti účastnit nebo ho vést. Pozn. na závěr: útoky na systémy a počítače jsou náročné, je lepší útočit na lidi (sémantické útoky, social engineering). ====== Řízení bezpečnosti ====== ===== Ohodnocení rizik ===== Základem je stanovení rizik. Riziko se určí nasledovně = pravděpodobnost výskytu × dopad (obvykle škody v $). Určená rizika se rozdělení do skupin: * zanedbatelné riziko (akceptovatelné riziko) - buď nevadí, nebo lze ošetřit pojištěním * běžné riziko - snaha eliminovat nebo snížit na zanedbatelné riziko * katastrofické riziko - snaha eliminovat, nebo snížit na běžné až zanedbatelné riziko ===== Zvládání rizik ===== Rizika se snižují a eliminují zaváděním bezpečnostních opatření, která je nutno implementovat vhodnými mechanismy. Preventivním opatřením by se měla řešit ideálně veliká rizika - zamezují útoku nebo eliminují dopady útoku a jsou nákladná. Nápravná (heuristická) opatření typicky redukují možný účinek útoku se středním rizikem. ===== Akceptace rizik ===== Akceptace rizik spočívá v rozhodování o přijatelnosti rizika dle stanovených kritérií. ===== Informovanost o rizicích ===== Základem je sdělení informace o rizicích všem, kdo může rizika ovlyvnit či být riziky ovlivněn ====== Předměty ====== [[https://is.muni.cz/auth/predmet/fi/podzim2011/PV017|FI:PV017]] Bezpečnost IT (podzim 2011), doc. Ing. Jan Staudek, CSc. [[https://is.muni.cz/auth/predmety/predmet.pl?id=519427|FI:PA018]] Advanced Topics in Information Technology Security (jaro 2012), prof. RNDr. Václav Matyáš, M.Sc., Ph.D. ====== Použitá literatura ====== - ====== Vypracoval ====== DevelX - Martin Jurča stav - 85 %