Autorizace: Autorizace, principy. Vazba autentizace a autorizace. Bezpečnostní politiky, řízení bezpečnosti.
Autorizace je poskytnutí přístupových práv uživateli, programu nebo procesu. Autentizace je ověření tvrzení o identitě uživatele, programu nebo procesu. Autorize může záviset od identity ověřené autentizací.
Bezpečnostní politika (security policy) je celkový záměr a směr dosažení bezpečnosti formálně vyjádřený vedením organizace. Bezpečnostní politika spracování informací (IT security policy) je celkový záměr a směr dosažení bezpečnosti spracování informací, t.j. bezpečnosti systémů, služeb a infrastruktur spracovávajících informace a bezpečnosti lokality, systémů, ve kterých jsou informace uchovávané, formálně vyjádřený vedením organizace. Bezpečnostní politika stanovuje:
Pro vypracování bezpečnostní politiky je nutnou podmínkou znalost a stanovení bezpečnostních cílů.
Důvěryhodné bezpečnostní politiky jednoznačně stanovují/popisují stavy systému a správně zvládají reakce na bezpečnostní incidenty podle jednoznačně stanovených požadavků na bezpečnosť.
Důvěryhodná bezpečnostní opatření prosazují důvěryhodnou politiku a jsou implementovány správně. Za dosaženou úroveň důvěryhodnosti lze vyslovit záruku - obvykle formou certifikátu.
Perfektní bezpečnost má blízko ke „kdo nic nedělá, nic nepokazí“ a zvláště nejde zavést v síťově otevřených systémech. Prolomení všech ostatních způsobů zabezpečení je pouze otázkou času - od milisekund až po miliardy let (útoky hrubou silou).
Mezi kritéria bezpečnostní politiky patří:
Při stanovování politiky je určena velikost rizika, cílem je, aby náklady potřebné na překonání opatření byli větší než možný zisk a aby náklady na realizaci bezpečnostní politiky nebyli vyšší než možné stráty.
Cíle bezpečnostní politiky by měli vyplývat z IT cílu společnosti. Bezpečnostní politika pomáhá při stanovování priorit nebo převezmutí plné odpovědnosti uživateli.
Každý mechanizmus vyžaduje kooperaci všech zúčastněných stran. Koncoví uživatelé musí být vytrénovaní aby zvládali použít mechanizmus a musí mít o něj zájem. Manažment se musí procesu bezpečnosti účastnit nebo ho vést.
Pozn. na závěr: útoky na systémy a počítače jsou náročné, je lepší útočit na lidi (sémantické útoky, social engineering).
Základem je stanovení rizik.
Riziko se určí nasledovně = pravděpodobnost výskytu × dopad (obvykle škody v $).
Určená rizika se rozdělení do skupin:
Rizika se snižují a eliminují zaváděním bezpečnostních opatření, která je nutno implementovat vhodnými mechanismy. Preventivním opatřením by se měla řešit ideálně veliká rizika - zamezují útoku nebo eliminují dopady útoku a jsou nákladná. Nápravná (heuristická) opatření typicky redukují možný účinek útoku se středním rizikem.
Akceptace rizik spočívá v rozhodování o přijatelnosti rizika dle stanovených kritérií.
Základem je sdělení informace o rizicích všem, kdo může rizika ovlyvnit či být riziky ovlivněn
FI:PV017 Bezpečnost IT (podzim 2011), doc. Ing. Jan Staudek, CSc.
FI:PA018 Advanced Topics in Information Technology Security (jaro 2012), prof. RNDr. Václav Matyáš, M.Sc., Ph.D.
-
DevelX - Martin Jurča
stav - 85 %