Autorizace: Autorizace, principy. Vazba autentizace a autorizace. Bezpečnostní politiky, řízení bezpečnosti.

Autorizace je poskytnutí přístupových práv uživateli, programu nebo procesu. Autentizace je ověření tvrzení o identitě uživatele, programu nebo procesu. Autorize může záviset od identity ověřené autentizací.

Bezpečnostní politika (security policy) je celkový záměr a směr dosažení bezpečnosti formálně vyjádřený vedením organizace. Bezpečnostní politika spracování informací (IT security policy) je celkový záměr a směr dosažení bezpečnosti spracování informací, t.j. bezpečnosti systémů, služeb a infrastruktur spracovávajících informace a bezpečnosti lokality, systémů, ve kterých jsou informace uchovávané, formálně vyjádřený vedením organizace. Bezpečnostní politika stanovuje:

• co se chrání proti čemu - bezpečnostní cíle
• jak se ochrana uplatňuje - způsob dosažení bezpečnostních cílů

Pro vypracování bezpečnostní politiky je nutnou podmínkou znalost a stanovení bezpečnostních cílů.

Důvěryhodné bezpečnostní politiky jednoznačně stanovují/popisují stavy systému a správně zvládají reakce na bezpečnostní incidenty podle jednoznačně stanovených požadavků na bezpečnosť.

Důvěryhodná bezpečnostní opatření prosazují důvěryhodnou politiku a jsou implementovány správně. Za dosaženou úroveň důvěryhodnosti lze vyslovit záruku - obvykle formou certifikátu.

Perfektní bezpečnost má blízko ke „kdo nic nedělá, nic nepokazí“ a zvláště nejde zavést v síťově otevřených systémech. Prolomení všech ostatních způsobů zabezpečení je pouze otázkou času - od milisekund až po miliardy let (útoky hrubou silou).

Mezi kritéria bezpečnostní politiky patří:

• zájmy uživatelů, výrobců a posuzovatelů
• cíl posouzení
• profil ochrany (smartcard, biometrika, …)
• cíl (teoretický koncept, …)
• posouzení cíle - odpovídá teorie realitě?
• zajištění funkčnosti

Při stanovování politiky je určena velikost rizika, cílem je, aby náklady potřebné na překonání opatření byli větší než možný zisk a aby náklady na realizaci bezpečnostní politiky nebyli vyšší než možné stráty.

Cíle bezpečnostní politiky by měli vyplývat z IT cílu společnosti. Bezpečnostní politika pomáhá při stanovování priorit nebo převezmutí plné odpovědnosti uživateli.

Každý mechanizmus vyžaduje kooperaci všech zúčastněných stran. Koncoví uživatelé musí být vytrénovaní aby zvládali použít mechanizmus a musí mít o něj zájem. Manažment se musí procesu bezpečnosti účastnit nebo ho vést.

Pozn. na závěr: útoky na systémy a počítače jsou náročné, je lepší útočit na lidi (sémantické útoky, social engineering).

Základem je stanovení rizik.

Riziko se určí nasledovně = pravděpodobnost výskytu × dopad (obvykle škody v $).

Určená rizika se rozdělení do skupin:

• zanedbatelné riziko (akceptovatelné riziko) - buď nevadí, nebo lze ošetřit pojištěním
• běžné riziko - snaha eliminovat nebo snížit na zanedbatelné riziko
• katastrofické riziko - snaha eliminovat, nebo snížit na běžné až zanedbatelné riziko

Rizika se snižují a eliminují zaváděním bezpečnostních opatření, která je nutno implementovat vhodnými mechanismy. Preventivním opatřením by se měla řešit ideálně veliká rizika - zamezují útoku nebo eliminují dopady útoku a jsou nákladná. Nápravná (heuristická) opatření typicky redukují možný účinek útoku se středním rizikem.

Akceptace rizik spočívá v rozhodování o přijatelnosti rizika dle stanovených kritérií.

Základem je sdělení informace o rizicích všem, kdo může rizika ovlyvnit či být riziky ovlivněn

FI:PV017 Bezpečnost IT (podzim 2011), doc. Ing. Jan Staudek, CSc.

FI:PA018 Advanced Topics in Information Technology Security (jaro 2012), prof. RNDr. Václav Matyáš, M.Sc., Ph.D.

-

DevelX - Martin Jurča
stav - 85 %