Informační bezpečnost: životní cyklus informace
Informace musí být odpovídajícím způsobem chráněny během celého jejich životního cyklu.
Informace musí být odpovídajícím způsobem chráněny během celého jejich životního cyklu (information lifecycle), a to jak v úložišti (data at rest), tak během přenosu (data in motion), tak i při samotném používání (data in use), neboť hrozí, že by mohlo dojít narušení jejich důvěrnosti, integrity a dostupnosti. Odpovídající způsob ochrany vyplývá z jejich kritičnosti a citlivosti. Každá informace by proto měla mít stanoveného svého vlastníka, který provádí její klasifikaci a rozhoduje o tom, kdo k ní bude mít přístup a jaký. Zamysleme se nyní nad tím, jakým způsobem mohou být data chráněna před nežádoucím zpřístupněním, modifikací a smazáním.
Data at rest
K datům v úložišti by měl být řízen přístup, tím by mělo být zajištěno, že se k nim dostane jen oprávněná osoba a bude s nimi moc nakládat jen způsobem, který odpovídá její úrovni prověření. Vzhledem k tomu, že úložiště může být fyzicky ukradeno, měly by být citlivé informace šifrovány. Útočník se však může pokusit data zničit a proto by měla být data zálohována a archivována v geograficky vzdálené lokalitě. Narušení integrity je možné se bránit tím, že se data budou podepisovat nebo se budou vytvářet kontrolní součty. Zapomínat bychom také neměli na bezpečnou likvidaci již nepotřebných informací, aby je útočník nemohl snadno obnovit.
Data in motion
Během přenosu z/do úložiště mohou být data útočníkem odposlechnuta, pozměněna nebo zahozena. Z těchto důvodu je vhodné linku, po které jsou data přenášena, šifrovat, obzvlášť, když se jedná o přenos dat přes veřejnou síť jako je např. internet. Dále je vhodné jednotlivé zprávy číslovat, aby bylo zřejmé, zda dorazily ve správném pořadí nebo zda se někdo nepokusil o tzv. replay attack. Jako ochranu před nežádoucí modifikací je možné data podepsat a tím podvrženou nebo pozměněnou zprávu snadno odhalit.
Data in use
Data jsou vystavena největšímu riziku ze strany uživatele, který data pořizuje a obvykle k nim přistupuje prostřednictvím rozhraní operačního systému, databáze nebo aplikace. Aby uživatel mohl s daty pracovat, potřebuje k tomu nějaké oprávnění. Avšak v mnoha případech uživatel ani nemusí mít právo pro přístup k datům do úložiště, neboť k datům přistupuje prostřednictvím aplikace. Vzhledem, k tomu, že uživatel má k datům v rámci plnění svých pracovních povinností zcela legitimní přístup, kterého však může zneužít, měly by být jeho aktivity v systému auditovány.
ILM
Aby výše uvedená opatření byla účinná, měl by být informační systém provozován na bezpečné infrastruktuře a měla by být přijata odpovídající opatření i na úrovni fyzické a administrativní bezpečnosti. Jiný pohled na životní cyklus informace je zachycen na následujícím obrázku, který vychází ILM (Information Lifecycle Management), tak jak ho definuje společnost Microsoft. Obrázek se snaží zachytit skutečnost, že informace je v určitém čase pořízena a uložena do úložiště, odkud je v případě potřeby načtena a dále zpracovávána, měněna a opět ukládána, sdílena s ostatními uživateli a pokud již není potřeba, tak je z úložiště vyřazena resp. smazána.
Poznámka: Nezapomínejte, že úložištěm může být jakékoliv médium, na které lze uložit informaci (nejen HDD, SSD, flash disk, optický disk, ale i papír).
Závěr: Informace musí být odpovídajícím způsobem chráněny během celého jejich životního cyklu, neboť jsou vystaveny trvalému působení mnoha různých hrozeb. Opovědět na otázku, jaká bezpečnostní opatření zavést a kolik do nich investovat prostředků však není možné bez provedení analýzy rizik.
ČERMÁK, Miroslav, 2010. Informační bezpečnost: životní cyklus informace. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/informacni-bezpecnost-zivotni-cyklus-informace/. [citováno 07.12.2024].
Štítky: informační bezpečnost
K článku “Informační bezpečnost: životní cyklus informace” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.