Základní sada bezpečnostních opatření
Tento příspěvek popisuje základní sadu bezpečnostních opatření, kterou by měla zavést každá organizace bez ohledu na její velikost a předmět činnosti.
Pokud hovoříme o základní sadě bezpečnostních opatření, která by měla být vždy implementována, máme na mysli identifikaci a autentizaci (authentication), autorizaci (authorization) a odpovědnost (accounting).
Poznámka: Tato opatření můžeme označit podle prvních písmen jako IAAA/I3A nebo jen AAA/3A, protože autentizaci bez identifikace si lze představit dost těžko.
Smysl základní sady bezpečnostních opatření
Tato základní opatření vycházejí z cílů informační bezpečnosti, kterými je zajištění ochrany informací během celého jejich životního cyklu, a to v úložišti, při přenosu i při užití. Přičemž informace musí být pro oprávněné uživatele dostupné v okamžiku, kdy je potřebují a musí být správné a úplné. Říkáme, že musí být zajištěna jejich důvěrnost, integrita a dostupnost.
Poznámka: Nezapomínejte, že aktiva musíte chránit nejen před útočníky z vnějšku, ale i z vnitřku, neboť pořád platí, že až 80% úspěšných útoků je vedeno zevnitř organizace. To je dáno tím, že uživatel nebo správce systému má k informačním aktivům v rámci plnění svých pracovních povinností naprosto legitimní přístup.
Identifikace
První je třeba zajistit jednoznačnou identifikaci uživatele (identification), protože pod touto identitou bude uživatel v systému vystupovat.
Poznámka: Někde by mělo být evidováno, komu byl přidělen jaký identifikátor. Je nasnadě, že od určitého počtu uživatelů je nutné za účelem správy uživatelských účtů a přidělených oprávnění nasadit nějaký sofistikovaný nástroj.
Autentizace
Svoji identitu uživatel potvrzuje nejčastěji prostým zadáním hesla, avšak v některých případech může být vyžadováno např. přiložení prstu ke snímači nebo zasunutí tokenu. Tento proces se nazývá autentizace (authentication), v případě, že je po uživateli požadováno, aby svoji identitu potvrdil více způsoby, hovoříme o vícefaktorové autentizaci (multifactor authentication).
Poznámka: Pokud neoprávněná osoba nezná jméno a heslo do systému, tak se do něj nemůže přihlásit a tudíž se ani nemůže dat zmocnit, pozměnit je nebo zničit. Heslo pro přístup do systému by proto mělo být zvoleno tak, aby ho nebylo možné snadno uhodnout nebo prolomit hrubou silou.
Autorizace
V okamžiku, kdy je uživatel úspěšně autentizován, jsou mu v systému přidělena odpovídající oprávnění. Říkáme, že proběhl proces autorizace (authorization). Přičemž uživatel by měl mít přístup jen k těm datům, která nezbytně nutně potřebuje pro svoji práci, tzv. „need to know principle“. A stejně tak by měl v systému disponovat jen omezenými privilegii, tzv. „least privilege principle“.
Poznámka: Ani oprávněná osoba, která se úspěšně přihlásí, nemůže v systému provádět cokoliv, nýbrž může přistupovat jen k těm datům, ke kterým má oprávnění a provádět nad nimi jen povolené operace.
Accounting
Všechny nebo alespoň vybrané aktivity uživatelů by se měly zaznamenávát do logu, aby se činnost uživatelů v systému dala v případě podezření na bezpečnostní incident zpětně rekonstruovat a tím byla zajištěna odpovědnost (accounting).
Poznámka: Za předpokladu, že je log vyhodnocován a na podezřelé aktivity se včas reaguje.
Závěr: Výše uvedená bezpečnostní opatření si může dovolit zavést každá organizace bez ohledu na její velikost a infrastrukturu, neboť se pouze využívá bezpečnostních funkcí, které každý systém zpravidla obsahuje. Rozhodnutí o zavedení dalších opatření by pak mělo založeno na analýze rizik a vyhodnocení účinnosti jednotlivých opatření.
Štítky: informační bezpečnost
K článku “Základní sada bezpečnostních opatření” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.