Informacijska varnost: Razlika med redakcijama

{{slog|newikificirano}}

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Dejansko ni mogoče dobiti vozniškega dovoljenja, najeti apartma, prejeti zdravstveno oskrbo, ali vzeti posojilo brez tega, da bi povedali zelo zaupne informacije o sebi, kot so ime, naslov, telefonska številka, datum rojstva, št. socialne varnosti, materialni status, število otrok, materin dekliški priimek, dohodek, delovno mesto, zgodovina zdravja, itn. To so vse zelo zasebne informacije, ki so od nas zahtevane za izvršitev določenega posla. Običajno jih povemo z upanjem, da bo oseba ali institucija, ki ji zaupamo tako zasebne informacije, zagotovila zaščito le-teh pred nepooblaščenim odkritjem, slučajnim ali namernim, in da bodo naše informacije posredovane ljudem, institucijam, ki so pooblaščene za dostop in, ki jih resnično potrebujejo.

 

 

 

Neokrnjenost, v sklopu pojma informacijske varnosti pomeni, da podatki ne smejo biti ustvarjeni, spremenjeni ali uničeni brez pooblastila. Prav tako pomeni, da so podatki shranjeni v enem delu informacijskega sistema, v skladu z drugimi sorodnimi podatki, shranjenimi v drugem delu informacijskega sistema (ali v drugem sistemu). Primer: do izgube neokrnjenosti lahko pride, ko informacijski sistem ni primerno ugasnjen, ali ko informacijski strežnik nenadoma izgubi električno energijo. Izguba neokrnjenosti pomeni tudi nenameren ali zlonameren izbris pomembne informacijske datoteke.

 

 

 

Koncept razpoložljivosti pomeni, da informacijsko-računalniški sistem obdela informacije, pri čemer varnostna kontrola varuje, da so informacije razpoložljive in pravilno delujejo, ko je informacija potrebna. Nasprotje razpoložljivosti je zavrnitev storitve.

 

 

 

V računalništvu, e-poslovanju in informacijski varnosti je pomembno zagotoviti, da so podatki, izvrševanje, zveza in dokumenti (elektronski ali fizični) resnični (ne smejo biti ponarejeni).

 

 

 

Obsega namen nekoga, da izpolni obveznosti do pogodbe. Prejete izvršitve ne morejo biti zanikane in tudi poslane izvršitve ne morejo zanikati.

 

 

 

CISA Review Manual 2006 priskrbi sledeče definicije obvladovanja tveganj: Obvladovanje tveganj je proces prepoznavanja ranljivosti in grožnje za informacijske vire, ki jih uporabljajo organizacije za doseganje poslovnih ciljev, in odločanje o nasprotnih ukrepih, če so ti potrebni za zmanjševanje tveganj na sprejemljivo raven, osnovano na vrednotah informacijskih virov organizacije.

 

 

Ko upravljanje ublaži tveganje, bo to narejeno z izvršitvijo ene ali več od treh različnih tipov kontrole:

Pomembna fizična kontrola, ki je pogosto prezrta, je ločenost obveznosti, ki zagotovi, da posameznik ne more kritično opraviti naložene naloge. Primer: zaposleni, ki predloži zahtevo za odškodnino, prav tako ne more odobriti plačila. Programer prav tako ne more biti administrator za strežnik ali administrator baze podatkov – te vloge in obveznosti morajo biti ločene.

 

 

Pomemben aspekt informacijske varnosti in upravljanja z varnostjo je prepoznati pomembnost informacije in določanje primernih postopkov in varnostnih zahtev za informacijo. Vse informacije niso enakovredne in zato tudi ne zahtevajo enake stopnje zaščite. Tu pa nastane potreba po varnostni klasifikaciji informacij.

Vsi zaposleni v organizaciji, kot tudi poslovni partnerji, morajo biti izurjeni in tako obvladovati razvrstitveno shemo, pomembno pa je tudi, da razumejo potrebne varnostne nadzore ter obravnavane postopke pri vsaki klasifikaciji. Zaupna informacije mora biti občasno tudi ocenjena, saj je s tem zagotovljeno, da je razvrstitev za informacijo še vedno primerna, poskrbljeno pa je tudi za varnosti nadzor, ki je za klasifikacijo potreben.

 

 

Dostop do zaščitenih informacij mora biti omejen na ljudi, ki so pooblaščeni za dostop do teh informacij. Računalniški programi in v veliko primerih tudi računalniki, ki obdelujejo informacije morajo imeti prav tako pooblastilo oziroma dovolilnico. To zahteva, da so mehanizmi na mestu kjer kontrolirajo dostop do zaščitenih informacij. Dovršenost mehanizmov za nadzor dostopa mora biti enakovredna vrednosti zaščitenih informacij- bolj občutljiva oziroma dragocena kot je informacija, ostrejši morajo biti mehanizmi nadzora. Temelja na katerih so zgrajeni mehanizmi za nadzirani dostop sta identifikacija in avtentikacija.

Politike in drugi varnosti nadzori morajo biti izvršljivi in podprti, saj bodo le tako učinkoviti. Učinkovita politika pa mora poskrbi tudi za to, da se ljudje čutijo odgovorne za svoje dejanja. Vsak napačen in uspešen poskus avtentikacije mora biti zabeležen, prav tako pa mora vsak dostop do informacije pustiti neko revizijsko sled.

 

 

Pri informacijski varnosti se uporablja kriptografija za preoblikovanje oblike informacij in sicer se informacija preoblikuje v formo, ki je uporabna samo za pooblaščene uporabnike. Ta proces imenujemo šifriranje. Informacija, ki smo jo šifrirali se lahko preoblikuje nazaj v prvotno obliko s pomočo pooblaščenega uporabnika, ki ima šifrirni ključ. Ta postopek imenujemo dešifriranje. Kriptografija se uporablja za zaščito informacij pred nepooblaščenimi ali naključnimi odkritji, med prenosom informacij (elektronskem ali fizičnem) in skladiščenjem.

Kriptografija lahko ogrozi varnost kadar ni pravilno implementitana. Kriptografske rešitve morajo vsebovati preverjene in javno objavljene ter široko sprejete algoritme, ki so prestale stroge preglede neodvisnih strokovnjakov na področju kriptografije. Dolžina in jakost šifrirnega ključa sta prav tako pomembna. Ključ, ki se uporablja za šifriranje in dešifriranje mora biti zaščiten z enako mero strogosti kot katerekoli zaupne informacije. Informacije morajo biti zaščitene pred nepooblaščenimi zlorabami, hkrati pa morajo biti na voljo, kadar je to potrebno. PKI (Public Key Cryptography) rešitve pokrivajo številne probleme, ki se navezujejo na ravnanje s ključi.

 

 

Varnost informacij mora zaščititi informacije skozi njihov celoten obstoj, od njihovega nastanka do odstranitve. Informacija mora biti zaščitena tako med gibanjem kot mirovanjem. Skozi celoten obstoj mora informacija preiti skozi številne različne sisteme procesiranja. Informacije in informacijski sistemi so lahko ogroženi na različne načine. Za popolno zaščito informacije skozi njeno življensko dobo, mora imeti vsaka komponenta informacijskega sistema procesiranja svoj lasten mehanizem zaščite. Izgradnja, povezovanje in prekrivanje varnostnih meril se imenuje globinska obramba. Jakost posameznega sistema ni večja kot je jakost najšibkejšega člena. Z uporabo strategije globinske zaščite je omogočena učinkovita zaščita tudi ob okvari posameznega obrambnega sistema.

Trije tipi kontrol (administrativna, logična in fizična) se lahko uporabijo za tvorbo osnove na kateri se lahko izgradi strategija globinske zaščite. S tem pristopom se lahko globinska zaščita pojmuje kot troplastna zaščita. To zaščito si lahko predstavljamo kot zgradbo čebule s podatki v njeni sredici, ljudmi v zunanjem sloju, notranje sloje pa tvorijo omrežna zaščita in zaščita aplikacij.

 

 

Izrazi razumen, preudaren, prizadeven in skrben so se številna leta uporabljali na področju financ, varnosti in prava. V zadnjih letih so se ti izrazi začeli uporabljati tudi na področju računalništva in varnosti podatkov.

Potrebno je nameniti pozornost dvema pomembnima točkama v navedenih definicijah. Prvič, koraki prikazujejo- to pomeni, da so lahko koraki preverjeni ter merjeni. Drugič, ponavljajoče se aktivnosti- to pomeni, da posamezniki dejansko opazujejo in vzdržujejo zaščitne mehanizme, te aktivnosti so redne.

 

 

Med karakteristike uspešnega varnostnega nadzora vključujemo:

 

 

 

Pravilniki(ne tehnični), ki obravnavajo:

*Dokumentacijo.

 

 

Upravljanje sprememb predstavlja formalen proces vodenja in kontroliranja sprememb v okolju obdelave informacij. To vključuje spremembe v namizju računalnika, omrežju, strežnikih in programski opremi. Namen upravljanja sprememb je zmanjšanje tveganja, ki ga povzročijo spremembe pri obdelavi podatkov in izboljšanje stabilnosti in zanesljivosti predelovalnega okolja. Smoter upravljanja sprememb ni onemogočanje ali oviranje nujnih sprememb, ki morajo biti izvedene.