Konzultace informační bezpečnosti

 

Bezpečnost dat

 

Konzultace informační bezpečnosti

 

Certifikáty

 

Obecně

Obecně je bezpečnost chápána, jako ochrana toho na čem nám záleží, co pro nás má nějakou cenu před zničením, poškozením, ztrátou, krádeží. Definice informační bezpečnosti hovoří o narušení dostupnosti, narušení integrity, narušení důvěrnosti.

Informace, říkejme jim data, jsou umístěna na nějakém záznamovém médiu (HDD, SDD, CD, DVD, flash disk, SDXC, …). Médium je vloženo v nějakém HW zařízení (Server, PC, tablet, telefon, fotoaparát, …). HW zařízení je řízeno nějakým SW (Operační systém, Aplikační programové vybavení, Databázový systém, …). Pokud má využívat uložená data více uživatelů musí být HW zařízení propojena prostřednictvím sítí (LAN, WLAN, MAN, WAN) a SW HW zařízení se musí rozšířit o Nástroj pro vzdálený přístup. Všechna stacionární zařízení jsou umístěna v budovách, všechna mobilní zařízení jsou „na cestě“ (ale připojená) a vše řídí (administrují) lidé.

Výše uvedený odstavec můžeme s nadsázkou zjednodušeně označit za dekompozici informačního systému a identifikací aktiv. A pokud máme za úkol zavést opatření k zajištění bezpečnosti informací, budeme muset chránit „všechna“ výše uvedená aktiva a zajistit bezpečnost informací v průběhu „celého“ jejich životního cyklu.

    3-105514-uzssi.jpg

     

    Zajištění bezpečnosti aktiv

    Fyzická bezpečnost

    Zajištění areálů, budov, prostor a místností ve kterých se nachází média, HW a lidé, které je třeba chránit před fyzickým napadením, přírodními hrozbami a jinými hrozbami.

    Organizační bezpečnost

    Řízení práv, povinností a odpovědností jednotlivých (skupin) osob ve formě bezpečnostních standardů a bezpečnostní politiky.

    Logická bezpečnost

    De facto organizační bezpečnost zaměřená na práci se SW prostředky určenými pro práci s daty. Pokud má být zajištěna důvěrnost, integrita a dostupnost dat, je třeba aktivně řídit přístup k datům a vést záznamy o činnostech.

      Komunikační bezpečnost

      Řeší ochranu dat při přenosech po síti. Data mohou být odposlechnuta nebo může být znemožněna komunikace zahlcením přenosové kapacity sítě.

      Personální bezpečnost

      Výběr vhodných zaměstnanců pro práci s informačními systémy (administrátoři) a v informačních systémech (operátoři), provádění jejich školení, jejich kontroly a hodnocení event. propouštění problémových zaměstnanců. Statistiky říkají, že 80% bezpečnostních incidentů je způsobeno vlastními zaměstnanci.

       

      Závěrem tedy můžeme říci, že ochrana informací vyžaduje zavedení opatření na úrovni fyzické, organizační, logické, komunikační a personální bezpečnosti.

       

      Konkretizaci příslušných opatření lze provést pouze po důsledné analýze rizik.