Služby
Služby

Bezpečnost IT systémů

dle ISO/IEC 15408 (Common Criteria)
Informační technologie jsou v současnosti nepostradatelné v mnoha oblastech lidské činnosti. Spolu s rostoucí složitostí informačních technologií a především rostoucí hodnotou informací v nich obsažených, se zvyšují i nároky na jejich bezpečnost a spolehlivost.

Řešení technické bezpečnosti systémů IT je úzce svázáno s možnostmi jejich technologických komponent. Norma ISO/IEC 15408 poskytuje výrobcům produktů IT platformu, na základě které prezentují uživatelům bezpečnostní funkce implementované v jejich produktech. V neposlední řade umožňuje ISO/IEC 15408 výrobcům IT získat pro svůj produkt hodnocení úrovně zaručitelnosti bezpečnosti na určitý stupeň, tzv. EAL (Evaluation Assurance Level).

Hlavní výhoda tohoto přístupu spočívá v tom, že jsou k dispozici již vytvořené a hodnocené bezpečnostní profily pro typické aplikace IT. Řešení technické bezpečnosti podle ISO/IEC 15408 přináší značné výhody při budování IT systémů, které podléhají auditům, atestaci nebo certifikaci bezpečnosti.

Řešení technické bezpečnosti IT je nedílnou součástí návrhu a vývoje každého informačního systému. Postup řešení technické bezpečnosti IT by měl obsahovat kroky, které pro daný informační systém definují:
  • Bezpečnostní cíle
  • Bezpečnostní funkce
  • Zadání mechanismů pro technology a vývojáře
  • Provozní směrnice a příručky

Postup řešení bezpečnosti IT systémů

Ve fázi návrhu bezpečnosti informačního systému je klíčová definice bezpečnostních cílů a bezpečnostních funkcí. Návrh bezpečnosti systému se ve smyslu normy ISO/IEC 15408 označuje jako bezpečnostní profil.

Bezpečnostní profil systému podle ISO/IEC 15408 stanovuje, jaká technická bezpečnostní opatření budou použita k dosažení požadované úrovně bezpečnosti.

Bezpečnostních opatření jsou vybírána na základě:
  • Účelu systému IT
  • Analýzy provozního prostředí
  • Bezpečnostních cílů
Realizace technických bezpečnostních opatření systémů IT se opírá o bezpečnostní služby technologií, které přímo, nebo v kombinaci s dalšími netechnickými opatřeními, poskytují prostředky pro prosazení bezpečnostních cílů IT. Znamená to, že bezpečnostní cíle jsou primárně naplňovány funkcemi a mechanismy dostupnými na jednotlivých úrovních technologických prvků, tj. technického vybavení, komunikační infrastruktury, operačního systému, databází a aplikací správy dat a systému.

Technická bezpečnostní opatření systémů IT se dělí do následujících šesti základních oblastí:
  • Identifikace a autentizace
  • Řízení přístupu
  • Audit
  • Integrita
  • Dostupnost
  • Výměna dat
Odborníci BDO Vám pomohou zavést efektivní systém technických bezpečnostních opatření v systémech IT s využitím svých mnoholetých zkušeností v oboru.

Novinky

redStrip