Cesko.wiki Bezpečnostní standard
Author
Albert FloresBezpečnostní standard informačních systémů je soubor norem nebo jiných pravidel a postupů, určených k zajištění tvorby bezpečných informačních systémů.
Existuje mnoho kategorií bezpečnostních standardů - standardy mezinárodní, regionální (např. evropské standardy), národní standardy, standardy státní správy některého státu, standardy určitého zájmového sdružení nebo průmyslové standardy.
Secure by design
Bezpečnost skrze návrh je v informatice takový software, který je od začátku navržen tak, aby byl bezpečný. Znamená to, že návrhový vzor je volen tak, aby jeho znalost (tj. +more znalost principů práce počítačového programu) neohrozila bezpečnost. Takovýto návrh či postup není závislý na utajení implementace. Opačný přístup se nazývá Security through obscurity (bezpečnost skrze utajení), kde tvůrce věří, že pokud bezpečnostní chyby v návrhu nejsou známy - jsou utajeny, tak je nepravděpodobné, že by na ně útočník přišel.
Linusův zákon
Podle tzv. Linusova zákona obecně open source řešení o proti proprietárním řešením obsahuje méně programátorských chyb. +more „Je-li dost očí, jsou všechny chyby malé“ . Eric S. Raymond připsal tento výrok Linusu Torvaldsovi ve své eseji Katedrála a tržiště . Linus Torvalds je tvůrcem jádra Linuxu, které poprvé zveřejnil v roce 1991, když mu bylo 21 let. On sám nemá na Linusově zákoně žádné zásluhy; jedná se o nijak nezasloužené pojmenovávání podle slavného člověka. (V sociologii se tato situace označuje jako Stigler’s law of eponymy. ) Většina závažných bugů u open source projektů je odhalena právě při studiu zdrojových kódů. Při uvolnění stabilní verze komunita již prakticky nenachází závažné bugy a proto nelze předpokládat, že je budou nacházet skupiny útočníků.
Zásada minimálních oprávnění
Zásada minimálních oprávnění (též Princip nejnižších privilegií, princip minimálních privilegií, nejnižší privilegia) je v informatice označení pro metodu, při které jsou kvůli informační bezpečnosti přidělována uživatelům, programům či procesům nejnižší možná oprávnění, která umožní jeho správnou funkci. Například pro editor či prohlížeč není nutné mít oprávnění správce. +more Hlavním problémem je jádro, které běží s maximálním oprávněním pro správu systému. Při chybě se může stát cokoliv, poté se stává systém nedůvěryhodný.
Multilevel security
Víceúrovňová bezpečnost je v informatice použití systému pro zpracování informací s nekompatibilními klasifikacemi (tj. na různých úrovních zabezpečení), povolit přístup uživatelům s různými bezpečnostními prověrkami a „needs-to-know“, a zabránit uživatelům získání přístupu k informacím, pro které chybí povolení. +more Existují dva kontexty pro použití víceúrovňové bezpečnosti. Jeden z nich odkazuje na systém, který je dostačující k ochraně před podvracením a má robustní mechanismy k oddělení informací, to znamená, že je důvěryhodný. Další odkazuje na aplikace, které vyžadují od počítače odpovídající mechanismy pro oddělení informací, takovému systému musíme věřit. Toto rozlišení je důležité, protože systémy, které musí být důvěryhodné, nejsou nutně důvěryhodné.
Kritéria a normy
Existuje mnoho pravidel a norem, podle kterých dostávají systémy certifikace (Bezpečnostně ohodnocený operační systém). Mezi taková kritéria patří např. +more: Common Criteria nebo TCSEC.
Externí odkazy
[url=http://hardware. xfanta. +morenet/clanek/17395-linusuv-zakon. aspx]Linusův zákon[/url] * [url=http://www. secure-by-design. com/myhome/]Secure by design[/url] * [url=https://web. archive. org/web/20130627031417/http://www. centos. org/docs/5/html/Deployment_Guide-en-US/sec-mls-ov. html]Multi-Level Security[/url] * [url=https://www. commoncriteriaportal. org/]Common criteria[/url] * [url=https://web. archive. org/web/20160304200356/https://www. cccure. org/Documents/HISM/390-393. html]TCSEC, ITSEC, Common Criteria[/url].