Informačná bezpečnosť nebola v minulosti téma, o ktorú by sa ľudia zaujímali. Nakoľko nebolo veľa informácií, ktoré by potrebovali chrániť a neexistovali útoky, pred ktorými by sa bolo treba chrániť. Samozrejme existovala určitá hranica ochrany údajov, predovšetkým však v papierovej podobe. Tieto dokumenty boli chránené sejfmi a to bolo považované za dostatočnú ochranu.
Informačná bezpečnosť bola skôr chápaná ako ochrana hardwaru, nie ako ochrana dát a softwaru. Postupne však začali ľudia chápať, že je dôležité udržať si určité súkromie a informácie v bezpečí. A preto sa začala informačná bezpečnosť chápať inak.
Informačnú bezpečnosť charakterizuje zachovanie troch základných cieľov:
Dôležitou súčasťou celej informačnej bezpečnosti podniku je bezpečnostná politika. Tento pojem zahŕňa tri základné skupiny: Analýzu rizík, bezpečnostný audit a zabezpečenie kontinuity funkcií.
Každý podnik má systémovú bezpečnostnú politiku. Je to dokument, v ktorom popisuje bezpečnostné praktiky využívané v spoločnosti. Je to súbor pravidiel a zákonov, ktoré popisujú ako sa citlivá informácia spoločnosti distribuuje, spravuje a ochraňuje.
Bezpečnostná analýza a riadenie rizík prebieha v piatich základných častiach: Zber údajov a Bezpečnostné praktiky, Profily hrozieb, Kontrola kritických aktív, Analýza rizík a Riadenie rizík.
Ďalšie delenia sa vytvárajú už na základe spoznaných aktív, na ich spoločných znakoch a podobnostiach.
Následná spätná kompozícia prebieha tak, že sa ku kritickým aktívam priradia komponenty, ktoré sú potrebné na ich beh alebo na ich zabezpečenie. Tieto komponenty sa neskôr pridelia ku jednotlivým aktívam. Týmto vzniknú určité relácie a vzťahy medzi danými kritickými aktívami. Vďaka spätnej kompozícii sa môžu vyhodiť tie komponenty, ktoré nebudú priradené k žiadnemu kritickému aktívu, a teda, v analýze nemajú čo robiť.
To či boli kritické aktíva vybrané správne sa dozvieme, ak je v spätnej kompozícii každý komponent pridelený ku nejakému kritickému aktívu.
Vypracuje sa niekoľko kritérií (pohľadov) na aktíva. Pre každé z kritérií sa určia 2-3 situácie, ktoré môžu nastať. Určí sa pre každú situáciu typ dopadu, ktorý môže nastať. Typ dopadu môže byť malý, stredný alebo veľký.
Zároveň sa tu vytvára akceptačná tabuľka, v ktorej rozpíšeme hodnoty rizík, ktoré nám vyšli a ku každej hodnote a ku každej hrozbe napíšeme, či dané riziko akceptujeme, transformujeme alebo eliminujeme.
Bezpečnostný audit je teda zameraný najmä na ohodnotenie rizík straty, kompromitovania alebo zničenia informácií. Vypracovaním bezpečnostného auditu odhalíte nedostatky systému zabezpečenia vášho objektu. Výsledkom auditu je návrh opatrení na elimináciu bezpečnostných rizík. Klient, ktorý sa rozhodne pre bezpečnostný audit ušetrí množstvo finančných prostriedkov na vedenie bezpečnosti v budove a k tomu zefektívni celkové zabezpečenie celého objektu.
Existuje veľa rôznych druhov bezpečnostných auditov, zameraných na iný typ bezpečnosti, prípadne zabezpečenia. Bezpečnostné audity sa delia na 4 hlavné skupiny. Tými skupinami sú externý, interný, procesný a personálny audit.
Do tejto skupiny patrí vonkajšia ochrana objektu ako napríklad:
Oplotenie:
Tento audit sa zameriava na aktuálne oplotenie areálu, či vôbec nejaké je, v akom je stave, návrhy ako by sa dala zvýšiť bezpečnosť.
Vrátnica:
Zameriava sa na umiestnenie vrátnice, zabezpečenie vrátnice a záznamy, ktoré sa na vrátnici robia a na personál vrátnice.
Systém obchôdzok:
Audit zameraný na systém obchôdzok strážnej služby, trasy strážnikov, cykly obchôdzok a podobne.
Kontrola záznamov a monitoring vstupov do areálu:
Kontrola procesov vyhotovenia záznamov, ukladania záznamov kamier, možnosti narušenia bezpečnosti kamerových záznamov.
Bezpečnostné zariadenia a systémy vonkajšej elektronickej ochrany:
Kontrola implementácie kamerových systémov, rozmiestnenie kamier, otáčanie kamier, záznamy kamier, atď.
Táto skupina je rozsiahlejšia oproti externému auditu a často krát sa jej kladie väčší dôraz. Patrí sem napríklad:
Uloženie a zaistenie dokumentov:
Audit zameraný na systém ukladania a zaisťovania papierových dokumentov organizácie a prípadné možnosti narušenia ochrany a zneužitie dokumentov.
Stredisko monitoringu:
Skúmanie rozmiestnenia požiarnych hlásičov po budove a areáli, prístup k nim a skúška funkcie všetkých hlásičov.
Osobná kontrola:
Overenie vykonávania osobnej kontroly pri príchode alebo odchode zamestnanca z areálu z dôvodu odcudzovania informácii alebo materiálu.
Konfigurácia zariadení:
Audit zameraný na zisťovanie konfigurácie všetkých zariadení a skúmanie možnosti úniku informácii z organizácie, prípadne možnosti narušenia bezpečnosti zariadení alebo bezpečnosti informačného systému pomocou zariadení.
Penetračné testovanie:
Audit zameraný na testovanie penetrácie systémov, teda zabezpečenia a prípadného narušenia bezpečnosti pomocou záťažových útokov na informačný systém ako napríklad DDoS útoky a podobne.
Bezpečnosť drôtovej / bezdrôtovej siete:
Overenie zabezpečenia interných sietí, možnosti získania prístupu do siete a následné možnosti zneužitia prieniku ako napríklad prístup k citlivým informáciám.
Čipové karty:
Analýza implementácie čipových kariet, vytváranie záznamov, účely použitia kariet.
Audit kompilovaného kódu:
Audit zameraný na testovanie kódu a možnosti zneužitia neoverených vstupov do aplikácie a tým získanie citlivých dát.
Audit serverov:
Hĺbková analýza pamäti, aplikácii, súborového systému, zálohovania, prístupových práv.
Audit podľa legislatívy:
Vykonanie iba základného povinného auditu, ktorý je potrebný podľa legislatívy.
Audity tejto skupiny sa zameriavajú na prebiehajúce procesy spoločnosti, ako napríklad:
Správnosť terajších postupov:
Analýza aktuálnych postupov pri zálohovaní údajov, nahrávania na server, riadenia prístupu k informáciám a podobne.
Autorizácia smerníc:
Analýza vydávania a overovania pravosti smerníc a vydavateľov smerníc.
Evidencia a obeh dokladov:
Audit zameraný na skúmanie systému obehu a evidencie dokladov, prípadne dokumentov v organizácii, či sa vôbec vykonávajú záznamy prístupov k dokumentov, ich aktuálnej polohe a pod.
Táto skupina sa zameriava na personál spoločnosti a nimi vykonávané činnosti. Napr.:
Personálna previerka osôb:
Analýza postupov prijatia nových zamestnancov, hĺbka skúmania osobnosti ľudí, zisťovanie ich minulosti atď.
Popis charakteru a kvality práce na jednotlivých oddeleniach:
Skúmanie aktuálneho stavu kvality práce a následné zlepšenie kvality prípadne charakteru práce, zefektívnenie práce.
Väzby na pracoviskách:
Skúmanie prepojení jednotlivých pracovísk, či už v rámci budovy alebo v rámci viacerých prevádzok a prípadné navrhnutie vylepšení a tým dosiahnutie vyššej výkonnosti a spokojnosti ako zamestnávateľa, tak aj zamestnancov.
Sociálne inžinierstvo:
Previerka zamestnancov, do akej miery sú schopní rozoznať, že ide o sociálne inžinierstvo a teda neposkytnú údaje cudzej osobe. V prípade poskytnutia potrebných údajov, overenie činnosti zamestnancov pri poskytovaní týchto informácii, zapísanie záznamu o poskytnutí informácii atď.