1. Úvod do informačnej bezpečnosti
Doc. Ing. Ladislav Hudec, CSc.

2. Úvod
James Anderson, profesionál v informačnej bezpečnosti, sa domnieva, že informačná bezpečnosť v organizácii je "dobre informovaný pocit istoty, že bezpečnostné riziká a bezpečnostné opatrenia sú v rovnováhe." Tento názor nie je ojedinelý. Mnoho praktikov v informačnej bezpečnosti uznáva, že zladenie potrieb informačnej bezpečnosti s obchodnými cieľmi musia byť najvyššou prioritou.

3. História informačnej bezpečnosti
História informačnej bezpečnosti začína počítačovou bezpečnosťou. Potreba počítačovej bezpečnosti znamená potrebu bezpečného fyzického umiestnenia hardvéru a softvéru pred hrozbami.
Tento koncept vznikol pri zavedení prvých sálovývch počítačov. Na ochranu týchto sálových počítačov a na zachovanie integrity ich údajov bolo implementovaných viacero úrovní zabezpečenia. Prístup k citlivým vojenským miestam bol napríklad riadený bezpečnostnou službou na základe identifikčných odznakov, kľúčmi a rozpoznaním tváre oprávnených zamestnancov. Rastúca potreba zachovania národnej bezpečnosti nakoniec viedla k zložitejším a technologicky sofistikovanejším ochranám počítačovej bezpečnosti.
Počas týchto raných rokoch informačná bezpečnosť bol jednoduchý proces zložený prevažne z fyzickej bezpečnosti a jednoduchých systémov klasifikácie dokumentov. Primárne hrozby bezpečnosti boli fyzické krádeže zariadenia, špionáž proti produktom systémov a sabotáž.
Jeden z prvých zdokumentovaných bezpečnostných problémov, ktoré spadali mimo týchto kategórií, sa objavil začiatkom šesťdesiatych rokov, kedy administrátor systémov pracoval so súborom MOTD (správu dňa, Message Of The Day) a ďalší administrátor editoval súbor hesiel. Softvérová chyba zamenila tieto dva súbory a celý súbor s heslami bol vytlačený na každom výstupnom súbore.

4. História informačnej bezpečnosti – šesťdesiate roky
Počas studenej vojny bola väčšina sálových počítačov prevádzkovaná v režime on-line s cieľom vykonávať zložitejšie a sofistikovanejšie úlohy.
Tento režim bol nevyhnutný z dôvodu, aby sa umožnilo komunikovať so sálovým počítačom jednoduchším spôsobom ako bolo posielanie magnetických pások medzi počítačovými centrami. V reakcii na potrebu komunikácie medzi počítačovými centrami začala agentúra pre pokročilé výskumné projekty ARPA (Advanced Research Project Agency) Ministerstva obrany USA skúmať možnosť realizácie systému redundantnej sieťovej komunikácie na podporu výmeny vojenských informácií. Larry Roberts, známy ako zakladateľ internetu, realizoval projekt od svojho vzniku nazvaný ako ARPANET. Projekt ARPANET je predchodcom na Internetu.

5. História informačnej bezpečnosti – sedemdesiate a osemdesiate roky
Počas nasledujúceho desaťročia sa stal projekt ARPANET populárny a širšie používaný, a saozrejme tiež vzrastal potenciál pre jeho zneužitie.
V decembri roku 1973 Robert Metcalfe, ktorý sa podieľal na vývoji najpopulárnejšieho sieťového protokol Ethernet, identifikoval zásadné bezpečnostné problémy sieti ARPANET.
Jednotlivé vzdialené pracoviská nemali dostatočné opatrenia a bezpečnostné kontroly na ochranu údajov proti neoprávneným vzdialeným používateľom. Ďalšie bezpečnostné problémy boli: zraniteľnosť štruktúry a formátov hesla, absencia bezpečnostných postupov pre pripojenie dial-up, a neexistujúca identifikácia a autorizácia používateľa voči systému.
Telefónne čísla pripojení boli rozšírené a otvorene zverejnené na stenách telefónnych búdok, umožňujúc tak útočníkom získať ľahký prístup do ARPANETu. Vzhľadom na rozsah a početnosť narušenia počítačovej bezpečnosti a na veľký nárast počtu uzlov a používateľov v sieti ARPANET, bola sieťová bezpečnosť ARPANET označovaná ako „sieťovú nebezpečnosť“.
V roku 1978 bola publikovaná známa správa s názvom "Analýza ochrany: Záverečná správa". Zamerala sa na projekt garantovaný ARPA s cieľom odhaliť slabé miesta bezpečnosti operačného systému. V nasledujúcej tabuľke je uvedená časová os zahrňujúca túto správu ako aj ďalšie významné štúdie o počítačovej bezpečnosti.

6. Kľúčové dátumy základných prác v ranom období počítačovej bezpečnosti
História informačnej bezpečnosti – sedemdesiate a osemdesiate roky
Kľúčové dátumy základných prác v ranom období počítačovej bezpečnosti

7. História informačnej bezpečnosti – sedemdesiate a osemdesiate roky
Posun smerom k bezpečnosti, ktorá prekračuje ochranu fyzického miesta, začal so správou R-609 spoločnosti Rand. Táto správa sa pokúsila definovať viacero opatrení a mechanizmov nevyhnutných na ochranu viacúrovňového počítačového systému. Tento dokument bol utajovaný takmer desať rokov a teraz je považovaný za správu, ktorá začala študovať počítačovú bezpečnosť.
V júni v roku 1967 agentúra ARPA vytvorila pracovnú skupinu pre štúdium procesu zabezpečenia klasifikovaných (utajovaných) informačných systémov. Pracovná skupina bola zostavená v októbri v roku 1967 a formulovala odporúčania, ktoré sa v konečnom dôsledku stali obsahom správy spoločnosti Rand s označením Rand Report R-609.
Správa Rand Report R-609 bola prvým široko uznávaný publikovaným dokumentom identifikujúcim úlohu manažmentu a otázok politiky v oblasti počítačovej bezpečnosti. Je potrebné poznamenať, že široké využívanie sieťových komponentov vo vojenských informačných systémoch vytvorilo bezpečnostné riziká, ktoré nemohli byť zmiernené bežnými postupmi používanými na zabezpečenie týchto systemov. Táto správa signalizovala rozhodujúci moment v histórii počítačovej bezpečnosti, pretože rozsah počítačovej bezpečnosti sa výrazne rozšíril z fyzickej bezpečnosti prostredia a hardvéru do ďalších oblastí zahrňujúcich:
Zabezpečenie údajov,
Obmedzenie náhodného a neoprávneného prístupu k týmto údajom,
Zapojenie pracovníkov z viacerých úrovní organizácie do záležitostí týkajúcich sa informačnej bezpečnosti.

8. História informačnej bezpečnosti – sedemdesiate a osemdesiate roky
Veľa raného výskumu v počítačovej bezpečnosti sa sústredil na systém s názvom MULTICS (Multiplexed Information and Computing Service). Aj keď je tento systém v súčasnosti zastaraný, MULTICS je pozoruhodný tým, že bol prvým operačným systémom integrujúcim bezpečnosť do svojich základných funkcií. Bol to operačný systém pre sálový počítač pracujúci v režime zdieľania času vyvinutý v polovici šesťdesiatych rokoch konzorciom General Electric (GE), Bell Labs a Massachusetts Institute of Technology (MIT).
V polovici roku 1969, nedlho po reštrukturalizácii projektu MULTICS, niekoľko jeho vývojárov (Ken Thompson Dennis Ritchie, Rudd Canaday a Doug McIlro) vytvoril nový operačný systém s názvom UNIX.
Zatiaľ čo systém MULTICS implementoval viacero úrovní zabezpečenia a heslá, systém UNIX túto koncepciu nevyužíval. Jeho primárna funkcia bola spracovanie textu a tá nevyžadovala rovnakú úroveň zabezpečenia ako jeho predchodca. V skutočnosti tak nebolo až do začiatku sedemdesiatych rokov, kedy sa najjednoduchší komponent zabezpečenia, funkcia ochrany heslom, stal súčasťou systému UNIX.
V neskorých sedemdesiatych rokoch priniesol mikroprocesor osobný počítač a tým aj novú éru výpočtovej techniky. Osobný počítač sa stal ťahúňom modernej práce na počítači a počítanie sa čiastočne presúva von z dátového centra. Táto decentralizácia systémov na spracovania údajov v osemdesiatych rokoch umožnila nárast sieťovania. Prepájanie osobných počítačov a sálových počítačov umožnilo celej počítačovej komunite spoluprácu všetkých ich zdrojov.

9. História informačnej bezpečnosti – deväťdesiate roky
Na konci dvadsiateho storočia sa zosieťovanie počítačov stalo bežné, rovnako ako potreba prepojenia týchto sietí medzi sebou navzájom. Táto potreba dala impulz k rozšíreniu Internetu, prvej globálnej sieti sietí. Internet bol sprístupnený verejnosti v deväťdesiatych rokoch, keď predtým bol doménou vlády, akademickej obce a profesionálom v danom priemysle. Internet priniesol prepojenie prakticky všetkých počítačov, ktoré mohli dosiahnuť telefónne linky alebo do Internetu pripojenej lokálnej siete (LAN). Potom, čo sa stal Internet komerčnou záležitosťou, táto technológia sa stala všadeprítomnou, dosahujúcou takmer na každé miesto zemegule s rozširujúcou sa škálou použitia.
Od svojho vzniku ako nástroja pre zdieľanie informácií ministerstva obrany, sa Internet stal prepojenie miliónov sietí. Spočiatku boli tieto spojenia založené na de-facto štandardoch, pretože v tej dobe priemyselné štandardy pre prepojenie sietí neexistovali. Tieto de-facto štandardy poskytovali málo pre zaistenie bezpečnosti informácií. Keď boli títo predchodcovia technológie široko akceptovaní a stali sa priemyselnými štandardmi, bol do nich zavedený určitý stupeň zabezpečenia. Avšak nasadenie raného Internetu považovalo bezpečnosť za nízku prioritou. V tej dobe, keď všetci používatelia Internetu a u boli (pravdepodobne dôveryhodní) počítačoví odborníci, autentizácia poštového servera a šifrovanie správ elektronickej pošty sa nezdalo nevyhnutné. Počiatočné prístupy v počítaní sa spoliehali na bezpečnosť zabudovanú do fyzického prostredia dátových centier, v ktorých boli počítače umiestnené. Akonáhle sa zosieťované počítače stali dominantným štýlom počítania, stratila sa schopnosť fyzicky zabezpečeného sieťového počítača, a uložené informácie sa stali viac vystavené bezpečnostným hrozbám.

10. História informačnej bezpečnosti – od roku 2000 doteraz
V súčasnej dobe Internet prináša milióny nezabezpečených počítačových sietí do nepretržitej vzájomnej komunikácie.
Bezpečnosť uložených informácií v každom počítači je teraz závislá na úrovni bezpečnosti každého iného počítača, ku ktorému je pripojený. V posledných rokoch možno pozorovať rastúce povedomie o potrebe zlepšenia informačnej bezpečnosti, rovnako ako poznanie, že informačná bezpečnosť je dôležité pre národnú bezpečnosť.
Rastúca hrozba kybernetických útokov vyvolali u vlád a organizácií vyššiu akceptáciu toho, že je potrebné chrániť na počítačoch založené riadiace systémy inžinierskych sietí a ďalšie prvky kritickej infraštruktúry. Existuje tiež rastúca obava z národných štátov, ktoré sú zapojené do informačnej vojny, a možnosťou, že obchodné a osobné informačné systémy by sa mohol stať obeťou, pokiaľ by neboli chránené.

11. Čo je bezpečnosť
Vo všeobecnosti platí, že bezpečnosť je "kvalita alebo stav byť zabezpečený, byť bez nebezpečenstva." Inými slovami, cieľom bezpečnosti je ochrana pred protivníkom, pred tým, ktorý by ublížil úmyselne alebo inak. Napríklad národná bezpečnosť je viacvrstvový systém, ktorý chráni suverenitu štátu, jeho majetok, jeho zdroje a jeho ľudí. Dosiahnutie zodpovedajúcej úrovni zabezpečenia pre organizáciu tiež vyžaduje mnohoaspektový systém.
Úspešná organizácia by mal mať na ochranu svojej činnosti zavedené tieto viaceré úrovne bezpečnosti:
Fyzická bezpečnosť - na ochranu fyzických predmetov, objektov alebo priestorov pred neoprávneným prístupom a zneužitím,
Personálna bezpečnosť - na ochranu jednotlivca alebo skupiny osôb, ktoré sú oprávnené na prístup k organizácii a jej činnosti,
Prevádzková bezpečnosť – na ochranu časti konkrétnej činnosti alebo série aktivít,
Komunikačná bezpečnosť – na ochranu komunikačných médií, technológie a obsahu,
Bezpečnosť sietí - na ochranu sieťových komponentov, prepojení a obsahu,
Informačná bezpečnosť – na ochranu dôvernosti, integrity a dostupnosti informačných aktív, či už pri uložení, pri spracovaní alebo prenose. Dosahuje sa prostredníctvom uplatňovania politiky, vzdelávania, školením a zvyšovaním povedomia a technológiou.
Výbor pre systémy národnej bezpečnosti CNSS (Committee on National Security Systems) definuje informačnú bezpečnosť ako ochranu informácie a jej kritických prvkov, vrátane systémov a hardvéru, ktoré používajú, úložiska a prenosu tejto informácie.

12. Komponenty informačnej bezpečnosti
Čo je bezpečnosť
Nižšie uvedený obrázok ukazuje, že informačná bezpečnosť zahrňuje široké oblasti manažmentu informačnej bezpečnosti, počítačovú a údajovú bezpečnosť a sieťovú bezpečnosť.
Komponenty informačnej bezpečnosti

13. Čo je bezpečnosť
Model informačnej bezpečnosti sa vyvinul z konceptu navrhnutého priemyslom počítačovej bezpečnosti nazvaného trojuholník CIA (Confidentiality, Integrity, Availability).
Trojuholník C.I.A. bol priemyselný štandard pre počítačovú bezpečnosť od čias vývoja sálových počítačov. Toto označenie vychádza z troch charakteristík informácií, ktoré dávajú hodnotu svojim organizáciám: dôvernosť, integritu a dostupnosť.
Bezpečnosť týchto troch charakteristík informácií je rovnako dôležitá dnes, ako to aj vždy bolo, ale model trojuholníka CIA už nie je adekvátne riešenie v neustále sa meniacom prostredí. Hrozby dôvernosti, integrite a dostupnosti informácií sa stali veľkou zbierku udalostí, vrátane náhodného alebo úmyselného poškodenia, zničenia, odcudzenia, neúmyselnej alebo neoprávnenej modifikácie, alebo inému zneužitiu od ľudských alebo iných hrozieb.
Toto nové prostredie s mnohými stále sa vyvíjajúcimi hrozbami viedlo k vývoju robustnejšieho modelu, ktorý reaguje na zložitosti súčasného prostredia informačnej bezpečnosti. Rozšírený model sa skladá zo zoznamu kritických charakteristík informácií, ktoré sú opísané v nasledujúcej časti.

14. Čo je bezpečnosť – základné koncepcie informačnej bezpečnosti
Informačná bezpečnosť využíva celý rad pojmov a konceptov, ktoré je potrebné zaviesť a vysvetliť pre uchopenie problémov a riešení v tejto oblasti. Najdôlezitejšie z nich sú uvedené nižšie:
Prístup (Access): schopnosť subjektu alebo objektu použiť, narábať, modifikovať alebo ovplyvniť iný subjekt alebo objekt. Oprávnení používatelia majú legálny prístup do systému, zatiaľ čo útočníci sa pokúšajú (a niekedy úspešne) o nelegálny prístup do systému. Mechanizmus riadenia prístupu zabezpečuje túto schopnosť.
Aktívum (Asset): zdroj organizácie, ktorý je chránený. Aktívum môže byť logické ako sú webové stránky, informácie alebo údaje; alebo aktívum môže byť fyzické ako je osoba, počítačový systém alebo iný hmotný objekt. Bezpečnostný program sa zameriava na ochranu aktív organizácie, a to najmä na ochranu informačných aktív.
Útok (Attack): úmyselný alebo neúmyselný čin, ktorý môže spôsobiť poškodenie alebo inú kompromitáciu informácie a/alebo jej podporných systémov. Útoky môžu byť aktívne alebo pasívne, úmyselné či neúmyselné a priame alebo nepriame. Prípad pasívneho útoku je keď niekto náhodne prečíta citlivé informácie, ktoré nie sú určené pre jeho použitie. Pokus útočníka o prienik do informačného systému je príklad úmyselného útoku. Úder blesku, ktorý spôsobuje požiar v budove, je neúmyselný útok. Priamy útok predstavuje útočník, ktorý zo svojho personálneho počítača prenikne do systému. Nepriamy útok je prípad, keď útočník kompromituje systém a tento kompromitovaný systém potom použije na útok na iné systémy. Ako príklad možno uviesť botnet. Priame útoky pochádzajú zo samotnej hrozby. Nepriame útoky pochádzajú z kompromitovaného systému alebo zdroja, ktorý funguje chybne alebo pracuje pod kontrolou hrozby.

15. Čo je bezpečnosť – základné koncepcie informačnej bezpečnosti
Informačná bezpečnosť využíva celý rad pojmov a konceptov, ktoré je potrebné zaviesť a vysvetliť pre uchopenie problémov a riešení v tejto oblasti. Najdôlezitejšie z nich sú uvedené nižšie:
Opatrenie, ochrana alebo protiopatrenia (Control, safeguard or countermeasure): bezpečnostné mechanizmy, politiky alebo postupy, ktoré môžu úspešne čeliť útokom, znížiť riziko, vyriešiť zraniteľné miesta a inak zlepšiť bezpečnosť v rámci organizácie. Rôzne úrovne a typy opatrení sú podrobnejšie opísané v nasledujúcich častiach.
Exploit: technika používaná na kompromitáciu systému. Tento termín môže byť sloveso alebo podstatné meno. Agenti hrozby sa môžu pokúsiť zneužiť systém alebo iné informačné aktíva prostredníctvom ich nelegálneho použitia pre svoj osobný prospech. Exploit môže byť tiež dokumentovaný proces na zneužitie zraniteľnosti alebo vystavenia, zvyčajne softvéru. Exploit je potom buď inherentný (vlastný) softvéru, alebo je vytvorená útočníkom. Exploit využíva existujúce softvérové nástroje alebo softvérové komponenty vyrobené pre zákazníka.
Vystavenie (Exposure): situácia alebo stav byť vystavený. V informačnej bezpečnosti existuje vystavenie vtedy, keď je existuje zraniteľnosť aktíva, ktoré je známe útočníkovi.
Strata (Loss): Jedna inštancia utrpenia škody informačnému aktívu alebo neúmyselná alebo neoprávnená zmena alebo zverejnenie informácie.
Ochranný profil alebo bezpečnosná pozícia (Protection profile or security posture): Celý súbor opatrení a ochrán, vrátane politiky, vzdelávania, školení a zvyšovania povedomia, a technológie, ktoré organizácia implementuje (alebo sa jej nedarí implementovať) na ochranu aktív. Tieto termíny sú niekedy používané ako synonymum s termínom bezpečnostný program, aj keď bezpečnostný program často zahŕňa manažérske aspekty bezpečnosti, vrátane plánovania, personál a podriadené programy.

16. Čo je bezpečnosť – základné koncepcie informačnej bezpečnosti
Informačná bezpečnosť využíva celý rad pojmov a konceptov, ktoré je potrebné zaviesť a vysvetliť pre uchopenie problémov a riešení v tejto oblasti. Najdôlezitejšie z nich sú uvedené nižšie:
Riziko (Risk): pravdepodobnosť, že sa aktívu organizácie stane niečo nežiaduce. Organizácia musí minimalizovať riziko na akceptovateľné riziko z pohľadu množstva a povahy rizika. Týchto rizík si musí byť organizácia vedomá a musí s nimi žiť.
Subjekty a objekty (Subjects and objects): Počítač môže byť buď subjektom útoku, entita agenta použitá na vykonanie útoku, alebo objektom útoku, cieľová entita útoku. Príklad je na obrázku. Počítač môže byť ako subjekt tak i objekt útoku. Napríklad počítač je kompromitovaný útokom (objekt) a potom môže byť použitý (subjekt) na útok na iné systémy.
Hrozba (Threat): kategória objektov, osôb alebo iných entít, ktorá predstavuje pre aktíva nebezpečenstvo. Hrozby sú vždy prítomné a môžu byť účelové alebo všeobecné. Útočník napríklad zámerne ohrozuje nechránené informačné systémy, zatiaľ čo silné búrky náhodne ohrozujú budovy a ich obsah.

17. Čo je bezpečnosť – základné koncepcie informačnej bezpečnosti
Informačná bezpečnosť využíva celý rad pojmov a konceptov, ktoré je potrebné zaviesť a vysvetliť pre uchopenie problémov a riešení v tejto oblasti. Najdôlezitejšie z nich sú uvedené nižšie:
Agent hrozby (Threat agent): Konkrétna inštancia alebo komponent hrozby. Všetci útočníci na svete predstavujú kolektívnu hrozbu, zatiaľ čo Kevin Mitnick, ktorý bol odsúdený za prienik do telefónnych systémov, je konkrétny agent hrozby. Podobne úder blesku, krupobitie alebo tornádo je agent hrozby, ktorý je súčasťou hrozby silných búrok. Generické hrozby informačnému systému (aktívam informačného systému):
Prerušenie (Interruption) - Aktíva systému sa stratia, stanú sa neprístupné alebo nepoužiteľné
Zachytenie (Interception) - Neoprávnený subjekt/entita získal prístup k atívam
Modifikácia (Modification) - Neoprávnený subjekt/entita nielen získal prístup k atívam, ale ich aj modifikuje
Falšovanie (Fabrication) - Neoprávnený subjekt vyrobí falošný objekt v informačnom systéme
Zraniteľnosť (Vulnerability): slabina alebo chyba v systéme alebo v mechanizme ochrany, ktorá umožňuje útok a následnú stratu. Niektoré príklady zraniteľnosti sú chyba v softvérovom balíku, nechránený port systému a odomknuté dvere. Niektoré známe zraniteľnosti boli preskúmané, dokumentované a zverejnené. Iní zostanú latentné (alebo neobjavené).

18. Čo je bezpečnosť – kritické charakteristiky informácií
Hodnota informácie pochádza z jej vlastných charakteristík. Ak sa charakteristika informácie zmení, jej hodnota sa buď zvyšuje alebo sa (častejšie) znižuje. Niektoré charakteristiky ovplyvňujú hodnotu informácie pre používateľov viac ako iné. Môže to závisieť od okolností. Včasnosť informácie môže byť napríklad rozhodujúcim faktorom, pretože informácia stratí časť alebo všetku svoju hodnotu, ak je doručená príliš neskoro. Hoci profesionáli v informačnej bezpečnosti a koncoví používatelia spoločne akceptujú koncept charakteristík informácie, môže medzi nimi vznikať nesúlad vtedy, keď potreba zabezpečiť informáciu pred hrozbami je v konflikte s potrebou koncových užívateľov pre neobmedzený prístup k informácii. Koncoví používatelia môžu napríklad oneskorenie v desiatkach sekúnd pri spracovaní údajov vnímať ako zbytočné vyrušovanie. Profesionáli v informačnej bezpečnosti však môžu vnímať desiatky sekúnd ako menšie meškanie, počas ktorého je možné vykonať dôležitú úlohu, ako je napríklad šifrovanie údajov. Každá kritická charakteristika informácie (ako rozšírenie trojuholníka C.I.A.) je definovaná ďalej.
Dostupnosť (Availability) umožňuje oprávneným používateľom (osobám alebo počítačovým systémom) prístup k informáciám bez prekážok a obdržať ich v požadovanom formáte. Uvažujme napríklad vedecké knižnice, ktoré vyžadujú identifikáciu zákazníka (čitateľa) pred vstupom do knižnice. Knihovníci chránia obsah knižnice tak, že knihy sú k dispozícii len oprávneným zákazníkom. Knihovník musí vyžadovať identifikáciu zákazníka predtým ako zákazník má voľný prístup ku knihu v regále. Iba oprávnení zákazníci majú prístup k obsahu regálov, v ktorých očakávajú nájdenie potrebných informácií v použiteľnom formáte a v zrozumiteľnom jazyku.

19. Čo je bezpečnosť – kritické charakteristiky informácií
Presnosť (Accuracy). Informácie je presná, keď nie je mylná alebo neúplná a má hodnotu, ktorú očakáva koncový používateľ. Ak informácia bola úmyselne alebo neúmyselne modifikovaná, potom už ďalej nie je presná. Uvažujme napríklad bežný účet. Môžeme predpokladať, že informácia obsiahnutá na našom bežnom účte je presná reprezentácia našich financií. Nesprávna informácie na našom bežnom účte môže byť výsledkom vonkajšej alebo vnútornej chyby. Ak napríklad pokladník v banke mylne pridáva alebo príliš veľa uberá z nášho účtu, potom sa hodnota informácií zmení. Tak či onak, nepresný zostatok na bankovom účte by mohlo spôsobiť napríklad nepovolenie platby debetnou kartou.
Autenticita (Authenticity) je kvalita alebo stav byť originálny alebo pôvodný. Na rozdiel od stavu reprodukovaný alebo umelo vyrobený. Informácia je autentická, ak je v rovnakom stave v akom bol vytvorená, umiestnená, uložená alebo prenesná. Uvažujme na chvíľu niektoré bežné predpoklady o elektronickej pošte. Keď dostaneme , môžeme predpokladať, že konkrétny jednotlivec vytvoril a poslal , domnievame sa, že poznáme pôvod u. Takto to však nemusí byť. Akt poslatia ovej správy s modifikovaným poľom ( spoofing) je dnes problémom pre mnoho ľudí, pretože často modifikovaným poľom je adresa pôvodcu. Falšovanie adresy (address spoofing) odosielateľa môže oklamať príjemcu u, aby si myslel, že správy sú legitímne premávky, a tak ich prinútiť k otvoreniu u, čo by v inom prípade neurobili. Falšovanie môže tiež zmeniť prenášané údaje po sieti v prípade falšovania používateľských údajov v pakete protokolu UDP.

20. Čo je bezpečnosť – kritické charakteristiky informácií
Dôvernosť (confidentiality). Informácia je dôverná, ak je chránené pred zverejnením alebo vystavením neoprávneným osobám alebo systémom. Dôvernosť zabezpečuje, že iba tie entity, ktoré majú príslušné práva a privilégiá pre prístup k informácii, môžu tak urobiť. Ak neoprávnené entity môžu pristúpiť k informácii, potom dochádza ku kompromitácii dôvernosti. Na ochranu dôvernosti informácií môžeme použiť rad opatrení, vrátane týchto:
Klasifikácia informácií
Bezpečné ukladanie dokumentov
Používanie všeobecných bezpečnostných politík
Vzdelávanie správcov informácií a konečných používateľov.
Hodnota dôvernosti informácií je obzvlášť vysoká, keď sú to osobné údaje o zamestnancoch, zákazníkoch alebo pacientoch. Jedinci komunikujúci s organizáciou svoje osobné údaje očakávajú, že ich osobné údaje zostanú dôverné. Problémy vznikajú, keď spoločnosti zverejňujú dôverné informácie. Niekedy je toto zverejnenie úmyselné, ale častokrát zverejnenie dôverných informácií sa stane omylom. Keď napríklad dôverné informácie sú chybne poslaté om niekomu mimo organizácie namiesto niekoho správneho vo vnútri organizácie.
Ďalším príkladom porušenia dôvernosti je zamestnanec, ktorý zahodil dokument obsahujúci kritické informácie bez skartovania, alebo útočník, ktorý úspešne prenikol do internej databázy prostredníctvom webového sídla organizácie a ukradol citlivé informácie o klientoch ako sú mená, adresy, a čísla kreditných kariet.

21. Čo je bezpečnosť – kritické charakteristiky informácií
Integrita (Integrity). Informácia má integritu keď je celá, úplná a neporušená. Integrita informácii je ohrozená, ak táto informácia je vystavené porušeniu, poškodeniu, zničeniu alebo iného narušenia jej pôvodného stavu. K porušeniu informácie môže prísť pri jej ukladaní alebo prenášaní. Mnoho počítačových vírusov a červov sú navrhnuté s explicitným cieľom poškodenia údajov. Z tohto dôvodu kľúčovou metódou na detekciu vírusu alebo červu je hľadanie zmeny v integrite súboru, ako to napríklad môže indikovať zmena veľkosti súboru. Ďalším kľúčovým spôsob zabezpečenia integrity informácií je hešovanie súboru. Pri hešovaní sa obsah súboru prečíta a na základe obsahu súboru sa pomocou špeciálneho algoritmu vypočíta jedinečné číslo (hešovacia hodnota). Pri zmene obsahu súboru sa zmení hešovacia hodnota, čo indikuje porušenie integrity súboru. Integrita informácie je základným kameňom informačných systémov, pretože informácia pre používateľa nemá hodnotu, ak používateľ nemôže overiť jej integritu.
Porušenie súboru nie je nevyhnutne výsledkom vonkajších aktivít ako sú útočníci. Šum v prenosových médiách môže napríklad tiež spôsobiť stratu integrity údajov. Prenášanie údajov cez obvody s nízkou úrovňou napätia môžu meniť a porušiť údaje. Redundantné bity a kontrolné bity môžu kompenzovať interné a externé hrozby integrity údajov. Pri každom prenose môžu byť na zabezpečenie integrity informácie hešovacie algoritmy a hešovacie hodnoty a chyby opravujúce kódy (error correcting codes). Pri porušení integrity údaja je údaj opakovane prenášaný.

22. Čo je bezpečnosť – kritické charakteristiky informácií
Užitočnosť (Utility) informácií je kvalita alebo stav majúci hodnotu pre nejaký účel. Informácia má hodnotu, keď môže slúžiť svojmu účelu. Ak je informácia dostupná, ale nie je vo formáte majúceho zmysel pre koncového používateľa, potom nie je užitočná. Pre súkromnú osobu sa napríklad údaje sčítania ľudu môže rýchlo stať neprehľadné a ťažko interpretovateľné. Avšak pre politika údaje zo sčítanie ľudu odhaľujú informácie o obyvateľoch vo volebnom obvode ako je napríklad ich pohlavie a vek. Tieto informácie môžu pomôcť politikovi vytvoriť stratégiu ďalšie kampane.
Vlastníctvo (Possession) informácie je kvalita alebo stav vlastníctva alebo kontroly nad ňou. Hovorí sa, že informácia je v niekoho vlastníctve, ak ten niekto ju získal, nezávisle na formáte alebo iných charakteristíké vlastnosti. Kým porušenie mlčanlivosti vždy vedie k porušeniu vlastníctva, porušenie vlastníctva nemusí vždy viesť k porušeniu mlčanlivosti. Predpokladajme napríklad, že organizácia uchováva svoje kritickú zákaznícke údaje v šifrovanom systéme súborov. Zamestnanec, ktorý ukončil pracovný pomer v organizácii, sa rozhodne vziať kópiu záložných médií s cieľom predať konkurencii zákaznícke údaje. Odnesenie záložných médií z ich bezpečného prostredia je porušením vlastníctva. Pretože však údaje sú zašifrované, ani bývalý zamestnanec ani nikto iný nemôže údaje čítať bez znalosti šifrovacieho algoritmu a znalosti šifrovacieho kľúča, teda nedôjde k porušeniu dôvernosti.

23. Bezpečnostný model
Definícia informačnej bezpečnosti prezentovaná v tomto texte čiastočne vychádza z dokumentu CNSS (Committee on National Security Systems) nazvanom „Národný vzdelávací štandard pre profesionálov bezpečnosti informačných systémov“ NSTISSI č Tento dokument predstavuje komplexný model informačnej bezpečnosti a stal sa široko uznávaný hodnotiacim štandardom na účely bezpečnosti informačných systémov. Model bol vytvorený Johnom McCumber v roku Poskytuje grafickú reprezentáciu architektonického prístupu, široko používaného v počítačovej a informačnej bezpečnosti. V súčasnosti je známy ako McCumberova kocka.

24. Bezpečnostný model
McCumberova kocka má tri rozmery a je znázornená na obráku na predchádzajúcom slajde. Každý rozmer kocky má dĺžku 3. Kocka má teda celkom 27 buniek. Každá z nich predstavuje oblasti, ktoré treba riešiť na zabezpečenie súčasných informačných systémov. Napríklad priesečník medzi technológiou, integritou a úložiskom vyžaduje opatrenie alebo ochranu, ktorá rieši potrebu použiť technológiu na ochranu integrity informácií a počas uloženia informácie. Jedným takýmto opatrením môže byť systém na detekciu prieniku do uzla IDS (Intrusion Detection System), ktorý chráni integritu informácií tým, že upozorní bezpečnostných administrátorov na potenciálnu modifikáciu kritického súboru. Čo je obyčajne vynechané z  takéhoto modelu je potreba návodov a politík, ktoré poskytujú zásady pre praktiky a implementácie technológií. Potreba účinnej politiky je diskutovaná následne.

25. Komponenty informačného systému
Informačný systém (IS) je oveľa viac než počítačový hardvér. Je to celá sada softvéru, hardvéru, údajov, personálu, procedúry a sietí, ktoré umožňujú využívanie informačných zdrojov v organizácii. Týchto šesť kritických komponenty umožňujú, aby informácie boli vstupom, spracovávali sa, vystupovali a boli uložené. Každý z týchto komponentov IS má svoje silné a slabé stránky, rovnako ako svoje vlastné charakteristiky a použitie. Každý komponent informačného systému má svoje vlastné bezpečnostné požiadavky.

26. Komponenty informačného systému - softvér
Softvérové komponenty IS pozostávajú z aplikácií, operačných systémov a rozmanitých príkazových pomocných programov (utility). Softvér je snáď najťažší komponent IS na zabezpečenie. Využitie chýb, vzniknutých pri programovaní softvéru, predstavuje podstatnú časť útokov na informácie. Priemysel informačných technológií často oznamuje varovné správy o bezpečnostných dierach, chybách a slabinách alebo iných zásadných problémoch v softvéri. V skutočnosti mnoho aspektov každodenného života je ovplyvnených chybným softvérom od havárii softvéru smartfónov až po chybné riadiace počítače v automobiloch.
Softvérové programy sú bohužiaľ vytvorené v rámci obmedzení riadenia projektov, ktoré obmedzujú čas, náklady a pracovnú silu. Informačná bezpečnosť je až príliš často implementovaná dodatočne, než aby bola vyvinutá ako neoddeliteľná súčasť od začiatku. Týmto spôsobom sa softvérové programy stávajú ľahkým terčom náhodných alebo úmyselných útokov.

27. Komponenty informačného systému - hardvér
Hardvér je fyzická technológia, ktorá uchováva a vykonáva softvér, uchováva a prenáša údaje a poskytuje rozhranie pre vstup, výstup a prípadné vymazanie informácií zo systému. Fyzická bezpečnostná politika sa zaoberá s hardvérom ako s fyzickým aktívom a s ochranou fyzických aktív pred poškodením alebo krádežou. Použitie tradičných nástrojov fyzickej bezpečnosti, ako sú zámky a kľúče, obmedzuje prístup a narábanie s hardvérovými komponentmi informačného systému. Zabezpečenie fyzického umiestnenia počítača a počítačov samotných je dôležité, pretože porušenie fyzickej bezpečnosti môže mať za následok stratu alebo poškodenie informácií. Väčšina informačných systémov je bohužiaľ postavených na hardvérových platformách, ktoré negarantujú úroveň informačnej bezpečnosti v prípade, že nie je obmedzený prístup k hardvéru.

28. Komponenty informačného systému - údaje
Údaje uložené, spracované a prenášané počítačovým systémom musia byť chránené. Údaje sú často najcennejším aktívom, ktoré vlastní organizácia, a sú hlavným cieľom úmyselných útokov. Systémy vyvinuté v posledných rokoch pravdepodobne využívajú systémy pre správu databáz. Pri správnom prevedení systému správy údajov by mala byť zlepšená bezpečnosť údajov a aplikácií. Bohužiaľ ale mnoho projektov vývoja systému navyužíva plne bezpečnostné možnosti systému správy údajov a v niektorých prípadoch je databáza implementovaná spôsobmi, ktoré sú menej bezpečné než tradičné systémy súborov.

29. Komponenty informačného systému - ľudia
Aj keď často prehliadaná téma v úvahách o počítačovej bezpečnosti, ľudia boli vždy hrozbou pre informačnú bezpečnosť. Podľa legendy, asi 200 rokov pred naším letopočtom, veľká armáda ohrozovala bezpečnosť a stabilitu čínskej ríše. Útočníci boli takí zúriví, že čínsky cisár prikázal vystavať veľký múr, ktorý čínsku ríšu chránil pred votrelcom. Okolo roku 1275 nášho letopočtu Kublaj chán konečne dosiahol to, o čo sa útočníci snažili po tisíc rokov. Spočiatku sa chánova armáda neúspešne pokúsila preliezť múr, podkopať múr alebo preraziť múr. Nakoniec chán jednoducho podplatil stráže múru a zvyšok je história. Či táto udalosť sa skutočne stala alebo nie, poučenie z tohto príbehu je to, že ľudia (personál) môžu byť najslabším článkom programu organizácie v informačnej bezpečnosti. Aj keď politika, vzdelávanie a tréning, povedomie a technológie sú vhodne použité s cieľom zabrániť ľuďom v náhodnom alebo úmyselnom poškodení alebo strate informácií, ľudia zostanú najslabším článkom. Sociálne inžinierstvo môže loviť v dôsledku tendencie šetriť a bežnej podstate ľudskej chyby. Sociálne inžinierstvo môže byť použité na manipuláciu akcií ľudí s cieľom získať prístup k informáciám o systéme.

30. Komponenty informačného systému - procedúry
Ďalším často prehliadaným komponentom IS sú procedúry. Procedúry sú písomné pokyny na vykonanie určitej úlohy. Keď neoprávnený používateľ získa procedúry organizácie, predstavuje to hrozbu pre integritu informácií. Konzultant v banke sa napríklad oboznámi ako poslať finančné prostriedky prostredníctvom procedúr počítačového centra, ktoré boli ľahko dostupné. Využitím bezpečnostnej slabiny (absencia autentizácie) môže tento konzultant v banke zadať príkaz na transfer veľkého množstva peňazí na svoj účet. Nedbanlivé bezpečnostné procedúry spôsobili veľkú finančnú stratu predtým, než boli opravené.
Väčšina organizácií rozširuje procedúry svojim oprávneným zamestnancom s cieľom umožniť im pristúpiť do informačného systému, ale mnoho týchto organizácií často neposkytujú riadne poučenia o ochrane procedúr. Vzdelávanie zamestnancov o ochrane procedúr je rovnako dôležité ako vzdelávanie o fyzickej bezpečnosti informačného systému. Koniec koncov procedúry sú informácie v ich vlastnej podobe. Preto znalosť procedúr, rovnako ako znalosť všetkých kritických informácií, by mali byť rozširované medzi zamestnancami organizácie iba na základe potreby vedieť (princíp need to know).

31. Komponenty informačného systému - siete
Siete sú komponenty IS, ktoré významne prispeli k potrebe zvýšenia počítačovej a informačnej bezpečnosti. Ak sú informačné systémy vzájomne prepojené a vytvárajú lokálne siete (LAN) a tieto siete LAN sú prepojené do ďalších sietí ako je Internet, rýchlo sa objavia nové bezpečnostné problémy. Fyzická technológia umožňujúca sieťové funkcie sa stáva viac a viac prístupnou organizáciám všetkých veľkostí. Použitie tradičných nástrojov fyzickej bezpečnosti ako sú zámky a kľúče na obmedzenie prístupu a narábaniu s hardvérovými komponentmi informačného systému sú stále dôležité. Ale keď počítačové systémy sú prepojené, tento prístup už nestačí. Implementácia nástrojov na zaistenie sieťovej bezpečnosti je nevyhnutná na zaistenie celkovej bezpečnosti informačných systémov.

32. Vyváženie informačnej bezpečnosti a prístupu
Aj pri najlepšom plánovaní a implementácii nie je možné dosiahnuť perfektnú informačnú bezpečnosť. Pripomeňme vyhlásenie Jamesa Andersona zo začiatku tejto časti, ktorá zdôrazňuje potrebu vyvážiť bezpečnosť a prístup.
Informačná bezpečnosť nemôže byť absolútna: je to proces a nie cieľ. Je možné urobiť systém dostupný každému, kedykoľvek a kdekoľvek, prostredníctvom akéhokoľvek prostriedku. Ale takýto neobmedzený prístup predstavuje nebezpečenstvo pre bezpečnosť informácií. Na druhej strane úplne bezpečný informačný systém neumožní prístup nikomu. Keď napríklad Microsoft požiadal o certifikáciu svojho operačného systému Windows na bezpečnostnú úroveň TCSEC C-2, musel odstrániť všetky sieťové komponenty a ovládať počítač len z konzoly v zabezpečenej miestnosti.
Pre dosiahnutie rovnováhy, čo je prevádzkovanie informačného systému tak, aby uspokojil používateľov a bezpečnostných odborníkov, musí bezpečnostná úroveň umožniť primeraný prístup a stále zabezpečiť ochranu pred hrozbami. Na obrázku na nasledujúcom slajde sú znázorné niektoré z konkurenčných hlasov, ktoré musia byť vzaté do úvahy pri vyvažovaní informačnej bezpečnosti a prístupu.

33. Vyváženie informačnej bezpečnosti a prístupu
V dôsledku dnešných bezpečnostných obáv a otázok sa môže informačný systém alebo útvar spracovanie údajov dostať do prehnaných aktivít v oblasti manažmentu a ochrany systémov. Nerovnováha môže nastať v prípade keď potreby koncového používateľa sú obmedzované príliš obtiažnym zameraním sa na ochranu a správu informačných systémov. Aj technológovia informačnej bezpečnosti a aj koncoví používatelia musia uznať, že obe skupiny zdieľajú rovnaké celkové ciele organizácie, čo je zaistenie dostupnosti údajov vtedy, tam a ako sú potrebné, s minimálnymi oneskorením alebo prekážkami. V ideálnom prípade, túto úroveň dostupnosti je možné splniť aj potom, čo boli odstránené obavy o stratu, poškodenie, zachytenie alebo zničenie.

34. Prístupy k implementácii informačnej bezpečnosti
Implementácia informačnej bezpečnosti v organizácii musí niekde začať a nemôže sa vykonať za noc. Zabezpečenie informačných aktív je v skutočnosti inkrementálny proces vyžadujúci koordináciu, čas a trpezlivosť. Informačná bezpečnosť môže začať iniciatívou zdola, v ktorej sa administrátori systémov snažia zlepšiť bezpečnosť svojich systémov. Tento postup je často označovaný ako prístup zdola nahor.
Kľúčovou výhodou prístupu zdola nahor je technická odbornosť jednotlivých administrátorov. Vzhľadom k tomu, že administrátori pracujú s informačnými systémami denne, administrátori majú detailné znalosti, ktoré môžu výrazne prispieť k rozvoju systému informačnej bezpečnosti. Administrátori poznajú a rozumejú hrozbám nimi spravovaným systémom a potrebným mechanizmom na ich úspešnú ochranu.
Tento prístup však bohužiaľ funguje zriedka, pretože mu chýba mnoho kritických funkcií, ako je napríklad podpora ďalších zamestnancov organizácie, rovnaké chápanie bezpečnostných požiadaviek a organizačná vytrvalosť.
Prístup zhora nadol, v ktorom je projekt iniciovaný vyššími manažérmi organizácie, ktorí vydajú politiku, procedúry a procesy, diktujú ciele a očakávané výsledky, a určujú zodpovednosť za každú požadovanú akciu, má väčšiu pravdepodobnosť úspechu. Tento prístup má silnú podporu vyššieho manažmentu, vyhradenú rolu, zvyčajne vyhradené financovanie, jasný plánovací a realizačný proces a prostriedky vplývania na kultúru organizácie. Najúspešnejšie druh prístupu zhora nadol zahrňuje tiež formálnu stratégiu rozvoja označovanú ako životný cyklus vývoja systému.

35. Prístupy k implementácii informačnej bezpečnosti
Pre úspešné zavedenie informačnej bezpečnosti v rámci celej organizácii sa musí angažovať manažment organizácie a musí ju plne podporovať. Aj keď pre implementáciu projektu informačnej bezpečnosti sú zvyčajne vyhradené role, ich význam nemožno preceňovať. Implementáciu projektu informačnej bezpečnosti zvyčajne výkonne zabezpečuje vedúci útvaru informatiky CIO (Chief Information Officer) alebo viceprezident pre informačné technológie (VP-IT), ktorý posúva projekt dopredu, zaisťuje jeho správny manažment a presadzuje jeho akceptáciu v celej organizácii.
Bez tejto podpory z vysokej úrovni si mnoho manažérov na strednej úrovni nanájde čas pre projekt, alebo projekt odmietne ako nízku prioritu. Pre úspech tohto typu projektu je tiež rozhodujúce zapojenie a podpora zo strany koncových používateľov. Títo jednotlivci sú najviac priamo dotknutí procesom a výstupmi projektu a musia byť zahrnutí do procesu informačnej bezpečnosti. Kľúčoví koncoví používatelia by mali byť priradení do vývojoveho tímu, známeho ako spoločný vývojový tím aplikácie (JAD – Joint Application Development). Pre úspech je potrebné, aby JAD tím mal výdrž. Tím vyvíjajúci systém informačnej bezpečnosti musí byť schopný prežiť fluktuácie zamestnancov a nemal by byť citlivý na personálne zmeny v tíme. To znamená, že procesy a procedúry musia byť dokumentované a integrované do kultúry organizácie a musia byť prijaté a podporované manažmentom organizácie.

36. Prístupy k implementácii informačnej bezpečnosti
Organizačná hierarchia a prístup zdola nahor a prístup zhora nadol