Bezpečnostní standard
Bezpečnostní standard informačních systémů je soubor norem nebo jiných pravidel a postupů, určených k zajištění tvorby bezpečných informačních systémů.
Existuje mnoho kategorií bezpečnostních standardů – standardy mezinárodní, regionální (např. evropské standardy), národní standardy, standardy státní správy některého státu, standardy určitého zájmového sdružení nebo průmyslové standardy.
Secure by design[editovat | editovat zdroj]
Bezpečnost skrze návrh (anglicky Secure by design) je v informatice takový software, který je od začátku navržen tak, aby byl bezpečný. Znamená to, že návrhový vzor je volen tak, aby jeho znalost (tj. znalost principů práce počítačového programu) neohrozila bezpečnost. Takovýto návrh či postup není závislý na utajení implementace. Opačný přístup se nazývá Security through obscurity (bezpečnost skrze utajení), kde tvůrce věří, že pokud bezpečnostní chyby v návrhu nejsou známy – jsou utajeny, tak je nepravděpodobné, že by na ně útočník přišel.
Linusův zákon[editovat | editovat zdroj]
Podle tzv. Linusova zákona (anglicky Linus's law) obecně open source řešení o proti proprietárním řešením obsahuje méně programátorských chyb. „Je-li dost očí, jsou všechny chyby malé“ (anglicky Given enough eyeballs, all bugs are shallow). Eric S. Raymond připsal tento výrok Linusu Torvaldsovi ve své eseji Katedrála a tržiště (anglicky The Cathedral and the Bazaar). Linus Torvalds je tvůrcem jádra Linuxu, které poprvé zveřejnil v roce 1991, když mu bylo 21 let. On sám nemá na Linusově zákoně žádné zásluhy; jedná se o nijak nezasloužené pojmenovávání podle slavného člověka. (V sociologii se tato situace označuje jako Stigler’s law of eponymy.) Většina závažných bugů u open source projektů je odhalena právě při studiu zdrojových kódů. Při uvolnění stabilní verze komunita již prakticky nenachází závažné bugy a proto nelze předpokládat, že je budou nacházet skupiny útočníků.
Zásada minimálních oprávnění[editovat | editovat zdroj]
Zásada minimálních oprávnění (též Princip nejnižších privilegií, princip minimálních privilegií, nejnižší privilegia) (anglicky Principle of least privilege) je v informatice označení pro metodu, při které jsou kvůli informační bezpečnosti přidělována uživatelům, programům či procesům nejnižší možná oprávnění, která umožní jeho správnou funkci. Například pro editor či prohlížeč není nutné mít oprávnění správce. Hlavním problémem je jádro, které běží s maximálním oprávněním pro správu systému. Při chybě se může stát cokoliv, poté se stává systém nedůvěryhodný.
Multilevel security[editovat | editovat zdroj]
Víceúrovňová bezpečnost (anglicky Multilevel security ) je v informatice použití systému pro zpracování informací s nekompatibilními klasifikacemi (tj. na různých úrovních zabezpečení), povolit přístup uživatelům s různými bezpečnostními prověrkami a „needs-to-know“, a zabránit uživatelům získání přístupu k informacím, pro které chybí povolení. Existují dva kontexty pro použití víceúrovňové bezpečnosti. Jeden z nich odkazuje na systém, který je dostačující k ochraně před podvracením a má robustní mechanismy k oddělení informací, to znamená, že je důvěryhodný. Další odkazuje na aplikace, které vyžadují od počítače odpovídající mechanismy pro oddělení informací, takovému systému musíme věřit. Toto rozlišení je důležité, protože systémy, které musí být důvěryhodné, nejsou nutně důvěryhodné.
Kritéria a normy[editovat | editovat zdroj]
Existuje mnoho pravidel a norem, podle kterých dostávají systémy certifikace (Bezpečnostně ohodnocený operační systém). Mezi taková kritéria patří např.: Common Criteria nebo TCSEC.
Externí odkazy[editovat | editovat zdroj]
- Linusův zákon Archivováno 6. 3. 2016 na Wayback Machine.
- Secure by design (anglicky)
- Multi-Level Security (anglicky)
- Common criteria (anglicky)
- TCSEC, ITSEC, Common Criteria (anglicky)