|
||||
O nás | Rozhovory-komentáře | Konference | Partneři | Kontakty |
||||
Bezpečnost informací – nezbytnost pro internet věcí
Komplexní bezpečnostní požadavky Kybernetická bezpečnost v AMI (advanced metering infrastructure – pokročilý systém měření, pozn. red.) musí pokrývat více než technické zabezpečení řešení, tedy fyzické zajištění jednotlivých zařízení, zabezpečenou komunikaci, backendové systémy a ukládání dat. Vyžaduje celostní přístup zahrnující plánování celé IT infrastruktury od bezpečnostních aspektů až po lidi, postupy a procesy, které umožňují její fungování. Zabezpečený systém je vždy kompletním celkem a celkovou bezpečnost není možné budovat s orientací na jedinou komponentu systému. Při navrhování zabezpečeného systému je důležité nejprve zjistit požadavky na bezpečnost z pohledu několika různých účastníků procesu. Takové požadavky mohou sahat od potřeby vysokého výkonu systému ze strany jeho uživatelů až po splnění zákonných předpisů. Dobrý plán znamená dobrý začátek Po identifikování účastníků procesu je dalším krokem popsání funkčních, nefunkčních a bezpečnostních požadavků na systém. Zvláště v raných stadiích vývoje mohou být tyto požadavky nevyjasněné nebo jen hrubě stanovené, ale diskuse o základních principech je důležitou součástí procesu navrhování systému. Hrubé stanovení požadavků na zabezpečení informací souvisejících např. s důvěrností nebo konzistentností systému se dále rozpracovává do funkčních požadavků, například implementace záznamníku bezpečnostních událostí pro auditování operací uživatele, šifrování a autentizace komunikace mezi komponentami systému, nebo posílení operačního systému. Při definování požadavků na zabezpečení informací je zcela zásadní popis nejdůležitějších komponent systému, které vyžadují ochranu, a tedy je třeba například zvážit: • Které funkce a informace je třeba zabezpečit? • Které bezpečnostní atributy je třeba zvláště chránit? • Co je nejdůležitější a kdy: důvěrnost, konzistence nebo dostupnost? • Jakou pozornost je třeba věnovat zabezpečení určité funkce konkrétní komponenty? • Jak velké zbytkové riziko je přijatelné? • Je cílem předcházení narušení zabezpečení informací nebo zjišťování takových případů? • Které jsou relevantní hrozby, jež je nutné zabezpečit? Užitečným nástrojem k zodpovězení těchto otázek je architektura zabezpečení IT systémů. Ta se pokouší definovat parametry vztahující se k celkovému zabezpečení systému, například strukturu sítě, aktivní zařízení v rámci sítě, šifrování a použité protokoly. Uživatelé se špatnými úmysly jsou také uživateli Další účinnou metodou plánování je popis typových činností z pohledu uživatele se špatnými úmysly. Takový popis pomáhá identifikovat kontrolní prvky zabezpečení informací v případech zneužití. Například při zabraňování útoků směřujících k blokování služeb je možné využít určité kontrolní prvky vztahující se k regulaci zatížení nebo blokovacímu provozu, zatímco neoprávněné používání lze regulovat prostřednictvím správy uživatelských oprávnění. Navíc je třeba uvážit i možnost, že oprávněný uživatel neúmyslně jedná jako pomocník subjektu se špatnými úmysly. Odpovědný není jen softwarový vývojář
Odpovědnost ovšem nemůže spočívat pouze na bedrech vývojáře, dokonce ani v případě, že je software rozsáhle testován externími odborníky, jejichž jediným cílem je proniknout do systému a poukázat tak na jeho slabé stránky. Pro zabezpečení systému je nutné přijmout i další opatření. V průběhu výstavby systému směřují různé skenovací a statické analytické nástroje zaměřené na zabezpečení informací k hledání chyb ve zdrojovém kódu. Kromě toho je možné používat účinné nástroje pro detekování známých zranitelných míst využívaných knihoven, které lze integrovat do procesu vytváření softwaru. A konečně, tento pohled je třeba rozšířit od konkrétní práce na vývoji aplikace na celé bezpečné vývojové prostředí a procesy. Mezinárodní normy, například ISO 27001, jsou zde základem pro systematický přístup umožňující stálý vývoj zabezpečení. Bezpečné používání bezpečného systému Kromě technického zabezpečení systému jsou pro každý systém nutné také zásady používání – buď samostatné, nebo jako součást souboru zásad společnosti pro bezpečnost informací. Zásady používání by se měly vztahovat minimálně na následující témata: • Co znamená přijatelný způsob používání systému? • Platí v rámci systému princip nejmenšího oprávnění? • Jak je používání systému sledováno a kým? • Jak je organizováno a realizováno zálohování? • Jak je zajištěno povědomí uživatelů o zabezpečení informací? • Jaké jsou reakce na bezpečnostní incidenty? Věc celé organizace Bez ohledu na to, jak je celý systém vyzbrojen proti útokům, vyžaduje řízení rizik kybernetické bezpečnosti pozornost celé organizace. Opatření v oblasti kybernetické bezpečnosti mohou být účinná pouze za předpokladu, že jsou pevnou součástí strategie stálého sledování, vyhodnocování a vylepšování. Je proto velmi důležité uvažovat o veškerých aspektech souvisejících se zabezpečením informací jako o jednom celku. Landis+Gyr, redakčně upraveno Ilustrační foto nahoře © Landis+Gyr Ilustrační foto dole © archiv redakce Smartcityvpraxi.cz Další informace na www.landisgyr.com
Cyklus odborných konferencí „Smart city v praxi“, „Efektivní elektromobilita v organizacích“ a „Elektrické autobusy pro město“
Konference Smart city v praxi II: chytré technologie se zabydlují, od „feudálních“ dotací ke spolupráci veřejného a soukromého sektoruSmart city v praxi: vychází první kniha českého autora o konceptu smart city a jeho zavádění v každodenním životě
Consulting Services: Naše odborné službyIng. Jakub Slavík, MBA – Consulting Services je konzultační firma v oblasti inovativních technologií pro dopravu a smart city (včetně energetiky a vodíkových technologií), která rovněž provozuje informační portály www.smartcityvpraxi.cz a www.proelektrotechniky.cz a organizuje odborné akce. V rámci našich odborných služeb Vám nabízíme vypracování strategie smart city, spolupráci na vytváření strategických dokumentů, vytváření a realizace projektů pro smart city, další odborné konzultační služby (studie, průzkumy, analýzy), vytváření a realizace dalších projektů s inovativními technologiemi (automatická vozidla, vodíkové technologie, elektromobilita aj.), specializované vzdělávací akce „na klíč“, prezentační a autorské služby (prezentace na konferencích, portálech). Celý článek zde SBB Reiseplaner: Švýcarské spolkové dráhy nabízejí aplikaci pro plánování cesty „od dveří ke dveřím“
MIT vytvořil dopravní model z údajů o poloze uživatelů mobilních telefonů
Philips a Vodafone společně pro chytré osvětlení ve smart cities
iCity Platform: systémová architektura představena veřejnosti
|
||||
Copyright © 2012 – 2024 Ing. Jakub Slavík, MBA – Consulting Services |