Tento článok bol vytlačený zo stránky https://referaty.centrum.sk
 

Bezpečnostné aspekty

Potreba ochrany osobných údajov v zmysle našej legislatívy

Súčasná informačná spoločnosť sa odvíja od pojmu informácia. Už samotný počítač z hľadiska jeho použitia poznáme ako stroj na spracovanie informácií. Informácia sa v každodennom živote postupne stala kľúčovým pojmom a zároveň predstavuje aj základný kapitál moderného podnikania. Každá nová informácia sa tak stáva veľmi cenným údajom, a preto si vyžaduje aj osobitnú ochranu.

Osobitným druhom informácií v súčasnej informačnej spoločnosti sú osobné údaje. Ich ochrana sa zabezpečuje nielen vnútroštátnymi predpismi, ale najmä medzinárodnými dohovormi a predpismi komunitárneho práva Európskej únie.

Ochrana osobných údajov a ochrana jednotlivcov sa zdôrazňujú najmä v súčasnom období, keď väčšina technických operácií a
kontaktov medzi jednotlivcami, vládnymi i nevládnymi organizáciami jednotlivých štátov, ako aj rôznymi medzinárodnými i spoločenskými organizáciami sa realizuje prostredníctvom elektronických komunikácií a v prostredí internetu, celosvetového a najznámejšieho prostriedku komunikácie.

Ochrana osobných údajov vychádza zo všeobecného osobnostného práva, ktoré je chránené štátom a vyplýva priamo z Ústavy
Slovenskej republiky, ako aj z ostatných právnych predpisov.

Význam a obsah bezpečnostného projektu informačného systému

Význam:

Otázky bezpečnostného poradenstva nadobúdajú v súčasnej etape obchodnej bezpečnosti nový význam. Do špecifickej činnosti riadiaceho manažmentu patrí i ochrana osobných údajov, ktorá sa celosvetovo dotýka stále väčšieho počtu organizácií. Povinnosť vypracovania bezpečnostného projektu ukladá zákon č. 428/2002 Z. z. o ochrane osobných  údajov v znení neskorších predpisov.

Za bezpečnosť osobných údajov, ktoré sú zvyčajne spracúvané na pamäťových médiách vrátane technických nosičov údajov,
zodpovedá prevádzkovateľ a sprostredkovateľ, ktorý spracováva alebo poskytuje osobné údaje (personalistika, mzdy, evidencia návštev, recepcia, …) tým, že ich chráni pred odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou a rozširovaním.

Technické, organizačné a personálne opatrenia prijme prevádzkovateľ a sprostredkovateľ vo forme bezpečnostného projektu informačného systému. Na tento účel musí prijať primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania tak, ako mu to ukladá zákon NR SR na ochranu osobných údajov č. 428/2002 z. z. v znení zákona č. 90/2005 Z. z., ktorým sa mení a dopĺňa zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov.

Úrad na ochranu osobných údajov môže uložiť v zmysle zákona vysoké finančné sankcie za porušenie zákona. Za chýbajúci projekt môže ÚOOÚ vymerať sankciu až do 10 miliónov korún.

Obsah:

Bezpečnostný projekt obsahuje:

  • základné bezpečnostné ciele potrebné dosiahnuť na ochranu informačných systémov (ďalej len IS) pred ohrozením jeho bezpečnosti,
  • určenie počiatočného skutkového stavu bezpečnosti IS,
  • špecifikáciu opatrení na ochranu IS a zabezpečenie osobných údajov,
  • vymedzenie okolia IS a jeho vzťah k možnému narušeniu bezpečnosti,
  • možné zvyškové riziká, odhad, vymedzenie hraníc určujúcich množinu zvyškových rizík,
  • vyhodnotenie podkladov pre bezpečnostný projekt.

Bezpečnostný projekt na ochranu osobných údajov informačných systémov je dokumentom, ktorý obecne určuje:

  • základné pravidlá bezpečnosti,
  • upresňuje obecnú bezpečnostnú politiku pre oblasť automatizovaného a neautomatizovaného spracovania informácií,
  • na základe analýzy rizík hodnoteného systému rieši optimálny spôsob zabezpečenia ochrany s ohľadom tak na každý jednotlivý prvok systému, ako aj na systém ako celok.

Význam a druhy šifrovania

Význam šifrovania:

Významy šifrovania sú:

  • utajenie obsahu správy
  • zabezpečenie nezameniteľnosti - integrity správy
  • zabezpečenie jednoznačnosti určenia autora správy
  • zabezpečenie jednoznačnosti určenia času vytvorenia správy, poprípade i zabezpečenie jednoznačnosti určenia času doručenia a času prečítania správy oprávnenou osobou

Druhy šifrovania:

Z tých základných informácií čo viem, je dôležité to, že spôsob šifrovania sa delí na dve hlavné skupiny.

Symetrické – to sú tie štandardné šifry, kde sa používa rovnaké heslo na zašifrovanie aj dešifrovanie.

Asymetrické – na takéto šifrovanie sú potrebné dva kľúče (heslá). Toto je trochu zložitejšie, tak si to vysvetlíme na
príklade:
Chcete aby Vám ľudia posielali e-maily zašifrované, tak vygeneruje tieto dva kľúče. Verejný sa zavesí niekde na web, kde si ho ľudia môžu stiahnuť a použiť na zašifrovanie správy pre Vás. Ak by aj správu niekto po ceste odchytil, nehrozí, že by ju rýchlo dešifroval (aj keď, dá sa všetko) pomocou verejného kľúča, lebo dešifrovací kľúč – privátny, vlastníte iba Vy.

Princíp symetrického šifrovania, jeho výhody a nevýhody

Symetrické šifrovanie je postup, ktorým jednoznačne zašifrujeme pomocou kľúča čistý text na zašifrovaný text, pričom z tohto zašifrovaného textu dostaneme pôvodný text len v prípade, že poznáme pri šifrovaní použitý kľúč.

Princíp symetrického šifrovania teda spočíva v tom, že odosielateľ aj príjemca správy zdieľajú tajný kľúč, ktorým odosielateľ správu zašifruje a ktorým príjemca túto právu aj dešifruje.

Jedným z prvých šifrovacích algoritmov bol DES (v súčasnosti sa nepovažuje za bezpečný, používa sa jeho modifikovaná verzia 3-DES). V posledných rokoch vzniklo niekoľko riešení na náhradu šifry DES, napr. IDEA, CAST, Blowfish alebo RC4.

Výhody a nevýhody symetrickej šifry:

Podstatnou výhodou symetrických šifier je ich nízka výpočtová náročnosť. Algoritmy pre šifrovanie s verejným kľúčom môžu byť i stotisíckrát pomalšie. Na druhú stranu veľkou nevýhodou je nutnosť zdieľania tajného kľúča, takže sa odosielateľ a príjemca tajnej správy musia dopredu dohovoriť na tajnom kľúči.

Princíp nesymetrického šifrovania, jeho výhody a nevýhody

Problém so symetrickým šifrovaním je v zabezpečení prenosu kľúča, ktorý sa musí preniesť cez nejaké médium. Elektronický kanál je ľahko odpočúvateľný, fyzický prenos je na druhej strane veľmi pomalý. Nesymetrické šifrovanie tento problém rieši
veľmi efektívne. Je založené na jednoduchej myšlienke: správa je dešifrovaná iným kľúčom než bola šifrovaná. Každý z  komunikujúcich partnerov vlastní dvojicu kľúčov, jeden tajný tzv. privátny, a jeden verejný. Správa je zakódovaná verejným kľúčom, ktorý je distribuovaný všetkým partnerom dotyčnej osoby, ale táto osoba môže správu dekódovať len svojim privátnym  kľúčom.

Výhody a nevýhody nesymetrickej šifry:

Nevýhodou asymetrického šifrovania je pomalosť, ktorá je zapríčinená zložitosťou výpočtu. Na druhej strane je to bezpečnejší spôsob ako ponúka symetrické šifrovanie.Princíp a možnosti využitia „hash“ funkcií

Symetrické a asymetrické šifrovanie sa zaoberá hlavne problematikou utajovania dát.

Ďalším problémom je však integrita (neporušenosť) dát. Na jeho vyriešenie sú používané jednosmerné (hash) funkcie. Tieto transformujú ľubovoľne dlhý reťazec znakov na reťazec pevnej dĺžky (fingerprint). Porovnaním fingerprintu pôvodnej a doručenej správy je možné zistiť integritu prenášaných dát. Na hashovacie funkcie sú kladené nasledujúce požiadavky:

K danému výstupu (fingerprintu) prakticky nie je možné zostrojiť pôvodný dokument, (matematicky vyjadrené: neexistuje inverzná funkcia k hash funkcii), prakticky neexistujú dva dokumenty, ktoré majú rovnakú hashovaciu hodnotu (fingerprint),ak bol zmenený jeden bit v dokumente, fingerprint sa oproti pôvodnému musí zmeniť viac ako v jednom bite.

Využitie:

Hash funkcie sú dôležité aj pri ukladaní prístupových hesiel do informačných systémov, pri generovaní tzv. One Time Passwords (hesiel na jedno použitie).

Všetko z tohto má veľmi dôležité miesto v informačných technológiách, hlavne v elektronickom bankovníctve. Sú aj súčasťou tvorby digitálneho podpisu.

Princíp elektronického podpisu

Základným princípom elektronického podpisu je vypočítanie „čísla“ (hash alebo odtlačok) z dokumentu, ktorý chceme podpísať. Algoritmus výpočtu tohto „čísla“ zaručuje, že pre každý dokument dostaneme iné, jedinečné „číslo“, t. j. aj v prípade keď sa dva dokumenty líšia len v jednom jedinom znaku, po výpočte dostanem pre každý dokument rozdielne „čísla“.Pravdepodobnosť, že existujú dva dokumenty s rovnakým „číslom“ je skoro nulová.

Elektronický podpis v stručnosti povedané je asymetrické zašifrovanie uvedeného „čísla“ osobou A pomocou tajného kľúča a pripojenie tohto zašifrovaného „čísla“ k dokumentu, čím sa toto zašifrované „číslo“ stáva elektronickým podpisom. Keďže je toto „číslo“ zašifrované asymetricky, nemožno ho odšifrovať tajným kľúčom použitým na šifrovanie ale je možné ho odšifrovať verejný kľúčom, ktorý s tajným kľúčom úzko súvisí a ktorý osoba A zverejnila. Overenie takéhoto podpisu je potom možné na základe znalosti dokumentu, algoritmu pre výpočet „čísla“ a na základe znalosti verejného kľúča.

Osoba B, ktorá overuje podpis, si môže po prijatí dokumentu „číslo“ vypočítať pomocou toho istého algoritmu ako použila osoba A, čím dostane „číslo X“. Po odšifrovaní zašifrovaného „čísla“ pripojeného k dokumentu pomocou verejného kľúča a po porovnaní tohto odšifrovaného „čísla“ s vypočítaným „číslom X“ môžeme povedať:

  1. ak sa vypočítané „číslo X“ s odšifrovaným „číslom“ zhoduje je zrejmé, že uvedený dokument podpísala uvedená osoba a dokument nebol pri prenose zmenený,
  2. ak sa vypočítané „číslo X“ s odšifrovaným „číslom“ nezhoduje je zrejmé, že uvedený dokument alebo uvedená osoba nepodpísala alebo bol pri prenose zmenený.

Tajný kľúč a verejný kľúč sa označuje ako „kľúčový pár“. Oba kľúče si vytvára vlastník, napr. pomocou kryptografickej karty, generujú sa spolu, a ako už bolo povedané, je medzi nimi úzky vzájomný vzťah. Aby vlastník kľúčového páru nemusel každej osobe, s ktorou chce komunikovať s využitím elektronického podpisu osobne doručovať svoj verejný kľúč, bola vytvorená tzv. „infraštruktúra verejného kľúča“ (PKI – Public Key Infrastructure).

Steganografia

Steganografiu by som v jednoduchosti charakterizoval ako vedný odbor zaoberajúci sa skrývaním informácii.

Informácia môže byť v PC prezentovaná v rozličnej forme:

  • zvuku
  • obrazu
  • textu
  • strojového kódu
  • ...
Najčastejším sú informácie ukrývané na internete vo forme obrázku. Je to v dôsledku toho, že mnohé grafické programy si ukladajú informácie o autorovi priamo do obrázku. Na ukladanie informácie sa využije farebná palete RGB(0-255,0-255,0-255), tak že sa zmení farba bodu napr. z farby (255,255,255) na farbu (244,244,244). Túto významnú zmenu však ľudské oko zaregistrovať nedokáže. Ak si predstavíme obrázok ako pole bodov rozličnej farby, pričom každý jeden bod sa skladá z troch odtieňov: červenej, zelenej a modrej, získavame len pri jednom bode tri bity, ktoré môžme využiť na prenos informácie.

Čo sa týka textu, na skrývanie informácie môžme využiť medzery, znak nového riadku, alebo rozličné spektrum znakov. Nemci počas 2. sv. vojny  používali v listoch bodku, ktorá bola vlastne mikrofilmom. V súčasnej dobe však nevieme vytvoriť digitálnu bodku, ktorá by obsahovala také množstvo informácii, pretože by sa to hneď prejavilo v jej veľkosti v MB. Pri zvuku sa dá využiť čas spektra, ktorá nie je interpretovateľná reproduktorom, šum a podobne. Obraz predstavuje kombináciu predošlého. Súčasné trendy nepoznajú obmedzenia, na skrytie informácie sa dá použiť takmer čokoľvek napr. HTTP hlavička, ktorá nie je interpretovaná Vaším prehliadačom.

Efektívne ukrytie informácie je závislé od výberu časti obsahu tak, aby štatistická pravdepodobnosť, že daný blok je významný bola čo najmenšia. Ide o proces ukrytia ihly v kope sena.

Pokiaľ si máte chuť vyskúšať steganografiu s obrázkom môžte si skúsiť projekt JPEGHide a na detekciu StegDetect.

Jedným zo zaujímavých projektov na internete bolo využitie stegdetect na analyzovanie obrázkov na internete. Obrázky boli sťahované z rozličných serverov, kde sa dal predpokladať skrytý obsah napr. Ebay a podobne. Výsledky však ukázali, že z celkového množstva len mizivé percento obsahovalo skrytý obsah.

Koniec vytlačenej stránky z https://referaty.centrum.sk