1, Základ - Integrita
Tři pravidla ICT bezpečnosti definují základ pro zajištění a udržení integrity souborů operačního systému, programů a systémových knihoven. Počítačové viry a útočníci potom budou mít velmi, velmi omezený prostor pro útoky na ICT systémy.
ICT prostředí s realizovanými Třemi pravidly ICT bezpečnosti :
Viry nebudou mít šanci se dlouhodobě ukrývat v PC, mobilech, SCADA systémech, v IoT, atd. Zmizí nebo bude velmi omezena šance spustit virus v PC, mobilu, SCADA, IoT, atd.
2, Druhá úroveň - Testování zdrojových kódů
Návrh a vytváření SW je exaktní obor. V tomto prostředí je možné jasně popsat všechny procedury a funkce. V prostředí založeném na jasném popsání úkolů je možné také jasně a kvalitně provádět kontrolu.
Proč testovat, když to dnes nikdo nechce a pouze to zvyšuje náklady na vývoj programu. Úplný extrém byly a někdy ještě jsou ukryté mini programy nebo funkce v hlavním programu. Informace najdete například na www.eeggs.com.
Testy zdrojových kódů existují již dnes ale provádí je pouze některé firmy. Především ty, které se chtějí odlišit .
ICT prostředí s Třemi pravidly ICT bezpečnosti a testováním zdrojových kódů :
Testování zdrojových kódů postupně omezí výskyt chyb a "zadních vrátek" v SW a tím se odstraní i možnost jednorázových útoků. Další ochrana a kontrola je ve spojení s kontrolou spouštěných souborů, takže v systému nebude možné spustit neznámý program.
3, Třetí úroveň - Důvěryhodné přihlášení
Přihlašování do systému nebo jakékoliv jiné aplikace může využít základů v podobě hlídání integrity souborů a testování zdrojových kódů (první a druhá úroveň pyramidy). V takovém prostředí virus zvaný "keylogger"/ snímač klávesnice nebude mít šanci! Zbývá ještě uhodnutí nebo jiný způsob odposlechnutí hesla.
Existuje již celá řada zkušeností a pravidel jak hlídat sílu zadávaných hesel, jak sledovat počty neúspěšných přihlášení a jak archivovat informace o předchozích přihlášeních.
Tyto zkušenosti je možné využít a shrnout je do několika pravidel pro tvorbu hesel, kontrolu počtu pokusů o přihlášení a archivaci informací o přihlášeních.
4, Čtvrtá úroveň - Záznamy o tom kdo, kdy a co dělal
Pokud jsou jednoznačně definované a kontrolované základy celého oboru ICT i jednotlivých systémů, tak je možné úspěšně provádět audit prováděných operací. Tedy sledovat kdo, kdy, odkud a co prováděl.
Bez spolehlivě fungujících opatření na 1- 3 úrovni zůstane v auditu prováděných opatření nejčastějším výrazem slovo "Asi", "Možná" nebo "Pravděpodobně".