Pyramida bezpečnosti ICT

        Tři pravidla ICT bezpečnosti jsou pouze začátek 


1, Základ  - Integrita
Tři pravidla ICT bezpečnosti definují základ pro zajištění a udržení integrity souborů operačního systému, programů a systémových knihoven.  Počítačové viry a útočníci potom budou mít velmi, velmi omezený prostor pro útoky na ICT systémy. 

ICT prostředí s realizovanými Třemi pravidly ICT bezpečnosti :

Viry nebudou mít šanci se dlouhodobě ukrývat v PC, mobilech, SCADA systémech, v IoT, atd.  Zmizí nebo bude velmi omezena šance spustit virus v PC, mobilu, SCADA, IoT, atd.

 

 

2, Druhá úroveň - Testování zdrojových kódů 
Návrh a vytváření SW je exaktní obor. V tomto prostředí je možné jasně popsat všechny procedury a funkce. V prostředí založeném na jasném popsání úkolů je možné také jasně a kvalitně provádět kontrolu. 

Proč testovat, když to dnes nikdo nechce a pouze to zvyšuje náklady na vývoj programu. Úplný extrém byly a někdy ještě jsou ukryté mini programy nebo funkce v hlavním programu. Informace najdete například na www.eeggs.com.

Testy zdrojových kódů existují již dnes ale provádí je pouze některé firmy. Především ty, které se chtějí odlišit .

ICT prostředí s Třemi pravidly ICT bezpečnosti a testováním zdrojových kódů :

Testování zdrojových kódů postupně omezí výskyt chyb a "zadních vrátek" v SW a tím se odstraní i možnost jednorázových útoků. Další ochrana a kontrola je ve spojení s kontrolou spouštěných souborů, takže v systému nebude možné spustit neznámý program.

 

3, Třetí úroveň - Důvěryhodné přihlášení

  Přihlašování do systému nebo jakékoliv jiné aplikace může využít základů v podobě hlídání integrity souborů a testování zdrojových kódů (první a druhá úroveň pyramidy). V takovém prostředí virus zvaný "keylogger"/ snímač klávesnice nebude mít šanci! Zbývá ještě uhodnutí nebo jiný způsob odposlechnutí hesla.

  Existuje již celá řada zkušeností a pravidel jak hlídat sílu zadávaných hesel, jak sledovat počty neúspěšných přihlášení a jak archivovat informace o předchozích přihlášeních.

  Tyto zkušenosti je možné využít a shrnout je do několika pravidel pro tvorbu hesel, kontrolu počtu pokusů o přihlášení a archivaci informací o přihlášeních. 

 

 

4, Čtvrtá úroveň - Záznamy o tom kdo, kdy a co dělal

   Pokud jsou jednoznačně definované a kontrolované základy celého oboru ICT i jednotlivých systémů, tak je možné úspěšně provádět audit prováděných operací. Tedy sledovat kdo, kdy, odkud a co prováděl.

 

  Bez spolehlivě fungujících opatření na 1- 3 úrovni zůstane v auditu prováděných opatření nejčastějším výrazem slovo "Asi", "Možná" nebo "Pravděpodobně".