39

Question 1

bezp politika - uvod

Answer 1

• je základný dokument informačnej bezpečnosti v organizácii. Určuje, čo môžu, nesmú a musia používatelia a zamestnanci robiť pri práci s informačnými systémami, aké sú ich povinnosti a zodpovednosti, a akým spôsobom sa zabezpečuje ochrana informačných aktív.

Jej hlavné úlohy sú:
* Identifikovať hlavné aktíva (všetko, čo má pre organizáciu hodnotu),
* Stanoviť ciele informačnej bezpečnosti (IB) v organizácii,
* Určiť spôsob analýzy rizík a hranicu akceptovateľného rizika,
* Vytvoriť rámec pre bezpečnostné opatrenia a reakcie na incidenty.

Question 2

Bezp polit - protiopatrenia

Answer 2

Voľba typu protiopatrení - výsledný zoznam rizík podľa závažnosti
· Redukcia rizika - prijatie opatrení na zníženie pravdepodobnosti a/alebo nepretržitý monitoring, napr. antivírus, firemné VPN
·Akceptovanie rizika - ak jeho úroveň nepresahuje úroveň akceptovateľného rizika; firma akceptuje riziko, že sa vyskytne krátkodobý výpadok e-mailového servera raz za niekoľko rokov
·Vyhnutie sa riziku (preventívne opatrenia) - iné riešenie, napr. presťahovanie výpočtových kapacít na bezpečnejšie miesto alebo zakázané používanie USB kľúčov a externých diskov
·Prenesenie rizika - zapojenie tretej strany – poistenie, outsourcing bezpečnostných služieb, zmluvné podmienky – zásah do x hodín

Question 3

bezp polit - subor opatreni

Answer 3

·odstrašujúcich - aby potenciálny protivník upustil od úmyslu útočiť na informačný systém (napr. legislatíva + záznamy/logy),
·preventívnych - na zabránenie vykonania útoku na informačný systém, (školenia, silné heslá, zálohovanie),
·detekčných areakčných - na včasné odhalenie príznakov útoku na informačný systém - na rýchle vykonanie vhodných obranných akcií, (skenovanie portov detekcia DDoS útokov)
·zotavujúcich - na rýchle a podľa možnosti úplné zotavenie sa informačného systému z následkov úspešného útoku(obnovenie zo zálohy).
Zvýšená úroveň bezpečnosti sa pochopiteľne dosiahne premyslenou kombináciou rôznych opatrení tak, aby sa vhodne dopĺňali a podporovali.

Question 4

bezp opatr - Bezpečnostná stratégia

Answer 4

·Nerobiť nič (a dúfať, že sa nič nestane) – pštrosia politika
·Ad hoc prístup (reakcia na objavujúce sa problémy)
·Zákonné minimum (bezpečnosť na papieri) - organizácia spĺňa len základné legislatívne požiadavky, ale neimplementuje ďalšie bezpečnostné opatrenia.
·Outsourcing IB (zaplatíme si IB) - externá firma sa stará o bezpečnosť, čo môže byť efektívne, ale organizácia stráca kontrolu
·Systematické riešenie bez certifikácie - organizácia má vlastnú stratégiu, ale nemá oficiálne certifikáty ako ISO 27001
·Certifikované riešenie - najvyššia úroveň bezpečnosti, potvrdená nezávislou autoritou.

Question 5

dovernost

Answer 5

🔐 Dôvernosť (Confidentiality)
Ochrana dát pred neoprávneným prístupom.
Mechanizmy:
* Šifrovanie (kryptografia) – zakódovanie údajov tak, aby boli zrozumiteľné len so správnym kľúčom.
* Riadenie prístupu (Access Control) – napr. ACL (Access Control Lists), RBAC (Role-Based Access Control).
* Autentifikácia používateľov – napr. heslá, biometria, multi-faktorová autentifikácia (MFA).
* Bezpečné komunikačné protokoly – napr. TLS/SSL, VPN.
* Izolácia a segmentácia sietí – obmedzenie prístupu na základe siete alebo zón.
Minimálne oprávnenie: Prístup len k tomu, čo je potrebné (Principle of Least Privilege).

Question 6

bezp - klucove pojmy a analyza

Answer 6

Kľúčové pojmy:
* Aktívum: čokoľvek, čo má pre organizáciu hodnotu.
* Strata: zníženie hodnoty aktíva, dôsledok útoku.
* Riziko: možnosť vzniku škody (straty) s určitou pravdepodobnosťou, vyjadrené kvantitatívne alebo kvalitatívne.
* Zraniteľnosť: slabé miesto, ktoré môže byť zneužité.
* Hrozba: jav, ktorý zneužíva zraniteľnosť a ohrozuje bezpečnosť.
* Bezpečnostný incident: realizovaná hrozba.

Analýza rizík zahŕňa:
* Identifikáciu aktív, hrozieb, zraniteľností, bezpečnostných požiadaviek a existujúcich opatrení,
* Výpočet očakávanej straty,
* Návrh protiopatrení a ich nákladov.

Question 7

bezp polit - pravdepobnost

Answer 7

Pravdepodobnosť naplnenia hrozby:
· Vysoká - nositeľ hrozby je vysoko motivovaný, má dostatočné prostriedky na uskutočnenie hrozby, opatrenia na elimináciu hrozby sú neúčinné
·Stredná - nositeľ hrozby je motivovaný, má prostriedky na uskutočnenie hrozby, ale v systéme sú implementované opatrenia, ktoré môžu sťažiť úspešné uskutočnenie hrozby.
·Nízka - nositeľ hrozby nemá motiváciu, alebo nemá prostriedky na uskutočnenie hrozby, alebo v systéme sú implementované opatrenia, ktoré môžu zabrániť alebo podstatne sťažiť uskutočnenie hrozby

Question 8

integrita

Answer 8

✅ Integrita (Integrity)
Zaisťuje, že informácie neboli neoprávnene zmenené, úmyselne či náhodne.
Mechanizmy:
* Kontrolné súčty a hashovacie funkcie – napr. SHA-256, na overenie, že dáta neboli zmenené.
* Digitálne podpisy – overenie pravosti a nezmenenosti správy.
* Správa verzií a záloh – sledovanie zmien a možnosť obnovy pôvodného stavu.
* Záznamy o prístupe a logovanie (audit) – zaznamenávanie, kto a kedy upravoval informácie.
* Ochrana proti malvéru – ktorý by mohol nepozorovane meniť údaje.

🌐

Question 9

dostupnost

Answer 9

Dostupnosť (Availability)
Zaisťuje, že autorizovaní používatelia majú prístup k informáciám a systémom, keď ich potrebujú.
Mechanizmy:
* Redundancia a záložné systémy – napr. RAID, klastre, záložné servery.
* Zálohovanie dát – pravidelné vytváranie kópií pre obnovu po výpadku.
* Ochrana proti DoS/DDoS útokom – napr. firewally, anti-DDoS služby, rate limiting.
* Monitoring a detekcia porúch – včasné odhalenie problémov (napr. systémové logy, SIEM).
* Load Balancing: Rozloženie záťaže medzi viaceré servery.
* Plány kontinuity činnosti (BCP) a obnovy po havárii (DRP).