Bezpečnostné princípy alebo zásady sú všeobecné rady a postupy, ktorými sa riadia všetci zamestnanci, pričom ich účelom je zvyšovať bezpečnosť pri zaobchádzaním so systémami, informáciami a technológiami.
Je mnoho bezpečnostných princípov, ktorými sa môžete riadiť, môžete si vybrať, ktoré budete aplikovať vo Vašej organizácií. Niektoré princípy sú závislé od druhých, niektoré sa navzájom vylučujú, preto je na Vás, ktoré si vyberiete a budete sa nimi riadiť. Je potrebné ešte spomenúť, že niektoré princípy sú pre Vás právne záväzné a musíte ich dodržiavať, mnohé sú pre Vás ako kategóriu I iba odporúčaním.
Toto je prirodzená požiadavka, väčšinou je zdôraznená v pracovnej zmluve. Pre externých spolupracovníkov je táto podmienka zaručená dohodou o mlčanlivosti (NDA, z angl. non disclosure agreement). Toto sa tiež vzťahuje aj na elektronickú poštu alebo softvérové balíčky.
Potrebný princíp, aby pri skúmaní logov a korelácii akcíi bolo jasné určiť, kto čo vykonal. V prípade bezpečnostného incidentu, možno ľahko identifikovať a izolovať kompromitovaný účet používateľaDisabled.
Vykonávací predpis 362/2018 Z.z. ukladá túto povinnosť pre kategórie II a III sietí a informačných systémov v ¶ 8 odsek(4) písmeno a)
Vďaka tomuto princípu používatelia nesú zodpovednosť za svoje aktivity a akcie. Po úspešnej autentifikácii je jasné, kto, kde, kedy sa prihlásil, ku ktorým aktívam pristupoval a čo s nimi robil. Tento princíp nie je obmedzený iba na informačné systémy, ba vzťahuje sa aj na fyzické priestory.
Vykonávací predpis 362/2018 Z.z. ukladá túto povinnosť pre kategórie II a III sietí a informačných systémov v ¶ 8 odsek(4) písmeno b)
Veľmi striktná zásada, povoľuje vykonávať iba tie činnosti, ktoré sú explicitné povolené. Je v priamom spore so zásadou: „Čo nie je zakázané, to je povolené“, vybrať si môžete nanajvýš jednu.
Veľmi liberálna zásada, zakazuje vykonávať iba tie činnosti, ktoré sú explicitné zakázané. Je v priamom spore so zásadou: „Čo nie je povolené, to je zakázané“, vybrať si môžete nanajvýš jednu.
Zamestnanci majú priradené iba tie oprávnenia, ktoré potrebujú na výkon svojej práce. Pomocou vyšších oprávnení, ktoré zamestnanec nepotrebuje, môže útočník po získaní autentifikačných údajov narušiť systém a informácie.
Vykonávací predpis 362/2018 Z.z. ukladá túto povinnosť pre kategórie II a III sietí a informačných systémov v ¶ 5
Zamestnanec má prístup iba k informáciám, ktoré potrebuje vedieť na výkon svojej práce. Kvázi prístup iba na čítanie.
Vykonávací predpis 362/2018 Z.z. ukladá túto povinnosť pre kategórie II a III sietí a informačných systémov v ¶ 5
Zamestnanec môže manipulovať s informáciami (modifikovať, mazať, pridávať…) alebo d-IKT (meniť konfiguráciu, vypínať, zapínať, spúšťať programy…). Kvázi prístup na čítanie a zapisovanie.
Citlivé činnosti vykonávajú dve osoby, jedna osoba kontroluje druhú, čim sa zníži (ale nevynuluje) pravdepodobnosť chýb a zneužitia.
Tento princíp pomáha predchádzať zneužívaniu právomoci alebo postavenia. Pri zaraďovaní bezpečnostných rôl alebo rozširovaní kompetencií treba dohliadať na to, aby nedošlo ku konfliktom záujmov - napríklad, osoby, ktoré implementujú opatrenia, nie sú tie, ktorý ich tiež kontrolujú alebo schvaľujú. Pri malých organizáciach je ťažké sa niečomu takémuto vyhnúť, keďže často musí byť jeden zamestnanec zaradený do viacerých rolí súčasne.