Bezpečnost informací Oborové normy

Transkript

1 Bezpečnost informací Oborové normy V Brně dne 24. června 2014

2 Oborové normy Státní správa Zdravotnictví ISP Energetika Akademické a univerzitní prostředí Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 2

3 Státní správa Státní správa 3

4 ISMS ve státní správě Pojmy: ISVS Informační č systémy veřejné ř správy MIČR Ministerstvo Informatiky ČR zrušeno v roce 2007 NSIB Národní strategie informační bezpečnosti ČR - Zajištění informační bezpečnosti veřejnou správou - Strategie předpokládá spolupráci orgánů veřejné správy s národní normalizační institucí (tj. Českým normalizačním institutem) při tvorbě norem z oblasti informační bezpečnosti. NCKB Národní centrum kybernetické bezpečnosti CERT Computer Emergency Response Team je vládní pracoviště zřízeno jako součást NCKB a značí tým pro řešení bezpečnostních počítačových incidentů Státní správa je z pohledu ISMS a jeho zavádění nejpotřebnější a nejkritičtější oblast z pohledu množství a členitosti zpracovávaných údajů. ISVS 4

5 ISMS ve státní správě Specifika zavádění ISMS ve státní správě - převážná část dokumentů existuje v papírové formě - komplikované hodnocení dopadů při analýze rizik - komplikovaná mezirezortní komunikace V dokumentu Bezpečnostní strategie ČR zroku 2011 zmiňuje v seznamu bezpečnostních hrozeb kybernetické útoky a ohrožení funkčnosti kritické infrastruktury. Ve vztahu k bezpečnostním požadavkům jsou v ČR nejvýznamnějšími: - zákon č. 365/2000 Sb., o informačních systémech veřejné správy - zákon č. 81/2012 Sb., je poslední novela předchozího - zákon č. 499/2004 Sb., o archivnictví a spisové službě - zákon č. 167/2012 Sb., je poslední novela předchozího - vyhláška č. 529/2006 Sb., o dlouhodobém řízení informačních systémů veřejné správy - vyhláška č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb ISVS 5

6 ISMS ve státní správě V České republice byl v prosinci roku 2002 vydán Standard ISVS 005/02.1 pro náležitosti životního cyklu informačního systému (vydal Úřad pro veřejné informační č systémy v Praze). Národní digitální archiv Prvního července roku 2012 nabyla účinnosti další novela zákona č. 499/2004 Sb., o archivnictví a spisové službě. Otevřela se tím legislativní cesta k vybudování Národního digitálního archivu, který bude specializovaným servisním pracovištěm a bude zajišťovat trvale udržitelné a bezpečné uchování digitálních dokumentů vybraných za digitální archiválie. Národní portál Součástí realizace Národního digitálního archivu bude tzv. Národní portál, který bude mít celou řadu zásadních funkcí, a to nejen pro vlastní původce, ale také pro badatele. Půjde o informační systém veřejné správy, který bude spravovat Národní archiv. V rámci EU je funkční model zvaný Úřední věstník Evropské unie, který formou prováděcích nařízení í komise EU stanovuje například technické specifikaci pro zabezpečení systémů ICT v rámci ISMS. ISVS 6

7 ISMS ve státní správě Seznam opatření s monitorováním proti k efektivnímu blokování současných známých útoků (20 Critical Security Controls): 1. inventář autorizovaných a neautorizovaných zařízení (HW audit) 2. inventář autorizovaného a neautorizovaného SW (SW audit) 3. bezpečné konfigurace HW a SW na pracovních stanicích a serverech 4. průběžná kontrola zranitelnosti a její j odstranění 5. ochrana před škodlivým SW 6. bezpečnost aplikačního SW 7. opatření pro bezdrátová zařízení 8. schopnost obnovy dat (manuální ověření) 9. posouzení bezpečnostních schopností a vhodné školení (manuální ověření) 10. bezpečná č ákonfigurace síťových ýhzařízení í (fireally, routery a switche) ISVS 7

8 ISMS ve státní správě Seznam opatření s monitorováním proti k efektivnímu blokování současných známých útoků (20 Critical Security Controls) - pokračování: 11. omezení a opatření pro síťové porty, protokoly a služby 12. řízení administrativních privilégií 13. ochrana perimetru 14. údržba, sledování a analýza bezpečnostních log záznamů 15. kontrola přístupu založený na principu need to know 16. sledování a řízení uživatelských účtů 17. předcházení ztrátám dat (Data Loss Prevention) 18. schopnost reakce na incidenty (manuální ověření) 19. bezpečný síťový inženýring 20. penetrační č ítestyt ISVS 8

9 4 fáze penetračních testů Planning Discovery Attack Reporting pouze příprava na testování (2 části start testování a analýza hrozeb Vulnerabilities) základní a individuální fáze dle analýzy hrozeb se zpětnou vazbou průběžné dokumentování testů Mngr ISMS 9

10 Zdravotnické prostředí Zdravotnictví 10

11 ISMS ve zdravotnictví Zdravotnická informatika (Health informatics) je vědecká disciplína, která se zabývá poznávacími, informačně-zpracovatelskými a komunikačními úkoly zdravotnické praxe, vzděláním a výzkumem včetně informační vědy a technologií na podporu těchto úkolů. (Definováno v ISO/TR 18307:2001, definice 3.73) Zdravotnický informační systém (Health informatik system) je úložiště (repositář) informací týkajících se zdravotního stavu subjektu péče v počítačově zpracovatelné formě, uložených a přeníášených bezpečně, a přístupných více autorizovaným uživatelům. (Definováno v ISO/TR 20514:2005, definice 2.25) Osobní zdravotní informace (Personal health information) jsou informace o identifikovatelné osobě, které se vztahují na fyzické nebo duševní zdraví jedince, nebo na poskytování zdravotních služeb jednotlivé osobě. Z pohledu provozního prostředí je třeba vnímat zdravotnictví jako specifikum, které je řešeno odlišnými požadavky na informační systémy. Oborové ISMS 11

12 ISMS ve zdravotnictví - prostředí Aktiva z pohledu bezpečnosti zdravotních informací zahrnují: - Lékařské informace - Služby IT -HW - SW - Komunikační zařízení - Média (nosiče dat) - IT zařízení - Lékařská zařízení, která zaznamenávají nebo poskytují data Organizace, které zpracovávají zdravotnické informace, včetně osobních údajů, musí mít politiku bezpečnosti informací, která je schválena vedením, publikována a sdělena všem zaměstnancům a příslušným vnějším stranám. Oborové ISMS 12

13 ISMS ve zdravotnictví - zařízení Specifické požadavky na bezpečnost zdravotnických elektronických přístrojů - Elektrická zdravotnická zařízení (MED) - dva prostředky ochrany MED: - Prostředek ochrany obsluhy - MOOP (MEANS OF OPERATOR PROTECTION) Prostředek ochrany pro snížení rizika úrazu elektrickým proudem osob jiných, než pacienta. - Prostředek ochrany pacienta MOPP (MEANS OF PATIENT PROTECTION) - Zdravotnický elektrický systém (definice a popis v ČSN EN edice 2 kapitola 16) - ČSN EN (ed. 2) Zdravotnické elektrické přístroje Část 1: Všeobecné požadavky na základní bezpečnost a nezbytnou funkčnost ( ). Specifické požadavky na redundanci v napájení zařízení ICT - napájení standardními okruhy s UPS - záložní motorgenerátor (týdenní test s přepojením okruhů, ) - Specifické okruhy pro MED s bezpečným napětím Oborové ISMS 13

14 Medicínská zařízení EU direktiva 93/42/EEC z roku definuje medicínská zařízení a jejich řazení do tříd EU direktiva 93/68/EEC - Definuje podmínky pro udělení certifikátu CE - Označení CE potvrzuje tzv. shodu produktu s požadavky předpisů EU. - v ČR tzv. prohlášení o shodě dle zákona č. 22/1997 Sb. (Zákon o technických požadavcích na výrobky) Oborové ISMS 14

15 ISO/IEC 27799:2008 ISO/IEC 27799:2008 Zdravotnická informatika Systémy řízení bezpečnosti informací ve zdravotnictví využívající ISO/IEC Tato mezinárodní norma definuje obecné zásady pro podporu interpretace a implementace zdravotnické informatiky ISO/IEC a je doprovodem této normy. Tato norma specifikuje soubor podrobných kontrol pro řízení í bezpečnosti č zdravotnických informací a poskytuje směrnice pro prověřené postupy v oblasti bezpečnosti zdravotnických informací. Tato norma se vztahuje na zdravotnické informace ve všech aspektech, bez ohledu na jejich formu (slovní a číselnou, zvukové nahrávky, kresby, video a lékařské snímky), na prostředky k jejich ukládání (tisk, zápis na papíře nebo elektronické uložení) a na prostředky využívané k jejich přenosu (ručně, faxem, přes počítačové sítě či poštou), protože tyto údaje musí být vždy náležitě chráněny. Normy ISO/IEC a ISO/IEC společně určují, jaké jsou požadavky na bezpečnost informací ve zdravotnictví. Tuto mezinárodní normu uzavírají tři informační č přílohy. -Příloha A popisuje obecné hrozby pro zdravotnické informace -Příloha B stručně popisuje úkoly a související dokumenty systému řízení bezpečnosti č zdravotnických informací - Příloha C popisuje výhody podpůrných nástrojů jako pomoc při implementaci Oborové ISMS 15

16 KI a zdravotnictví Pojem Krizová infrastruktura ve zdravotnictví - je vyčleněná část zdravotnického segmentu zajišťující základní a existenčně nezbytné funkce systému poskytování zdravotnických služeb a zdravotní péče v podmínkách nouzových až kritických situací Výběrovým kritériem prvků krizové infrastruktury resortu je legitimní ukazatel druh, rozsah a místo poskytování služeb. Pojem Kiti Kritická káinfrastruktura ve zdravotnictví t - je vybraná soustava klíčových prvků krizové infrastruktury, které jsou určující pro zabezpečení základní, existenčně nezbytné funkce systému Kritériem je odborně posouzená role prvku z hlediska rozsahu, závažnosti a času. Rozsah místní, regionální, vnitrostátní, mezinárodní. Závažnost dle dopadu na obyvatele, hospodářství, životní prostředí, veřejné zdraví, psychiku a politiku. Čas určuje závažnost dopadu okamžitě, do 24, 48, 72 hodin, 7 dnů, atd. KI 16

17 ISP ISP 17

18 ISMS a ISP Pojmy: ISP (Internet Service Provider) - je poskytovatel telekomunikačních a datových služeb. ISMS-T - je označení pro problematiku ISMS v telekomunikačním prostředí. JTC1/SC27 je technická podkomise ISO/IEC zabývající se standardizací IT bezpečnosti. ITU - (International Telecommunication Union) - Mezinárodní telekomunikační unie Problematika bezpečnosti je řešena dvojí cestou. První je IT, druhá ryze telekomunikační (ISMS-T). Ta je řešena normativně organizací ITU-T. ITU-T - ITU-T připravuje technické specifikace pro telekomunikační systémy, sítě a služby, včetně jejich provozu, fungování a údržbu. V rámci ITU-T jsou vytvářeny pracovní skupiny SG (Study Group) s určenými aktivitami. Telekomunikační bezpečnost je bezpečnost ICT technologií v telekomunikačních aplikacích (ISMS-T). Konvergence telekomunikačních sítí je technologické přibližování či přechod k jednotnému síťovému řešení. NGN Next Generation Network jsou konvergované telekomunikační č sítě poskytující í komplexní služby koncovým uživatelům. Oborové ISMS 18

19 ISMS a ISP Bezpečnost komunikačních služeb lze schématicky znázornit na příkladu blokového zapojení a vzájemných vazeb dle Q9/17 - Secure Communication Services: Oborové ISMS 19

20 ISP odpovědnost a kybernetická kriminalita Management informační bezpečnosti 20

21 ISP Odpovědnost ISP dle platné legislativy - pojem ISP (vymezení dle zákona č. 480/2004 Sb., dělení dle typu poskytovaných služeb hosting, caching, přenos dat) - pojem odpovědnosti z pohledu práva - odpovědnost ISP za obsah přenášených a ukládaných informací, koncepce safe harbor -předpoklady, podmínky a limitace vzniku odpovědnosti ISP - filehostingové služby boj autorských svazů proti těmto modelům podnikání, - žaloby na zákaz poskytování služeb, které mohou vést k porušování autorských práv - blokace webových stránek ze strany poskytovatelů připojení Praktické zkušenosti očima poskytovatelů služeb - odpovědnost za obsah poskytnutý uživateli a za obsah nelegálně získaný a umístěný na server poskytovatele - odpovědnost za uveřejněné ř ě éinformace Management informační bezpečnosti 21

22 Internetové služby Rozhodovací praxe soudů v oblasti internetových služeb - služby poskytující autorsky chráněný obsah v judikatuře - žaloby na blokaci webových stránek ze strany poskytovatelů připojení - rozhodné právo a jurisdikce v prostředí internetu (řízení vztahů na internetu) Kybernetické útoky a kybernetická trestná činnost - současné č aspekty kybernetické ké kriminality i - pojem kybernetických útoků - postup orgánů činných v trestním řízení při odhalování kybernetické trestné činnosti Management informační bezpečnosti 22

23 ISO/IEC 27011:2008 ISO/IEC 27011:2008 Information technology Security techniques Information security management guidelines for telecommunications organizations based on ISO/IEC Norma ISO/IEC je přizpůsobena telekomunikačnímu prostředí a je postavena na bázi všeobecné normy ISO/IEC Norma řeší následující témata: - Obecné pokyny pro informační bezpečnost - Organizační struktury - Odpovědnost a klasifikaci i informačních č aktiv - Bezpečnostní opatření pro zaměstnance - Fyzickou ochranu a veřejné služby -Sítě a provozní bezpečnost - Řízení přístupu - Systém vývoje a údržby - Bezpečnostními incidenty - Plánování á havarijní připravenost - Dodržování vnitřních a regulačních požadavků ITU-T Recommendation X.1051 Information security management system Requirements for telecommunications (ISMS-T) Doporučení X.1051 platí pro ISMS v telekomunikačním prostředí (ISMS-T). Oborové ISMS 23

24 NGN Pro NGN (Next Generation Networks) platí norma ve formě ITU-T následující bezpečnostní doporučení: ITU-T Recommendation X.800 Security architecture for Open Systems Interconnection for CCITT applications ITU-T Recommendation X.805 Security Architecture for Systems Providing End-to-End Communications NGN (Next Generation Networks) sítě následující generace jsou konvergované sítě poskytující komplexní síťové služby na úrovni dat, komunikací a multimediálních aplikací. Jsou postaveny na přenosu paketů a určeny k poskytování telekomunikačních služeb uživatelům. Doporučení ITU-T T Y.2001 definuje NGN jako síť založenou na přepojování paketů. Dodatek k doporučení ITU-T Y.2011 doporučuje vhodný model OSI pro NGN. Doporučení ITU-T Y.120 definuje model konvergence sítě. Doporučení ITU-T T Y.2701 Security requirements for NGN Doporučení ITU-T Y.2704 Security mechanisms and procedures for NGN Konvergenci zpohledu bezpečnosti č bude řešit připravovaná norma ISO/IEC IP konvergence. Oborové ISMS 24

25 NGN Konvergenční model NGN je řešen ve třech aplikačních vrstvách (data, vysílání, telekomunikace). Rozfázování konvergence lze provést v následných krocích: Obsah > Služby > Infrastruktura > Koncový uživatel Oborové ISMS 25

26 IMS IMS (IP Multimedia Subsystem) jako součást NGN Oborové ISMS 26

27 Energetika Energetika 27

28 Distribuce elektřiny Kolem připravované novely energetického zákona (č. 458/2000 Sb.) je rušno. Za dobu platnosti zákona je již jednadvacátá! Příklad: Současná platba za elektřinu se skládá z několika složek. U elektřiny jsou prakticky významné tři složky ceny: - Platba za distribuci elektřiny distributorovi - Platba za odebrané množství elektřiny -Příspěvek na obnovitelné zdroje Přičemž platba za odebranou elektřinu je jedinou složkou ceny, kterou stanovuje trh. Je závislá na množství odebraných kilowatthodin (kwh). Platba za distribuci je regulovaná a její výše je každoročně stanovována vyhláškou Energetického regulačního úřadu. Tato platba tvoří téměř polovinu celkové ceny a má dvě složky: - pevnou platbu za přípojné poj místo (jejíž výše je závislá á na velikosti hlavního jističe) - platbu za odebrané kwh. Energetika 28

29 Energetika ISO/IEC TR 27019:2013 Information technology -- Security techniques -- Information security management guidelines based on ISO/IEC for process control systems specific to the energy utility industry Poskytuje hlavní zásady postavené na ISO/IEC aplikované na systémy řízení procesů používaných v energetickém průmyslu. Cílem ISO/IEC TR 27019:2013 je rozšířit ISO/IEC soubor norem na oblast procesních řídicích systémů a automatizační techniky, což umožňuje energetickému rozvodnému průmyslu implementovat standardizovaný systém řízení informační bezpečnosti (ISMS) v souladu s normou ISO/IEC se záběrem až na úroveň řízení procesů. Rozsah ISO/IEC TR 27019:2013 se vztahuje na systémy řízení procesů používaných v energetice pro řízení a monitorování výroby, přenosu, skladování a distribuci elektrické energie, plynu a tepla v kombinaci s kontrolou podpůrných procesů. Mimo záběr ISO/IEC TR 27019:2013 je konvenční nebo klasické ovládací zařízení, které není postaveno na digitálním principu, tedy je čistě elektromechanické nebo je postaveno na analogovém principu. Energetické systémy řízení technologických procesů v domácnostech a jiných srovnatelných obytných budovách nespadají do působnosti ISO/IEC TR 27019:2013. Oborové ISMS 29

30 Energetika Působnost normy se týká především následujících systémů, aplikací a komponentů: - obecně IT technologií podporující centrální a distribuované řízení procesů, monitorování a automatizační techniky, včetně IT systémů používané pro jejich provoz - číslicových ý h regulátorů ů a automatizačních ti č komponentů, jako je řízení í a periferie i nebo PLC, včetně digitálních prvků pro snímače a pohony - všech dalších podpůrných IT systémů používaných v oblasti řízení procesů, např. pro sběr doplňujících údajů, vizualizační úlohy a pro řízení, monitorování, archivaci dat a k dokumentačním účelům - komunikačních technologií používaných v oblasti řízení technologických procesů, např. sítí, telemetrii, dálkové aplikace a dálkové ovládání technologií - digitálního měření a měřících přístrojů (pro měření spotřeby energie nebo mezních hodnot emisí) - digitální ochrany a bezpečnostních systémů, např. ochranná relé nebo bezpečnostní PLC měření a měřicí zařízení (měření spotřeby energie nebo mezních hodnot emisí) - distribuovaných komponentů prostředí budoucích inteligentních sítí - veškerého softwaru, firmwaru a aplikací nainstalovaných ve výše zmíněných systémech Oborové ISMS 30

31 SCADA dohledové systémy SCADA (Supervisory Control and Data Acquisition) ICS (Industrial Control System) Dohled nad KI 31

32 SCADA/HMI Profesionální SCADA/HMI systém určený pro monitorování a ovládání průmyslových procesů a automatizaci budov. Základní atributy SW SCADA: - intuitivní, přehledné a moderní vývojové prostředí - rychlý vývoj aplikací (RAD) - vizualizace pro PC, web, tablety a chytré telefony - rozsáhlá knihovna grafických objektů - rychlá a kvalitní technická podpora SCADA není plnohodnotným řídicím systémem, ale zaměřuje se spíše na úroveň supervizora (např. dispečera). Zpravidla je to software fungující nad skutečným řídicím systémem založeným např. na PLC (programovatelný logický automat) nebo jiných HW zařízeních. HMI je zkratka pro Human Machine Interface, tzn. rozhraní mezi člověkem a strojem. Atributy 32

33 Akademické prostředí Akademické prostředí 33

34 Campus optická páteř Oborové ISMS 34

35 Akademické a univerzitní prostředí Akademickým prostředím je v této souvislosti myšleno prostředí vysokoškolských zařízení. Škola kromě ě toho, že poskytuje internet t svým zaměstnancům, ě ů tak se také stává á poskytovatelem internetu pro své studenty (zpravidla formou WiFi). Je tedy nutné zdůraznit následující: řádné oddělení sítí (síť pro zaměstnance, síť v počítačových učebnách, WiFi síť) a s tím související přístupová práva (nejen 802.1x) a QoS (přidělení priorit jednotlivým typům služeb) dodržování IT standardů (umožnění funkčního připojení zařízení od různých výrobců, zejména v případě wifi sítě a notebooků studentů) AAA (autentizace a autorizace jednotlivých uživatelů samostatně a nikoliv sdílená hesla) logování aktivit uživatelů (přihlášení, odhlášení, použité služby, IP adresy apod.) adekvátní bezpečnostní politika - např. (dočasné) omezení přístupu k WiFi (nebo jiný postih)v případě potenciálního ohrožení sítě (přítomnost viru nebo červa na notebooku apod.) či jiného porušení pravidel jejího používání, znemožnění instalování dalšího software studenty na PC v počítačových učebnách atd. zabezpečení WiFi sítě (WPA2, AES, 802.1x, filtrace portu 25 tj. používání pouze vlastního školního mail serveru, atd.) Oborové ISMS 35

36 Akademické a univerzitní prostředí - Campus Oborové ISMS 36

37 Univerzitní prostředíaisms Management informační bezpečnosti 37

38 Univerzity a bezpečnostní politika Správa osobních dat studentů materiály související s přijímacím řízením zdravotní stav studentů hodnocení jednotlivých studijních výsledků ročníkové a diplomové práce zaměstnávání studentů na technických místech 2. Správa osobních dat zaměstnanců univerzity interní dokumenty správa software (licence, vlastní SW) autorská práva a ochranné známky ekonomická data To jsou dostatečné důvody pro vytvoření bezpečnostní politiky univerzity! Management informační bezpečnosti 38

39 Univerzity a bezpečnostní politika - 2 Objektová a přístupová bezpečnost studijní oddělení oddělení pro vědeckou činnost útvar ICT sekretariáty ústavů Zahraniční oddělení Cíle bezpečnostníč politiky definování zásad managementu bezpečnosti způsob řízení definováním rolí s pravomocemi a zodpovědností pojmenování východisek pro hlavní zásady a řešení informační bezpečnosti působení na zvyšování bezpečnostního povědomí zaměstnanců a studentů Management informační bezpečnosti 39

40 Finanční požadavky na zavedení ISMS pro univerzitu ,- Kč ,- Převzato z příspěvku ě BEZPEČNOSTNÍ POLITIKA UNIVERSITY (SECURITY POLICY OF UNIVERSITY) autorů ů Dagmar Brechlerové a Michala Moravce z České zemědělské univerzity, uveřejněno ve sborníku mezinárodní konference UNINFOS Univerzitné informačné systémy. Management informační bezpečnosti 40

41 Akademické a univerzitní prostředí - požadavky Základní požadavky na řešení: - Centralizovaný AP management (postavený na tunelování) - Kontrola Zabezpečeného přístupu - Uživatelský roaming v rámci kampusu (L2/3) -Chytrý klient (IPhone, ipad, tablet ) skompatibilním bezdrátovým FW, blokování P2P Poznámka: P2P je síť Peer-To-Peer (což je označení pro celosvětové distribuované systémy, ve kterých může každý uzel sloužit zároveň jako klient i jako server). Tyto sítě slouží ke sdílení velkého objemu dat mezi uživateli (většinou soubory s nelegálním obsahem). 3 stupně ochrany: - ochrana studentů - ochrana objektů (školy) - ochrana zaměstnanců Oborové ISMS 41

42 Ukázka řešení informační bezpečnosti v akademickém prostředí Data Security Program for Higher Education a jeho výhody: Locate and Protect Sensitive Data Správa a ochrana citlivých dat Meet ISO & Compliance Standards Soulad se standardy ISO a PCI DSS (PA-DSS) Enable BYOD Správa zařízení BYOD Poznámka: PCI DSS PA DSS Achieve Simplicity (Payment Card Industry) (Data Security Standard) (Payment Application Data Security Standard) Centrální řízení, automatizace a správa informační bezpečnosti Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 42

43 Ukázka řešení informační bezpečnosti v akademickém prostředí Risk Assessment Services Helps you find, identify and prioritize threats to your organization so you can correct any deficiencies, and obtain and maintain compliance. Secure Web Gateway Enables safe and productive access to Web 2.0, while ensuring compliance, minimizing data loss and eliminating malware risks. SIEM Helps you gain broad visibility of threats to your network and improve your compliance process through logging, monitoring, and analysis of events. Security Awareness Education Instructs your employees and contractors to understand the threat of social engineering and follow best practices for security, including password management and the safe use of web and social media tools. SSL Certificates Encrypts sensitive data that you collect through your website and assures visitors, including students, faculty, alumni and benefactors, that they are accessing a trustworthy site. Secure Web communication, protect e-commerce transactions and reinforce customer trust with 256-bit SSL certificates. Data Loss Prevention Allows you to discover and classify electronic sensitive information and prevent it from leaving the network. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 43

44 pokračování Network Access Control Ensures managed and unmanaged devices connecting to the network comply with policies and do not introduce malware. Web Application Firewall Protects against external attackers using web vulnerabilities, such as SQL injection, to steal sensitive information. Two Factor Authentication Controls access to applications that contain sensitive or private student information, or intellectual property that exists on individual department networks. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 44

45 Akademické a univerzitní prostředí - směrnice Ilustrativní seznam platných směrnic pro univerzitní prostředí (vztahujících se k IS/IT) - Univerzitní (celoškolské) Směrnice rektora pro centrální IS Směrnice rektora - Pravidla provozu počítačové sítě Směrnice rektora - Pravidla správy počítačové sítě Organizační řád (pro výpočetní a informační služby) - Fakultní Strategie rozvoje ICT Strategie bezpečnosti ICT Strategie rozvoje Internet a Intranet alikací Směrnice správy IS - provoz elektronické pošty a diáře Směrnice správy IS - provoz Internetu Směrnice správy IS - provoz Intranetu Směrnice správy IS - zavádění a změny účtů zaměstnanců a studentů Směrnice správy IS - pravidla pro práci s elektronickou poštou zaměstnanců Směrnice správy IS - pravidla pro práci s elektronickou poštou studentů Oborové ISMS 45

46 Akademické a univerzitní prostředí - Fakultní (pokračování) Pravidla pro připojování a používání koncových zařízení Vnitřní předpis pro používání multimediálních učeben Vnitřní řád pro laboratoře výpočetní techniky Objektová bezpečnost zabezpečení a řízený přístup do poslucháren Zásady přidělování práv v přístupovém systému - Útvarové (například pro útvar IS) Organizační řád útvaru IS Popisy práce jednotlivých pracovníků útvaru IS Bezpečnostní školení dle vyhlášky 50 Oborové ISMS 46

47 Akademické a univerzitní prostředí zavádění ISO Fakultní zavádění ISO (Systém managementu bezpečnosti informací) - Jmenování odpovědné osoby pro zavádění ISO standardů (vhodná osoba i z pohledu zavádění ISO na útvaru IS) -Výběr konzultanta či firmy pro zavádění ISO Ustavení a zavedení ISMS (vyhotovení příručky ISMS, hodnocení rizik, dokumentace postupů provádění opatření ISMS, návrh záznamů k prokázání ISMS) - Ustavení a proškolení interního auditora ISMS a provedení interního auditu - Zpracování a přezkoumání ISMS vedením fakulty - Výběr akreditované certifikační autority pro ISO Externí audit a certifikace ISO Útvarové zavádění ISO (Systém managementu služeb IT) na útvaru IS - Jmenování odpovědné osoby pro zavádění ISO standardů (vhodná osoba i z pohledu zavádění ISO 27001) -Výběr konzultanta či firmy pro zavádění ISO Ustavení a zavedení ITSM (vyhotovení příručky ITSM a katalogu služeb útvaru IS) - Ustavení a proškolení interního auditora ITSM a provedení interního auditu - Zpracování a přezkoumání ITSM vedením útvaru - Výběr akreditované certifikační autority pro ISO Externí audit a certifikace ISO útvaru IS Oborové ISMS 47