Policejní akademie České republiky v Praze BEZPEČNOST INFORMACÍ

Transkript

1 Policejní akademie České republiky v Praze Fakulta bezpečnostního managementu PRŮVODCE KOMBINOVANÝM STUDIEM Metodická studijní opora BEZPEČNOST INFORMACÍ Bakalářský studijní program Veřejná správa, studijní obor Bezpečnostní management ve veřejné správě. 1

2 Obsah 1. Vstupní informace k předmětu Bezpečnost informací Pojetí způsobu a charakteru výuky v organizovaných soustředěních Pojetí způsobu studia v distanční části Konzultace a další způsoby výuky nabízené katedrou Zadání požadavků a úkolů pro samostatnou práci studentů a způsob jejich hodnocení Přehled témat předmětu určených k prostudování Zaměření k zápočtu Přehled témat seminárních prací Celkový přehled studijní literatury k předmětu Plán přednášek pro kombinované studium

3 Průvodce kombinovaným studiem 1. Vstupní informace k předmětu Bezpečnost informací a) název a typ studijního předmětu: Bezpečnost informací B71 povinně volitelný předmět b) odborný garant předmětu: doc. RNDr. Josef Požár, CSc. c) učitel vyučující předmět: Ing. Bc. Marek Čandík, Ph.D. d) Cíl předmětu JUDr. Štěpán Kalamár, Ph.D. Cílem předmětu je seznámení se základními způsoby zajištění bezpečnosti dat v počítačových systémech. Důraz je kladen na hardwarovou a softwarovou ochranu počítačů, uspořádání počítačových sítí, šifrování a přenosu dat při zajištění jejich důvěrnost, na personální bezpečnost, právní a etické aspekty kybernetické bezpečnosti. Probíraná je oblast ochrany operačních a informačních systémů. Předmět se věnuje problematice kybernetické kriminality a seznamuje studenty se základními právními prameny, které jsou aplikované v oblasti informačních technologií. e) stručná anotace předmětu a osnova předmětu: Obsahem předmětu je teoretické a praktické seznámení se základními aspekty bezpečnosti dat a informací, včetně kybernetické kriminality, jejich způsoby a možnými prostředky boje proti nim. Výklad zahrnuje jak klasické způsoby ochrany dat, kybernetickou a informační bezpečnost při aplikaci moderní informačních a komunikačních technologií. Důraz je kladen na hardwarovou a softwarovou ochranu počítačů, uspořádání počítačových sítí, šifrování a přenosu dat při zajištění jejich důvěrnosti. Probíraná je oblast ochrany operačních a informačních systémů. Předmět se věnuje problematice kybernetické kriminality a seznamuje studenty se základními právními prameny, které jsou aplikované v oblasti informačních technologií. Praktická část výuky probíhá na počítačových učebnách, kde studenti aplikují získané vědomosti na počítačích. f) podmínky udělení zápočtu či složení zkoušky: Na závěr studia předmětu student vypracuje seminární práci. Studenti si však mohou zvolit téma práce, které učitel odsouhlasí. Seznam témat seminárních prací je uvedený v dalším textu. Při ústním pohovoru student prokáže znalost přednášené tématiky a obhájí svou seminární práci. 3

4 .způsob zakončení předmětu: ZÁPOČET g) návaznosti předmětu: Předmět předpokládá základní počítačovou gramotnost studentů. 2. Pojetí způsobu a charakteru výuky v organizovaných soustředěních Předmět Bezpečnost informací je vyučován v druhém semestru prvního ročníku bakalářského studia, student absolvuje celkem dvě soustředění po dvou hodinách. Účast na plánovaných přednáškách v rámci jednotlivých soustředění je nepovinná. Základní používanou organizační formou výuky je přednáška zaměřená na výklad klíčových oblastí požadovaných znalostí a uvedení nejčastějších chyb ve vlastní prezentaci a jejím přednesu. V rámci přednášky studenti obdrží i metodické doporučení k samostatné studijní práci. Obsah jednotlivých přednášek budou moci studenti zjistit prostřednictvím SISu (budou zde uvedené v časovém předstihu). 3. Pojetí způsobu studia v distanční části Studenti se připravují samostatně, a to buď individuálně, nebo výhodněji v malých skupinkách na počítačové učebně, kde jim vyučující může poskytnout další učební texty k problematice v elektronické podobě. 4. Konzultace a další způsoby výuky nabízené katedrou S vyučujícími lze konzultovat osobně případně mailem nebo telefonicky v jeho vypsaných konzultačních hodinách nebo i mimo ně. Platné konzultační hodiny jsou uveřejněny na webových stránkách fakulty. Garant předmětu: doc. RNDr. Josef Požár, CSc. katedra managementu a informatiky, FBM místnost: budova A1, 101. telefon: konsultační hodiny: úterý - 12:00-14:00 pozar@polac.cz Vyučující: Ing. Bc. Marek Čandík, PhD. katedra managementu a informatiky, FBM místnost: budova A1, 512. Telefon: Konzultační hodiny: úterý 9:30 11:00 hod. candik@polac.cz Vyučující: JUDr. Štěpán Kalamár, Ph.D. katedra managementu a informatiky, FBM místnost: budova A1, 527. telefon: Konzultační hodiny: úterý 9:30 11:00 hod. kalamar@polac.cz 4

5 5. Zadání požadavků a úkolů pro samostatnou práci studentů a způsob jejich hodnocení Konkrétní požadavky a úkoly pro samostatnou práci budou moci studenti zjistit prostřednictvím SISu (budou zde uvedené v časovém předstihu). Znalosti studentů se zjišťují z kvality seminární práce a pohovoru z obsahu přednášené látky. Student musí k zápočtu z předmětu vypracovat seminární práci v rozsahu nejméně 12 stran textu a týden před termínem vykonáním zápočtu odeslat ji elektronicky ve formátu *.doc zkoušejícímu examinátorovi. Tato seminární práce je podmínkou k vykonání zápočtu z předmětu Bezpečnost informací. Téma seminární práce je uvedené v následující části studijní opory. 6. Přehled témat předmětu určených k prostudování Obsahové zaměření předmětu (Tématické okruhy): 1. soustředění seznámení s předmětem. požadavky na udělení zápočtu. Bezpečnostní rizika, hrozby, incidenty a bezpečnostní útoky. Hardwarová a fyzická bezpečnost. Softwarová bezpečnost. Antiviry a Firewally, Spyware, adware. Databázová a síťová bezpečnost. Kryptografie v informačních systémech. Základy šifrování a kódování. Elektronický podpis. 2. soustředění Fyzická, režimová a administrativní bezpečnost. Personální bezpečnost. Bezpečnost počítačových sítí. Kybernetická kriminalita v organizaci. Právo a bezpečnost informací. Právní a etické aspekty bezpečností informací 7. Zaměření k zápočtu Způsob ukončení předmětu: zápočet Kontrolní otázky 1. Pojem bezpečnost informací a informační bezpečnost. 2. Druhy ochrany dat a bezpečnosti informací. 3. Základní pojmy informační bezpečnosti. 4. Bezpečnostní hrozby a rizika. 5. Přehled druhů hrozeb, rizik a incidentů v bezpečnosti informací. 6. Klasifikace a kategorie útočníků na informační systém. 7. Možnosti eliminace hrozeb. 5

6 8. Hardwarová bezpečnost a její druhy. 9. Hardwarové prostředky kontroly osob. 10. Síťová hardwarová ochrana. 11. Hrozby a způsoby napadání IS, druhy HW rizik. 12. Pojem počítačového viru, druhy a klasifikace virů. 13. Popis funkce antivirových programů. 14. Firewally. IDS a IPS ochrana. 15. Spyware problém úniku dat z počítače. 16. Phishing, pharming. 17. Hacking, cracking a sparing. 18. Bezpečnost dat v operačních systémech. Bezpečnost programů. 19. Bezpečnost objektů a souborů. 20. Možnosti spolehlivosti sítí a dat. 21. Hrozby databázové bezpečnosti. 22. Programy ohrožující bezpečnost. 23. Hrozby fyzické bezpečnosti. 24. Administrativní bezpečnost organizace. 25. Principy fyzické, režimové a personální ochrany IS. 26. Personální bezpečnost při práci s elektronickou poštou. 27. Druhy a způsoby fyzického ohrožení organizace. 28. Režimová bezpečnost v organizaci příklad. 29. Možné útoky na kryptografické algoritmy. 30. Pojem šifry, kryptografie a kryptologie. 31. Symetrické a asymetrické šifrování. 32. Principy elektronického a digitálního podpisu. 33. Zásady a postupy při tvorbě bezpečnostní politiky organizace. 34. Hrozby personální bezpečnosti. 35. Bezpečnostní opatření personální bezpečnosti organizace. 36. Druhy síťových protokolů. 37. Bezpečnost dat v operačních systémech. 38. Bezpečnost programů na síti. 39. Bezpečnost objektů a souborů. 40. Pojem počítačová, informační a kybernetická kriminalita. 41. Charakteristika kybernetické kriminality. 42. Trendy kybernetické kriminality. 43. Druhy a způsoby personálního ohrožení organizace. 44. Perspektivy a obtíže lidského faktoru informační bezpečnosti. 45. Diskuse k zák. č. 101/2000 Sb., o ochraně osobních údajů. 46. Zák. č. 412/2005 Sb., o ochraně utajovaných informací a vyhláškách NBÚ. 6

7 8. Přehled témat seminárních prací Téma vlastní prezentace si každý vybere z oblasti svého zájmu nebo pracovního zaměření. 1. Uplatňování zásad personální ochrany informací organizace při výběru, vyhledávání lidí z hlediska psychologické způsobilosti. 2. Proces zajišťování spolehlivosti přijatých zaměstnanců organizace. 3. Způsoby řešení bezpečnostních incidentů způsobených zaměstnanci organizace z hlediska psychologických aspektů. 4. Nutná a možná opatření v případě propuštění zaměstnance po bezpečnostním incidentu. 5. Obecné principy ochrany informačního systému pracoviště. 6. Řešení ochrany citlivých informací organizace předávaných různými komunikačními prostředky, zejména em. 7. Principy řešení režimové ochrany informací organizace. 8. Návrh struktury a obsahu vnitřního řádu fiktivní organizace při komplexní ochraně informací. 9. Užití informace a dezinformace v ochraně informací. 10. Možný postup manažera při rozboru a řešení důsledků úniku citlivých informací. 11. Kriminogenní faktory pronikání do informačních systémů. 12. Psychologické vlastnosti a podmínky člověka vedoucí k úniku citlivých informací. 13. Problémy právní ochrany informačních systémů z hlediska občanského práva. 14. Právní ochrana informačních systémů z hlediska obchodního práva. 15. Možnosti uplatňování právní ochrany informačních systémů z hlediska trestního práva. 16. Posuzování efektivnosti způsobů ochrany informací. 17. Postup bezpečnostního manažera při zpracování projektu komplexní ochrany. 18. Podmínky k vypracování projektu ochrany informačních systémů v organizaci. 19. Nezbytné zásady komplexního řešení ochrany informačních systémů. 20. Přehled možných rizik a hrozeb úniku citlivých informací z organizace. 21. Způsoby pronikání do informačních systémů z hlediska cíle pachatele získat citlivé informace. 22. Programy ohrožující bezpečnost počítačových systémů. 23. Bezpečnost informačního systému pro certifikační služby z hlediska požadavků objektové bezpečnosti. 24. Pojem, podstata a význam elektronického podpisu. 25. Možnosti a způsoby ochrany dat v elektronickém obchodování. 26. Přehled možností softwarové bezpečnosti dat a informací v síťovém prostředí. 27. Popis správy ochrany klíčů při šifrování (key management). 28. Kryptografické protokoly a útoky proti metodám kryptografické ochrany. 29. Popis programů a jejich škodlivost ohrožujících bezpečnost dat. 30. Možnosti ochrany dat v databázích ze všech možných hledisek. 31. Možnosti autentizace uživatelů a zhodnocení jejich efektivnosti. 32. Popis metod fyzické ochrany dat se zřetelem na SW a HW počítačů. 7

8 33. Problémy odhadů bezpečnostních rizik (risk assesment) 34. Způsoby identifikace a autentizace v přístupu k informacím. 35. Metody a prostředky vývoje programového vybavení při ochraně dat a informací. 36. Ochrana dat proti virovému napadení počítačových systémů. 37. Opatření k zamezení vzniku chyb v procesu zpracování dat. 38. Ochrana dat zálohováním. 39. Způsoby identifikace a autentizace v přístupu k datům a informacím. 40. Právní aspekty informační bezpečnosti. 41. Druhy a popis hrozeb a útočníků kybernetické kriminality. 42. Bezpečnost dat a kybernetická kriminalita. 43. Hrozby a rizika kyberterorismu. 44. Nebezpečí a trendy kyberterorismu. 45. Podstata a hrozby kybernetické kriminality. 46. Ochrana informací v konkurenčním zpravodajství. 47. Možnosti hrozeb a způsoby jejich eliminace. 48. Právní aspekty v aplikaci elektronického podpisu. 49. Historie a současnost kryptografie a kryptoanalýzy. 50. Zálohování dat jako součást informační bezpečnosti. 51. Mechanizmus napadání informačních systémů. 52. Způsoby a mechanizmy průniků do informačních systémů. 53. Minimalizace rizik a výskytu bezpečnostních incidentů. 54. Postupy při stanovení bezpečnostní politiky organizace. 55. Risk management. 56. Risk assesment. 57. Libovolné téma zvolené studentem a schválené učitelem katedry MI. 9. Celkový přehled studijní literatury k předmětu Základní literatura: KALAMÁR, Štěpán; POŽÁR, Josef. Vybrané aspekty informační bezpečnosti. Praha : PA ČR, 2010, 190 s. ISBN POŽÁR, Josef. Informační bezpečnost. Plzeň : Nakladatelství a vydavatelství Aleš Čeněk, s.r.o., 2005, 309 s. SNB POŽÁR, Josef. Základy teorie informační bezpečnosti. Praha : PA ČR, 2007, 219 s. ISBN Doporučená literatura: DOBDA, Luboš. Ochrana dat v informačních systémech. Praha: Grada, 1998, 286 s. ISBN DOSEDĚL, Tomáš., Počítačová bezpečnost a ochrana dat. Brno: Computer Press, 2004,190 s. ISBN

9 10. Plán přednášek pro kombinované studium Téma číslo Název a obsah tématu Počet hodin 1. Úvod do předmětu (seznámení s předmětem; 2 požadavky na udělení zápočtu). Bezpečnostní rizika, hrozby, incidenty a bezpečnostní útoky. Hardwarová a fyzická bezpečnost. Databázová a síťová bezpečnost. Fyzická, režimová a administrativní bezpečnost. 2. Kryptografie v informačních systémech. Základy 2 šifrování a kódování. Elektronický podpis. Kybernetická kriminalita v organizaci. Právo a bezpečnost informací. Etické aspekty bezpečností informací. CELKEM 4 9