ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE Verze 2.0 2008
OVÝ SLOVNÍK ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE Verze 2.0 Účinnost od 1. 3. 2008 Klasifikace Veřejné Počet stran 9 Garant Šup Libor, Bc., Bezpečnostní technik ČZU Šup Libor, Bc., Bezpečnostní technik ČZU Hradecký Ondřej, Ing., Vedoucí OIKT ČZU Kéri František, Ing., Konzultant, ClarioNet, s.r.o. Zpracoval Vlček Peter, Ing., Projektový manažer, ClarioNet, s.r.o. Novák Jan, Vedoucí manažer, ClarioNet, s.r.o. Kadeřávková Pavla, Ing., Supervisor, ClarioNet, s.r.o. Schválil Působnost Hron Jan, prof. Ing. DrSc., dr.h.c., Rektor ČZU Všichni zaměstnanci ČZU, studenti ČZU. Dále zástupci externích subjektů a třetích stran, kteří spolupracují s ČZU, nebo se nacházejí v lokalitách a prostorách ČZU a u kterých vzniká potřeba tato bezpečnostní pravidla realizovat. ClarioNet 2008, Česká zemědělská univerzita v Praze 2008 2/9
Registr změn Číslo změny 1 2 3 4 5 6 7 8 9 10 Verze Účinnost od Popis změny Změnu provedl ClarioNet 2008, Česká zemědělská univerzita v Praze 2008 3/9
Administrátor IS Aktiva Aplikační programové aktivum Aplikační systém Archivace Archivní soubor Archivovaný soubor Autentizace Autentizace dat Automatická kontrola Bezpečnost a ochrana zdraví při práci (BOZP) Bezpečnost dat Bezpečnost informací, informační bezpečnost Bezpečnostní provozní směrnice/ dokumentace/řád Osoba, která administruje přístupová práva rolím a uživatelským účtům dle schválených žádostí vedoucích / garantů / projektových manažerů a dodavatelů v závislosti na použitém procesu řízení přístupu. Dále se stará o zablokování a přesměrování přístupových práv odcházejících zaměstnanců na jiné osoby dle pokynů vedoucích oddělení. Jako informační aktiva jsou chápány zejména databáze a soubory, datové soubory, systémová dokumentace, uživatelské manuály, školící materiály, provozní nebo podpůrné procedury, havarijní plány, dohody o záložním provozu. Jako fyzická aktiva jsou chápány zejména počítače a komunikační zařízení, magnetická média (pásky a disky), další technická zařízení (napájecí zdroje, klimatizační zařízení), nábytek, umístění a prostory. Aplikační program (nebo sada programů) určený pro podporu určitých podnikových procesů. Soubor programů, řešících určitou problematiku. Vytváření archivních souborů a souvisejících žurnálových souborů. Soubor uchovaný mimo běžné zpracování pro jakékoliv účely, jako je například zpětná kontrola, účely bezpečnosti atd. Soubor, ke kterému existuje archivní soubor. Proces ověřování identity. Ověřování integrity přenášených dat zejména zpráv. Kontrola prováděná zabudovaným speciálním vybavením určeným pro kontrolní účely. Oblast zajištění osobní bezpečnosti zaměstnanců při práci. Aplikace bezpečnostních opatření pro ochranu dat. Ochrana informací vzhledem s cílem zachování jejich: důvěrnosti: ochrana citlivých informací před neautorizovaným odhalením nebo aktivním odposlechem; integrity: zabezpečení přesnosti a úplnosti informací a programového vybavení; dostupnosti: zajištění, že informace a základní služby budou dostupné uživatelům, kdykoliv je požadují Dokumentace specifikující postupy, které musí být provedeny za účelem zabezpečení systému. ClarioNet 2008, Česká zemědělská univerzita v Praze 2008 4/9
Bezpečnostní inspekce Nezávislý dohled a kontrola evidenčních/systémových záznamů a aktivit. Z hlediska bezpečnosti se jedná především o zjištění, zda jsou bezpečnostní opatření na odpovídající úrovni, zda není narušena bezpečnost systému a případné doporučení změn v kontrole, police a postupech. Bezpečnostní incident Porušení bezpečnosti systému, kdy je v rozporu s bezpečnostní politikou získán přístup k informacím nebo zdrojům systému. Bezpečnostní manažer ČZU Osoba zodpovědná za vytvoření a prosazování bezpečnostní politiky ČZU. Ta zahrnuje aplikaci minimálních standardů a akreditaci. Bezpečnostní politika Všechny principy, omezení, pravidla a postupy, které určují způsob správy, ochrany a distribuce informací. Citlivá informace Informace mající pro organizaci zásadní význam, jelikož kompromitací nebo zneužitím by vznikla organizaci značná újma. Data Vyjádření faktů, pojmů nebo pokynů formalizované způsobem vhodným pro komunikaci, vyhodnocování nebo zpracování lidmi nebo automatickými prostředky. Datová (počítačová) síť ČZU Kabelové vedení nebo zařízení umožňující přenos informací v digitální nebo analogové formě mezi koncovými zařízeními. Jedná se zejména o switche, huby, routery, propojovací vodiče, datové zásuvky a jiná podobná zařízení. Deklasifikace Snížení klasifikačního stupně u informací, u kterých pominul důvod pro vyšší stupeň klasifikace. Není proto již nutné vynakládat prostředky na jejich zabezpečení. Deklasifikace je obvykle výsledkem procesu reklasifikace. Diskrétní Doménový název Dopad Fórum pro bezpečnost informací Full-Backup záloha Fyzická bezpečnost Havarijní postupy Helpdesk IKT ČZU Increment záloha Informace Označení úrovně utajení v rámci schématu klasifikace informací. Doménový název zařízení je část názvu zařízení v Domain Name System (DNS) od první tečky zleva směrem doprava. Příklad: Název zařízení = webc2.czu.cz, Doménový název = czu.cz Následek narušení bezpečnosti v organizaci. Komise sestavená pro potřeby řízení a zvládání bezpečnosti informací ČZU. Fórum pro bezpečnost se schází minimálně jednou za půl roku pod vedením kvestora ČZU Úplná záloha všech dat na daném serveru nebo serverech. Aplikace opatření v oblasti fyzických aktiv. Postupy k obnově funkčnosti systému. Specializované pracoviště nebo aplikace na ČZU, která slouží k hlášení problémů uživatelů. Email: helpdesk@czu.cz, telefonní linka: 4444 nebo internetová adresa: http://helpdesk.czu.cz. Informační a komunikační technologie/technika České zemědělské univerzity v Praze Záloha, při které jsou vytvářeny záložní kopie jen těch souborů, které se změnily od poslední inkrementální zálohy (resp. od poslední úplné zálohy, jde-li o první inkrementální zálohu). Význam, který je přisouzen datům. ClarioNet 2008, Česká zemědělská univerzita v Praze 2008 5/9
Informační systém Postupy nebo procesy, za podpory IT nebo bez ní, které poskytují prostředky získávání, ukládání, zpracování nebo šíření informací. Informační systém z technického pohledu obsahuje aplikace a jejich podpůrnou infrastrukturu. Informační technologie Veškeré postupy a techniky řízení používané při zacházení s daty a při jejich zpracování, veškeré programové aplikace, počítače, jejich příslušenství a související technická zařízení. Integrita Charakteristika objektu/informace, která vyjadřuje skutečnost, že objekt/informace byla změněna pouze specifikovaným a autorizovaným způsobem. Inspekce Nezávislý dohled a kontrola inspekčních/systémových záznamů a aktivit. Z hlediska bezpečnosti se jedná především o zjištění, zda jsou bezpečnostní opatření na odpovídající úrovni. Inspekce informačního systému Nezávislé prověření postupů používaných ve výpočetním systému a vyhodnocení jejich správnosti a účinnosti, včetně doporučení pro jejich zlepšení. Inspekční deník Data ve tvaru logické cesty, obsahující informace o časové posloupnosti kontrolovaných událostí, využívaná pro sledování transakcí, které ovlivnily obsah inspekčních záznamů IS ČZU Informační systém České zemědělské univerzity v Praze ISMS / SŘBI Information Security Management Systém Systém řízení bezpečnosti informací. Dokumentovaný systém, ve kterém jsou chráněna definovaná informační aktiva, jsou řízena rizika bezpečnosti informací a zavedená opatření jsou kontrolována. Klasifikace informací Proces, ve kterém je informaci přiřazen stupeň klasifikace, a to podle toho, v jaké míře by mohlo její vyzrazení poškodit, ohrozit nebo kompromitovat ČZU. Klasifikace informací Proces zařazení informace do určité kategorie (Stupně klasifikace) podle toho, v jaké míře by mohlo její vyzrazení poškodit, ohrozit nebo kompromitovat ČZU. Malware Počítačový program určený ke vniknutí nebo poškození počítačového systému. Pod souhrnné označení malware se zahrnují počítačové viry, trojské koně, spyware a adware. Míra rizika Hodnota ve stupnici od 1 (nejnižší) do 7 (nejvyšší) představující úroveň bezpečnostní potřeby. Je založena na odhadu hrozby, zranitelnosti, a hodnotě aktiv. Nosič informací Médium, které slouží k zpřístupnění informací uživatelům (např. papírová podoba, disketa, CD disk, zobrazení na displeji a podobně). Ochrana dat Off-Site záloha OIKT ČZU On-Site záloha Aplikace bezpečnostních opatření pro ochranu dat. Záloha vytvořená v primární lokalitě, ale uložená ve vyhrazené bezpečnostní schránce nebo trezoru mimo primární lokalitu v bezpečné vzdálenosti min. 800 m. Odbor informačních a komunikačních technologií České zemědělské univerzity v Praze Operativní (zpravidla denní) záloha vytvořená a uložená v primární lokalitě, kde jsou umístěny a provozovány servery a pracovní data. ClarioNet 2008, Česká zemědělská univerzita v Praze 2008 6/9
Osobní údaj Outsourcing Personální bezpečnost Plánování kontinuity činností organizace Prázdný (čistý) stůl a monitor Protiopatření Recyklace záloh Reklasifikace Pro potřebu této bezpečností dokumentace míní jakékoli údaje týkající se např. studenta nebo zaměstnance, na které se vztahuje zákon č. 101/2000 Sb. Zvláštní případ dodavatelsky zajištěné služby, kdy dodavatel spolu s realizací určité služby, činnosti nebo zastupování konkrétní role v organizaci zároveň přebírá i zodpovědnost za výsledky své práce vzhledem k interním požadavkům ČZU i požadavků externích subjektů na organizaci vzhledem k výsledkům činnosti. Aplikace bezpečnostních opatření v personální oblasti. Proces za jehož pomoci organizace vytváří plány pro zvládání a obnovu po narušení podnikových procesů (s vazbou na IT i bez ní). Zásada bezpečnosti informací. Uživatel má povinnost při své nepřítomnosti uschovat klasifikované informace, tak aby zabránil jejich zneužití. Nejčastěji tak, že uzamkne počítač a náležitě uschová dokumenty z pracovního stolu. Funkce nebo mechanizmus v systému navržený ke zvýšení bezpečnosti jedním z následujících způsobů: snížení úrovně hrozby snížení zranitelnosti zmenšení následků útoku detekce útoku obnovení po útoku Opětovné použití (přepisování) záložních médií (nosičů), na kterých jsou uloženy zálohy, nebo archivy. Změna klasifikačního stupně. Hodnota informací se může v průběhu času měnit, a proto je nutné, aby klasifikace informací byla ve stanovených intervalech přehodnocována. Obvykle se hodnota informací v čase snižuje, a proto se nejčastěji jedná o deklasifikaci. Reklasifikace je nutnou součástí klasifikačního procesu. Zajištění takových mechanismů, které umožní dosažení přiměřené bezpečnosti informací IS. Řízení bezpečnosti informací Řízení přístupu Řízení na základě přístupových práv, které zabraňuje neautorizovanému přístupu k informacím nebo zdrojům informačního systému. Riziko Segment sítě Míra závažnosti, ohrožení, kterému je systém vystaven. Jeho velikost je určena: úrovní hrozby zranitelností možnou ztrátou vzniklou jako výsledek útoku. Zařízení a datové vedení, která svým umístěním a způsobem zapojení tvoří logický síťový celek ClarioNet 2008, Česká zemědělská univerzita v Praze 2008 7/9
Serverová koncová zařízení Spam Správce DNS Správce IKT Správce IS Správce licencí Správcem dle Zákona Stupeň klasifikace informace Ukládání dat Útok Uživatel Uživatelská koncová zařízení Virus Vlastník Zařízení sloužící k poskytování služeb a informací dalším uživatelům nebo sdílení dat mezi nimi. Jedná se zejména o souborové, databázové, webové, aplikační a další podobné servery. Mezi serverová koncová zařízení nepatří uživatelská koncová zařízení poskytující služby pro malé uzavřené skupiny uživatelů (například pro účel přesunu pracovních dat.). Nevyžádané masově šířené sdělení (nejčastěji reklamní) šířené internetem (elektronickou poštou). Osoba nebo skupina osob, která je zodpovědná zejména za provoz a správu DNS. Na ČZU je správcem DNS jmenován OIKT. Osoba, skupina osob nebo útvar pověřený provozem a správou IKT ČZU. Na ČZU je správcem IKT jmenován OIKT. Osoba s maximálními přístupovými právy do IS a spravuje zdrojové kódy IS. Může se jednat o příslušného pracovníka Správce IKT nebo pracovníka, který byl Správcem IKT pověřen, útvar, nebo externího dodavatele IS. Osoba nebo skupina osob Správce IKT, která je pověřena zejména evidencí a správou licenčních ujednání k používanému programovému vybavení na ČZU. Je každý subjekt dle zákon č. 101/2000 Sb., který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele. Je to osoba, které byla pověřená odpovědností za konkrétní informační aktiva a která odpovídá za to, že osobní údaje jsou zpracovávány a chráněny předepsanými bezpečnostními opatřeními. Vymezení informace, které ji zařazuje na základě její hodnoty a možných negativních dopadů. Stupeň klasifikace určuje potřebnou úroveň ochrany informace, a následně požadavky na opatření bezpečnosti a zvláštní zacházení s informací. Stupeň klasifikace tak určuje skupinu osob, které jsou oprávněny se s informací seznamovat nebo s ní jinak pracovat. Bezpečné a efektivní uložení dat a informací ať již je tím míněno pracovní uložení (pracovních dat), krátkodobé uložení (zálohování) nebo dlouhodobé uložení (archivace). Aktuální výskyt hrozby s cílem narušit důvěrnost, dostupnost a/nebo integritu. Jednotlivec nebo organizace využívající informační systém nebo jinou část systémů univerzity. Osobní a přenosné počítače a ostatní koncová síťová zařízení (tiskárny, audiovizuální technika, atd.). Programový kód, který infikuje ostatní programy s cílem replikovat se, rozšířit se a případně způsobit škody nebo na sebe upozornit. Vedoucí oddělení/vedoucí samostatného oddělení/vedoucí odboru, v jehož oddělení informace vznikla, nebo se nejvíce využívá pro práci oddělení. Odpovídá za stanovení stupně klasifikace informace a za určení bezpečnostních požadavků na informace. ClarioNet 2008, Česká zemědělská univerzita v Praze 2008 8/9
Vnucená cesta Zachovávání mlčenlivosti Zadání IS Zadavatel IS Záloha Zálohování dat Zpracovatelem dle Zákona Povinná trasa přenosu informací pro ochranu proti odposlechu. Povinnost osob nebo organizací nesdělovat informace osobám, které nejsou oprávněny se s takovou skutečností seznamovat. Je vymezení hlavních funkcí a dat projektované aplikace na konceptuální úrovni. Osoba, nebo útvar, který jasně vymezí požadavky na IS vyplývající z potřeb, vzniklých v dané oblasti. Je odpovědný za rozvoj IS. Opatření k zajištění kontinuity operací a obnově funkčnosti. Pravidelné vytváření bezpečnostní kopie pracovních dat nebo celého souborového systému daného serveru na externí paměťové médium pro případ obnovy dat a programů. Je každý subjekt dle zákona č. 101/2000 Sb., který na základě pověření správcem zpracovává osobní údaje. Výkladový slovník nabývá platnosti dnem 1. 3. 2008. ClarioNet 2008, Česká zemědělská univerzita v Praze 2008 9/9