Strategie pro oblast kybernetické bezpečnosti České republiky na období 2011-2015. Slovník vybraných pojmů



Podobné dokumenty
Aktivity NBÚ při zajišťování kybernetické bezpečnosti

S t a t u t. Rady pro kybernetickou bezpečnost. Článek 1. Úvodní ustanovení. Článek 2 Působnost Rady

VLÁDA ESKÉ REPUBLIKY STATUT Meziresortní koordina ní rady pro oblast kybernetické bezpe nosti l. 1 Úvodní ustanovení l. 2 sobnost koordina ní rady

Bezpečnostní týmy typu CSIRT/CERT obecně a v CZ.NIC

Řízení kybernetické a informační bezpečnosti

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Mgr. et Mgr. Jakub Fučík

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

1.1 DATUM POSLEDNÍ AKTUALIZACE Toto je verze číslo 1 ze dne

Bezepečnost IS v organizaci

Další postup v řešení. kybernetické bezpečnosti. v České republice

POPIS CSIRT. Státní pokladna Centrum sdílených služeb, s. p. Vlastník dokumentu: Datum poslední aktualizace:

V Brně dne a

Národní bezpečnostní úřad

ACTIVE24-CSIRT - řešení bezpečnostních incidentů v praxi. Ing. Tomáš Hála ACTIVE 24, s.r.o.

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

STRATEGIE PRO OBLAST KYBERNETICKÉ BEZPEČNOSTI ČESKÉ REPUBLIKY NA OBDOBÍ

Popis Vládního CERT České republiky

VY_32_INOVACE_IKTO2_1960 PCH

Bohdan Lajčuk Mikulov

Computer, květen Týmová práce pro zajištění bezpečnosti komunikačních sítí

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

Vývoj Internetových Aplikací

NÁRODNÍ STRATEGIE KYBERNETICKÉ BEZPEČNOSTI ČESKÉ REPUBLIKY NA OBDOBÍ LET 2015 AŽ Ing. Dušan Navrátil

EXKURZ DO KYBERNETICKÉ BEZPEČNOSTI. Praha,

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Bezpečnostní politika společnosti synlab czech s.r.o.

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Směrnice č. 01/2018 Ochrana osobních údajů na Asociace pro vodu ČR z.s. Článek 1 Předmět úpravy. Článek 2 Základní pojmy

Každý písemný, obrazový, zvukový, elektronický nebo jiný záznam, ať již v podobě analogové či digitální, který vznikl z činnosti původce.

Ředitel odboru archivní správy a spisové služby PhDr. Jiří ÚLOVEC v. r.

Zákon o kybernetické bezpečnosti

Politika bezpečnosti informací

ŠKODA AUTO VYSOKÁ ŠKOLA o. p. s.

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Typy bezpečnostních incidentů

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

RFC 2350 STANDARD POPIS CSIRT TÝMU SPOLEČNOSTI KBM- INTERNATIONAL S. R. O. 1. O TOMTO DOKUMENTU

Federační politika eduid.cz

Kybernetická kriminalita a kybernetická bezpečnost. Václav Stupka

Politika ochrany osobních údajů

Security of Things. 6. listopadu Marian Bartl

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

IT které pomáhá a chrání. Kybernetická bezpečnost a povinnosti z ní vyplývající

LEX UNO ORE OMNES ALLOQUITUR

Zákon o kybernetické bezpečnosti na startovní čáře

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Zásady ochrany osobních údajů pro společnost KEMPCHEN s.r.o.

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí: Strategický rámec rozvoje veřejné správy České republiky pro období

Právní ohledy využití dat o návštěvnících a zákaznících. JUDr. Pavel Pešek Legal Department Director

Základní síť sociálních služeb Libereckého kraje

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Kybernetická bezpečnost ČR aktivity NBÚ. Jaroslav Šmíd náměstek ředitele NBÚ

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Implementace systému ISMS

Kybernetická bezpečnost I. Legislativa a strategie kybernetické bezpečnosti v České republice

Kybernetická bezpečnost

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

JUDr. Alena Kučerová Úřad pro ochranu osobních údajů OCHRANA OSOBNÍCH ÚDAJŮ V PROCESU DIGITALIZACE ZDRAVOTNICKÉ DOKUMENTACE

Prohlášení o ochraně osobních údajů

jako jejím vnitřním předpisu: ČÁST PRVNÍ ZÁKLADNÍ USTANOVENÍ

Prevence rizikových forem chování a MŠMT

Národní bezpečnostní úřad

1. KYBERNETICKÁ BEZPEČNOST

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

srpen 2008 Ing. Jan Káda

Čl. 1 Předmět úpravy

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

KYBERNETICKÁ BEZPEČNOST V ARMÁDĚ ČR

IDG Storage world, Ing. Miloš Šnytr

Kybernetická bezpečnost III. Technická opatření

GIS Libereckého kraje

Dotazník pro sebehodnocení a šablona pro plánování Global Network

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL

Škodlivý kód, útok na aplikace. Ing. Miloslav Hub, Ph.D. 5. prosince 2007

Metodický pokyn. Řízení kvality ISVS

Ministerstvo vnitra připravuje. jednotné řešení pro státní správu

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Zákon o kybernetické bezpečnosti

Manažerská zpráva STŘEDOŠKOLSKÁ SOUTĚŽ ČR V KYBERNETICKÉ BEZPEČNOSTI. Ročník 2016 / 2017

Tematický celek: Základy hardware a sítí. Učivo (téma): Hrozby internetu škodlivé programy

Projekt Pospolu. MALWARE bezpečný počítač. Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Bohuslava Čežíková.

VLÁDNÍ NÁVRH ZÁKON. ze dne 2017,

Management informační bezpečnosti

Posuzování na základě rizika

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Výroční zpráva společnosti Corpus Solutions a.s. za rok Popis účetní jednotky. Název společnosti: Corpus Solutions

Kybernetická bezpečnost MV

Transkript:

Strategie pro oblast kybernetické bezpečnosti České republiky na období 2011-2015 Slovník vybraných pojmů 1

Úvod: Tento slovník není klasickým výkladovým slovníkem a nečiní si proto obvyklý nárok na výkladovou a termínovou korektnost. Slovník je přidruženým dokumentem materiálu Strategie pro oblast kybernetické bezpečnosti České republiky na období 2011-2015 a stručně vysvětluje pojmy, které s kybernetickou bezpečností souvisí. autentičnost (authenticity) - vlastnost (údajů) vyjadřující to, že údaje jsou pravé, což se dá i ověřit (autentifikace), a proto jim lze důvěřovat; důvěra v platnost přenosu informace, přenesené zprávy nebo v to, že zprávu poslal ten, kdo se za jejího odesílatele vydává. autentifikace (authentication) - ověření identity uživatele, procesu nebo zařízení, nebo původu zprávy bezpečnostní incident ((computer) security incident) - porušení nebo bezprostřední hrozba porušení bezpečnostních politik, bezpečnostních zásad nebo standardních bezpečnostních pravidel provozu Informační a Komunikační Technologie. bezpečnostní politika (security policy) - (1) na úrovni organizace základní dokument, který vymezuje strukturu bezpečnostního rizika, odpovědnost za ochranu informací v organizaci, úroveň ochrany informací. (2) na úrovni systému soubor pravidel a praktik, které specifikují nebo regulují, jak systém (nebo organizace) poskytuje bezpečnostní služby, aby chránil citlivé nebo kritické zdroje systému. bezpečnostní opatření (security safeguards) - ochranná opatření pro zajištění bezpečnostních požadavků kladených na systém. Mohou mít různý charakter (fyzická ochrana zařízení a informace, personální bezpečnost - kontrola pracovníků, organizační opatření provozní předpisy atd.) bezpečnostní požadavky (security requirements) - požadavky kladené na informační systém, které jsou odvozeny ze zákonů, instrukcí, právních úprav, závazných norem a standardů, vnitřních předpisů organizace; prostředí, ve kterém systém působí a poslání, které plní; nutné pro zajištění důvěrnosti, dostupnosti a integrity informací, která se v systému zpracovává. CERT (computer emergency response team)-tým odborníků, jejichž úkolem je řešit bezpečnostní incidenty. První CERT založila americká agentura Defence Advanced Research Projects Agency (DARPA) pod názvem The CERT Coordination Center (CERT/CC3), na Carnegie Mellon University v Pittsburghu (Pennsylvania). Název CERT je registrován v USA, a proto se v Evropě používá pojem CSIRT. Existují i další podobná označení, která jsou synonymem pojmu CERT (CERT nebo CERT / CC (Computer Emergency Response Team / Coordination Center), CSIRT (Computer Security Incident Response Team), IRT (Incident Response Team), CIRT (Computer Incident Response Team), SERT (Security Emergency Response Team)) 2

CSIRT (computer security incident response team) - tým odborníků na informační bezpečnost, jejichž úkolem je řešit bezpečnostní incidenty. CSIRT poskytuje svým klientům potřebné služby při řešení bezpečnostních incidentů a pomáhá jim při obnově systému po bezpečnostním incidentu. Aby snížily rizika incidentů a minimalizovaly jejich počet, pracoviště CSIRT poskytují svým klientům také preventivní a vzdělávací služby. Pro své klienty poskytují informace o odhalených slabinách používaných hardwarových a softwarových prostředků a o možných útocích, které těchto slabin využívají, aby klienti mohli dostatečně rychle ošetřit odhalené slabiny. červ (worm) škodlivý, autonomně se kopírující, autonomně se šířící ucelený (self contained) program, který se šíří v počítačových sítích. Data - jakékoli vyjádření (pro ICT se uvažují typicky data v digitální podobě) skutečnosti, schopné přenosu, interpretace či zpracování. Účelem dat je přenášet a dále zpracovávat odraz skutečnosti. Jsou to jakékoli zaznamenané poznatky či fakta. elektronický podpis (electronic signature) - bezpečnostní funkce pro zajištění integrity a autentičnosti digitálních dokumentů. Má podobu čísla, vypočteného na základě podepisování dokumentů a jedinečného soukromého klíče podepisující osoby. ENISA - (European Network and Information Security Agency) - agentura založená Evropskou unií jako Centrum excelence v oblasti síťové a informační bezpečnosti v roce 2004. Jejím úkolem je pomáhat EU, jejím členským státům, soukromému sektoru a veřejnosti při prevenci a řešení bezpečnostních problémů a při reakcích na bezpečnostní problémy. FIRST - Celosvětově působící asociace, která spojuje cca 200 pracovišť typu CERT HOAX - poplašná zpráva, která se svým obsahem snaží vyvolat dojem důvěryhodnosti. Informuje např. o šíření virů nebo útočí na sociální cítění adresáta. Často obsahuje škodlivý kód nebo odkaz na internetové stránky se škodlivým obsahem. identifikace (identification) - akt nebo proces, během kterého entita předloží systému nějaký identifikátor, na jehož základě systém může rozeznat entitu a odlišit ji od jiných entit. Identita - sada vlastností, které jednoznačně určují konkrétní objekt věc, osobu, událost, ICT (ICT-Information and Communication Technology) - informační a komunikační technologií se rozumí veškerá technika, která se zabývá zpracováním a přenosem informací, tj. zejména výpočetní a komunikační technika a její programové vybavení. 3

Informace - data, která mají smysl (význam). Je to údaj, ke kterému si člověk přiřadí význam. informační bezpečnost (information security) (1) soustava vzájemně provázaných opatření organizační, administrativní, personální a fyzické bezpečnosti a opatření bezpečnosti informačních a komunikačních technologií pro zajištění dostupnosti, důvěrnosti a integrity informací. Informační bezpečnost je dále zajištěna spolehlivostí a zodpovědností. Dostupnost (availability) zajištění toho, aby informace a s nimi spojená aktiva byly přístupné autorizovaným (oprávněným) uživatelům (entitám) podle jejich potřeb v požadovaném čase; Důvěrnost (confidentiality) zajištění toho, aby informace byly dostupné pouze osobám (entitám, procesům) oprávněným pro přístup k těmto informacím; Integrita (integrity) ochrana správnosti (před modifikací - neoprávněnou změnou) a zajištění kompletnosti (úplnosti); Spolehlivost (reliability) zajišťuje konzistenci chování a výsledků Zodpovědnost (responsibility) je určena individuální zodpovědnost; (2) schopnost systému na dané úrovni spolehlivosti odolávat náhodným událostem i záměrným akcím, které kompromitují dostupnost, důvěrnost a integritu uložených nebo přenášených dat a služby poskytované nebo zpřístupňované daným systémem informační systém (information system) - je funkční celek, nebo jeho část zabezpečující cílevědomé a systematické shromažďování, zpracovávání, uchovávání a zpřístupňování informací. Zahrnuje datové a informační zdroje, nosiče, technické, programové a pracovní prostředky, technologie a postupy, související normy a pracovníky. informatizace společnosti - proces transformace společnosti, během něhož probíhá nasazování ICT spojené s přehodnocením tradičních procesů zpracování informace a jejich nahrazování novými, zohledňující možnosti a omezení IKT. Cílem informatizace společnosti je zefektivnění její fungování prostřednictvím ICT, výsledkem úspěšné informatizace by měla být postindustriální, informační společnost. Což je společnost založená na využívání informačních a komunikačních technologií. Základem je neustálá výměna znalostí a informací a práce s nimi za předpokladu schopnosti jim rozumět. Tato společnost pokládá vytváření, šíření a manipulaci s informacemi za nejvýznamnější ekonomické a kulturní aktivity. Zajištění integrity dat - znamená přijetí opatření, která vylučují možnost nepozorované změny údajů a zajišťují správnost prezentace (čtení) těchto údajů. Zajištění integrity technického systému znamená vyloučení možnosti jeho neoprávněné modifikace. informační a komunikační infrastruktura organizace - z hlediska organizace to je souhrn všech komponentů informační a komunikační technologie (dále ICT), které organizace používá k plnění svého poslání. 4

kritická komunikační a informační infrastruktura státu Slouží k informačnímu zajištění řádné funkceschopnosti kritické infrastruktury státu a označuje komplex informačních a komunikačních systémů a jejich služeb. Obsahuje součásti jako jsou telekomunikace, počítačové systémy a jejich programové vybavení, internet, přenosové sítě, poskytované služby atd. kyberprostor (cyberspace) nehmotný svět informací, který vzniká vzájemným propojením informačních a komunikačních systémů. Umožňuje vytvářet, uchovávat, využívat a vzájemně vyměňovat informace. Zahrnuje počítače, aplikace, databáze, procesy, pravidla, komunikační prostředky. kyberterorismus - je zneužitím kyberprostoru pro teroristické účely, tak jak jsou definovány vnitrostátním a mezinárodním právem. kybernetická bezpečnost - vyjadřuje schopnost kyberprostoru odolávat úmyslně i neúmyslně vyvolaným hrozbám a v případě škodlivého zásahu dosáhnout opětné bezpečného stavu. kybernetický útok - je využití kybernetické zbraně za účelem poškození určeného cíle. kybernetický protiútok - je využití kybernetické zbraně za účelem poškození určeného cíle v odpověď na předchozí kybernetický útok. kybernetická obrana - zahrnuje způsobilost subjektu efektivně se bránit kybernetickému útoku, zmírnit jeho následky a dosáhnout opětné rovnováhy. Meziresortní koordinační rada pro oblast kybernetické bezpečnosti - MKRPKB Zřízena na základě usnesení vlády České republiky ze dne 24. května 2010 č. 380. Podporuje výkon gesční a koordinační role MV ČR v oblasti kybernetické bezpečnosti vyžadující součinnost státních institucí a v této oblasti plní mimo jiné tyto úkoly: Koordinuje činnost státních institucí v oblasti kybernetické bezpečnosti Koordinuje státní instituce při plnění úkolů vyplývajících z členství ČR v mezinárodních organizacích Vytváří podmínky pro hladké fungování spolupráce mezi členy rady Řeší aktuální otázky a předkládá odborné návrhy a doporučení ministru vnitra a jeho prostřednictvím vládě Sleduje plnění závěrů z jednání rady jejími členy 5

shromažďuje, analyzuje a vyhodnocuje údaje o stavu zajištění kybernetické bezpečnosti poskytované členy koordinační rady, připravuje návrh zprávy o stavu zajištění kybernetické bezpečnosti České republiky, která je pravidelně předkládána ministrem vnitra vládě jako výchozí dokument, který stanovuje priority a z nich vyplývající úkoly v oblasti kybernetické bezpečnosti pro nadcházející období, spolupracuje s externími odbornými subjekty a využívá jejich výstupů v zájmu zajišťování kybernetické bezpečnosti České republiky. Spolupracuje s externími odbornými subjekty a využívá jejich výstupů v zájmu zajišťování kybernetické bezpečnosti ČR Zřízení rady a výkon její činnosti nezbavuje státní instituce zodpovědnosti kybernetickou bezpečnost v rámci kompetencí počítačová síť (computer network) - soubor počítačů spolu s komunikační infrastrukturou (Komunikační linky, technické vybavení, programové vybavení a konfigurační údaje), jejímž prostřednictvím si (počítače) mohou vzájemně posílat a sdílet data. spam (spam) - masové šíření nevyžádané elektronické pošty nejčastěji kvůli komerčním důvodům (reklama, marketing). Spam zatěžuje počítačové sítě nechtěnou komunikací, způsobuje ztráty času a případně finančních prostředků (u uživatelů platících za objem přenesených dat). Nevyžádané e-mailové zprávy mohou být i nositelem škodlivého softwaru špionážní program / software (spyware) - typ škodlivého programu, který je tajně nebo nenápadně instalován do cílového systému na to, aby získával informace o organizaci nebo jednotlivcích bez jejich vědomí TERENA - Trans-European Research and Education Networking Association, evropská mezinárodní organizace podporující aktivity v oblasti internetu, infrastruktur a služeb v rámci akademické komunity. TF-CSIRT - mezinárodní fórum umožňující spolupráci týmů CSIRT na evropské úrovni. Dělí se na dvě skupiny uzavřenou, která je přístupná pouze akreditovaným týmům, a otevřenou, která je přístupná všem zájemcům o práci týmů CSIRT. TF- CSIRT je jednou z aktivit mezinárodní organizace TERENA. Pracovní skupina TF- CSIRT se schází obvykle několikrát ročně. trojský kůň (Trojan horse) - program, který plní na první pohled nějakou užitečnou funkci, ale ve skutečnosti má ještě nějakou skrytou škodlivou funkci. Trojský kůň se sám nereplikuje, šíří se díky viditelně užitné funkci, které poskytuje. údaje (data) - reprezentace informací formalizovaným způsobem vhodným pro komunikaci, výklad a zpracování. 6

virus, počítačový (computer virus) - počítačový program, který se replikuje připojováním své kopie k jiným programům. Může obsahovat část, která ho aktivizuje, pokud dojde ke splnění některých podmínek (např. čas) v hostitelském zařízení. Šíří prostřednictvím Internetu (elektronická pošta, stahování programů z nespolehlivých zdrojů), pomocí přenosných paměťových médií apod. škodlivý software (malicious software - malware) - programy, jejichž cílem je poškodit programy a data na hostitelském zařízení (počítači, mobilním telefonu, PDA, průmyslové řídící systémy a další zařízení, která jsou řízena nebo obsahují software), získat údaje z hostitelského zařízení nebo ovládnout hostitelské zařízení Mezi škodlivý software patří počítačové viry, trojské koně, červy, špionážní software. zranitelnost (vulnerability) - slabé místo v informačním systému, bezpečnostních procedurách systému, vnitřních kontrolách nebo implementaci, které může aktivovat nebo využít nositel hrozeb. 7

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář