VYSOKÁ ŠKOLA FINANČNÍ A SPRÁVNÍ, O.P.S.
BEZPEČNOST INFORMACÍ Cíl výuky: Předmět Bezpečnost informací je zaměřen na bezpečnostní aspekty informačních systémů a na zkoumání základních prvků vytvářeného bezpečnostního programu v organizacích. Tyto prvky – technologie, procesy a lidé jsou posuzovány zejména v teoretické rovině, ale s těsnou vazbou na praktické využití. Mezioborové zaměření předmětu ilustruje současné trendy v prolínání matematické vědy s technickými, manažerskými, informačními aj. problematikami v rámci bezpečnostních požadavků u zpracovávaných informací. Zároveň lze tento předmět považovat za úvod do kryptologie. Požadavky na posluchače: Znalosti základů vysokoškolské matematiky, orientace v pojmech teorie informací, znalosti z oblasti práce s výpočetní technikou a výhodné jsou též základní znalosti z architektury informačních systémů. Tématické okruhy předmětu: Tématické okruhy předmětu Bezpečnost informací jsou společné pro presenční a kombinované studium. Náplň předmětu je rozdělena na následující tématické okruhy: • Úvod - podniková bezpečnost informací; • Bezpečnostní aspekty informačních a komunikačních systémů; • Správa přístupu; • Šifrová ochrana informací – historie; • Šifrová ochrana informací – věk počítačů; • Bezpečnostní normy a standardy; • Směry rozvoje v oblasti ochrany informací. Členění tématických okruhů do rozpisu přednášek Předmětu Bezpečnost informací je v případě kombinovaného studia vyhrazena výuka jednoho tématického okruhu do rámce jednoho soustředění. Závěrečné soustředění je věnováno praktickým příkladům z probrané tématiky. Ukončení předmětu: Předmět je zakončen zkouškou sestávající z písemné a doplňkové ústní části. Doporučená literatura: • Menezes,A.J.,van Oorschot, P.C.; Vanstone, S.A.: Handbook of Applied Cryptography, CRC Press, 1997 • Schneier, B.: Applied Cryptography, John Wiley & sons, 1996 • Singh S.: Kniha kódů a šifer, Argo, 2003 • Horák J.: Bezpečnost malých počítačových sítí, Grada 2003 • Kovacich G.L.: Průvodce bezpečnostního pracovníka IS, Unis Publishing, 2000 • Kolektiv: Informační bezpečnost, Tate International, 2001 • Časopis DSM - Data security management
1
VYSOKÁ ŠKOLA FINANČNÍ A SPRÁVNÍ, O.P.S.
BEZPEČNOST INFORMACÍ Metodický list č.1
Úvod - podniková bezpečnost informací
Osnova: • principy informační bezpečnosti; • program informační bezpečnosti v podniku; o bezpečnostní program - požadavky na pracovníky podniku; o procesy v oblasti bezpečnosti informací; o bezpečnostní informační technologie; • realizace bezpečnostního programu.
Základní tématický obsah: Zavedení programu bezpečnosti informací do podnikové oblasti vyžaduje v současné době správnou a vyváženou kombinací tří základních aspektů: • technologií • procesů • pracovníků podniku Řešení jednotlivých projektů i zajišťování provozu podniku musí probíhat v souladu s bezpečnostními opatřeními. Investice do nových technologií musí být v souladu s tzv. úrovňovou informační bezpečností. Efektivní bezpečnostní program musí vycházet z bezpečnostního vědomí a relevantních výsledků bezpečnostních hodnocení. Cílem bezpečnostních aktivit je realizace efektivního programu informační bezpečnosti, kdy jsou v rovnovážném stavu rizika podniku a vynakládané investice na jeho rozvoj.
Cíl výuky: Po probrání tématického okruhu budou mít posluchači základní přehled o řešené problematice při realizaci bezpečnostních opatření v podnikové sféře, zároveň budou seznámeni se základními bezpečnostními aspekty, které je nutné vzít do úvahy při integraci bezpečnostního prostředí do podnikové infrastruktury.
Ukončení předmětu: Předmět je zakončen zkouškou sestávající z písemné a doplňkové ústní části.
2
VYSOKÁ ŠKOLA FINANČNÍ A SPRÁVNÍ, O.P.S.
BEZPEČNOST INFORMACÍ Metodický list č. 2
Bezpečnostní aspekty informačních a komunikačních systémů
Osnova: • integrace bezpečnostních mechanismů do informačního a komunikačního systému podniku; • realizace vícevrstvé ochrany informací; o jednotlivé komponenty vícevrstvé ochrany; • správa bezpečnostních opatření. Základní tématický obsah: Informační technologie přináší do programu informační bezpečnosti řadu aktuálních otázek. Kromě toho má zásadní vliv na efektivnost realizovaného bezpečnostního programu. Většina nastolených otázek vychází z důležitého faktu – že samotná technologie tyto požadavky a problémy nevyřeší. Při přecenění možností technologií se snadno přijme nesprávné rozhodnutí, které často přivede podnik do situace, kdy musí hledat opatření proti zbytečně vzniklým rizikům. Ze systémového pohledu plyne nutnost řešit na úrovni technologií zejména následné požadavky: • autentizace, autorizace, správa uživatelských účtů • firewall; VPN • antivirová ochrana • správa rizik • správa detekce narušení systému • filtrování obsahu dat • šifrování
Cíl výuky: Po probrání tématického okruhu budou znát posluchači hlavní oblasti a směry při realizaci bezpečnostních opatření v prostředí podnikových informačních a komunikačních systémů, zároveň budou seznámeni se základními bezpečnostními opatřeními, která je nutno přijmout v souvislosti se zajištěním eliminace bezpečnostních rizik.
Ukončení předmětu: Předmět je zakončen zkouškou sestávající z písemné a doplňkové ústní části.
3
VYSOKÁ ŠKOLA FINANČNÍ A SPRÁVNÍ, O.P.S.
BEZPEČNOST INFORMACÍ Metodický list č. 3
Správa přístupu Osnova: • základní metody pro zajištění oprávněného přístupu; o autentizace; o autorizace; o správa uživatelských účtů; • srovnání současných metod ochrany proti neoprávněnému přístupu; • nové technologické možnosti.
Základní tématický obsah: Bezpečnostní problémy vzniknou vždy, když k našim datovým zdrojům získají přístup neoprávněné osoby, nebo když uživatelé překročí úroveň jim definovaného přístupu k daným systémům. V rámci Informačních technologií lze využít tří základních metod pro kontrolu přístupu do informačních a komunikačních systémů, které umožní regulovat přístupy uživatelů tak, aby se chovali ve shodě s jejich potřebami a ve vymezených oblastech. Jedná se o autentizaci, autorizaci a správu uživatelských účtů. Důležité je aby při realizaci bezpečnostního programu u této problematiky byla dána do souladu bezpečnostní opatření a hodnota chráněných informací.
Cíl výuky: Po probrání tématického okruhu se posluchači seznámí s jedním ze základních bezpečnostních požadavků, který je nezbytné ošetřit při realizaci podnikového bezpečnostního programu. V tomto směru budou seznámeni se základními používanými bezpečnostními metodami i novými možnostmi, které vývoj technologií umožní realizovat.
Ukončení předmětu: Předmět je zakončen zkouškou sestávající z písemné a doplňkové ústní části.
4
VYSOKÁ ŠKOLA FINANČNÍ A SPRÁVNÍ, O.P.S.
BEZPEČNOST INFORMACÍ Metodický list č. 4
Šifrová ochrana informací – historie
Osnova: • úvod, definice pojmů; o substituční šifry; o transpoziční šifry; • první prakticky používané šifrové systémy; o Caesarova šifra; o Polyalfabetické systémy; • mechanizace a vývoj šifrovacích strojů; • Enigma; • základní metody kryptoanalýzy.
Základní tématický obsah: Kryptologie nepojednává o kryptách, což se mnoho lidí stále ještě domnívá, ale řeší otázky šifer. Šifrování je proces převedení dat do takového formátu, který nemůže neoprávněná osoba jednoduše přečíst. Moderní kryptologie využívá dvou základních směrů využívajících symetrický a asymetrický šifrovací algoritmus. Než ale metody šifrové ochrany dospěly do tohoto stádia musela kryptologie projít velmi dlouhým a složitým vývojem. Cílem tématu je ukázat hlavní mezníky při tomto vývoji, využití mechanizačních nástrojů a následky boje mezi tvůrci a luštiteli šifer a zároveň též pojednat o základních nevýhodách historických šifrových systémů. V rámci tohoto tématu lze i ukázat praktické využití některého ze šifrových systémů.
Cíl výuky: Po probrání tématického okruhu se posluchači seznámí s principy a metodami šifer. Budou seznámeni s pojmy používanými při řešení šifrové ochrany, praktickým použitím šifer a s hlavními zásadami šifrových systémů přijatými i u soudobých bezpečnostních produktů.
Ukončení předmětu: Předmět je zakončen zkouškou sestávající z písemné a doplňkové ústní části.
5
VYSOKÁ ŠKOLA FINANČNÍ A SPRÁVNÍ, O.P.S.
BEZPEČNOST INFORMACÍ Metodický list č. 5
Šifrová ochrana informací – věk počítačů Osnova: • šifrová ochrana využívající výpočetní techniku – např. Feistelova šifra; • symetrické a asymetrické šifry; • základní symetrické šifrovací algoritmy; o algoritmus DES; o algoritmus AES; o odolnost soudobých symetrických šifrovacích algoritmů; • základní asymetrické šifrovací algoritmy; o algoritmus RSA; o algoritmy na bázi eliptických křivek; o odolnost soudobých asymetrických šifrovacích algoritmů;; • elektronický podpis.
Základní tématický obsah: Moderní kryptografie využívá dvou základních směrů – symetrickou a asymetrickou šifru. Při symetrickém šifrování obě strany používají stejný tajný klíč a to při šifrování i dešifrování zprávy. Asymetrické šifrování je postaveno na principu, kdy každý účastník vlastní veřejný a privátní klíč pro šifrování a dešifraci zprávy. U asymetrického šifrování zná odesilatel pouze veřejný klíč příjemce a jím zašifruje svou zprávu. Příjemce pak použije svůj privátní klíč pro dešifrování této zprávy. Nikdo jiný nemůže dešifrovat tuto zprávu např. použitím veřejného klíče ani nemá možnost odhalit privátní klíč příjemce. S asymetrickým šifrováním je spojena nová služba v elektronickém světě – elektronický podpis.
Cíl výuky: Po probrání tématického okruhu posluchači budou seznámeni s pojmy používanými při řešení současné šifrové ochrany. Zároveň se seznámí s postupem při šifrování informace symetrickou a asymetrickou šifrou. Budou mít přehled o tvorbě a možnostech použití elektronického podpisu.
Ukončení předmětu: Předmět je zakončen zkouškou sestávající z písemné a doplňkové ústní části.
6
VYSOKÁ ŠKOLA FINANČNÍ A SPRÁVNÍ, O.P.S.
BEZPEČNOST INFORMACÍ Metodický list č. 6
Bezpečnostní normy a standardy
Osnova: • historický vývoj bezpečnostních norem • bezpečnostní normy zabezpečených informačních systémů; • současné trendy ve standardizaci bezpečnostních procesů – norma ISO 17799; • standardizace šifrovacích algoritmů; • vazby mezi bezpečnostními normami.
Základní tématický obsah: Spolu s rozvojem šifrové ochrany informací hrají stále důležitější roli standardizační činnosti mezinárodních i státních organizací. Přijímané normy a standardy dávají doporučení a stanovují principy a postupy vývoje, testování a ověřování parametrů i podmínky provozu šifrovacích zařízení či celých informačních systémů s integrovanou bezpečnostní nadstavbou. Cílem bezpečnostních norem je unifikace vytvářených produktů i informačních systémů. Zároveň jsou nezbytnou součástí při hodnocení bezpečnostních parametrů realizovaných komponent a systémů.
Cíl výuky: Po probrání tématického okruhu posluchači budou seznámeni se současnými aktivitami a výstupy standardizačních organizací. Zároveň budou znát základní přístupy a pojmy používané při hodnocení technických i technologických celků současné šifrové ochrany.
Ukončení předmětu: Předmět je zakončen zkouškou sestávající z písemné a doplňkové ústní části.
7
VYSOKÁ ŠKOLA FINANČNÍ A SPRÁVNÍ, O.P.S.
BEZPEČNOST INFORMACÍ Metodický list č. 7
Směry rozvoje v oblasti ochrany informací Osnova: • vývoj symetrických a asymetrických metod; • kvantové šifrování; • bezpečnostní protokoly; • PKI; • šifrová ochrana v Internetu; • elektronický obchod.
Základní tématický obsah: Současné směry rozvoje v oblasti ochrany informací jsou těsně spojeny se stále významnějším používáním Internetu. Při celosvětové podpoře elektronického obchodu se stává efektivní ochrana zpracovávaných a přenášených dat stále aktuálnějším parametrem budovaných systémů. S tím souvisí neustálý rozvoj v oblasti vývoje i provozu bezpečnostních protokolů, ale též i hledání cest pro principiální změnu koncepce šifrové ochrany informací. S prvními úspěchy kvantového počítání se ukazuje již reálná možnost totální změny v návrhu šifrové ochrany.
Cíl výuky: Po probrání tématického okruhu posluchači budou seznámeni s novými zásadními trendy ve vývoji nástrojů šifrové ochrany dat. Dokáží se orientovat i oblasti elektronického obchodu pochopí pojmy používané v systémech distribuce klíčů užívaných při řešení současné ochrany informací. Ukončení předmětu: Předmět je zakončen zkouškou sestávající z písemné a doplňkové ústní části.
8
