BEZPEČNOST IS Cíl: Předmět „Bezpečnost IS“ je zaměřen na bezpečnostní aspekty informačních systémů a na zkoumání základních prvků vytváření podnikového bezpečnostního programu. Má představit studentům hlavní oblasti a směry při realizaci bezpečnostních opatření v prostředí podnikových informačních systémů a seznámit je se zásadami bezpečnostních opatření, která je nutno přijmout při eliminaci bezpečnostních rizik. Přístupy řešení jsou založeny na normotvorných a legislativních úpravách problematiky informační bezpečnosti. Důraz je kladen i na získání znalostí o současných metodologiích řízení bezpečnosti informací v podnikovém IS v IS veřejné správy Mezioborové zaměření předmětu vyžaduje prolínání matematické vědy s technickými, manažerskými a informačními problematikami, zejména v části zabývající se přehledem současného stavu aplikované kryptografie. Požadavky na posluchače: Znalosti vysokoškolské matematiky, orientace v pojmech teorie informací, znalosti z oblasti práce s výpočetní technikou a výhodné jsou též znalosti z architektury informačních systémů a základních principů při realizaci podnikové informační bezpečnosti. Tématické okruhy předmětu: Náplň předmětu je rozdělena na následující tématické okruhy: Podniková informační bezpečnost – základní principy budování bezpečnostní architektury. Bezpečnostní aspekty informačních a komunikačních systémů; Nástroje a mechanismy ochrany informačních aktiv; Šifrová ochrana informací. Bezpečnostní normy a standardy; Správa rizik IS a směry rozvoje v oblasti ochrany informací. Členění tématických okruhů do rozpisu soustředění: U předmětu Bezpečnost IS je v případě kombinovaného studia vyhrazena výuka jednoho tématického okruhu v rámci jednoho soustředění. Závěrečné soustředění zahrnuje i praktické příklady řízení podnikové informační bezpečnosti. Ukončení předmětu: Předmět je zakončen zkouškou sestávající z písemné a doplňkové ústní části. Doporučená literatura: Menezes, A.J.;van Oorschot, P.C.: Vanstone, S.A.: Handbook of Applied Cryptography. CRC Press, 1997 Schneier, B.: Applied Cryptography. John Wiley & sons, 1996 Singh, S.: Kniha kódů a šifer. Argo, 2003 Doseděl, T.: Počítačová bezpečnost a ochrana dat. Computer Press, 2004; Horák, J.: Bezpečnost malých počítačových sítí. Grada 2003 Kovacich, G. L.: Průvodce bezpečnostního pracovníka IS. Unis Publishing, 2000 Přibyl, J., Kodl, J.: Ochrana dat v informatice. ČVUT, 1998 Kolektiv: Informační bezpečnost. Tate International, 2001 Časopis DSM – Data security management Smejkal, V., Rais, K.: Řízení rizik. Grada 2006
Metodický list č.1 Tématický okruh: Podniková informační bezpečnost – základní principy řízení bezpečnosti Cíl: Po probrání tématického okruhu budou mít posluchači strukturovaný přehled o přístupech k problematice ochrany informačních aktiv a realizaci bezpečnostních opatření v podnikové sféře. Zároveň budou seznámeni se základními bezpečnostními procesy a postupy, které jsou stanoveny při integraci bezpečnostního prostředí do podnikové infrastruktury.
Osnova: principy informační bezpečnosti; řízení informační bezpečnost a návrh bezpečnostních prvků v rámci vícevrstvé bezpečnostní architektury program informační bezpečnosti v podniku požadavky na pracovníky podniku procesy v oblasti bezpečnosti informací bezpečnostní informační technologie fáze realizace programu podnikové informační bezpečnosti Základní tématický obsah: Program bezpečnosti informací do prostředí podniku vyžaduje v současné době správnou a vyváženou kombinací tří základních aspektů: technologií procesů personálu podniku S tím jsou spojeny následující požadavky: investice do nových technologií musí být v souladu s tzv. víceúrovňovou informační bezpečností Řešení jednotlivých procesů, projektů i zajišťování provozu podniku musí zahrnout mj.: architekturu funkčního modelu bezpečnostních služeb v IS vytvoření bezpečnostních perimetrů (realizace demilitarizované zóny – firewaly a jejich dislokace, kontrola a správa, systémy detekce průniku, detekce obsahu transakcí, detekce zranitelností, ochrana proti škodlivému SW) bezpečnost komunikačních sítí podniku; architektura zabezpečení vzdáleného přístupu; bezpečnostní protokoly a s tím spojené zavedení systému řízení bezpečnosti informací do struktury podniku, definice postupů a procesů při řízení rizik, návrh bezpečnostních procesů a implementace bezpečnostních opatření Cílem bezpečnostních aktivit je realizace efektivního programu informační bezpečnosti, kdy jsou v rovnovážném stavu rizika podniku a vynakládané investice na jeho rozvoj Doporučená literatura: Kovacich, G.L.: Průvodce bezpečnostního pracovníka IS. Unis Publishing, 2000. Kolektiv: Informační bezpečnost. Tate International, 2001. Časopis DSM – Data security management.
Metodický list č.2 Tématický okruh: Bezpečnostní aspekty informačních a komunikačních systémů; Nástroje a mechanismy ochrany informačních aktiv; Šifrová ochrana informací. Cíl: Po probrání tématického okruhu budou znát posluchači hlavní oblasti a směry při realizaci bezpečnostních opatření v prostředí podnikových informačních a komunikačních systémů, zároveň budou seznámeni se základními bezpečnostními opatřeními, která je nutno přijmout v souvislosti se zajištěním eliminace bezpečnostních rizik, Doplní si i základní přehled o aplikacích šifrové ochrany informací.
Osnova: integrace bezpečnostních mechanismů do informačního a komunikačního systému podniku; realizace vícevrstvé ochrany informací; jednotlivé komponenty vícevrstvé ochrany; šifrová ochrana informací; Základní tématický obsah: Informační technologie přináší do programu informační bezpečnosti řadu aktuálních otázek. Kromě toho má zásadní vliv na efektivnost realizovaného bezpečnostního programu. Ze systémového pohledu plyne nutnost řešit na úrovni technologií zejména následné požadavky: Zajištění bezpečnosti, dostupnosti a integrity informací v podnikovém IS;(zajištění oprávněného přístupu, problematika neodmítnutelnosti činností uživatelů systému); Základní metody správy systému ochrany informací; Elektronický podpis a jeho využití – PKI, certifikační autority, kryptografické základy, právní aspekty, normotvorné a legislativní úpravy; Z pohledu organizace podnikové informační bezpečnosti je nezbytná role bezpečnostního pracovníka informačního systému a jeho začlenění do bezpečnostních procesů; Významnou kapitolu při řešení bezpečnostních aspektů zaujímá šifrová ochrana informací – v rámci tématického okruhu se jedná zejména o využití: Šifrer symetrického klíče; Šifrovacích systémů s veřejným klíčem (RSA, DSA, algoritmy na bázi eliptických křivek); Hash funkcí; Kryptografických protokolů. Doporučená literatura: Kolektiv: Informační bezpečnost. Tate International, 2001. Časopis DSM – Data security management. Menezes, A.J., van Oorschot, P.C., Vanstone, S.A.: Handbook of Applied Cryptography. CRC Press, 1997. Schneier, B.: Applied Cryptography. John Wiley & sons, 1996.
Metodický list č.3 Tématický okruh: Bezpečnostní normy a standardy; Správa rizik IS a směry rozvoje v oblasti ochrany informací. Cíl: Po probrání tématického okruhu posluchači budou seznámeni se současnými aktivitami a výstupy standardizačních organizací. Zároveň budou znát základní přístupy a pojmy používané v současném pojetí informační bezpečnosti, která se stále více posuzuje z pohledu SOA (Service Osnova: Současné trendy ve standardizaci bezpečnostních procesů – metodologie COBIT, metodika ITIL a normy ISO řady 27000; Standardizace šifrovacích algoritmů; Zákonné úpravy oblasti ochrany informací; Bezpečnostní problematika z pohledu správy operačních rizik podniku. Základní tématický obsah: Spolu s rozvojem šifrové ochrany informací hrají stále důležitější roli standardizační činnosti mezinárodních i státních organizací. Přijímané normy a standardy dávají doporučení a stanovují principy a postupy vývoje, testování a ověřování parametrů i podmínky provozu šifrovacích zařízení i celých informačních systémů s integrovanou bezpečnostní nadstavbou. Zároveň jsou nezbytnou součástí při hodnocení bezpečnostních parametrů realizovaných komponent a systémů. Cílem bezpečnostních norem je též unifikace vytvářených produktů i celých systémů. Zvláštní zřetel je nyní dáván na standardizaci procesního řízení v oblasti bezpečnosti. S tím jsou těsně spojeny požadavky na správu rizik (hodnocení rizik, dopadová analýza, opatření k eliminaci rizik); Kromě ochrany informací v podnikové sféře je budoucnost zaměřena na celkové zvládnutí bezpečnostních aspektů v e-business a e-obchodu. Významnou roli zde zaujímá správa operačních rizik. Oriented Architecture – architektury orientované na poskytnutí služeb). Doporučená literatura: Kolektiv: Informační bezpečnost, Tate International, 2001. Časopis DSM – Data security management. Přibyl, J, Kodl, J.: Ochrana dat v informatice, ČVUT, 1998.
