České vysoké učení technické v Praze Fakulta elektrotechnická
Bakalářská práce Standardy a doporučení v informační bezpečnosti Jan Bobek
Vedoucí práce: Ing. Tomáš Vaněk, Ph.D. Studijní program Elektrotechnika a informatika strukturovaný bakalářský Obor: Výpočetní technika květen 2012
i
ii
Poděkování Děkuji velmi panu Ing. Tomáši Vaňkovi Ph.D. za jeho odborné konzultace, návrhy a připomínky, které mi umožnily dovést mou práci k úspěšnému zakončení.
iii
iv
Prohlášení Prohlašuji, že bakalářskou práci na téma „Standardy a doporučení v informační bezpečnosti“ jsem vypracoval samostatně a použil jsem jen pramenů, které cituji a uvádím v přiloženém soupisu literatury. Souhlasím, aby práce byla uložena v knihovně Českého vysokého učení technického v Praze a zpřístupněna ke studijním účelům. V Praze, dne…………………………… Podpis …………………………………
v
vi
Abstract The aim of this work is to introdukce with standards used in the sphere of information security and to create an educational material, concerning the characteristics, goals and mutual relations among those standards. This dokument also adits the security guidelines and suggests possible ganges in chosen company, particularly in ABB Elektro Praga Jablonec
Abstrakt Cílem práce je seznámení se se standardy používanými v oblasti informační bezpečnosti a vytvoření výukového materiálu, zabývajícího se vlastnostmi, cíli a vzájemnými vztahy mezi jednotlivými standardy. Dále se následující dokument zabývá revizí bezpečnostních směrnic a návrhem případných změn ve zvolené firmě, konkrétně v ABB Elektro Praga Jablonec.
vii
viii
Obsah Poděkování................................................................................................................... iii Prohlášení...................................................................................................................... v Abstract ...................................................................................................................... vii Abstrakt ...................................................................................................................... vii Seznam tabulek ................................................................................................................. 3 Seznam obrázků ................................................................................................................ 3 1. Úvod.............................................................................................................................. 5 2. Specifikace cíle práce ................................................................................................... 7 3. Bezpečnostní normy ..................................................................................................... 9 3.1. Bezpečnost informací ............................................................................................ 9 3.2. Historie bezpečnostních norem ............................................................................ 10 3.2.1. TCSEC - Trusted Computer System Evaluation Criteria ............................. 10 3.2.2. ITSEC - Information Technology Security Evaluation Criteria ................... 11 3.2.3. „Duhové knihy“ Rainbow series................................................................... 12 3.2.4. Common Criteria .......................................................................................... 13 4. Podrobný popis vybraných norem řady 27000 ........................................................... 15 4.1. Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Přehled a slovník ...................................................................................... 15 4.2. Informační technologie – Bezpečnostní techniky – Systémy managementu bezpečnosti informací – Požadavky ........................................................................... 17 4.2.1. Struktura a vlastnosti .................................................................................... 17 4.2.1. Cíle ................................................................................................................ 19 4.3. Informační technologie - Bezpečnostní techniky- Soubor postupů pro management bezpečnosti informací............................................................................ 21 4.3.1. Struktura a vlastnosti .................................................................................... 21 4.3.2. Cíle ................................................................................................................ 23 4.4. Informační technologie - Bezpečnostní techniky - Požadavky na orgány provádějící audit a certifikaci systémů řízení bezpečnosti informací ......................... 24 4.4.1 Struktura a vlastnosti ..................................................................................... 24 4.4.2 Cíle ................................................................................................................. 25 5. Specifikace vzájemných vztahů mezi normami.......................................................... 27 5.1. Vztah mezi normami ISO/IEC 27001 a ISO/IEC 27002 ..................................... 28 1
6. Popis interních dokumentů firmy ABB s.r.o. EPJ ...................................................... 29 6.1. Administrace výpočetní techniky ........................................................................ 29 6.2. Používání výpočetní techniky .............................................................................. 31 7. Porovnání interních dokumentů ABB s.r.o. s normou ISO/IEC 27001 ...................... 35 7.1 Srovnání s opatřeními v příloze A1 ...................................................................... 35 7.2. Návrh směrnic ...................................................................................................... 37 8. Závěr ........................................................................................................................... 39 9. Literatura ..................................................................................................................... 41 A Obsah přiloženého CD ................................................................................................ 43 A. 1 Firemní dokumenty ............................................................................................. 43 A. 2 Text bakalářské práce ......................................................................................... 43
2
Seznam tabulek Tabulka 1: Příklady dokumentů Rainbow series ............................................................ 12 Tabulka 2: Přehled rodiny standardů ISMS .................................................................... 16 Tabulka 3: Oblasti bezpečnosti v normě ČSN ISO/IEC 27002:2006 ............................. 22
Seznam obrázků Obrázek 1: PDCA model aplikovaný na procesy ISMS ................................................. 18 Obrázek 2: Vztahy mezi standardy rodiny ISMS [11] ................................................... 27
3
4
1. Úvod
Bezpečnost informací se s vývojem informačních systémů stává stále diskutovanějším tématem. Informace jsou dnes velmi hodnotnou komoditou, jak v oblasti soukromého podnikání, tak i ve státní správě a proto je stále důležitější jejich zabezpečení před neoprávněným přístupem nebo například před jejich úplnou ztrátou. Pokud se tak stane, hrozí organizaci, že přijde o strategické výhody, důležité know-how, může se stát náchylnou k různým podvodům a především dojde k bolestnému poškození pověsti. Díky těmto a dalším rizikům vzniklo v průběhu času bezpočet dokumentů, které se zabývají pravidly, postupy a návrhy, jak dosáhnout potřebného stupně zabezpečení důležitých dat, a které se dnes po řadě úprav staly obecně přijímanými normami. Těmito dokumenty, hlavně těmi normovanými, bych se chtěl v následující práci hlouběji zabývat. Důvodem, proč jsem si vybral téma o informační bezpečnosti, je především můj osobní zájem o tuto problematiku, a protože jsem se zatím za dobu mého studia nesetkal s předmětem, který by toto podrobněji probíral, a především příležitost dané téma hlouběji prostudovat a získat potřebný přehled pro mé další studium.
5
6
2. Specifikace cíle práce
Cílem této práce je vytvoření přehledného výukového dokumentu, který se zabývá standardy a normami uplatňovanými v oblasti informační bezpečnosti. Vytvořit přehled norem historických a popsat vlastnosti a cíle vybraných norem moderních. Tento dokument bude sloužit jako podpůrný materiál studentům, přehledně demonstrující vlastnosti, cíle a vzájemné vztahy jednotlivých standardů. Dalším cílem je srovnání pravidel obsažených ve firemních bezpečnostních směrnicích v podniku ABB Elektro Praga Jablonec s bezpečnostními opatřeními popsanými v normách ISO/IEC 27001 a 27002 a případný návrh pravidel doplňujících.
7
8
3. Bezpečnostní normy
3.1. Bezpečnost informací
Informace jsou pro organizace, společnosti nebo firmy cennými aktivy a proto je důležité je vhodným způsobem chránit před nepřeberným množstvím hrozeb a zranitelností. S informacemi lze manipulovat a uchovávat je v různých podobách. Mohou být vytištěny nebo napsány na papíře, uloženy v elektronické podobě, posílány poštou nebo elektronickou cestou, zachyceny na film či vyřčeny při konverzaci.
Citace [1] „Bezpečnost informací je zaměřena na širokou škálu hrozeb a zajišťuje tak kontinuitu činností organizace, minimalizuje obchodní ztráty a maximalizuje návratnost investic a podnikatelských příležitostí.“ Hrozbám jsou informace vystavovány z nejrůznějších zdrojů. Může jít o úmyslné incidenty, které jsou vedené lidskými subjekty jako například počítačové podvody, špionáže, sabotáže, vandalizmus, napadení počítačovými viry, útoky hackerů a útoky typu odepření služby, které jsou dnes stále častější. Může se jednat o hrozby neúmyslné, mezi které kromě jiných patří požáry, povodně, výpadky elektrických sítí, selhání hardwaru, softwarové chyby nebo selhání lidského faktoru, jako je častá neodborná manipulace a další.
9
3.2. Historie bezpečnostních norem
Počátky informační bezpečnosti lze datovat do doby Druhé světové války, kdy došlo k vývoji prvních mainframových počítačů, které měly pomoci s dekódováním šifrovaných zpráv. Pro přístup k těmto strojům byly implementovány několikanásobné úrovně zabezpečení. Historie standardů informační bezpečnosti jako takové se začíná o dvě desítky let později. Stoupající počet počítačů a vývoj počítačových sítí si žádali vytvoření obecnějších a propracovanějších standardů. V roce 1967 byla ministerstvem obrany Spojených států amerických sestavena operační skupina, z jejíhož snažení vzešel dokument známý jako Rand Report R-609 publikovaný v roce 1970. Tento dokument se pokouší definovat mechanismy potřebné pro zabezpečení víceúrovňových počítačových systémů. Jedná se o první publikovaný dokument, který se zabývá rolí managementu bezpečnosti informací. [2] [3] S příchodem a expanzí Internetu v 80. a 90. letech dochází v oblasti informační bezpečnosti ke skutečnému průlomu a proto vzniká stále více dokumentů zabývajících se touto problematikou.
3.2.1. TCSEC - Trusted Computer System Evaluation Criteria
Trusted Computer System Evaluation Criteria neboli zkráceně TCSEC je dokument vydaný Centrem počítačové bezpečnosti Ministerstva obrany Spojených států, který vznikl, aby rozšířil a upřesnil kritéria pro hodnocení počítačové bezpečnosti specifikované v předešlých dokumentech. Byl široce uznávaným standardem pro hodnocení bezpečnosti operačních systémů a splňoval požadavky bezpečnostní politiky 10
amerického Ministerstva obrany, které se týkali především zabezpečení utajovaných informací. Je také známý jako „Orange book“, první kniha z takzvané „Rainbow series“.
Smyslem tohoto dokumentu bylo:
Stanovit výrobcům standardy, podle jakých se mají řídit při vývoji svých komerčních produktů, tak aby tyto produkty byly dostatečně důvěryhodné a splňovaly požadavky pro zacházení s citlivými daty
Poskytnout metriku, podle které lze vyhodnotit míru důvěry, kterou lze do počítačových systémů vložit.
Poskytnout základy pro specifikaci bezpečnostních požadavků. Je zde definováno 7 tříd kritérií hodnocení (D, C1, C2, B1,B2, B3, A1) ve 4
skupinách (D, C, B, A). Každá třída pokrývá všechny aspekty hodnocení, které jsou třídu od třídy detailnější, takže třída D je nejméně náročná a třída A1 nejvíce. [4] [5]
3.2.2. ITSEC - Information Technology Security Evaluation Criteria
Information Technology Security Evaluation Criteria (ITSEC) byl vytvořen za spolupráce čtyř evropských zemi. Byly to Velká Británie, Německo, Francie a Nizozemsko. Tento dokument převzal to nejlepší z předchozího dokumentu (TCSEC) a dalších dokumentů přijatých ve zmíněných zemích. Stejně jako u TCSEC i zde je 7 úrovní hodnocení, E0 až E6, které reprezentují vzrůstající důvěru v korektnost produktu. Úroveň E0 znamená neadekvátní a E1 minimální zabezpečení, E6 má nejvyšší důvěru. Produkt neboli cíl hodnocení, který má být podle tohoto standardu certifikován, musí podstoupit detailní zkoumání svých bezpečnostních prvků. Tyto prvky neboli cíle zabezpečení, jsou specifikovány podle konkrétních potřeb uživatelů zkoumaných 11
systémů a jsou sepsány v dokumentu Cíle zabezpečení (Security target document). Sice má výrobce větší svobodu při návrhu architektury, ale je striktněji omezen dovolenými vývojovými praktikami. [5]
3.2.3. „Duhové knihy“ Rainbow series
Rainbow series je soubor více jak třiceti svazků. Každý svazek má jinou barvu, odtud tedy pochází název Rainbow series. Jedná se o dokumenty na hodnocení duvěryhodných počítačových systémů, jak je nazývá americká NSA (National Security Agency). Nejdůležitějším dokumentem je tzv. Orange book neboli TCSEC, která je již zmíněna výše Tabulka 1: Příklady dokumentů Rainbow series NSA/NCSC Rainbow Series Rok
Dokument
Název
CSC-STD-001-83
DOD Trusted Computer System Evaluation Criteria
1983
Oranžová
CSC-STD-002-85
DoD Password Management Guidelines
1985
Zelená
1985
Světle žlutá
1985
Žlutá
CSC-STS-003-85
CSC-STS-004-85
vydání
Guidance for Applying the DoD Trusted Computer System Evaluation Criteria in Specific Environments Technical
Rationale
Behind
CSC-STD-003-85:
Computer Security Requirements
Barva
NCSC-TG-001
A Guide to Understanding Audit in Trusted Systems
1988
Světle hnědá
NCSC-TG-002
Trusted Product Evaluation - A Guide for Vendors
1990
Světle modrá
NCSC-TG-005
Trusted Network Interpretation
1987
Červená
1988
Vínová
1988
Levandulová
1989
Stříbrná
NCSC-TG-007
NCSC-TG-008
A Guide to Understanding Design Documentation in Trusted Systems A Guide to Understanding Trusted Distribution in Trusted Systems Trusted UNIX Working Group (TRUSIX) Rationale
NCSC-TG-020A
for Selecting Access Control List Features for the UNIX System
NCSC-TG-021
Trusted Database Management System Interpretation
1991
Fialová
NCSC-TG-022
A Guide to Understanding Trusted Recovery
1991
Žlutá
[6], [7] 12
3.2.4. Common Criteria
Common Criteria for Information Technology Security Evaluation (Common Criteria) je dnes zavedeným mezinárodním standardem ISO/IEC 15408. Je určený jako základ hodnocení bezpečnosti IT produktů. Skládá se ze tří částí:
ISO/IEC 15408-1 Introduction and general model Tato část stanovuje obecné koncepty a principy pro hodnocení bezpečnosti IT a specifikuje obecný model hodnocení, daný různými částmi standardu. Poskytuje přehled o všech částech, definuje pojmy a zkratky a ustavuje podstatu konceptu předmětu hodnocení (Target of evaluation, TOE) [8]
ISO/IEC 15408-2 Security functional components Druhá část definuje požadovanou strukturu a obsah bezpečnostních funkčních komponent pro účely hodnocení bezpečnosti. Je určena spotřebitelům, vývojářům a hodnotitelům bezpečnosti. Norma obsahuje katalog funkčních komponent. Tyto komponenty splňují společné bezpečnostní funkční požadavky mnoha IT produktů.[9]
ISO/IEC 15408-3 Security assurance components Třetí část normy definuje požadavky normy na záruku. Obsahuje úrovně hodnocení záruk (Evaluation levels, EALs), které definují měřítko pro posouzení záruk produktu, sestavené balíky záruk (composed assurance packages, CAPs), jednotlivé komponenty záruky, z kterých se skládají úrovně záruky a balíky, a kritéria pro hodnocení profilu ochrany bezpečnostního cíle.[10]
13
Umožňuje porovnatelnost výsledků nezávislých bezpečnostních hodnocení. Toho dosahuje tím, že poskytuje sadu obecných požadavků pro rozsah bezpečnostních funkcí IT produktů. Tato norma je vhodná jako příručka pro vývoj, hodnocení a/nebo pro pořizování IT produktů s bezpečnostními funkcemi.[8] Norma má původ v dokumentech vydaných v předešlých letech. Především vychází z amerického TCSEC a evropského ITSEC, které jsou zmíněny výše.
14
4. Podrobný popis vybraných norem řady 27000
4.1. Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Přehled a slovník ČSN ISO/IEC 27000:2009
Tento dokument je přehledem standardů a použité terminologie. Popisuje zálkady systémů řízení bezpečnosti informací, které jsou tématem rodiny standardů ISMS. Jeho obsahem je:
přehled systémů managementu bezpečnosti informací ISMS s jejich stručným popisem a rozdělením do kategorií podle obsahu;
úvod do systémů managementu bezpečnosti informací, stručně rozebírá co to ISMS je, vysvětluje jeho důležitost a popisuje kritické faktory úspěchu implementace ISMS;
stručný popis Plánuj-Dělej-Kontroluj-Jednej procesu (PDCA);
termíny a definice používané v rodině ISMS standardů.
15
Tabulka 2: Přehled rodiny standardů ISMS
Číslo normy
Název
ISO/IEC 27000:2009
Information security management systems — Overview and vocabulary
ISO/IEC 27001:2005
Information security management systems — Requirements
ISO/IEC 27002:2005
Code of practice for information security management
ISO/IEC 27003:2010
Information security management system implementation guidance
ISO/IEC 27004:2009
Information security management — Measurement
ISO/IEC 27005:2008
Information security risk management
ISO/IEC 27006:2007
Requirements for bodies providing audit and certification of information security management systems
ISO/IEC 27007:2011
Guidelines for information security management systems auditing
ISO/IEC 27011:2008
Information
security
management
guidelines
telecommunications organizations basedon ISO/IEC 27002 [11]
16
for
4.2. Informační technologie – Bezpečnostní techniky – Systémy managementu bezpečnosti informací – Požadavky ČSN ISO/IEC 27001:2005
Tato norma je českou verzí normy ISO/IEC 27001:2005, která nahrazuje normu ČSN BS 7799-2 vydanou v prosinci 2004. Původní norma BS 7799 publikovaná Britským normalizačním institutem v roce 1995 položila základy pro zavádění a implementaci managementu bezpečnosti informací ISMS. Norma se zaměřuje na faktory dostupnosti, důvěrnosti a integrity informací a při jejím návrhu byl kladen velký důraz na univerzálnost ve vztahu k technologiím, aby jí bylo možno úspěšně implementovat v řadě různých organizací. Nejen proto se začala brzy uplatňovat i v jiných zemích a z tohoto důvodu byla v roce 2000 přijata jako nadnárodní norma ISO/IEC 17799.
4.2.1. Struktura a vlastnosti
Norma je souborem požadavků pro systémy managementu bezpečnosti informací a skládá se z devíti kapitol číslovaných od nuly a třech příloh A, B. C. V úvodní kapitole se zabývá procesním přístupem pro ustavení, zavádění, provozování, monitorování, udržování a zlepšování ISMS v organizaci. Popisuje především model Plánuj-Dělej-Kontroluj-Jednej (Plan-Do-Check-Act nebo zkráceně PDCA), který se skládá ze čtyř fází.
Jsou to: 1. Plánování Ustavuje se politika ISMS, cíle a procesy související s řízením rizik.
17
2. Zavádění a provoz Příslušné postupy a procesy se zavádějí a realizují do provozu. 3. Monitorování Procesy se posuzují, a je li to možné, měří se jejich výkon vzhledem k politice ISMS, cílům a praktickým zkušenostem a výsledky se hlásí vedení k přezkoumání. 4. Udržování a zlepšování Přijímají se opatření k nápravě a prevenci incidentů, která jsou založena na výsledcích interních auditů systému.
Obrázek 1: PDCA model aplikovaný na procesy ISMS
V následujících třech kapitolách je popsán předmět normy, přehled citovaných dokumentů a vymezení termínů a definic potřebných pro pochopení problematiky, kterou se norma zabývá. Čtvrtá kapitola podrobně definuje požadavky pro ustavení, zavádění, provozování, monitorování, přezkoumání, udržování a zlepšování ISMS a požadavky na tvorbu dokumentace a pořizování záznamů o průběhu procesů. Ve zbylých kapitolách jsou vylíčeny požadavky na vedení organizace, jako jsou zajištění zdrojů pro funkce ISMS, proškolování a zajištění dostatečné informovanosti a odborné způsobilosti personálu, který vykonává práci ovlivňující ISMS, a v neposlední řadě také požadavky pro interní auditování, přezkoumávání a vylepšování systému. 18
Cíle, kterých se snaží norma svým implementováním dosáhnout, jsou blíže specifikovány v příloze A. Příloha je doplněna o přesná bezpečnostní opatření, kterými lze zmíněných cílů dosáhnout. Tyto cíle a jednotlivá opatření jsou přímo odvozena a propojena s opatřeními a doporučeními obsaženými v normě ČSN ISO/IEC 17799 v kapitolách 5 až 15
4.2.1. Cíle
Cílem normy je poskytnout obecný základ pro vývoj bezpečnostních dokumentů organizace a bezpečnostních postupů, kterými by se měla řídit, aby byla schopná efektivně zajistit bezpečnost svých informačních aktiv, minimalizovala bezpečnostní rizika a zajistila si potřebnou důvěryhodnost svých produktů. Dále má dokument pomoci identifikovat požadavky pro zavedení systémového přístupu, který se řídí PDCA modelem.
Dosažení následujících cílů je důležité pro úspěšnou implementaci systému managementu informační bezpečnosti.
Zavést bezpečnostní politiku informací.
Řídit bezpečnost informací v organizaci i těch informací, které jsou spravované nebo sdělované externími subjekty
Dostatečnou měrou chránit aktiva organizace
Zajistit, aby zaměstnanci byli dostatečně srozuměni se svými povinnostmi, proškoleni o možných bezpečnostních hrozbách, aby byli na příslušné pozice vybráni vhodní kandidáti a snížilo se tak riziko selhání lidského faktoru na minimum.
19
Zajistit, aby ukončení nebo změna pracovního vztahu zaměstnanců proběhla řádným způsobem.
Předcházet neautorizovanému přístupu a snížit riziko ztráty, poškození, krádeže, kompromitace, vyzrazení nebo modifikace důležitých dat organizace. Případně tyto neoprávněné přístupy či modifikace detekovat.
Zajistit správný a bezpečný provoz prostředků pro zpracování informací.
Minimalizovat riziko selhání systémů zajištěním požadovaného výkonu a určením kritérií pro přejímání systémů nových.
Chránit integritu dat a programů zavedením protiopatření proti škodlivým programům a mobilním kódům.
Zabezpečit zálohování a udržet dostupnost informací. Zároveň zajistit ochranu prostředků pro jejich zpracování, počítačových sítí a podpůrné infrastruktury.
Zajistit bezpečnost služeb elektronického obchodu a jejich bezpečné použití.
Zajištění přístupu oprávněných uživatelů k systémům, sítím a datům a zamezení neoprávněných přístupů.
Zajistit bezpečnost informačních systémů správným zpracováváním dat, použitím kryptografických prostředků, udržováním bezpečnosti programového vybavení.
Hlásit bezpečnostní události a slabiny informačního systému a včas zahájit kroky k nápravě
Zajistit shodu systémů s bezpečnostními politikami organizace a normami.
[1]
20
4.3. Informační technologie - Bezpečnostní techniky- Soubor postupů pro management bezpečnosti informací ČSN ISO/IEC 27002:2006
Tato norma nahrazuje normu ČSN ISO/IEC 17799:2005, ze které vzešla v podstatě jen přejmenováním. Norma ČSN ISO/IEC 17799:2005 nahrazuje předchozí první vydání ISO/IEC 17799:2000, které má původ v první části britské normy BS 7799 z roku 1995 Nynější vydání poskytuje doporučení a obecné principy pro vymezení, zavedení, udržování a zlepšování systému managementu bezpečnosti informací v organizaci.
4.3.1. Struktura a vlastnosti
Dokument se skládá z celkem 11 základních oddílů neboli oblastí bezpečnosti, které jsou dále rozděleny do 39 kategorií bezpečnosti a ty obsahují celkem 134 opatření s doporučeními k jejich realizaci. Kromě toho se norma v kapitole 4 zabývá základními informacemi o procesech hodnocení a zvládání rizik. Každá kategorie bezpečnosti obsahuje cíl, určující čeho má být dosaženo, a jedno nebo více opatření, která je možné k dosažení stanoveného cíle použít. Strukturování vypadá následovně:
Opatření Je definováno přesnou formulací, která vede ke splnění cíle. 21
Doporučení k realizaci V něm jsou podrobnější informace a doporučení na podporu implementace vybraných opatření. Ne všechna ze zmíněných doporučení musí nutně být použitelná pro každou situaci. V takových případech by měly být použity vhodnější postupy implementace opatření.
Další informace Zde jsou doplňující informace, které může být potřeba vzít při implementaci do úvahy, jako například legislativní otázky a odkazy na další normy a relevantní předpisy.
Tabulka 3: Oblasti bezpečnosti v normě ČSN ISO/IEC 27002:2006
Oblast bezpečnosti
Počet kategorií
Počet opatření
Bezpečnostní politika
1
2
Organizace bezpečnosti
2
11
Klasifikace a řízení aktiv
2
5
Bezpečnost lidských zdrojů
3
9
Fyzická bezpečnost a bezpečnost prostředí
2
13
Řízení komunikací a řízení provozu
10
33
Řízení přístupu
7
25
6
16
Zvládání bezpečnostních incidentů
2
5
Řízení kontinuity činností organizace
1
5
Soulad s požadavky
3
10
39
134
Nákup, vývoj
a údržba informačního
systému
Soubor postupů v této normě může být chápán jako základ pro tvorbu vlastních specifických směrnic každé organizaci na míru. Ne všechna opatření mohou být použitelná, naopak může být nutné zavést i další opatření, která v normě nejsou uvedena. 22
4.3.2. Cíle
Cílem této normy je pomoci stanovit bezpečnostní požadavky, vyhodnotit bezpečnostní rizika a vybrat sady potřebných opatření k potlačení nebo minimalizaci těchto rizik a splnění všech konkrétních požadavků. Dále je vhodná k identifikaci kritických faktorů úspěchu pro zdařilou implementaci bezpečnosti informací v organizaci a jako manuál pro tvorbu specifických podnikových bezpečnostních směrnic, které upravují nakládání s citlivými aktivy organizace, chování zaměstnanců ve vztahu k těmto aktivům, a které zavádějí opatření proti všem potenciálním bezpečnostním hrozbám. Kritické faktory úspěchu pro úspěšnou implementaci bezpečnosti informací a vyplnění těchto cílů jsou následující: a) bezpečnostní politika, bezpečnostní cíle a činnosti, které respektují cíle činností organizace; b) přístup k zavádění, udržování, monitorování a zlepšování bezpečnosti informací v souladu s kulturou organizace; c) zřetelná podpora a angažovanost ze strany vedení organizace; d) dobré pochopení bezpečnostních požadavků, hodnocení a managementu rizik; e) účinný marketing bezpečnosti vůči vedení organizace, zaměstnancům a jiným stranám f) rozšíření směrnic a norem bezpečnostní politiky informací mezi všechny zaměstnance, vedení organizace a třetí strany; g) zdroje a financování činností souvisejících s řízením bezpečnosti informací; h) realizace odpovídajících školení, vzdělávání a programů zvyšování povědomí; i) zavedení procesu zvládání bezpečnostních incidentů; j) komplexní a vyvážený systém pro ohodnocení míry účinnosti řízení bezpečnosti informací a získávání návrhů ke zlepšení na základě zpětné vazby. [12] 23
4.4. Informační technologie - Bezpečnostní techniky Požadavky na orgány provádějící audit a certifikaci systémů řízení bezpečnosti informací ČSN ISO/IEC 27006:2007
Tato norma specifikuje požadavky a poskytuje doporučení pro orgány, které provádějí audity a certifikace systémů řízení bezpečnosti informací. Je založená na normě ISO/IEC 17021, která nastavuje kritéria pro organizace zabývající se auditem a certifikací systému řízení organizace. Norma ISO/IEC 27006 tedy doplňuje požadavky obsažené v normě ISO/IEC 17021 a také v normě ISO/IEC 27001 a proto je na obě tyto normy v dokumentu bohatě odkazováno.
4.4.1 Struktura a vlastnosti
Požadavky obsažené v této normě musí být demonstrované ve smyslu odborné způsobilosti a spolehlivosti orgánů poskytujících certifikace ISMS, doporučení zde obsažená poskytují dodatečnou interpretaci jednotlivých požadavků. Text této normy kopíruje strukturu normy ISO/IEC 17021, je rozdělen do deseti kapitol a 28 podkapitol. Norma doplňuje:
požadavky řízení nestrannosti;
požadavky na zdroje, kde se zabývá odborností personálu, školeními auditního týmu a potřebným vzděláním auditorů;
požadavky na informace o postupy pro operace s certifikací;
24
požadavky na procesy o všeobecné požadavky ISMS auditu, některé požadavky na úvodní audit, certifikace, dohledové audity, recertifikační audity, speciální případy a stížnosti; Ostatní kapitoly jsou odkazované na normy ISO/IEC 17021 a ISO/IEC 27001.
Příloha A obsahuje příklady toho, jak provést analýzu komplexnosti organizace. Tato analýza pak může být použita při rozhodování o požadavcích na odbornou způsobilost auditorů, jehož příklad je uveden v příloze B, nebo o požadavcích na čas potřebný pro audit. Příklad na určení trvání auditu je v příloze C. Příloha D obsahuje doporučení pro přezkoumání opatření, která zavádí norma ISO/IEC 27001
4.4.2 Cíle
Cílem této mezinárodní normy je umožnit akreditačním orgánům její efektivní aplikaci a harmonizaci s ostatními normami, podle kterých se provádí hodnocení certifikačních orgánů usilujících o akreditaci. Dále se také snaží poskytnout seznam požadavků na technickou způsobilost auditorů a na úroveň jejich vzdělání a poskytnout certifikačním orgánům kritéria, vůči kterým mají provádět audity ISMS klientů, a nastínit příklady vyhodnocení času potřebného k úspěšnému auditování. [13]
25
26
5. Specifikace vzájemných vztahů mezi normami.
Obrázek 2: Vztahy mezi standardy rodiny ISMS [11]
Na obrázku 5.1 jsou znázorněny vztahy mezi normami řady 27000. Všechny je zastřešuje norma ISO/IEC 27000 ve které jsou nastíněny základní pojmy a definice používané napříč ostatními příbuznými normami. Následují normy ISO/IEC 27001 a ISO/IEC 27006, které jsou souborem požadavků pro návrh a implementaci systémů managementu bezpečnosti informací anebo se připravují takové systémy auditovat. Norma ISO/IEC 27006 je souborem požadavků a doporučení pro certifikaci Systémů managementu bezpečnosti informací podle normy ISO/IEC 27001 a proto je na ní vázaná. Některé požadavky jsou odkazovány na ISO/IEC 27006, vyžadují plnění podle požadavků obsažených v normě ISO/IEC 27001. 27
V další části jsou zastoupeny normy ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 27005 a ISO/IEC 27007, které obsahují obecné zásady a doporučení, podle kterých by se měli řídit ti, kteří ustavují, zavádějí, provozují, monitorují, udržují a zlepšují a prověřují ISMS v organizaci. Pokrývají i oblasti řízení bezpečnostních rizik a auditování ISMS. Poskytují dodatečné instrukce a vodítka pro splnění požadavků vytyčených v normách ISO/IEC 27001 a ISO/IEC 27006. Na normu ISO/IEC 27002 navazují další 2 normy, které obsahují směrnice specifické pro určitý sektor oboru bezpečnosti informací. Jsou to normy ISO/IEC 27799, která poskytuje podpůrné směrnice pro implementaci řízení bezpečnosti informací ve zdravotnických organizacích, a ISO/IEC 27011, která se zabývá bezpečnostními směrnicemi pro telekomunikační organizace [11]
5.1. Vztah mezi normami ISO/IEC 27001 a ISO/IEC 27002
Norma ISO/IEC 27002 poskytuje instrukce pro bezpečnostní opatření. Norma ISO/IEC 27001 představuje soubor požadavků pro vybudování systému řízení bezpečnosti informací, který pomáhá zavést a udržovat bezpečnostní opatření sepsaná v normě ISO/IEC 27002. Požadavky ze standardu ISO/IEC 27001 nepokrývají všechna opatření v normě ISO/IEC 27002. Cíle a opatření v příloze A v ISO/IEC 27001 odkazují na stejné cíle a opatření popsané v ISO/IEC 27002. Opatření mají stejná číslování, ale v ISO/IEC 27002 jsou doplněna o doporučení k realizaci a případné doplňující informace. Seznam opatření uvedený v ISO/IEC 27001 není vyčerpávající a organizace může považovat za vhodné přidat některé dodatečné cíle opatření a jednotlivá opatření. [1], [12] 28
6. Popis interních dokumentů firmy ABB s.r.o. EPJ
6.1. Administrace výpočetní techniky
Dokument Administrace výpočetní techniky je základní interní směrnice podniku ABB s.r.o. Elektro-Praga Jablonec, ve které jsou specifikovány zásady a pravidla pro používání a udržování hardwarových a softwarových prostředků a datové základny podniku. Dokument je závazný pro všechny pracovníky, kteří jsou pověřeni správou výpočetní techniky. Obsahem směrnice je:
vymezení oblasti platnosti dokumentu;
upřesnění užitých pojmů;
popis dokumentů evidence IT prostředků;
určení odpovědností za jednotlivé úkony údržby, dokumentace a evidence;
zavedená pravidla bezpečnosti informací jako jsou zálohování dat a systému, nastavení přístupových práv, založení/zrušení uživatelského účtu, vzdálený přístup k síti, ochrana proti virům a útokům. Dokumenty evidence jsou v elektronické podobě a obsahují technický popis,
inventární číslo a datum pořízení. Evidence hardware navíc obsahuje jméno uživatele a umístění položky, seznam oprav a případných rozšíření a majetkový vztah vzhledem k podniku (Jestli je v majetku podniku nebo na leasing nebo v majetku třetích stran). V evidenci software najdeme počet a umístění licencí a evidenční číslo a počet instalačních médií.
29
Datová média obsahující zakoupený software musí být minimálně v jedné sadě umístěna v trezoru. Dokumenty s evidencí jsou dostupné zaměstnancům pověřeným správou výpočetní techniky v určeném adresáři. Zálohování se provádí zpravidla každý pracovní den. Jedná se o zálohování všech důležitých dat, které zahrnuje zálohy dat finančního a logistického systému (SAP), uživatelských profilů, databází, docházkového systému, operačního systému a aplikací. Zálohová média jsou uložena v trezoru, který se nachází mimo budovu, ve které jsou servery. Každá výměna sady médií mezi trezorem a zálohovacím systémem, je evidována v knize záloh, která je uložena do trezoru společně s médii. Zápis musí obsahovat jednoznačné označení médií a datum uložení do trezoru. Zálohová média jsou obměňována ve lhůtě v souladu s předpisem výrobce nebo dříve, pokud vykážou jakoukoli chybovost při čtení nebo zápisu. Obnova dat je testována minimálně jednou za tři měsíce a provádí ji zaměstnanec dle rozpisu zálohy dat. Test a výsledek je zaznamenaný v knize záloh. Implicitní přístupová práva jsou vždy minimální nutná práva s maximálními omezeními přístupu z hlediska bezpečnosti. Jakákoliv změna přístupových práv se provádí na základě posouzení a případného schválení/zamítnutí požadavku zadaného do systému oprávněnému oddělení. Vzdálený přístup uživatelům k síti není implicitně povolen. Povolit vzdálený přístup lze jen na základě schválení požadavku zadaného do systému. Požadavek schvaluje ředitel Příslušného oddělení. Na všech počítačových stanicích a serverech musí být nainstalován standardizovaný prostředek antivirové ochrany. Při zjištění přítomnosti viru po nahlášení od uživatele nebo systémem musí odpovědný pracovník ihned provést fyzické odpojení počítače od sítě a provést kompletní detekci a odstranění virů. Pokud nelze
30
viry odstranit, musí proběhnout odstranění dat i systému a po bezpečném formátování napadených médií nová instalace systému a aplikací. [14]
6.2. Používání výpočetní techniky
V dokumentu Používání výpočetní techniky jsou specifikovány zásady správného používání výpočetní techniky ve firmě ABB s.r.o. Elektro-Praga. Tato interní směrnice je závazná pro všechny pracovníky, kteří používají výpočetní techniku nebo se zabývají její správou. Obsahem směrnice jsou:
vymezení oblasti platnosti dokumentu;
upřesnění užitých pojmů;
popis požadavků a pravidel pro používání výpočetní techniky;
zavedená pravidla bezpečnosti informací týkající se hesel a přístupových účtů, ochrany souborů, tisk a skartování dokumentace, sdílení souborů a adresářů;
pravidla pro použití programového vybavení;
pravidla pro vzhled a náležitosti elektronické dokumentace a elektronické pošty;
nařízení týkající se uživatelských dat a zálohování, údržby výpočetní techniky a provádění elektro-revizí, chování při poruchách, ochrany proti škodlivým programům,
pravidla pro přístup cizích osob do výpočetního systému a používání výpočetní techniky a instalace programového vybavení mimo prostory podniku
pravidla pro přístup k intranetu a Internetu
pravidla pro školení a zvyšování znalostí zaměstnanců
31
V následujících odstavcích jsou popsány nejdůležitější soubory pravidel. Všechny prostředky výpočetní techniky musí být uživatelem používány pouze v souladu s náplní jeho pracovní funkce v organizaci. Činnost uživatelů je zaznamenávána a kontrolována. Pravidla týkající se hesel upravují jeho minimální délku, maximální lhůtu platnosti, formu v jaké je lze ukládat a jaká hesla pro přístup volit popř. nevolit. Každý uživatel je povinen používat hesla. Hesla nesmějí být uložena v psané formě. Minimální délka hesla do operačního systému je 7 znaků, toto heslo je nutné měnit minimálně jednou za 90 dní. Při dočasném opuštění pracoviště je uživatel vždy povinen operační systém uzamknout. Po ukončení práce a odchodu z pracoviště je uživatel povinen se z počítačové sítě odhlásit. Při volbě hesel je povinností volit taková, která nelze snadno uhodnout. Hesla zná pouze uživatel, který jej zadal, a nesmí jej sdělit komukoliv v rámci podniku nebo mimo něj. V případě, prozrazení hesla, je uživatel povinen neprodleně heslo změnit. Je nepřípustné sdílení jednoho hesla a přihlašovacího jména několika uživateli. Systém registrace hesel je ve výpočetním systému podniku dostatečně chráněn a neumožní zobrazení hesla jakéhokoliv uživatele. Zapomenuté heslo lze resetovat zadáním požadavku příslušnému oddělení. O založení nového přístupového účtu pro nového pracovníka žádá ředitel úseku, pod který nový pracovník patří, prostřednictvím požadavku příslušnému oddělení. Pro ochranu dat je zavedeno různé nastavení přístupových práv v různých aplikacích. Soubory s důvěrným obsahem se doporučuje chránit heslem. Veškerá data, v elektronické nebo tištěné podobě musí být autorem - vlastníkem zařazena do jedné z následujících kategorií:
Public - nejnižší úroveň, tj. data, která jsou veřejně známá, např. označení, názvy výrobků, koncové ceny ap.
Internal - dokumenty pro vnitřní potřebu firmy, které se nesmějí šířit třetím osobám, např. řídící dokumentace, výrobní postupy apod. 32
Confidential - dokumenty určené ke čtení pouze adresátům (uživatelům) nebo osobám na stejné úrovni organizačního diagramu
Strictly Confidential - dokumenty určené pouze pro adresáta (uživatele)
Veškerá nepotřebná tištěná dokumentace s úrovní utajení "Internal" a vyšší musí být zničena skartováním ve skartovači v určené místnosti.
Sdílené adresáře bez omezení přístupu na skupiny nebo osoby nejsou povoleny. Sdílené adresáře na serverech jsou určeny pracovním skupinám, o rozšíření přístupových práv ke sdíleným souborům lze požádat výhradně podáním požadavku do systému příslušnému oddělení. Žádost musí být schválena vlastníkem dat. Dále jsou popsána ustanovení o používání programového vybavení. Lze používat jen programy s platnými licencemi. Uživatel nesmí na svůj přístroj instalovat jakékoliv programy. V případě potřeby nového či problémů s činností stávajícího vybavení, lze zažádat prostřednictvím požadavku do systému. Uživatel není oprávněn mít na svém přístroji data, která nejsou v souladu s náplní jeho pracovní činnosti. Zálohování probíhá každý den, ale jen na stanicích a serverech v podnikové síti. Data na počítačích mimo síť jsou uživatelé povinni zálohovat sami. [15]
33
34
7. Porovnání interních dokumentů ABB s.r.o. s normou ISO/IEC 27001
Vzhledem k tomu, že jsem nezískal přístup ke všem potřebným dokumentům, naopak dostaly se mi do rukou jen dvě dokumenty popisující pravidla používání a administrace výpočetní techniky, rozhodl jsem se porovnat tato pravidla s cíly a opatřeními v příloze A normy ISO/IEC 27001
7.1 Srovnání s opatřeními v příloze A1
A.5 Bezpečnostní politika Interní dokumenty se bezpečnostní politikou přímo nezabývají, ale dokument Administrace výpočetní techniky [14] v kapitole 4.4 odkazuje na dokument ABB Corporate lS-Security Handbook, který by měl obsahovat obecnou strategii a principy a pravidla nutná pro řízení bezpečnosti systémů. Popisuje kontrolu v oblasti lS-Security potřebnou pro uspokojení Minimum Security Baseline (MSB), což je další interní dokument popisující minimální bezpečnostní požadavky. Lze tedy usuzovat, že podnik jako takový nějakou určenou bezpečnostní politiku má, ale nelze ji blíže popsat. A.6 Organizace bezpečnosti informací Řízení bezpečnosti informací v organizaci je částečně zajištěna vedoucími a pověřenými pracovníky. Jsou jednoznačně vymezeny odpovědnosti za ochranu jednotlivých
aktiv
a
za
realizaci
určených
bezpečnostních
pravidel.
implementována opatření pokrývající rizika přístupu k informacím externí osobou.
35
Jsou
A.7 Řízení aktiv Je nastavena přiměřená ochrana aktiv. Jsou zavedena pravidla pro evidenci a aktiva mají určeného vlastníka. Je určena odpovědná osoba za udržování aktuálního seznamu evidovaných aktiv. Jsou zavedena pravidla pro používání aktiv. Dokumenty specifikují například pravidla pro přístup do podnikové sítě a na internet a pro používání výpočetní techniky A.8 Bezpečnost lidských zdrojů Každý uživatel má právo na zvýšení své informovanosti a proškolení v oblasti používání výpočetní techniky, ale není to jeho povinnost. Je zavedeno pravidlo o rušení přístupových práv a uživatelského účtu v případě ukončení pracovního vztahu. A.9 Fyzická bezpečnost a bezpečnost prostředí V dokumentech jsou zahrnuta pravidla pro údržbu zařízení. Jsou také zavedena pravidla pro přemístění majetku, respektive pravidla pro používání výpočetní techniky mimo prostory organizace. A.10 Řízení komunikací a řízení provozu Jsou přijata opatření na ochranu před škodlivými kódy. Je zajištěno pravidelné zálohování
citlivých
a
cenných
dat
a
veškerého
programového
vybavení
v odpovídajícím zálohovacím zařízení. A.11 Řízení přístupu Jsou realizována přístupová pravidla a oprávnění, která jsou implicitně nastavena na minimální nutná práva s maximálními omezeními. Existuje postup pro registraci nového uživatele včetně jejího zrušení. Je řízeno přidělování práv a je omezeno jen na oprávněné oddělení. Po uživatelích je požadováno dodržovat bezpečnostní postupy při používání hesel. Je zavedeno pravidlo pro splnění zásady prázdného monitoru. A.12 Akvizice, vývoj a údržba informačních systémů Dokumenty se netýkají této oblasti bezpečnosti.
36
A.13 Zvládání bezpečnostních incidentů Uživatelé jsou povinni hlásit veškeré atypické události a stavy a veškeré poruchy činnosti výpočetní techniky A.14 Řízení kontinuity činností organizace Dokumenty se netýkají této oblasti bezpečnosti. A.15 Soulad s požadavky Dokumenty se netýkají této oblasti bezpečnosti.
7.2. Návrh směrnic
Tam kde se opatření týkají předmětu firemních dokumentů, se dá říci, že daná pravidla v určité míře pokrývají opatření ustanovená v ISO/IEC 27002 a splňují mnohá doporučení k realizaci a nelze najít mnoho nedostatků. Vzhledem k tomu, že neodborná manipulace s výpočetní technikou a nedostatečná informovanost o možných hrozbách je podstatným bezpečnostním rizikem, bylo by vhodné v interních dokumentech pozměnit pravidlo o používání Výpočetní techniky [15] v odstavci 4.15 o školení zaměstnanců. Směrnice o informovanosti zaměstnanců Na základě opatření 8.2.2 normy ISO/IEC 27001 Absolvuje každý zaměstnanec ABB s.r.o. Elektro-Praga Jablonec, který při své práci využívá firemní výpočetní techniku, školení o používání výpočetní techniky, firemního programového vybavení, informační bezpečnosti a bezpečnostních rizicích, která hrozí při používání výpočetní techniky. Toto školení by se mělo opakovat jednou ročně.
37
38
8. Závěr
V této práci jsem se seznámil se standardy používanými v oblasti IT bezpečnosti. Cílem mé práce bylo vytvoření výukového materiálu, který by přiblížil problematiku bezpečnostních norem, a přehledně demonstroval jejich vlastnosti a cíle. Popsal jsem některé starší používané normy a jejich návaznosti na ty používané dnes a vybral jsem stěžejní normy řady ISO/IEC 27000 a podrobněji popsal jejich strukturu, podstatné vlastnosti a cíle a vzájemné vztahy, u těch u kterých to bylo možné. Dále jsem prošel a popsal některé interní směrnice firmy ABB s.r.o. ElektroPraga Jablonec, zabývající se používáním a administrací výpočetní techniky, a přirovnal je k bezpečnostním opatřením, popsaným v příloze A normy ISO/IEC 27001 a blíže specifikovanými v normě ISO/IEC 27002. Bohužel jsem nedostal přístup k dalším interním dokumentům, s jejichž pomocí bych mohl provést detailnější revizi zavedených směrnic oproti požadavkům v normě ISO/IEC 27001. Z prostudovaných dokumentů vyplývá, že interní předpisy pro používání a administraci výpočetní techniky pokrývají množství opatření, která se jich týkají. Prostudované dokumenty nemají závažné nedostatky, ovšem prostor pro zlepšení se zde nachází. Je nutné zejména zdokonalit dokumentaci a zpřesnit a zpřísnit formulaci některých pravidel. Tvorbou této práce jsem se seznámil se standardy, popisujícími systémy řízení bezpečnosti informací, s požadavky na návrh takových systémů a s opatřeními, která je potřeba implementovat, aby systém tyto požadavky splňoval.
39
40
9. Literatura
[1] Český normalizační institut: ČSN ISO/IEC 27001:2005 Informační technologie – Bezpečnostní techniky – Systémy managementu bezpečnosti informací – Požadavky Český normalizační institut 2006
[2] Hutchinson, Dan: Lecture - Introduction to information security [online]. [cit 201204-12]. URL: http://arapaho.nsuok.edu/~hutchisd/IS_4853/C6572_01.pdf
[3] Ware, Willis H.: Security controls for computer systems (Rand report R-609-1) [online]. [cit 2012-04-12]. URL: http://www.linuxsecurity.com/resource_files/documentation/R609.1.html
[4] Trusted Computer System Evaluation Criteria. 1985. [online]. [cit 2012-04-28]. URL: http://csrc.nist.gov/publications/history/dod85.pdf
[5] Information Technology Security Evaluation Criteria. 1991. [online]. [cit 2012-04-28]. URL: http://www.ssi.gouv.fr/site_documents/ITSEC/ITSEC-uk.pdf
[6] NSA/NCSC Rainbow Series. [online] [cit 2012-04-30]. URL: http://www.fas.org/irp/nsa/rainbow.htm
[7] Rainbow Series. [online]. [cit 2012-04-30]. URL: http://en.wikipedia.org/wiki/Rainbow_Series
[8] Common Criteria for Information Technology Security Evaluation Part 1: Introduction and general model. [online]. [cit 2012-05-03]. URL: http://www.niap-ccevs.org/cc_docs/CCPART1V3.1R3.pdf
[9] Common Criteria for Information Technology Security Evaluation Part 2: Security functional components. [online]. [cit 2012-05-03].
41
URL: http://www.niap-ccevs.org/cc_docs/CCPART2V3.1R3.pdf
[10] Common Criteria for Information Technology Security Evaluation Part 3: Security assurance components. [online]. [cit 2012-05-03]. URL: http://www.niap-ccevs.org/cc_docs/CCPART3V3.1R3.pdf
[11] Information security management systems - Overview and vocabulary.ISO/IEC
27000. [online]. [cit 2012-05-05]. URL: http://standards.iso.org/ittf/PubliclyAvailableStandards/c041933_ISO_IEC_27000_ 2009.zip [12] Český normalizační institut: ČSN ISO/IEC 17799:2005 Informační technologie Bezpečnostní techniky- Soubor postupů pro management bezpečnosti informací Český normalizační institut 2006 [13] Český normalizační institut: ČSN ISO/IEC 27006:2007 Informační technologie Bezpečnostní techniky - Požadavky na orgány provádějící audit a certifikaci systémů řízení bezpečnosti informací Český normalizační institut 2006 [14] ABB s.r.o. Elektro-Praga Jablonec. Administrace výpočetní techniky [15] ABB s.r.o. Elektro-Praga Jablonec. Používání výpočetní techniky
42
A Obsah přiloženého CD A. 1 Firemní dokumenty adresář /docs/ PDF verze firemních dokumentů
Administrace výpočetní techniky
Používání výpočetní techniky
A. 2 Text bakalářské práce adresář /bp/
doc soubor textu Bakalářské práce
pdf soubor textu Bakalářské práce
43