Policejní akademie České republiky v Praze Fak u lta bez p ečn ost níh o ma n age me ntu
PRŮVODCE KOMBINOVANÝM STUDIEM
Metodická studijní opora
BEZPEČNOST INFORMACÍ
Bakalářský studijní program „Veřejná správa“, studijní obor „Bezpečnostní management ve veřejné správě“.
1
Obsah 1. Vstupní informace k předmětu Bezpečnost informací ................................... 3 2. Pojetí způsobu a charakteru výuky v organizovaných soustředěních.......... 4 3. Pojetí způsobu studia v distanční části ........................................................... 4 4. Konzultace a další způsoby výuky nabízené katedrou ................................... 4 5. Zadání požadavků a úkolů pro samostatnou práci studentů a způsob jejich hodnocení ................................................................................................................. 5 6. Přehled témat předmětu určených k prostudování......................................... 5 7. Zaměření k zápočtu............................................................................................ 5 8. Přehled témat seminárních prací ...................................................................... 7 9. Celkový přehled studijní literatury k předmětu ............................................... 8 10.
Plán přednášek pro kombinované studium.................................................. 9
2
Průvodce kombinovaným studiem
1.
Vstupní informace k předmětu Bezpečnost informací
a)
název a typ studijního předmětu: „Bezpečnost informací – B71“ – povinně volitelný předmět
b)
odborný garant předmětu: doc. RNDr. Josef Požár, CSc.
c)
učitel vyučující předmět: Ing. Bc. Marek Čandík, Ph.D. JUDr. Štěpán Kalamár, Ph.D.
d)
Cíl předmětu
Cílem předmětu je seznámení se základními způsoby zajištění bezpečnosti dat v počítačových systémech. Důraz je kladen na hardwarovou a softwarovou ochranu počítačů, uspořádání počítačových sítí, šifrování a přenosu dat při zajištění jejich důvěrnost, na personální bezpečnost, právní a etické aspekty kybernetické bezpečnosti. Probíraná je oblast ochrany operačních a informačních systémů. Předmět se věnuje problematice kybernetické kriminality a seznamuje studenty se základními právními prameny, které jsou aplikované v oblasti informačních technologií. e)
stručná anotace předmětu a osnova předmětu:
Obsahem předmětu je teoretické a praktické seznámení se základními aspekty bezpečnosti dat a informací, včetně kybernetické kriminality, jejich způsoby a možnými prostředky boje proti nim. Výklad zahrnuje jak klasické způsoby ochrany dat, kybernetickou a informační bezpečnost při aplikaci moderní informačních a komunikačních technologií. Důraz je kladen na hardwarovou a softwarovou ochranu počítačů, uspořádání počítačových sítí, šifrování a přenosu dat při zajištění jejich důvěrnosti. Probíraná je oblast ochrany operačních a informačních systémů. Předmět se věnuje problematice kybernetické kriminality a seznamuje studenty se základními právními prameny, které jsou aplikované v oblasti informačních technologií. Praktická část výuky probíhá na počítačových učebnách, kde studenti aplikují získané vědomosti na počítačích. f)
podmínky udělení zápočtu či složení zkoušky:
Na závěr studia předmětu student vypracuje seminární práci. Studenti si však mohou zvolit téma práce, které učitel odsouhlasí. Seznam témat seminárních prací je uvedený v dalším textu. Při ústním pohovoru student prokáže znalost přednášené tématiky a obhájí svou seminární práci. 3
.způsob zakončení předmětu: ZÁPOČET g)
návaznosti předmětu: Předmět předpokládá základní počítačovou gramotnost studentů.
2. Pojetí způsobu a charakteru výuky v organizovaných soustředěních Předmět Bezpečnost informací je vyučován v druhém semestru prvního ročníku bakalářského studia, student absolvuje celkem dvě soustředění po dvou hodinách. Účast na plánovaných přednáškách v rámci jednotlivých soustředění je nepovinná. Základní používanou organizační formou výuky je přednáška zaměřená na výklad klíčových oblastí požadovaných znalostí a uvedení nejčastějších chyb ve vlastní prezentaci a jejím přednesu. V rámci přednášky studenti obdrží i metodické doporučení k samostatné studijní práci. Obsah jednotlivých přednášek budou moci studenti zjistit prostřednictvím SISu (budou zde uvedené v časovém předstihu).
3.
Pojetí způsobu studia v distanční části
Studenti se připravují samostatně, a to buď individuálně, nebo – výhodněji – v malých skupinkách na počítačové učebně, kde jim vyučující může poskytnout další učební texty k problematice v elektronické podobě.
4.
Konzultace a další způsoby výuky nabízené katedrou
S vyučujícími lze konzultovat osobně případně mailem nebo telefonicky v jeho vypsaných konzultačních hodinách nebo i mimo ně. Platné konzultační hodiny jsou uveřejněny na webových stránkách fakulty. Garant předmětu: doc. RNDr. Josef Požár, CSc. katedra managementu a informatiky, FBM místnost: budova A1, 101. telefon: 974 828 010 konsultační hodiny: úterý - 12:00 - 14:00 e-mail:
[email protected] Vyučující: Ing. Bc. Marek Čandík, PhD. katedra managementu a informatiky, FBM místnost: budova A1, 512. Telefon: 974 828 206 Konzultační hodiny: úterý 9:30 – 11:00 hod. e-mail:
[email protected] Vyučující: JUDr. Štěpán Kalamár, Ph.D. katedra managementu a informatiky, FBM místnost: budova A1, 527. telefon:974 828 214 Konzultační hodiny: úterý 9:30 – 11:00 hod. e-mail:
[email protected]
4
5.
Zadání požadavků a úkolů pro samostatnou práci studentů a způsob jejich hodnocení
Konkrétní požadavky a úkoly pro samostatnou práci budou moci studenti zjistit prostřednictvím SISu (budou zde uvedené v časovém předstihu). Znalosti studentů se zjišťují z kvality seminární práce a pohovoru z obsahu přednášené látky. Student musí k zápočtu z předmětu vypracovat seminární práci v rozsahu nejméně 12 stran textu a týden před termínem vykonáním zápočtu odeslat ji elektronicky ve formátu *.doc zkoušejícímu examinátorovi. Tato seminární práce je podmínkou k vykonání zápočtu z předmětu Bezpečnost informací. Téma seminární práce je uvedené v následující části studijní opory.
6.
Přehled témat předmětu určených k prostudování
Obsahové zaměření předmětu (Tématické okruhy): 1. soustředění seznámení s předmětem. požadavky na udělení zápočtu. Bezpečnostní rizika, hrozby, incidenty a bezpečnostní útoky. Hardwarová a fyzická bezpečnost. Softwarová bezpečnost. Antiviry a Firewally, Spyware, adware. Databázová a síťová bezpečnost. Kryptografie v informačních systémech. Základy šifrování a kódování. Elektronický podpis. 2. soustředění Fyzická, režimová a administrativní bezpečnost. Personální bezpečnost. Bezpečnost počítačových sítí. Kybernetická kriminalita v organizaci. Právo a bezpečnost informací. Právní a etické aspekty bezpečností informací
7.
Zaměření k zápočtu
Způsob ukončení předmětu:
zápočet
Kontrolní otázky 1. 2. 3. 4. 5. 6. 7.
Pojem bezpečnost informací a informační bezpečnost. Druhy ochrany dat a bezpečnosti informací. Základní pojmy informační bezpečnosti. Bezpečnostní hrozby a rizika. Přehled druhů hrozeb, rizik a incidentů v bezpečnosti informací. Klasifikace a kategorie útočníků na informační systém. Možnosti eliminace hrozeb. 5
8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35. 36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46.
Hardwarová bezpečnost a její druhy. Hardwarové prostředky kontroly osob. Síťová hardwarová ochrana. Hrozby a způsoby napadání IS, druhy HW rizik. Pojem počítačového viru, druhy a klasifikace virů. Popis funkce antivirových programů. Firewally. IDS a IPS ochrana. Spyware – problém úniku dat z počítače. Phishing, pharming. Hacking, cracking a sparing. Bezpečnost dat v operačních systémech. Bezpečnost programů. Bezpečnost objektů a souborů. Možnosti spolehlivosti sítí a dat. Hrozby databázové bezpečnosti. Programy ohrožující bezpečnost. Hrozby fyzické bezpečnosti. Administrativní bezpečnost organizace. Principy fyzické, režimové a personální ochrany IS. Personální bezpečnost při práci s elektronickou poštou. Druhy a způsoby fyzického ohrožení organizace. Režimová bezpečnost v organizaci – příklad. Možné útoky na kryptografické algoritmy. Pojem šifry, kryptografie a kryptologie. Symetrické a asymetrické šifrování. Principy elektronického a digitálního podpisu. Zásady a postupy při tvorbě bezpečnostní politiky organizace. Hrozby personální bezpečnosti. Bezpečnostní opatření personální bezpečnosti organizace. Druhy síťových protokolů. Bezpečnost dat v operačních systémech. Bezpečnost programů na síti. Bezpečnost objektů a souborů. Pojem počítačová, informační a kybernetická kriminalita. Charakteristika kybernetické kriminality. Trendy kybernetické kriminality. Druhy a způsoby personálního ohrožení organizace. Perspektivy a obtíže lidského faktoru informační bezpečnosti. Diskuse k zák. č. 101/2000 Sb., o ochraně osobních údajů. Zák. č. 412/2005 Sb., o ochraně utajovaných informací a vyhláškách NBÚ.
6
8.
Přehled témat seminárních prací
Téma vlastní prezentace si každý vybere z oblasti svého zájmu nebo pracovního zaměření. 1. Uplatňování zásad personální ochrany informací organizace při výběru, vyhledávání lidí z hlediska psychologické způsobilosti. 2. Proces zajišťování spolehlivosti přijatých zaměstnanců organizace. 3. Způsoby řešení bezpečnostních incidentů způsobených zaměstnanci organizace z hlediska psychologických aspektů. 4. Nutná a možná opatření v případě propuštění zaměstnance po bezpečnostním incidentu. 5. Obecné principy ochrany informačního systému pracoviště. 6. Řešení ochrany citlivých informací organizace předávaných různými komunikačními prostředky, zejména e-mailem. 7. Principy řešení režimové ochrany informací organizace. 8. Návrh struktury a obsahu vnitřního řádu fiktivní organizace při komplexní ochraně informací. 9. Užití informace a dezinformace v ochraně informací. 10. Možný postup manažera při rozboru a řešení důsledků úniku citlivých informací. 11. Kriminogenní faktory pronikání do informačních systémů. 12. Psychologické vlastnosti a podmínky člověka vedoucí k úniku citlivých informací. 13. Problémy právní ochrany informačních systémů z hlediska občanského práva. 14. Právní ochrana informačních systémů z hlediska obchodního práva. 15. Možnosti uplatňování právní ochrany informačních systémů z hlediska trestního práva. 16. Posuzování efektivnosti způsobů ochrany informací. 17. Postup bezpečnostního manažera při zpracování projektu komplexní ochrany. 18. Podmínky k vypracování projektu ochrany informačních systémů v organizaci. 19. Nezbytné zásady komplexního řešení ochrany informačních systémů. 20. Přehled možných rizik a hrozeb úniku citlivých informací z organizace. 21. Způsoby pronikání do informačních systémů z hlediska cíle pachatele získat citlivé informace. 22. Programy ohrožující bezpečnost počítačových systémů. 23. Bezpečnost informačního systému pro certifikační služby z hlediska požadavků objektové bezpečnosti. 24. Pojem, podstata a význam elektronického podpisu. 25. Možnosti a způsoby ochrany dat v elektronickém obchodování. 26. Přehled možností softwarové bezpečnosti dat a informací v síťovém prostředí. 27. Popis správy ochrany klíčů při šifrování (key management). 28. Kryptografické protokoly a útoky proti metodám kryptografické ochrany. 29. Popis programů a jejich škodlivost ohrožujících bezpečnost dat. 30. Možnosti ochrany dat v databázích ze všech možných hledisek. 31. Možnosti autentizace uživatelů a zhodnocení jejich efektivnosti. 32. Popis metod fyzické ochrany dat se zřetelem na SW a HW počítačů. 7
33. 34. 35. 36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46. 47. 48. 49. 50. 51. 52. 53. 54. 55. 56. 57.
9.
Problémy odhadů bezpečnostních rizik (risk assesment) Způsoby identifikace a autentizace v přístupu k informacím. Metody a prostředky vývoje programového vybavení při ochraně dat a informací. Ochrana dat proti virovému napadení počítačových systémů. Opatření k zamezení vzniku chyb v procesu zpracování dat. Ochrana dat zálohováním. Způsoby identifikace a autentizace v přístupu k datům a informacím. Právní aspekty informační bezpečnosti. Druhy a popis hrozeb a útočníků kybernetické kriminality. Bezpečnost dat a kybernetická kriminalita. Hrozby a rizika kyberterorismu. Nebezpečí a trendy kyberterorismu. Podstata a hrozby kybernetické kriminality. Ochrana informací v konkurenčním zpravodajství. Možnosti hrozeb a způsoby jejich eliminace. Právní aspekty v aplikaci elektronického podpisu. Historie a současnost kryptografie a kryptoanalýzy. Zálohování dat jako součást informační bezpečnosti. Mechanizmus napadání informačních systémů. Způsoby a mechanizmy průniků do informačních systémů. Minimalizace rizik a výskytu bezpečnostních incidentů. Postupy při stanovení bezpečnostní politiky organizace. Risk management. Risk assesment. Libovolné téma zvolené studentem a schválené učitelem katedry MI.
Celkový přehled studijní literatury k předmětu
Základní literatura: KALAMÁR, Štěpán; POŽÁR, Josef. Vybrané aspekty informační bezpečnosti. Praha : PA ČR, 2010, 190 s. ISBN 978-807251-339-0. POŽÁR, Josef. Informační bezpečnost. Plzeň : Nakladatelství a vydavatelství Aleš Čeněk, s.r.o., 2005, 309 s. SNB 80-86898-38-5. POŽÁR, Josef. Základy teorie informační bezpečnosti. Praha : PA ČR, 2007, 219 s. ISBN 978-80-7251-250-8. Doporučená literatura: DOBDA, Luboš. Ochrana dat v informačních systémech. Praha: Grada, 1998, 286 s. ISBN 80-7169-479-7. DOSEDĚL, Tomáš., Počítačová bezpečnost a ochrana dat. Brno: Computer Press, 2004,190 s. ISBN 8-251-0106-1. www.cybersecurity.cz
8
10. Plán přednášek pro kombinované studium Téma Název a obsah tématu Počet hodin číslo Úvod do předmětu (seznámení s předmětem; 1. 2 požadavky na udělení zápočtu). Bezpečnostní rizika, hrozby, incidenty a bezpečnostní útoky. Hardwarová a fyzická bezpečnost. Databázová a síťová bezpečnost. Fyzická, režimová a administrativní bezpečnost. Kryptografie v informačních systémech. Základy 2. 2 šifrování a kódování. Elektronický podpis. Kybernetická kriminalita v organizaci. Právo a bezpečnost informací. Etické aspekty bezpečností informací. CELKEM 4
9
