Vyšší odborná škola informačních služeb, Praha Institute of Technology, Sligo
ANALÝZA BEZPEČNOSTI A OCHRANY INFORMAČNÍCH TECHNOLOGIÍ V INFORMAČNÍ INSTITUCI – PŘÍPADOVÁ STUDIE PROJEKT ROČNÍKOVÉ PRÁCE
student:
Jiří Kostrba
vedoucí práce:
Ing. Bc. David Klimánek, Ph.D
termín odevzdání práce:
28.5.2010
Vymezení problematiky Pojem "bezpečnost" je v informačních technologiích často používaný termín. Organizace ( a v podstatě celá naše společnost) jsou dnes často velmi závislé na fungujících informačních systémech a na datech v nich obsažených. Pro ochranu ICT systémů je v organizacích vytvářena komplexní bezpečnostní politika, která je v souladu s celkovou politikou organizace a nadřízenou legislativou a která je závazná pro všechny zaměstnance. Jedná se o datovou, programovou, komunikační, technickou, fyzickou, personální a režimovou bezpečnost. Pro zjištění optimální úrovně bezpečnosti a stanovení pravidel se provádí komplexní analýza bezpečnosti informačního systému. V analýze se identifikují a oceňují aktiva, odhadují se hrozby a zranitelnosti, určují se rizika a navrhují protiopatření. Zpravidla se také provádí penetrační testování a softwarový audit. Výsledkem by mělo být vytvoření bezpečnostní politiky, bezpečnostní provozní směrnice a zvýšené bezpečnostní povědomí uživatelů. Tato činnost je rozsáhlá a musí být prováděna expertním týmem, což je většinou specializovaná firma. Provést komplexní analýzu nebude cílem práce. Není to možné ani rozsahem a ani to není v možnostech zpracovatele. Bude provedena identifikace aktiv, jejich ohodnocení a jednoduchá analýza rizik. Těžiště práce bude ve vyhodnocení souladu stavu bezpečnosti vybrané informační instituce s vybranou normou. Knihovna jako informační instituce má dle mého názoru v této problematice specifické postavení. Z jedné strany garantuje svobodný přístup k informacím i prostřednictvím informačních technologií a z druhé strany si musí své informační technologie chránit. Další riziko může vyplývat z omezeného rozpočtu, kterým knihovny disponují, a podcenění problému. Přitom bezpečné a tím i spolehlivé technologie jsou pro knihovnu velmi důležité. Například v automatickém knihovním systému jsou uložena nejen data o knihovním fondu a výpůjčkách, ale i osobní údaje o čtenářích. Knihovna může také spravovat cenné elektronické zdroje, jejichž vybudování bylo velmi pracné a nákladné. Z těchto pohledů je určitě důležité se o bezpečnost a ochranu dat v informačních institucích zajímat.
2-5
Cíl práce Shrnout současné standardy pro bezpečnost a ochranu informačních technologií a porovnat je se stavem v informační instituci. Hlavní přínos práce by mohl být pro konkrétní instituci v uvědomění si bezpečnostních požadavků. Hypotéza Vyřešením cíle práce zjistíme, zda má konkrétní informační instituce nastavenu dostatečnou bezpečnostní politiku respektive jaké míry souladu se standardem dosahuje. Typ práce empirická – srovnávací analýza Metodologie práce 1. teoretická příprava 2. získání informací o stavu bezpečnosti informačních technologií v konkrétní informační instituci 3. zpracování a vyhodnocení informací Obsah práce Práce bude rozdělána na teoretickou část a praktickou část. V teoretické části budou vymezeny základní pojmy, rozebrán termín bezpečnostní politika, popsány metody a standardy. V praktické části bude provedeno vymezení rozsahu pro srovnávací analýzu, identifikace a ocenění aktiv, analýza rizik. Těžiště praktické části je v posouzení shody vybrané instituce s vybranou normou. Získané výsledky budou shrnuty a analyzovány. Osnova: 1. Úvod 2. Teoretická část 3. Praktická část 4. Závěr 5. Seznam použitých zkratek 6. Seznam informačních zdrojů
3-5
Časový harmonogram Pořadí
Úkol
Start
Konec
Počet dní
1. čtvrtletí - 2010 Leden
1
Zadání práce
4/1/2010
4/1/2010
0
2
Výběr a vyhledávání zdrojů
5/1/2010
19/1/2010
14
3
Studium tématu
5/1/2010
9/2/2010
35
4
Zpracování teoretické části
5
Získávání dat pro praktickou část
6
Zpracování a vyhodnocení dat
7
Závěrečné úkony: čistopis, jazyková korektura
8
Odborná korektura, závěrečná konzultace
9
Celková redakce, tisk, svázání Odevzdání
28/5/2010
10
2/2/2010
9/3/2010
35
16/2/2010
16/3/2010
28
9/3/2010
20/4/2010
42
20/4/2010
4/5/2010
14
4/5/2010
18/5/2010
14
18/5/2010
27/5/2010
9
28/5/2010
0
Odevzdání vytištěné a svázané práce: 28.5.2010
4-5
Únor
Březen
2. čtvrtletí - 2010 Duben
Květen
Červen
Materiálně technická náročnost na zpracování a vyjádření pracovní zátěže Nároky na počítačové vybavení: –
počítač s nainstalovaným operačním systémem a přístupem k internetu
–
textový editor (např. MS Word)
–
tabulkový editor (např. MS Excel)
–
grafický editor (např. SmartDraw)
–
zálohovací zařízení (např. FlashDisk)
–
tiskárna (volitelně, možnost vytištění v kopírovacích centrech)
Náročnost na koordinaci lidské práce: –
rozhovory se správcem systému a správcem sítě v analyzované organizaci v rozsahu přibližně 10 hodin
–
konzultace technických záležitostí s odborníky z IT oddělení v rozsahu přibližně 2 hodin
–
konzultace s vedoucím práce v rozsahu přibližně 5 hodin
–
odhad doby vlastní práce 100 hodin (10 hodin přístup do knihovny)
Upozornění na silné a slabé stránky projektu Silné stránky
Slabé stránky
Zázemí v kolezích z IT oddělení.
V praxi je bezpečnostní analýza řešena většinou externí firmou s početným týmem expertů. Nebude prováděna kompletní analýza.
Příležitosti
Hrozby
Ukázat konkrétní instituci skutečný stav.
Bude složité najít vhodnou instituci, která bude
ochotna
informace.
vypracoval: Jiří Kostrba
5-5
poskytnout
požadované