VÝKLADOVÝ SLOVNÍK ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE
Verze 2.0
2008
VÝKLADOVÝ SLOVNÍK
Klasifikace bezpečnosti: Veřejné
VÝKLADOVÝ SLOVNÍK ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE Verze Účinnost od Klasifikace Počet stran Garant
Zpracoval
Schválil Působnost
2.0 1. 3. 2008 Veřejné 9 Šup Libor, Bc., Bezpečnostní technik ČZU Šup Libor, Bc., Bezpečnostní technik ČZU Hradecký Ondřej, Ing., Vedoucí OIKT ČZU Kéri František, Ing., Konzultant, ClarioNet, s.r.o. Vlček Peter, Ing., Projektový manažer, ClarioNet, s.r.o. Novák Jan, Vedoucí manažer, ClarioNet, s.r.o. Kadeřávková Pavla, Ing., Supervisor, ClarioNet, s.r.o. Hron Jan, prof. Ing. DrSc., dr.h.c., Rektor ČZU Všichni zaměstnanci ČZU, studenti ČZU. Dále zástupci externích subjektů a třetích stran, kteří spolupracují s ČZU, nebo se nacházejí v lokalitách a prostorách ČZU a u kterých vzniká potřeba tato bezpečnostní pravidla realizovat.
© ClarioNet 2008, © Česká zemědělská univerzita v Praze 2008
2/9
VÝKLADOVÝ SLOVNÍK
Klasifikace bezpečnosti: Veřejné
Registr změn Číslo změny 1 2 3 4 5 6 7 8 9 10
Verze
Účinnost od
Popis změny
© ClarioNet 2008, © Česká zemědělská univerzita v Praze 2008
Změnu provedl
3/9
VÝKLADOVÝ SLOVNÍK
ČESKY Administrátor IS
Aktiva
Aplikační programové aktivum Aplikační systém Archivace Archivní soubor Archivovaný soubor Autentizace Autentizace dat Automatická kontrola Bezpečnost a ochrana zdraví při práci (BOZP) Bezpečnost dat Bezpečnost informací, informační bezpečnost
Bezpečnostní provozní směrnice/ dokumentace/řád
Klasifikace bezpečnosti: Veřejné
VÝKLAD Osoba, která administruje přístupová práva rolím a uživatelským účtům dle schválených žádostí vedoucích / garantů / projektových manažerů a dodavatelů v závislosti na použitém procesu řízení přístupu. Dále se stará o zablokování a přesměrování přístupových práv odcházejících zaměstnanců na jiné osoby dle pokynů vedoucích oddělení. Jako informační aktiva jsou chápány zejména databáze a soubory, datové soubory, systémová dokumentace, uživatelské manuály, školící materiály, provozní nebo podpůrné procedury, havarijní plány, dohody o záložním provozu. Jako fyzická aktiva jsou chápány zejména počítače a komunikační zařízení, magnetická média (pásky a disky), další technická zařízení (napájecí zdroje, klimatizační zařízení), nábytek, umístění a prostory. Aplikační program (nebo sada programů) určený pro podporu určitých podnikových procesů. Soubor programů, řešících určitou problematiku. Vytváření archivních souborů a souvisejících žurnálových souborů. Soubor uchovaný mimo běžné zpracování pro jakékoliv účely, jako je například zpětná kontrola, účely bezpečnosti atd. Soubor, ke kterému existuje archivní soubor. Proces ověřování identity. Ověřování integrity přenášených dat zejména zpráv. Kontrola prováděná zabudovaným speciálním vybavením určeným pro kontrolní účely. Oblast zajištění osobní bezpečnosti zaměstnanců při práci.
Aplikace bezpečnostních opatření pro ochranu dat. Ochrana informací vzhledem s cílem zachování jejich: • důvěrnosti: ochrana citlivých informací před neautorizovaným odhalením nebo aktivním odposlechem; • integrity: zabezpečení přesnosti a úplnosti informací a programového vybavení; • dostupnosti: zajištění, že informace a základní služby budou dostupné uživatelům, kdykoliv je požadují Dokumentace specifikující postupy, které musí být provedeny za účelem zabezpečení systému.
© ClarioNet 2008, © Česká zemědělská univerzita v Praze 2008
4/9
VÝKLADOVÝ SLOVNÍK
ČESKY Bezpečnostní inspekce
Bezpečnostní incident Bezpečnostní manažer ČZU Bezpečnostní politika Citlivá informace Data
Datová (počítačová) síť ČZU
Deklasifikace
Diskrétní Doménový název
Dopad Fórum pro bezpečnost informací Full-Backup záloha Fyzická bezpečnost Havarijní postupy Helpdesk
IKT ČZU Increment záloha
Informace
Klasifikace bezpečnosti: Veřejné
VÝKLAD Nezávislý dohled a kontrola evidenčních/systémových záznamů a aktivit. Z hlediska bezpečnosti se jedná především o zjištění, zda jsou bezpečnostní opatření na odpovídající úrovni, zda není narušena bezpečnost systému a případné doporučení změn v kontrole, police a postupech. Porušení bezpečnosti systému, kdy je v rozporu s bezpečnostní politikou získán přístup k informacím nebo zdrojům systému. Osoba zodpovědná za vytvoření a prosazování bezpečnostní politiky ČZU. Ta zahrnuje aplikaci minimálních standardů a akreditaci. Všechny principy, omezení, pravidla a postupy, které určují způsob správy, ochrany a distribuce informací. Informace mající pro organizaci zásadní význam, jelikož kompromitací nebo zneužitím by vznikla organizaci značná újma. Vyjádření faktů, pojmů nebo pokynů formalizované způsobem vhodným pro komunikaci, vyhodnocování nebo zpracování lidmi nebo automatickými prostředky. Kabelové vedení nebo zařízení umožňující přenos informací v digitální nebo analogové formě mezi koncovými zařízeními. Jedná se zejména o switche, huby, routery, propojovací vodiče, datové zásuvky a jiná podobná zařízení. Snížení klasifikačního stupně u informací, u kterých pominul důvod pro vyšší stupeň klasifikace. Není proto již nutné vynakládat prostředky na jejich zabezpečení. Deklasifikace je obvykle výsledkem procesu reklasifikace. Označení úrovně utajení v rámci schématu klasifikace informací. Doménový název zařízení je část názvu zařízení v Domain Name System (DNS) od první „tečky“ zleva směrem doprava. Příklad: Název zařízení = webc2.czu.cz, Doménový název = czu.cz Následek narušení bezpečnosti v organizaci. Komise sestavená pro potřeby řízení a zvládání bezpečnosti informací ČZU. Fórum pro bezpečnost se schází minimálně jednou za půl roku pod vedením kvestora ČZU Úplná záloha všech dat na daném serveru nebo serverech. Aplikace opatření v oblasti fyzických aktiv. Postupy k obnově funkčnosti systému. Specializované pracoviště nebo aplikace na ČZU, která slouží k hlášení problémů uživatelů. Email:
[email protected], telefonní linka: 4444 nebo internetová adresa: http://helpdesk.czu.cz . Informační a komunikační technologie/technika České zemědělské univerzity v Praze Záloha, při které jsou vytvářeny záložní kopie jen těch souborů, které se změnily od poslední inkrementální zálohy (resp. od poslední úplné zálohy, jde-li o první inkrementální zálohu). Význam, který je přisouzen datům.
© ClarioNet 2008, © Česká zemědělská univerzita v Praze 2008
5/9
VÝKLADOVÝ SLOVNÍK
ČESKY Informační systém
Informační technologie
Integrita
Inspekce
Inspekce informačního systému Inspekční deník
IS ČZU ISMS / SŘBI
Klasifikace informací
Klasifikace informací
Malware
Míra rizika
Nosič informací Ochrana dat Off-Site záloha
OIKT ČZU On-Site záloha
Klasifikace bezpečnosti: Veřejné
VÝKLAD Postupy nebo procesy, za podpory IT nebo bez ní, které poskytují prostředky získávání, ukládání, zpracování nebo šíření informací. Informační systém z technického pohledu obsahuje aplikace a jejich podpůrnou infrastrukturu. Veškeré postupy a techniky řízení používané při zacházení s daty a při jejich zpracování, veškeré programové aplikace, počítače, jejich příslušenství a související technická zařízení. Charakteristika objektu/informace, která vyjadřuje skutečnost, že objekt/informace byla změněna pouze specifikovaným a autorizovaným způsobem. Nezávislý dohled a kontrola inspekčních/systémových záznamů a aktivit. Z hlediska bezpečnosti se jedná především o zjištění, zda jsou bezpečnostní opatření na odpovídající úrovni. Nezávislé prověření postupů používaných ve výpočetním systému a vyhodnocení jejich správnosti a účinnosti, včetně doporučení pro jejich zlepšení. Data ve tvaru logické cesty, obsahující informace o časové posloupnosti kontrolovaných událostí, využívaná pro sledování transakcí, které ovlivnily obsah inspekčních záznamů Informační systém České zemědělské univerzity v Praze Information Security Management Systém – Systém řízení bezpečnosti informací. Dokumentovaný systém, ve kterém jsou chráněna definovaná informační aktiva, jsou řízena rizika bezpečnosti informací a zavedená opatření jsou kontrolována. Proces, ve kterém je informaci přiřazen stupeň klasifikace, a to podle toho, v jaké míře by mohlo její vyzrazení poškodit, ohrozit nebo kompromitovat ČZU. Proces zařazení informace do určité kategorie (Stupně klasifikace) podle toho, v jaké míře by mohlo její vyzrazení poškodit, ohrozit nebo kompromitovat ČZU. Počítačový program určený ke vniknutí nebo poškození počítačového systému. Pod souhrnné označení malware se zahrnují počítačové viry, trojské koně, spyware a adware. Hodnota ve stupnici od 1 (nejnižší) do 7 (nejvyšší) představující úroveň bezpečnostní potřeby. Je založena na odhadu hrozby, zranitelnosti, a hodnotě aktiv. Médium, které slouží k zpřístupnění informací uživatelům (např. papírová podoba, disketa, CD disk, zobrazení na displeji a podobně). Aplikace bezpečnostních opatření pro ochranu dat. Záloha vytvořená v primární lokalitě, ale uložená ve vyhrazené bezpečnostní schránce nebo trezoru mimo primární lokalitu v bezpečné vzdálenosti min. 800 m. Odbor informačních a komunikačních technologií České zemědělské univerzity v Praze Operativní (zpravidla denní) záloha vytvořená a uložená v primární lokalitě, kde jsou umístěny a provozovány servery a pracovní data.
© ClarioNet 2008, © Česká zemědělská univerzita v Praze 2008
6/9
VÝKLADOVÝ SLOVNÍK
ČESKY Osobní údaj
Outsourcing
Personální bezpečnost Plánování kontinuity činností organizace Prázdný (čistý) stůl a monitor
Protiopatření
Recyklace záloh Reklasifikace
Řízení bezpečnosti informací Řízení přístupu
Riziko
Segment sítě
Klasifikace bezpečnosti: Veřejné
VÝKLAD Pro potřebu této bezpečností dokumentace míní jakékoli údaje týkající se např. studenta nebo zaměstnance, na které se vztahuje zákon č. 101/2000 Sb. Zvláštní případ dodavatelsky zajištěné služby, kdy dodavatel spolu s realizací určité služby, činnosti nebo zastupování konkrétní role v organizaci zároveň přebírá i zodpovědnost za výsledky své práce vzhledem k interním požadavkům ČZU i požadavků externích subjektů na organizaci vzhledem k výsledkům činnosti. Aplikace bezpečnostních opatření v personální oblasti. Proces za jehož pomoci organizace vytváří plány pro zvládání a obnovu po narušení podnikových procesů (s vazbou na IT i bez ní). Zásada bezpečnosti informací. Uživatel má povinnost při své nepřítomnosti uschovat klasifikované informace, tak aby zabránil jejich zneužití. Nejčastěji tak, že uzamkne počítač a náležitě uschová dokumenty z pracovního stolu. Funkce nebo mechanizmus v systému navržený ke zvýšení bezpečnosti jedním z následujících způsobů: • snížení úrovně hrozby • snížení zranitelnosti • zmenšení následků útoku • detekce útoku • obnovení po útoku Opětovné použití (přepisování) záložních médií (nosičů), na kterých jsou uloženy zálohy, nebo archivy. Změna klasifikačního stupně. Hodnota informací se může v průběhu času měnit, a proto je nutné, aby klasifikace informací byla ve stanovených intervalech přehodnocována. Obvykle se hodnota informací v čase snižuje, a proto se nejčastěji jedná o deklasifikaci. Reklasifikace je nutnou součástí klasifikačního procesu. Zajištění takových mechanismů, které umožní dosažení přiměřené bezpečnosti informací IS. Řízení na základě přístupových práv, které zabraňuje neautorizovanému přístupu k informacím nebo zdrojům informačního systému. Míra závažnosti, ohrožení, kterému je systém vystaven. Jeho velikost je určena: • úrovní hrozby • zranitelností • možnou ztrátou vzniklou jako výsledek útoku. Zařízení a datové vedení, která svým umístěním a způsobem zapojení tvoří logický síťový celek
© ClarioNet 2008, © Česká zemědělská univerzita v Praze 2008
7/9
VÝKLADOVÝ SLOVNÍK
ČESKY Serverová koncová zařízení
Spam Správce DNS Správce IKT Správce IS
Správce licencí
Správcem dle Zákona
Stupeň klasifikace informace
Ukládání dat
Útok Uživatel Uživatelská koncová zařízení Virus Vlastník
Klasifikace bezpečnosti: Veřejné
VÝKLAD Zařízení sloužící k poskytování služeb a informací dalším uživatelům nebo sdílení dat mezi nimi. Jedná se zejména o souborové, databázové, webové, aplikační a další podobné servery. Mezi serverová koncová zařízení nepatří uživatelská koncová zařízení poskytující služby pro malé uzavřené skupiny uživatelů (například pro účel přesunu pracovních dat.). Nevyžádané masově šířené sdělení (nejčastěji reklamní) šířené internetem (elektronickou poštou). Osoba nebo skupina osob, která je zodpovědná zejména za provoz a správu DNS. Na ČZU je správcem DNS jmenován OIKT. Osoba, skupina osob nebo útvar pověřený provozem a správou IKT ČZU. Na ČZU je správcem IKT jmenován OIKT. Osoba s maximálními přístupovými právy do IS a spravuje zdrojové kódy IS. Může se jednat o příslušného pracovníka Správce IKT nebo pracovníka, který byl Správcem IKT pověřen, útvar, nebo externího dodavatele IS. Osoba nebo skupina osob Správce IKT, která je pověřena zejména evidencí a správou licenčních ujednání k používanému programovému vybavení na ČZU. Je každý subjekt dle zákon č. 101/2000 Sb., který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele. Je to osoba, které byla pověřená odpovědností za konkrétní informační aktiva a která odpovídá za to, že osobní údaje jsou zpracovávány a chráněny předepsanými bezpečnostními opatřeními. Vymezení informace, které ji zařazuje na základě její hodnoty a možných negativních dopadů. Stupeň klasifikace určuje potřebnou úroveň ochrany informace, a následně požadavky na opatření bezpečnosti a zvláštní zacházení s informací. Stupeň klasifikace tak určuje skupinu osob, které jsou oprávněny se s informací seznamovat nebo s ní jinak pracovat. Bezpečné a efektivní uložení dat a informací ať již je tím míněno pracovní uložení (pracovních dat), krátkodobé uložení (zálohování) nebo dlouhodobé uložení (archivace). Aktuální výskyt hrozby s cílem narušit důvěrnost, dostupnost a/nebo integritu. Jednotlivec nebo organizace využívající informační systém nebo jinou část systémů univerzity. Osobní a přenosné počítače a ostatní koncová síťová zařízení (tiskárny, audiovizuální technika, atd.). Programový kód, který infikuje ostatní programy s cílem replikovat se, rozšířit se a případně způsobit škody nebo na sebe upozornit. Vedoucí oddělení/vedoucí samostatného oddělení/vedoucí odboru, v jehož oddělení informace vznikla, nebo se nejvíce využívá pro práci oddělení. Odpovídá za stanovení stupně klasifikace informace a za určení bezpečnostních požadavků na informace.
© ClarioNet 2008, © Česká zemědělská univerzita v Praze 2008
8/9
VÝKLADOVÝ SLOVNÍK
ČESKY Vnucená cesta Zachovávání mlčenlivosti Zadání IS Zadavatel IS Záloha Zálohování dat
Zpracovatelem dle Zákona
Klasifikace bezpečnosti: Veřejné
VÝKLAD Povinná trasa přenosu informací pro ochranu proti odposlechu. Povinnost osob nebo organizací nesdělovat informace osobám, které nejsou oprávněny se s takovou skutečností seznamovat. Je vymezení hlavních funkcí a dat projektované aplikace na konceptuální úrovni. Osoba, nebo útvar, který jasně vymezí požadavky na IS vyplývající z potřeb, vzniklých v dané oblasti. Je odpovědný za rozvoj IS. Opatření k zajištění kontinuity operací a obnově funkčnosti. Pravidelné vytváření bezpečnostní kopie pracovních dat nebo celého souborového systému daného serveru na externí paměťové médium pro případ obnovy dat a programů. Je každý subjekt dle zákona č. 101/2000 Sb., který na základě pověření správcem zpracovává osobní údaje.
Výkladový slovník nabývá platnosti dnem 1. 3. 2008.
© ClarioNet 2008, © Česká zemědělská univerzita v Praze 2008
9/9
