|
| |
|
|
Aplikace zákona a vyhlášky o kybernetické bezpečnosti na úřadech státní správy
Pech, Jan ; Čermák, Igor (vedoucí práce) ; Jícha, Karel (oponent)
Diplomová práce se zaměřuje na zákon č. 181/2014 Sb., o kybernetické bezpečnosti a jeho průvodní vyhlášky, seznamuje čtenáře se vznikem a významem zákona, definuje úřad státní správy, u něhož identifikuje dle příslušné vyhlášky významné informační systémy, a následně provádí podrobnou analýzu zákona a vyhlášky o kybernetické bezpečnosti ve vztahu k tomuto úřadu státní správy. Zásadním cílem práce je pak provedení čtenáře reálnou aplikací identifikovaných povinností z legislativy na daném úřadě, zejména návrhem, implementací a prováděním organizačních a technických bezpečnostních opatření, včetně zhodnocení jejich praktického dopadu na informační bezpečnost úřadu. K dosažení stanovených cílů využívá autor analýzy znění legislativy a vlastních závěrů, kdy se na pozici bezpečnostního technologa aktivně účastnil návrhu bezpečnostních politik a implementace a provozu bezpečnostních nástrojů. Přínosem práce je získání uceleného přehledu o vykonané práci zaměstnanců v bezpečnostních rolích úřadu, zmapování praktického splnění povinností ze zákona a vyhlášky o kybernetické bezpečnosti a v neposlední řadě přinesení podnětů pro další rozvoj technických bezpečnostních nástrojů. Jako přínos pro další správce významných informačních systémů může práce sloužit jako souhrn postupů, návrhů a doporučení pro vlastní systém řízení bezpečnosti informací. Práce je svou strukturou rozdělena na čtyři základní části, a to na část teoretickou zabývající se představením vzniku, významu a vlivu zákona na státní a nestátní organizace, část analytickou provádějící rozbor zákona a vyhlášky ve vztahu k definovanému úřadu státní správy, část praktickou provádějící reálnou aplikací organizačních a technických bezpečnostních opatření, a na poslední část zhodnocující praktický dopad opatření na informační bezpečnost úřadu.
|
|
|
Možnosti zajištění informační bezpečnosti pomocí definice standardního chování zaměstnanců
Dvořák, Martin ; Říhová, Zora (vedoucí práce) ; Čapek, Jan (oponent) ; Novák, Luděk (oponent) ; Němec, Petr (oponent)
S rostoucím množstvím transakcí prováděných elektronicky prostřednictvím sítě internet a rostoucím počtem uživatelů IT (informačních technologií) roste také počet transakcí, které mohou být z hlediska informační bezpečnosti rizikové. Na druhé straně dochází ke stále většímu množství bezpečnostních incidentů s cílem finančního obohacení či odcizení citlivých informací organizace. Útočníci provádějí útoky za účelem zbohatnutí mnohem sofistikovaněji a důmyslněji nejen s pomocí informačních technologií ale také s pomocí technik sociálního inženýrství apod. Tohoto vzrůstajícího trendu jsou si vědomi státní instituce a přijímají opatření umožňující zvýšit informační bezpečnost státu. Důkazem toho je i Evropským parlamentem nedávno schválená direktiva Directive of the european parliament and of the council concerning measures to ensure a high common level of network and information security across the Union a z ní vycházející zákon č. 181/2014 Sb., o kybernetické bezpečnosti přijatý parlamentem České republiky v létě roku 2014. Tento zákon nařizuje organizacím provozující kritickou infrastrukturu sledovat a vyhodnocovat události kybernetické bezpečnosti (chování uživatelů). Dosud však nebyl definován jednotný přístup k implementaci systémů vyhodnocujících chování uživatelů. Autor v této práci navrhuje metodiku implementace systémů vyhodnocujících chování uživatelů se zaměřením na optimalizaci množství dat, které zpracovávají, aby byla zajištěna jejich efektivní funkčnost.
|
|
|
CERT / CSIRT teams and cyber security
Rezníčková, Dominika ; Klíma, Tomáš (vedoucí práce) ; Veber, Jaromír (oponent)
Cílem této bakalářské práce je popis současné úlohy národního týmu CERT v oblasti kybernetické bezpečnosti na základě nabytí účinnosti Zákona č. 181/2014 Sb., o kybernetické bezpečnosti a porovnání teoretických přístupů s jejich uplatněními v praxi. První teoretická část práce obsahuje základní informace o kybernetické bezpečnosti, kybernetické kriminalitě a bezpečnostních incidentech a následně se specificky zaměřuje na vznik a vývoj CERT organizací, jejich roli v oblasti kybernetické bezpečnosti a bezpečnostních incidentů, funkce v dnešní době a možnosti vzájemné spolupráce pracovišť na mezinárodní úrovni. V druhé části je prostor věnovaný analýze Zákona o kybernetické bezpečnosti a jeho důsledkům. Konkrétně práce zaměřuje pozornost na funkci a pole působnosti národního týmu CERT v České republice, upravenou nově přijatým zákonem. Dále práce nahlédne do praxe a praktického fungování národního týmu CERT, provozovaného sdružením CZ.NIC, díky osobnímu rozhovoru se zaměstnanci tohoto centra, včetně prezentace konkrétního příkladu koordinace řešení bezpečnostního incidentu. Závěrem práce je shrnutí dosáhnutých výsledků a přínosu práce v závislosti na budoucích informacích.
|
|
|
Přiměřená ochrana informací
Drtil, Jan ; Molnár, Zdeněk (vedoucí práce) ; Čapek, Jan (oponent) ; Lukáš, Luděk (oponent)
Abstrakt 1) Cíl práce Protože existuje předpoklad, že soudobé vynakládání zdrojů na bezpečnost IT není prováděno v míře přiměřené důležitosti informací pro organizaci, je cílem práce "Přiměřená ochrana informací" nejprve tento předpoklad ověřit, a pokud je platný, pak stanovit metodiku, kterou může využít k ověření toho, že investuje finanční prostředky účelně (tj. do správných věcí) a účinně (tj. správné množství). 2) Zaměření práce Práce se z pohledu obsahu soustřeďuje na metodiku řízení informační bezpečnosti. Z pohledu průzkumu byla práce zaměřena na střední a velké organizace v automobilovém průmyslu a to zejména proto, že automobilový průmysl je významnou částí národního hospodářství (tvoří přibližně 8 % HDP). 3) Dosažené výsledky práce Za teoretické vlastní lze označit definici "přiměřenosti" ochrany informace, kdy tato je na základě analýzy brána jako pojem v sobě zahrnující definici hodnoty informace a významu informace, a také vytvoření metodiky stanovení postupu, jakým se právě k hodnotě a významu lze dostat. Mezi prakticky dosažené výsledky lze řadit především zjištění, že zkoumané organizace nepostupují v oblasti řízení informační bezpečnosti systematicky, neprovádí ani analýzu dopadu funkčnosti IT na procesy firmy, ani analýzu rizik, což může mít negativní vliv na míru výskytu a závažnost bezpečnostních incidentů v organizacích. Vlastním výsledkem práce je především ověření faktu, že je účelnou a účinnou ochranu informací nelze provádět bez systematické práce a přímé podpory managementu. Za vlastní výsledek lze rovněž označit vytvoření a praktické ověření Metodiky stanovení přiměřenosti ochrany informací jako postupu určeného manažerům k tomu, aby zvýšili účelnost a účinnost prostředků vkládaných do ochrany informací. Rozšířený model Metodiky charakterizuje především osobnost rozhodovatele a vlivy, které na něj působí.
|
host ::
RSS.