|
|
Penetrační testování webových aplikací
Hric, Michal ; Čermák, Igor (vedoucí práce) ; Hlaváč, Jindřich (oponent)
Cílem této práce bylo analyzovat úroveň zabezpečení vybraných open-source webových aplikací na základě penetračního testování provedeného v jednotlivých fázích testování definovaných metodikou PTES. Součástí cíle práce bylo použití nové metodiky PETA pro penetrační testování webové aplikace a vytvoření nových znalostních objektů zabývajících se penetračním testováním v portálu MBI. Testovány byly open-source webové aplikace Juice Shop, NodeGoat, XVWA a bWAPP. Zabezpečení všech testovaných webových aplikací bylo vyhodnoceno jako nedostatečné, jelikož byla identifikována alespoň jedna zranitelnost s vysokým rizikem zneužití u každé z testovaných aplikací. Ke každé nalezené zranitelnosti v aplikaci je uvedeno doporučené nápravné opatření pro eliminaci rizika spojeného s danou zranitelností. Při použití metodiky PETA pro penetrační testování bylo přínosem převážně integrování penetračního testování v rámci řízení IS/IT v organizaci na základě aplikace zúženého rámce pro řízení IS/IT. V závěru práce jsou uvedeny a popsány nově vytvořené znalostní objekty v portálu MBI. Vytvořené objekty zahrnují úlohu zabývající se průběhem penetračního testování, sadu metrik pro hodnocení úspěšnosti penetračního testování a role vázané k dané úloze.
|
|
|
Zavádění bezpečnostní politiky ve firmě
Techlovský, Stanislav ; Čermák, Igor (vedoucí práce) ; Čelikovská, Martina (oponent)
Tato diplomová práce obsahuje popis návrhu zavádění systému řízení bezpečnosti informací ve firmě dle mezinárodních norem řady ISO/IEC 27000. V teoretické části práce jsou představeny výše zmíněné normy řady ISO/IEC 27000 a následně jsou zde uvedeny pod-klady pro vyhotovení systému řízení bezpečnosti informací ve firmě. Navazující sekce popisuje aktuální stav bezpečnostního stavu firmy. Praktická část pak analyzuje nashromážděná data z předchozích částí, na základě kterých je vyhotoven návrh zavádění systému řízení bezpečnosti informací ve firmě.
|
|
|
Zavádění bezpečnostní politiky ve firmě
Doležalová, Eliška ; Čermák, Igor (vedoucí práce) ; Čelikovská, Martina (oponent)
Diplomová práce zabývá procesem přípravy a realizace bezpečnostní politiky jako nástroje ochrany informačních aktiv společnosti. Teoretická část práce popisuje bezpečnostní politiku jako důležitou součást systému řízení informační bezpečnosti ve společnosti a diskutuje problematiku virtuálních týmů z hlediska bezpečnostních aspektů a rizik. Praktická část práce tyto teoretické poznatky aplikuje při provedení analýzy rizik a sestavení bezpečnostní politiky pro malou IT firmu s virtuálním uspořádáním.
|
|
|
Kybernetická bezpečnost z pohledu podnikové informatiky
Kameníček, Lukáš ; Buchalcevová, Alena (vedoucí práce) ; Čermák, Igor (oponent)
Diplomová práce řeší problematiku kybernetické bezpečnosti podnikatelských subjektů. Hlavním cílem diplomové práce je v souvislostech, v českém jazyce a méně technickou formou sestavit ucelený přehled problematiky kybernetické bezpečnosti týkající se českých podnikatelských subjektů. Práce nejprve identifikuje aktuální kybernetické hrozby, podložené příklady skutečných incidentů. Na základě hrozeb definuje kategorie podnikatelských subjektů, které jsou hrozbami ohroženy, a s ohledem na český právní řád analyzuje povinnosti kybernetickou bezpečnost při podnikání zajišťovat. Dále jsou jednotlivým kategoriím doporučena opatření nad rámec zákonných povinností a doporučeny typy testů, kterými je možné úroveň kybernetické bezpečnosti prověřit. Výstupem je i metodická pomůcka pro snazší porozumění kybernetické bezpečnosti v podnicích, která získané informace a souvislosti sumarizuje do ucelených tabulek. Očekávaným přínosem práce je, že souhrnné poznatky poslouží pro zvýšení úrovně IT bezpečnosti u českých podnikatelských subjektů.
|
|
|
Penetrační testování bezpečnosti informačních systémů
Klíma, Tomáš ; Doucek, Petr (vedoucí práce) ; Čermák, Igor (oponent) ; Čapek, Jan (oponent) ; Štubňa, Ivan (oponent)
Cílem disertační práce je vytvoření metodiky řízení penetračních testů bezpečnosti informačních systémů založené na analýze slabých stránek současných metodik a na analýze postavení penetračních testů v kontextu řízení podnikového IS/IT. Nedílnou součástí tohoto cíle je i validace vytvořené metodiky. V první části práce dochází k představení historie oboru a aktuálního stavu výzkumu, identifikaci omezení práce, definici pojmů (a jejich vztahů), a zejména k zasazení penetračních testů do kontextu řízení podnikové informatiky. Následně je provedena rešerše relevantních zdrojů a komparativní analýza současných metodik s cílem identifikovat jejich slabé stránky, které jsou následně využity pro tvorbu metodiky. Dále je pak představena klasifikace typů penetračních testů a problematika testovacích scénářů. Následuje návrh nové metodiky, nejprve je popsána historie a struktura metodiky včetně základních principů, následně jsou detailně představeny její jednotlivé úrovně, přičemž metodika je tvořena s cílem pokrýt v současné době slabě popsané oblasti. V poslední části práce je provedena teoretická a praktická validace. Přínosem pro další rozvoj vědního oboru je vytvoření metodiky zaměřené na řízení penetračních testů bezpečnosti informačních systémů, což je oblast, která v současné době není dostatečně popsána. Sekundárním přínosem je ujasnění postavení a úlohy penetračních testů v rámci řízení podnikového IS/IT a provedení rozsáhlé rešerše metodik současných. Přínosem pro ekonomickou a technickou praxi je vytvoření prakticky použitelné metodiky, jejíž aplikací lze dosáhnout zkvalitnění řízení penetračních testů, což zahrnuje zejména zlepšení procesu plánování, operativního řízení a implementace protiopatření, jakožto i tvorby dokumentace.
|
|
|
Zákon o kybernetické bezpečnosti a jeho dopady na povinné subjekty
Draganov, Vojtěch ; Čermák, Igor (vedoucí práce) ; Hájíček, David (oponent)
Práce zkoumá zákon č. 181/2014 Sb., o kybernetické bezpečnosti (dále "ZKB") a jeho dopady na povinné subjekty se zaměřením na krajské úřady České republiky. Obsahuje nejprve uvedení do problematiky ZKB a kybernetické bezpečnosti z hlediska státu, z této úrovně se pak přenáší na úroveň organizace. Stěžejním pilířem a přínosem práce je rozbor ZKB s cílem zjištění dopadů tohoto zákona na povinné subjekty a následně na základě tohoto rozboru navrhnout a provést dotazníkový průzkum dopadů ZKB na krajských úřadech ČR. Průzkum se týká organizace a řízení bezpečnosti, zátěže organizace vzniklé v souvislosti se ZKB, ochoty využití finančních prostředků z fondů IROP na opatření ze ZKB, outsourcingu kybernetické bezpečnosti a také názoru pracovníků na tuto legislativu. Z průzkumu kromě jiného vyplývá, že dotazované krajské úřady, navzdory standardizačnímu tlaku pramenícímu z legislativy, se z hlediska organizace bezpečnosti velmi liší; respondenti se naopak shodli na tom, že zákon o kybernetické bezpečnosti sice znamená pro organizaci významnou administrativní a finanční zátěž, ale také že je dobrým krokem k zajištění lepší bezpečnosti informačních a komunikačních systémů. Z průzkumu také vyplývá, že oblast kybernetické bezpečnosti se na některých úřadech teprve začíná řešit. Tato oblast je nyní ve zkoumaných organizacích velmi dynamická a analýzu dopadů bude vhodné opakovat znovu poté, kdy proběhne první vlna implementace zákona.
|
|
|
Bezpečnost a biometrické systémy
Lisý, David ; Sigmund, Tomáš (vedoucí práce) ; Čermák, Igor (oponent)
Tato práce se zaobírá tématem biometrie a jejím využitím v bezpečnostní sféře. Teoretická část popisuje princip biometrie a jednotlivých, v praxi nejpoužívanějších metod a technologií. Praktická část popisuje zhodnocení možností nasazení biometrie v budově Českého rozhlasu v Praze. Dále jsou zde představeny případná vhodná řešení. Ta jsou následně porovnána a následně je vybráno to nejvhodnější. Cílem této práce je tedy poskytnout základní přehled o biometrii jako takové, včetně názorného příkladu možné analýzy jejího využití v praxi.
|
|
|
Aplikace zákona a vyhlášky o kybernetické bezpečnosti na úřadech státní správy
Pech, Jan ; Čermák, Igor (vedoucí práce) ; Jícha, Karel (oponent)
Diplomová práce se zaměřuje na zákon č. 181/2014 Sb., o kybernetické bezpečnosti a jeho průvodní vyhlášky, seznamuje čtenáře se vznikem a významem zákona, definuje úřad státní správy, u něhož identifikuje dle příslušné vyhlášky významné informační systémy, a následně provádí podrobnou analýzu zákona a vyhlášky o kybernetické bezpečnosti ve vztahu k tomuto úřadu státní správy. Zásadním cílem práce je pak provedení čtenáře reálnou aplikací identifikovaných povinností z legislativy na daném úřadě, zejména návrhem, implementací a prováděním organizačních a technických bezpečnostních opatření, včetně zhodnocení jejich praktického dopadu na informační bezpečnost úřadu. K dosažení stanovených cílů využívá autor analýzy znění legislativy a vlastních závěrů, kdy se na pozici bezpečnostního technologa aktivně účastnil návrhu bezpečnostních politik a implementace a provozu bezpečnostních nástrojů. Přínosem práce je získání uceleného přehledu o vykonané práci zaměstnanců v bezpečnostních rolích úřadu, zmapování praktického splnění povinností ze zákona a vyhlášky o kybernetické bezpečnosti a v neposlední řadě přinesení podnětů pro další rozvoj technických bezpečnostních nástrojů. Jako přínos pro další správce významných informačních systémů může práce sloužit jako souhrn postupů, návrhů a doporučení pro vlastní systém řízení bezpečnosti informací. Práce je svou strukturou rozdělena na čtyři základní části, a to na část teoretickou zabývající se představením vzniku, významu a vlivu zákona na státní a nestátní organizace, část analytickou provádějící rozbor zákona a vyhlášky ve vztahu k definovanému úřadu státní správy, část praktickou provádějící reálnou aplikací organizačních a technických bezpečnostních opatření, a na poslední část zhodnocující praktický dopad opatření na informační bezpečnost úřadu.
|
|
|
Zhodnocení připravenosti podniku na zavedení ISO 27001 pomocí GAP analýzy
Zrcek, Tomáš ; Čermák, Igor (vedoucí práce) ; Šašek, Jaroslav (oponent)
Cílem práce je zhodnotit stav připravenosti systému řízení bezpečnosti informací (ISMS) v logistickém podniku JASA s.r.o. na certifikaci podle normy ISO/IEC 27001:2013. Tento podnik, který se pohybuje na hranici malé a střední velikosti, má již zaveden certifikát řízení kvality ISO 9001:2008. Z toho důvodu jsou v práci představeny obecné výhody pro společnost, která má již implementovaný některý z ISO standardů a rozhodne se pro přijetí dalšího. Současný stav systému řízení bezpečnosti informací společnosti Jasa s.r.o. byl nejprve porovnán s okolními podniky fungujícími na českém i evropském trhu. Následně bylo zhodnoceno kontrolní prostředí podniku podle požadavků normy ISO/IEC 27001:2013. Také bylo vytvořeno schéma pro hodnocení konkrétních opatření podle dopadu rizika, které by mohlo nastat v případě nevyužití navrhovaných doporučení. V poslední fázi byla zhodnocena všechna opatření z pohledu náročnosti implementace, aby podnik našel levná a rychlá řešení s přiměřeně vysokým efektem. Hlavním přínosem práce je zhodnocení přístupu k řešení bezpečnosti informací u jednoho z mnoha podniků, které mají obavy nebo začínají skutečně zaznamenávat zvyšující se množství bezpečnostních hrozeb. Tento přístup mohou zvolit i další společnosti, které se rozhodnou jít podobnou cestou.
|
|
|
Rámec pro řízení bezpečnostních rizik on-line služeb
Mészáros, Jan ; Buchalcevová, Alena (vedoucí práce) ; Čermák, Igor (oponent) ; Doucek, Petr (oponent) ; Jirovský, Václav (oponent)
Doktorská disertační práce řeší téma řízení bezpečnosti on-line služeb z hlediska poskytovatelů i uživatelů. Hlavním cílem této disertační práce je navrhnout rámec pro řízení bezpečnostních rizik on-line služeb, vytvořit prototyp podpůrného softwarového nástroje a ověřit je v prostředí vybrané organizace pomocí případové studie. Klíčovými komponentami rámce jsou modely hrozeb a rizik, které byly autorem této disertační práce navrženy na základě specifik on-line služeb a prostředí, ve kterém se nacházejí. Součástí rámce je proces řízení rizik přizpůsobený pro časté a opakované hodnocení rizik. Proces obsahuje osm dílčích kroků, ke kterým jsou definovány související role a zodpovědnosti. Výsledkem provedení procesu je identifikace a provedení vhodných úloh, které přispějí k řešení identifikovaných bezpečnostních rizik a nedostatků. Na základě pravidelného provádění procesu je možné dokumentovat a reportovat stav zabezpečení on-line služeb v čase. Navržený rámec byl ověřen na základě případové studie provedené v prostředí velké organizace.
|
host ::
RSS.