Evropský
polytechnický institut, s.r.o.
BAKALÁŘSKÁ
PRÁCE
2010
Jana HORÁKOVÁ
Evropský polytechnický institut, s.r.o. v Kunovicích
Studijní
obor: Ekonomická informatika
Návrh bezpečnostní politiky pro informační systém
Městského úřadu ve Veselí nad Moravou
(Bakalářská práce)
Autor: Jana
HORÁKOVÁ
Vedoucí práce: Ing. Petr KEBRLE
Kunovice, červen 2010
Prohlašuji,
že jsem bakalářskou práci na téma “Návrh bezpečnostní politiky pro informační
systém Městský úřad ve Veselí nad Moravou” vypracovala samostatně pod vedením
vedoucího práce, s použitím literárních pramenů a publikací, které jsem uvedla
v seznamu literatury. Jsem si vědoma, že na vytvořenou práci se vztahují
práva a povinnosti vyplývající z autorského zákona č. 121/2000 Sb.
Kunovice, červen 2010 ………………….……….
Chtěla bych poděkovat Ing. Petru Kebrlovi,
vedoucímu odboru kanceláře starosty a tajemníka na Městském úřadě ve
Veselí nad Moravou a zároveň vedoucímu mé bakalářské práce za
jeho velkou ochotu, půjčení materiálů, zákoníků, cenné rady a připomínky, které mi během
mé práce poskytoval.
Kunovice, červen
2010
Jana Horáková
Obsah
2.1 Bezpečnost
informačních sítí (IS)
2.4 Řízení
informační bezpečnosti
2.6 Systém
managementu bezpečnosti informací
3.1 Městský
úřadu ve Veselí nad Moravou
3.4 Technologická
architektura
3.5.1 Použité
zdroje pro tvorbu Informační strategie (ISt)
3.5.2 Hlavní
cíle informační strategie
3.6 Používaný
software v Městském úřadě Veselí nad Moravou
3.6.3 Grafické
informační systémy (GIS)
3.7 Používaný
hardware v Městském úřadě Veselí nad Moravou
3.8.1 Analýza
dotazníku pro management (vedení) města
3.8.2 Analýza
dotazníku pro pracovníky IT oddělení
3.8.3 Dotazník
pro zaměstnance odborů (úředníky) v MěÚ
3.9.1 Doporučené
řešení pro management (vedení) města
3.9.2 Doporučené
řešení pro pracovníky IT oddělení
3.9.3 Doporučené řešení pro zaměstnance
odborů (úředníky) v MěÚ
Úvod a cíl
Úvod
Bezpečnostní politika je
komplexní vědní obor, který se zabývá nejen zabezpečením dat, počítačů a
počítačových sítí, ale i tvorbou a dodržováním směrnic, které musí všichni
zaměstnanci podniku dodržovat. Bezpečnostní politika je také součástí interních
předpisů průmyslových podniků, bank, obchodních, dopravních, telekomunikačních
a bezpečnostních společností.
Schválením bezpečnostní politiky
je politika implementována. Správně zavedená bezpečnostní politika způsobuje
účelné využití prostředků a nástrojů bezpečnosti i rozvoj nově definovaných
požadavků. V rámci zavedení bezpečnostní politiky nevzniknou jen nové
bezpečnostní projekty a interní předpisy, ale dojde i ke zvýšení efektivnosti
bezpečnostních opatření a zavedení systému řízení bezpečnosti (ISMS).
Po zavedení
bezpečnostních opatření je nutné dále udržovat bezpečnostní systém. Pro ověření
účinnosti a kvality zavedení bezpečnostní politiky je nutně pravidelně prováděn
bezpečnostní audit. Jestliže je zjištěna systémová chyba, dochází k opravě
opatření i zpracovaných interních předpisů.
Dále dochází k
průběžné aktualizaci interních předpisů podle norem a vyhlášek. Aktualizaci
je nutné provádět vždy před velkými zásahy do technologie, před vnějšími
vlivy, ale i po větších haváriích, přírodních katastrofách a jiných
mimořádných událostech.
V dnešní době však stále existuje
mnoho organizací bez koncepce zajištění bezpečnosti dat, kde za informační
bezpečnost nikdo neodpovídá a kde se bezpečnostní potřeby realizují až podle
momentální potřeby. Proto je pro správné řešení zavedení ochrany zpracování
analýzy rizik a bezpečnostní politiky.
Tato bakalářská práce se zabývá
především informačními systémy (IS), které jsou strukturálně složité a
využívají informační technologie. Tyto uvedené systémy bývají zpravidla
používány pro informační podporu řízení střední a velké organizace, mezi které
se řadí Městský úřad ve Veselí nad Moravou.
Městský úřad ve Veselí nad
Moravou je vystavován mnohým rizikům, jako je například vyzrazení jejich
obchodních tajemství, nakládání s osobními daty zaměstnanců, obyvatelů města,
transakcí a v neposlední řadě také zveřejnění strategie a technologie,
což může znamenat pro úřad obrovskou ztrátu. Proto je nutné, aby byly
všechny informace důkladně chráněny. Nedílnou součástí této ochrany proti všem
vnějším útokům je i vnější testování a různé kontrolní pokusy o útok.
Cíl
Cílem této práce
je seznámení se s obecnými principy informační
bezpečnost a postupem výstavby systému řízené informační
bezpečnosti (ISMS), předcházení riziku a seznámení se základními zásadami
pro návrh a vytvoření bezpečné politiky ve veřejné správě. Bude se jednat
o praktické zásady a doporučení, mezi které mimo jiné patří i upozornění
zaměstnanců o ochraně svých přístupových hesel a osobních dat.
Pro konečné řešení je třeba vytyčit několik dílčích cílů,
čili je nutné vyznačit základní obrysy řešení, tj. postup pro řešení informační
bezpečnosti v organizaci Městského úřadu ve Veselí nad Moravou, popis
stávajícího stavu informačního systému v městském úřadě a zhodnocení
finančních nákladů.
Pro splnění návrhu bezpečnostní politiky je třeba snížení
míry zranitelnosti elektronických komunikačních systémů a předcházení možným
incidentům pomocí odhalování případných útočníků.
1
Metodika
V této bakalářské práci je určen vhodný postup pro
řešení informační bezpečnosti ve státní veřejné organizaci městského úřadu
(MěÚ), popsán stávající stav informačního systému v MěÚ a určen návrh
bezpečnostní politiky.
Práce dále obsahuje seznámení s obecnými
principy informační bezpečnosti a prostředím MěÚ, tedy jejich odbory,
kterými jsou Odbor kanceláře starosty a tajemníka, Odbor ekonomický, Odbor rozvoje
a správy města, Odbor vnitřní správy, Odbor životního prostředí a Stavební
úřad, Odbor sociálních věcí a zdravotnictví, Odbor Živnostenský úřad a Oddělení
kancelář starosty. V MěÚ pracuje přibližně devadesát zaměstnanců.
Na začátku praktické části práce je popsán stávající stav konkrétního
informačního systému, na který je aplikován návrh.
Postup a návrh pro řešení informační bezpečnosti v MěÚ je přizpůsoben
normám Českého normalizačního institutu (ČNI), kterými je nutno se řídit. Návrh
řešení je zdůvodněn a doporučen zaměstnancům MěÚ ve Veselí nad Moravou.
2
Teoretická část
2.1
Bezpečnost informačních sítí (IS)
Bezpečnost
informačních sítí, resp. informačních technologií (IS/IT) je obor, který
zahrnuje složky technologické, právní, administrativní a sociální.
Bezpečnost
informačního systému (IS) je stav, kdy je systém v dané míře chráněn
před zneužitím, modifikací, výpadkem. Zneužitím je chápáno jako využívání
útočníka aktiv IS, např. čtení důvěrných informací. Cílem bezpečnosti IS je
zajištění bezpečnosti dat, integrity, dostupnosti, spolehlivosti a důvěrnosti.
Bezpečnostní
politika (BP) je v oblasti informačních technologií (IT) důležitou součástí
bezpečnostní politiky podniku - organizace, která představuje souhrn
bezpečnostních předpisů, definujících způsob zabezpečení organizace od fyzické
ostrahy přes ochranu profesních zájmů až po ochranu soukromí a osobních dat.
Bezpečnostní
politika IT organizace se zabývá volbou bezpečnostních zásad a předpisů,
které splňují bezpečnostní politiku organizace a obecně formulují bezpečné
používání informačních zdrojů nezávisle na konkrétně použitých informačních
technologiích. Ta totiž určuje, která data jsou pro podnik choulostivá a kdo je
za data odpovědný. Dále přikazuje infrastrukturu zabývající se bezpečností a omezuje
základní omezení, která se musí respektovat.
Bezpečnostní politika organizace je tvořena jedním
ze základních pilířů, na kterém stojí systém řízení informační bezpečnosti.
Celý systém může být vybudován neefektivně a neúčelně, pokud nebudou
jednoznačně definovány některé základní parametry. Těmito základními parametry
jsou povinnosti a odpovědnosti klíčových rolí a zaměstnanců organizace. [17]
Rámec určuje informační bezpečnosti organizace a musí
být po schválení vedením závazný pro všechny zaměstnance a je směrodatný i pro
všechny externí subjekty, které přicházejí do kontaktu s informačními a
komunikačními technologiemi (ICT) organizace.
Bezpečnostní politika musí být v souladu s
politikou celé organizace, definuje základní strategii, cíle, postoje, role,
zodpovědnosti a zásady týkající se činností spojených s informační
bezpečností. Vychází také z existujících a platných interních směrnic a
politik, které rozvíjí s ohledem na aplikovatelnost bezpečnostní dokumentace do
prostředí organizace. Ukazuje závěry, získané z analýzy rizik IS a definuje
mechanismy zajišťující efektivní řízení informační bezpečnosti. Je podkladem
pro budování nižších a specifických stupňů bezpečnostní dokumentace.
Chyby při zavádění bezpečnostní politiky v informačním
systému:
·
nedostatečná projektová připravenost,
·
nedostatečné vyškolení uživatelů,
·
nedostatečná finanční připravenost,
·
závislost na externí firmě.
Mezi hlavní
přínosy bezpečnostní politiky patří:
·
bezpečnostní politika přináší do
organizace jasně formulované základní principy řízení informační bezpečnosti,
·
všichni zaměstnanci znají své
základní odpovědnosti a povinnosti při práci s informacemi,
·
jsou definovány základní
požadavky na chování vnějších subjektů (např. dodavatelů) v prostředí
informačního systému organizace,
·
zavedení bezpečnostní politiky
zvyšuje image organizace u obchodních partnerů a spolupracujících subjektů,
·
bezpečnostní politika je
vypracována na základě současných norem a standardů používaných v oblasti
bezpečnosti.
Vyskytující se zápory při zavádění bezpečnostní politiky:
·
finanční náklady,
·
nutnost dodržovat pravidla
omezující praktiky uživatelů,
·
nutnost zvýšení kvalifikace,
·
podpora vedení organizace.
Informační bezpečnost je soubor, který provádí technická a organizační opatření
z oblasti počítačové a komunikační bezpečnosti, administrativní
bezpečnosti a organizačních opatření, personální bezpečnosti a fyzické
bezpečnosti informačního systému.
Informace lze
dělit na:
·
veřejné – informace veřejně známé, které nepodléhají
žádné ochraně,
·
interní – informace neveřejného charakteru, které mohou
být bez vážných následků zpřístupněny všem zaměstnancům,
·
striktně interní – informace, které jsou přístupné pouze
omezenému počtu osob,
·
osobní údaje – osobní údaje a citlivá osobní data podle
zákona č.101/2000 Sb., informace o ochraně osobních údajů,
·
zvláštní skutečnosti – informace podle zákona č. 240/2000
Sb., informace o krizovém řízení a o změně některých zákonů,
·
utajované skutečnosti – informace o ochraně utajovaných
skutečností a o změně některých zákonů.
2.2
Hrozby a ztráty dat
Předmětem
mnoha typů hrozeb jsou aktiva. Hrozby mohou způsobit nežádoucí poškození
systému a jejích aktiv. Hrozby mohou mít přírodní nebo lidský původ a mohou
náhodné nebo úmyslné. Škoda způsobená incidentem může být dočasné nebo trvalé
povahy, jako je tomu v případě zničení, nebo nevratného poškození aktiv. [16]
Škody,
které jsou způsobené hrozbou, se mohou při každém výskytu velmi měnit,
a to tím, že infikovaný virus může způsobit různě velkou škodu
podle jeho akcí. Takovéto hrozby mají přiřazen i stupeň síly. Podle stupně síly
může být virus destruktivní nebo nedestruktivní.
Příkladem hrozby je možnost ztráty důvěrných informací přenášených firemní bezdrátovou lokální sítí (WLAN) prostřednictvím odposlechu iniciovaného konkurenční firmou. Nositelem zmíněné hrozby je operátor najatý konkurenční firmou. Objektem hrozby jsou důvěrné firemní informace a mechanizmem hrozby je odposlech komunikace v nedostatečně chráněné firemní WLAN. [20]
Na ztrátě dat se podílí několik faktorů, které se o to zapříčiňují. Z několika faktorů má největší podíl na ztrátě dat obvykle management vlastní organizace. Příčinou je nenařizování zaměstnancům řídit se interními předpisy a směrnicemi. Velikosti ztrát faktorů jsou uvedeny v tabulce 1.
|
Velikost ztrát |
Ztráta vinou |
|
50 - 80% |
Způsobeno managementem vlastní organizace. |
|
10 - 30% |
Způsobeno vlastními zaměstnanci. |
|
5 - 8% |
Způsobeno „vyšší mocí“. |
|
0 - 8% |
Způsobeno útoky zvenku. |
Tabulka 1: Klasifikace podílů na ztrátách
Zdroj: [5]
Mezi
útoky, které se v informačním systému stávají, patří:
·
odposlech přenášených dat – komunikace většinou neprobíhá
šifrovaně,
·
falšování identity – nesmí být známo heslo druhé osoby,
proto by se měla měnit hesla každý rok,
·
neautorizované programy – organizační – zakázané programy,
které by měly být popsány ve směrnici organizace za účelem instalovat programy
pouze se souhlasem informatiků,
·
zahlcení zdrojů,
·
získávání soukromých informací,
·
dezinformace a padělání informací.
Rozdělení
útočníků podle znalostí a profesionality:
·
amatéři – snaží se zjistit slabiny informačního systému,
a tím je využít ke svému prospěchu,
·
hackeři, školáci – tito útočníci napadají bezpečnostní
systémy kvůli osobním problémům, nebo z důvodu snahy něco dokázat,
·
profesionální zločinci – provádí neustálé útoky na
informační systémy, a to s cílem získat osobní prospěch. Těmito
zločinci jsou obvykle počítačoví specialisté.
Známým typem útoků je i úmyslné rušení komunikačních kanálů. Tento typ útoku se provádí zejména proti rádiovým komunikačním kanálům.
V dnešní době se lze u rádiových přenosových systémů organizace setkávat s metodami ochrany vůči úmyslnému rušení, které se nazývají:
· adaptace vysílacího výkonu – utajení kanálu nebo minimalizace oboustranného rušení,
· adaptace pracovního kmitočtu - z přidělených kmitočtů se pro rádiovou komunikaci vybere ten nejméně rušený,
· adaptivní anténní systém - změnami směrových vlastností antén lze dospět k potlačení vlivu cizorodých signálů,
· rozprostření spektra - přelaďování pracovních kmitočtů komunikujících radiostanic.
2.3
Ochrana systému a dat
Ochrana je součástí bezpečnostní
politiky v organizaci a je to jakékoliv opatření, které snižuje
četnost a velikost ztrát aktiv. Vzrůstající potřeba ochrany dat
a zajištění vztahů vede k rozšíření využívání kryptografických (šifrovacích) prostředků.
Podstatné
rysy informací, které ochrana zajišťuje, jsou:
·
důvěrnost - informace je přístupná pouze tomu, kdo k ní
má autorizovaný přístup,
·
integrita - informace je úplná a nezměněná,
·
dostupnost - informace je přístupná v jakoukoliv
dobu autorizovaným uživatelům.
Ochrana může být různého charakteru:
· technického - antivirový program, firewall apod.,
· personálního - zamezení přístupu neoprávněných osob,
· organizačního - směrnice a předpisy obsahující povinnosti uživatelů IS,
bezpečnostní management.
Osobní
údaj je jakákoliv informace. Pro přesnější znázornění je osobní údaj subjekt
údajů, které lze přímo nebo nepřímo identifikovat podle čísla, kódu nebo více
prvků.
Tři
subjekty, které povinně chrání citlivá data, jsou – správce osobních údajů,
zpracovatel a osoby, které pro správce či zpracovatele vykonávají činnosti.
Správce je osoba, která určuje prostředky a účel zpracování a která pověřuje
písemnou smlouvou zpracovatele. Zpracovatel provádí zpracování, které určil
správce a osoby vykonávající pracovní činnosti pro správce nebo zpracovatele,
jsou všichni zaměstnanci zpracovatele, ale také i osoby, které podle
smlouvy něco pro něj vykonávají. Zpracování znamená nejen shromažďování, různé
úpravy, vyhledávání, používání, šíření, ale i práci s osobními údaji. Podle
příslušného zákona se toto vztahuje i na osoby, které neoprávněně shromáždily
osobní údaje.
Povinnosti při zpracování osobních údajů:
·
povinnost dbát na to, aby subjekt údajů neutrpěl újmu na
svých právech - musí být zachována důstojnost a princip přiměřenosti,
·
povinnost získat souhlas subjektu údajů direkt marketing
- pro direkt marketing zákon dovoluje použít některé osobní údaje za obchodním
účelem,
·
informační povinnost a poučení – povinností je podat
informace subjektu, o kterém se informace zpracovávají,
·
povinnost ve vztahu k úřadu,
·
zabezpečení osobních údajů - nutnost provést opatření technická,
organizační a právní,
·
povinnost mlčenlivosti - zaměstnanci správce nebo zpracovatele
a jiné fyzické osoby musí mlčet o osobních datech, povinnost mlčenlivosti trvá
nadále i po ukončení pracovního vztahu.
2.4
Řízení informační bezpečnosti
2.4.1
Analýza rizik
Analýza rizik (AR) informačního systému je
nezbytným krokem řešení bezpečnosti a slouží ke zjištění aktuálního stavu
bezpečnosti informačního systému. Cílem je
ověřit totožnost rizik a najít slabá místa informačního systému. Poté pak
zahrne zjištěné poznatky do dokumentu analýzy rizik IS. V dokumentu
budou podle zjištěných poznatků navrhnuty managementu a odpovědným organizacím
podniku vhodná protiopatření. Dokument analýzy rizik obsahuje i pohledy na
administrativní, fyzickou, organizační, personální a počítačovou oblast
bezpečnosti, na které se také vážou vnitřními interní předpisy podniku.
Analýzu lze uskutečňovat pro informační systém či
organizaci, a to před zpracováním plánů v souvislosti organizace i informačního
systému. Životnímu cyklu informačního
systému předchází vytvoření bezpečnostní politiky. Při každém zabezpečení a změně
ohrožení by měla být analýza rizik aktualizována a opakována.
Analýza
rizik pojímá:
·
identifikaci aktiv,
·
ohodnocení aktiv,
·
identifikaci hrozeb,
·
určení možnosti uplatnění hrozby,
·
určení zranitelnosti aktiv hrozbami,
·
výpočet hodnoty rizika pro každé aktiva a hrozby.
Při hodnocení rizik musí být zvažována poškození aktiv. Tato postižená
aktiva mohou být způsobena selháním bezpečnosti.
Při hodnocení musí být brány
v úvahu potenciální důsledky ze ztráty důvěryhodnosti, integrity,
dostupnosti informací a jiných aktiv. Také se musí posoudit reálné možnosti
výskytu chyb a aktuálně zavedených opatření.
Výsledky a výsledná hodnocení rizik napomáhají a
přispívají vedení organizací určit přednosti a stanoví potřebné kroky a
postupy, které vedou ke zvládnutí rizik u informací a k provedení
určitých opatření k zabránění jejich výskytu.
V několika případech je možno dojít
k několikerému opakování hodnocení rizik a stanovení opatření, a to
z důvodu pokrytí různých částí organizace či jednotlivých informačních
systémů.
Revizi rizik a organizačních opatření je podstatné
provádět periodicky, aby bylo možné určit změny hrozeb, ze kterých vyplývají
požadavky a priority provozovatele a správce. Součástí revize musí být
brán ke zvážení úvahy nové druhy hrozeb a slabin. Taktéž se musí potvrdit ze
získaných zkušeností vhodnost a účinnost opatření.
Revize se provádí v různých velikostech hloubky.
Velikost hloubky revize závisí na výsledcích předešlých analýz a změn v
úrovni rizik, které musí vedení organizace akceptovat.
Hodnocení rizik je obvykle zpočátku uskutečňováno na obecné úrovni. Na
této úrovni se hodnocení rizik využívá jako pomůcka ke stanovení priority
zdrojů v oblasti závažných rizik. Teprve po této analýze se provádí další
analýzy v podrobnějších rovinách pro určení konkrétních rizik.
V první fázi revize musí být stanovena úroveň,
na které mají být analyzovaná rizika eliminována. Tímto
směrem by snaha o odstranění všech rizik vedla k velkým a neúměrným
nákladům při provedení příslušných opatření, tím by se zapříčinila i na propustnosti
daného systému. Z tohoto důvodu se v rámci
analýzy rizik hodnotí i otázky zbytkových rizik ve vztahu k hrozbám,
zranitelnosti a navrhnutých protiopatření. Na základě těchto znalostí se vybírají
odpovídající přístupy a metody analýzy rizik.
2.4.2
Monitoring
Monitoring slouží jako
jeden z nástrojů pro sledování stavu a vyhodnocování změn a úrovně
informační bezpečnosti v informačním systému v organizaci. Stanovená
úroveň bezpečnostní politikou v organizaci má požadovanou úroveň. Monitoring
průběžně sleduje provoz IS a vyhodnocuje stupeň jeho zajištění, produkuje
zpětnou vazbu s předešlými fázemi informační bezpečnostní politiky a
zahrnuje v sobě změny v bezpečnostním systému.
Během sledování provozu
vzniká cyklus řízení a je zajišťována ochrana proti incidentům. Dochází také
k zajištění odhalování pokusů o průnik do IS a k zajištění regenerace
po bezpečnostním incidentu.
Monitoring IS zajišťuje:
·
odpovědnost osoby,
·
odhalení narušení,
·
obnovu událostí,
·
pomoc při analýze a řešení vypuklých problémů.
2.5
Druhy ochran
2.5.1
Firewall
Firewall je síťové zařízení sloužící k řízení a zabezpečování
IS. Definicí lze firewall popsat jako pravidla pro komunikaci mezi sítěmi. Firewall zároveň umožňuje ochranu před dalšími
útoky, např. podvržení adresy. Komunikační schéma sítě je zobrazeno na obrázku
1.
V dnešní době se
firewally opírají o informace stavu spojení a o znalost kontrolovaných
protokolů, případně prvky detekce narušení systému. Jestliže je brána firewall
správně nastavena, nemohou útočníci vyhledávající nechráněné počítače chráněný
počítač zjistit.
Základní typy firewallů:
· softwarové brány,
· hardwarové směrovače,
·
bezdrátové směrovače.
Obrázek 1: Komunikační schéma sítě
Zdroj: [6]
2.5.2
Kryptologie
Vznikem
kryptologie v minulém století elektronické počítače a internetové
připojení, bylo třeba zajistit důvěrná a citlivá data proti zneužití. Nejprve bylo
internetové připojení používáno vojenskými jednotkami a armádami. Po několika
letech byl internet zpřístupněn pro veřejnost. Důsledkem masového rozšíření
internetu se začaly objevovat viry a zločinecké ataky na počítače za účelem
získání osobních údajů uživatele. Bylo
proto nutné zavést do počítačových sítí šifry, kryptologie a antiviry, které
měly za úkol zabránit zničením počítačů a úniku dat.
Kryptologie
je obor, který zahrnuje kryptografii a kryptoanalýzu a zabývá se šifrováním
textu. Kryptologie se zabývá utajováním zpráv a lze ji popsat i jako techniku
a teorii kódování zašifrovaných zpráv.
Šifrování
je přeměna dat do podoby, kterou není po zašifrování možno vidět v čitelné
podobě. Účelem je zajistit bezpečnost soukromí citlivých a utajovaných dat od
pisatele pro příjemce i přesto, že k zašifrované formě dat má přístup
kdokoliv jiný.
Dešifrování
je opačný postup jako šifrování. Jedná se tedy o převedení dat zpět do jejich
původní čitelné formy.
Některé
tajné informace používají šifrování a dešifrování, které jsou nazývány klíč.
Stejný klíč se může používat pro některé šifrovací metody i při obou operacích,
kterými jsou šifrovaní a dešifrovaní. Pro některé metody je klíč rozdílný.
V dnešní době počítačů lze pomocí kryptografie provádět mnohem více
věcí než jen šifrovat a dešifrovat. To je např. ověřování pravosti, známé
taktéž pod pojmem autentizace. V dnešní době je to zvláště důležité, neboť
se tímto způsobem chrání data.
Autentizace
se provádí při elektronickém podpisu na dokumentech, kterými se obvykle provádí
komunikace s úřady. Elektronický, čili digitální podpis, patří mezi hodnověrný
prostředek pro zabezpečení integrity odesílaných dat, a bezpečně je tím
ověřena identita odesílatele. Digitálního podpisu se používá jako ověření
identity pomocí počítače jako komunikačního prostředku.
2.5.3
Symetrické šifrování
Symetrické
šifrování je označováno i jako konvenční šifrování. Symetrické šifrování
vzniklo dříve než asymetrické, a tudíž je jednodušší než asymetrické šifrování.
Toto šifrování využívá pro zašifrování i dešifrování stejný klíč.
Mezi
největší výhody tohoto symetrického šifrování patří jeho vysoká rychlost, tzn.
možnost jednoduše použít pro šifrování velkých objemů dat. Mezi jeho velké
slabiny patří samotné použití klíče. To se dá vysvětlit tím, že odesílatel,
který zprávu zašifroval, ji umí i dešifrovat. Nesmí se také opomenout na nutnost
bezpečného předání klíče diskrétní cestou mezi dvěma stranami, které spolu
komunikují (odesílatel a příjemce).
Zabezpečení
šifry závisí i na kvalitě použitého klíče a také na tom, aby byl klíč
dostatečně komplexní a dostatečně náhodný. Nebude – li
použitý klíč splňovat tyhle podmínky, bude použitá šifra snadno prolomitelná.
Symetrické
šifrování se dělí na dva typy algoritmů, které se nazývají proudové algoritmy a
blokové algoritmy. Rozdíl mezi proudovými a blokovými algoritmy spočívá
v tom, že proudové algoritmy zpracovávají otevřený text po jednotlivých
bitech, zatímco blokové algoritmy zpracovávají otevřený text po skupinách bitů.
2.5.4
Asymetrické šifrování
Asymetrické
šifrování využívá dvou klíčů, a to veřejného (používá se pro zašifrování dat) a
soukromého (používá se pro dešifrování). Tyto dva klíče mohou být od sebe
odděleny. Asymetrické algoritmy jsou velmi pomalé a prakticky nepoužitelné pro
šifrování velkého objemu dat.
Když je poslaná nebo přijatá
zašifrovaná zpráva kódována soukromým klíčem a dekódována veřejným klíčem
(pomocí tohoto klíče se realizuje digitální podpis), tak zpráva, která je dekódována veřejným klíčem, ověřuje
podpis odpovídajícím soukromým klíčem. Tento způsob však nezajišťuje bezpečnost
obsahu zprávy, neboť je veřejný klíč volně dostupný (např. na internetu).
V opačném případě je zpráva zašifrována
veřejným a dešifrována soukromým klíčem, což zajišťuje bezpečnost
zprávy. Původce zprávy zašifruje její obsah pomocí veřejného klíče
příjemce. Pouze jen příjemce může přijatou zprávu dešifrovat. V tomto
případě ale není zajištěna identita zprávy, tzn., že zpráva pochází od
konkrétního autora.
2.5.5
Digitální podpis
Digitální
podpis patří mezí nejúčinnější prostředky pro zajištění integrity odesílaných
dat a bezpečné ověření odesilatele zprávy.
Princip
digitálního podpisu spočívá v tom, že je nejdříve vypočten kryptografický
kontrolní součet z dat, a z kryptografického kontrolního součtu je vypočten
digitální podpis na principu tajného
klíče. Následně probíhá ověření digitálního podpisu, kde příjemce ověří,
že digitální podpis splňuje identitu veřejného
klíče odesilatele.
Po
ověření se vypočte kryptografický kontrolní součet přijatých dat a porovná s kryptografickým
kontrolním součtem, který byl obdržen od odesilatele. Jestliže kryptografické součty
sobě odpovídají, znamená to, že data nebyla po odeslání klientem změněna.
Veřejným
klíčem odesilatele lze ověřit jeho digitální podpis. Tento klíč nemůže
být ale použit pro vytvoření platného digitálního podpisu a kdokoliv
ho může znát.
2.6
Systém managementu bezpečnosti informací
Systém
řízení bezpečnosti informací (ISMS) je dokumentovaný systém, ve kterém jsou
chráněna informační aktiva. Mezi informační aktiva patří samotné informace
v jakékoliv podobě (v papírové či digitální podobě), software, hardware,
prostory, místnosti a osoby (např. zaměstnanci). Informační aktiva jsou
informace psané, mluvené nebo digitální. Aktiva mohou být strukturovaná, nebo
nestrukturovaná. Ve strukturovaných aktivech se mohou informace
zpracovávat pomocí softwaru a hardwaru, které jsou umístěny v místnostech.
Tyto informace zpracovávají jak fyzické, tak i právnické osoby. Mohou to být
i externí osoby, obvykle jsou to ale zaměstnanci organizace.
Při
zavádění ISMS v organizaci by se mělo postupovat podle normy Systémy
managementu bezpečnosti informací ISO/IEC 27001, ve které jsou znázorněna
doporučení a ve které je odkaz na další normu Soubor postupů pro
management bezpečnosti informací ISO/IEC 27002, která obsahuje doporučené
nejlepší postupy. Po bližším seznámení se s těmito normami vyplývá
podstatný rozdíl mezi těmito dvěma normami. Norma ISO/IEC 27001 udává, jak
správně zavést, kontrolovat, udržovat a zlepšovat systém řízení bezpečnosti
informací v organizaci. Zatímco norma ISO/IEC 27002 umožňuje podrobný
přehled bezpečnostních opatření, které mohou být implementovány. [20]
Informační bezpečnost musí být řízena
v jakékoliv organizaci. Musí být znám tedy druh organizace, zda se jedná o firmu
malou nebo velkou s mnoha zaměstnanci. Rozdíl mezi druhy velikostí firem bude
pouze v časových lhůtách a množství práce.
Systém řízení bezpečnosti informací je daný,
rozdílné bývají pouze výklady jednotlivých doporučení, postupy a řešení
dosáhnutí nejlepšího cíle. Princip celého ISMS je zobrazen na obrázku 2.
Obrázek 2: Řízení bezpečnosti informačního
systému
Zdroj: [18]
Přínosy
zavedení ISMS a certifikace v organizaci:
·
přehled aktiv a jejich klasifikace,
·
vypracování řídící dokumentace,
·
efektivnost využívání zdrojů a kapacit,
·
snížení rizik,
·
snadné nalezení hrozeb v oblasti bezpečnosti
citlivých informací,
·
zvýšení odpovědnosti zaměstnanců organizace,
·
informovanost vedení organizace,
·
zvýšení důvěryhodnosti organizace (lepší image podniku).
2.7
Použité pojmy
Aktiva jsou hardware (HW), software (SW),
informace a dokumentace informačního systému.
Analýza rizik je proces, kde jsou zjišťována aktiva
informačního systému, hrozby, zranitelná místa, pravděpodobnost realizace
hrozeb a odhad jejich následků.
Auditní záznam je záznam o událostech, které
mohou ovlivnit bezpečnost informačního systému.
Autentizace subjektu je proces
ověření identity subjektu splňující vyžadovanou míru záruky.
Autorizace subjektu je udělení
některých práv pro vykonávání určených aktivit.
Bezpečnostní mechanismus je samotná
realizace bezpečnostní funkce.
Důvěrnost dat je zajištění přístupu k informacím jen
tomu, kdo má autorizovaný přístup.
Hrozba je jakákoliv možnost ztráty aktiv.
Objekt je pasivní prvek informačního systému,
který obsahuje informaci nebo ji přijímá.
Ochrana informací je souhrn technických a
organizačních opatření, které vedou k zajištění dostupnosti a nezcizitelnosti
informace.
Služba je zajištění činnosti informačního
systému uspokojující dané požadavky oprávněného subjektu, spojená s funkcí
informačního systému. [17]
Subjekt je aktivní prvek informačního systému,
který předává informace mezi objekty, nebo změní stav systému.
Vytváření informačních systémů veřejné správy
je proces zavádění informačních a komunikačních technologií, včetně jeho
právního, organizačního, znalostního a technického zajištění. [17]
3
Praktická část
3.1
Městský úřadu ve Veselí nad Moravou
Město Veselí nad Moravou
je obec ve smyslu zákona o obcích č.128/2000 Sb. To znamená, že je
základním územním samosprávným společenstvím občanů; tvoří územní celek a je
vymezen hranicí území obce.
Orgány obce jsou zastupitelstvo, rada, starosta a obecní úřad. Městský úřad Veselí nad Moravou je tedy orgánem Města Veselí nad Moravou.
Město Veselí nad Moravou je veřejnoprávní
korporací, které má vlastní majetek. Město vystupuje v právních vztazích svým
jménem a nese odpovědnost z těchto vztahů vyplývající. Přesněji řečeno, vše, co
se týká majetku města, jako jsou smlouvy, faktury, vlastnictví movitostí i
nemovitostí atd., se vztahuje k Městu Veselí nad Moravou.
Město pečuje o všestranný rozvoj svého území a o potřeby svých občanů. Při plnění svých úkolů chrání též veřejný zájem vyjádřený v zákonech a jiných právních předpisech. Spravuje také své záležitosti v samostatné působnosti a řídí se zákony a obecně závaznými právními předpisy vydanými ústředními orgány. Na základě pověření vykonává státní správu na území Města Veselí nad Moravou a ve stanovené spádové oblasti.
Městský
úřad v samostatné působnosti zajišťuje ve svém území hospodářský, sociální a kulturní
rozvoj, ochranu a tvorbu zdravého životního prostředí mimo činnosti, které jsou
zvláštními zákony svěřeny jiným orgánům jako výkon státní správy. Dále v
přenesené působnosti vykonává státní správu v rozsahu stanoveném zvláštními
zákony.
3.2
Organizační struktura
Městský úřad se rozkládá ve dvou budovách, které leží
v blízkosti sebe. Úřad je rozdělen do několika odborů, ve kterém
je padesát kanceláří, v nichž pracuje
přibližně devadesát zaměstnanců.
Na
obrázku 3 je názorně nakreslena pozice MěÚ v organizační struktuře. Pro lepší
pochopení byla do obrázku záměrně zakreslena Městská policie a Jednotka sboru
dobrovolných hasičů, protože MěÚ je orgán Města Veselí nad Moravou, jako je
orgán Městská policie a orgán Jednotka sboru dobrovolných hasičů.
Obrázek 3: Organizační struktura
Zdroj:
Vlastní zpracování
Odbory v MěÚ Veselí nad Moravou:
· Odbor kancelář starosty a tajemníka
(KST),
· Odbor rozvoje a správy města (RSM),
· Odbor životního prostředí a Stavební
úřad (ŽPSÚ),
· Odbor sociálních věcí a zdravotnictví
(SVZ),
· Odbor Živnostenský úřad (ŽÚ).
Některé odbory se dále člení na oddělení. Odděleními jsou podle odborů:
· Odbor rozvoje a správy města (RSM),
· Oddělení rozvoje města,
· Oddělení správy města,
·
Oddělení vnitřních věcí,
·
Oddělení dopravních evidencí,
· Odbor životního prostředí a Stavební
úřad (ŽPSÚ),
·
Oddělení živnostního prostředí,
·
Oddělení Stavební úřad,
·
Územního plánování,
· Odbor sociálních věcí a zdravotnictví
(SVZ),
·
Oddělení pomoci v hmotné nouzi,
·
Oddělení sociálně – právní ochrany dětí,
·
Oddělení sociálních služeb.
Obrázek 4: Mapa umístění 2 budov MÚ Veselí nad Moravou
Zdroj: [21]
3.3
Současný stav
Během několika návštěv a konzultací se
zaměstnanci MěÚ bylo zjištěno, že je bezpečnostní politika v
organizaci ve špatném stavu. Neexistují zde interní předpisy o bezpečnostním
informačním systému (BIS). BIS není v dobrém stavu, a to je důvod, proč je nutno
pracovat na novém BIS, což zahrnuje mimo jiné zabezpečení sítí, neboť je nezabezpečení
sítě příležitostí pro kriminální aktivity. Mezi nejvýznamnější a zároveň velmi
ohrožující pro MěÚ mohou patřit:
·
podvody s elektronickou identitou,
·
útoky na bankovní a účetní operace,
·
odcizování dat a jejich odesílání z počítače
bez vědomí uživatele.
Každý zaměstnanec má v MěÚ přidělen osobní počítač. Mezi zásadní
porušení pravidel BIS patří časté případy ponechání přístupových hesel ke vstupu
do informační sítě MěÚ na viditelném a snadno dostupném místě. Toto
umožňuje případný útok ostatním zaměstnancům MěÚ a občanům, kteří vchází
do jejich kanceláří.
V MěÚ
jsou data neustále a automaticky zálohována. Pro fyzické zabezpečení datových
sítí existuje systém, v němž jsou vhodně umístěny servery a aktivní prvky,
tzn., že je dobře zabezpečena ochrana výpočetního prostředí.
Dále jsou na všech pracovních
stanicích a na serverech nainstalovány antivirové systémy a legální SW programy,
které jsou pro provoz v MěÚ schváleny.
Pomocí firewallu je provedeno zabezpečení připojení IS k internetu.
Firewall umožňuje komunikaci internetu mezi internetem a počítačem ve vnitřní
síti MěÚ na vyžádání od vnitřního PC, a to pouze přesně definovaným způsobem.
Podrobnější skutečný stav, tedy analýza stávajícího IS,
byl zjištěn na základě dotazníků pro všechny zaměstnance MěÚ, který je
uveden v kapitole 3. 8.
3.4
Technologická architektura
Řešení
architektury IS MěÚ vychází z jeho rozdělení do dvou budov (tř. Masarykova, č. p. 119 a park Petra Bezruče, č. p. 697),
které jsou komunikačně propojeny a navenek tak vytváří jeden celek. Mezi hlavní
prvky technologické struktury lze zařadit servery, pracovní stanice,
rozvody strukturované kabeláže, aktivní prvky, zařízení pro připojení do internetu.
Počítačová
síť v budově ulici tř. Masarykova vznikla během roku 2000. Je tvořena kabely
kategorie 5, což určuje přenosovou rychlost 100 Mbps.
Budova
v parku Petra Bezruče byla zrekonstruována a zprovozněna koncem roku 2002.
Všechny vnitřní rozvody jsou již kategorie 5e, což umožňuje přenosovou rychlost
až 1 Gbps.
Spojení
budov je provozováno po dvou optických vláknech z celkem dvanácti vláknového
kabelu. Komunikace probíhá rychlostí 1Gbps. Internetové připojení využívá technologie WiFi ve volném
pásmu o rychlosti 6 Mbps.
Všechny aktivní
prvky jsou značky HP řady ProCurve.
Obrázek 5: Současná architektura sítě
Zdroj: Vlastní zpracování
3.5
Informační strategie
Informační strategie (ISt) byla naposledy v MěÚ
aktualizována v roce 2004.
3.5.1 Použité zdroje
pro tvorbu Informační strategie (ISt)
Mezi
použité zdroje patří:
· standardy ISVS,
· trendy rozvoje IS/IT ve světě,
· záměry rozvoje informatiky v ČR a JmK (Jihomoravský kraj),
· současný stav informatiky ve městě (HW + SW),
· organizační řád Městského úřadu Veselí nad Moravou,
· organizační struktura Městského úřadu Veselí nad Moravou,
· pracovní řád Městského úřadu Veselí nad Moravou,
· pracovní náplně zaměstnanců.
3.5.2 Hlavní cíle
informační strategie
Hlavními
cíly informační strategie jsou:
· koordinování činnosti při postupném budování a modernizaci informační infrastruktury města,
· stanovení priorit informační strategie,
· předcházení nehospodárnému nakládání s finančními prostředky.
3.6
Používaný software v Městském úřadě Veselí nad
Moravou
Všechny instalované SW jsou licencované a jejich
instalační média jsou uložena v archivu.
Tabulka 2 uvádí správce softwarového vybavení
specifických, státem užívaných aplikací. Ostatní běžné aplikace má ve své
správě informační středisko odboru KST.
|
Název programu |
Účel |
Správce |
|
EMOFF |
agenda krizového řízení |
Jihomoravský
kraj |
|
eTesty |
agenda testů řidičů |
Ministerstvo
dopravy ČR |
|
Registr živnostenského podnikání RŽP |
agenda evidence podnikatelů |
Ministerstvo
průmyslu a obchodu |
|
IISSDE |
agenda
evidence obyvatel, občanských
průkazů, pasů, řidičských oprávnění |
Ministerstvo
vnitra ČR |
|
EVPE Editor vodoprávní evidence |
agenda
spojená s vodoprávními evidencemi |
Ministerstvo
zemědělství |
|
Evidence zemědělských podnikatelů |
evidence
zemědělských podnikatelů |
Ministerstvo
průmyslu a obchodu |
|
OKnouze |
Agendy
Ministerstva sociálních věcí |
Ministerstvo
práce a sociálních věcí |
|
OK smart |
integrační
software pro čipové karty |
Ministerstvo
práce a sociálních věcí |
Tabulka 2: Přehled správců softwarového
vybavení
Zdroj:
Vlastní zpracování
V následující tabulce 3 je uveden seznam SW,
používaných v MěÚ. Rozlišení databáze určitých SW programového vybavení je
provedeno pro přehlednost v barevném rozlišení.
Všechny SW jsou
očíslované podle stupně priorit:
·
0 – nechráněné,
·
1 – méně chráněné,
·
2 - více důležité,
·
3 – osobní údaje,
·
4 – citlivé osobní údaje,
·
5 – krizové informace.
Barevné
označení pro rozlišení dat:
·
krizové
informace,
·
osobní údaje,
·
databázový stroj.
|
Název
programu |
Výrobce
- Dodavatel |
Účel |
Odbor |
Uživatel |
Priorita |
|
ArcView |
Arcdata
Praha |
tvorba a správa GIS dat |
ŽPSÚ |
3 |
|
|
ASPI |
ASPI
a.s. |
Sbírka
právních předpisů |
všechny |
vybraní |
0 |
|
EZOP |
Asseco,
a.s. |
spisová služba |
všechny |
všichni |
3 |
|
IS
Fenix |
Asseco,
a.s. |
agenda
účetnictví a výkaznictví |
E |
2 |
|
|
Microstation |
BENTLEY |
tvorba
a správa GIS dat |
ŽPSÚ |
3 |
|
|
eTrust
ITM 8.x |
COPROSYS
s.r.o. |
antivir
a antispyware |
všechny |
všichni |
0 |
|
Crypta |
Česká
pošta, s. p. |
jednoduchý
šifrovací program pro
komunikaci s Českou poštou |
SVZ,E |
0 |
|
|
Evidence
invalidů |
Dataprotect
– Solař |
Ei
- Evidence invalidních občanů |
SVZ |
3 |
Tabulka 3: Přehled SW podporující
činnosti jednotlivých odborů
Zdroj:
Vlastní zpracování
|
Název programu |
Výrobce
- Dodavatel |
Účel |
Odbor |
Uživatel |
Priorita |
|
Kurátor
dospělých |
Dataprotect
– Solař |
Ek
- Evidence problémových osob |
SVZ |
4 |
|
|
MISYS |
GEPRO |
grafický
informační systém -
technická mapa, sítě |
ŽPSÚ |
3 |
|
|
Evidence
docházky |
Goldcard
s.r.o. |
evidence
docházky |
všechny |
vybraní |
1 |
|
Mapový
server |
HSRS |
mapový
server |
ŽPSÚ |
3 |
|
|
Informix
IDS 9.x |
IBM |
databázový stroj k IS Radnice VERA |
jako
VERA |
4 |
|
|
EMOFF |
Jihomoravský
kraj |
agenda
krizového řízení |
KST |
5 |
|
|
MS
Office 2003,2007 |
Microsoft |
Balík
kancelářských aplikací |
všechny |
všichni |
0 |
|
MS
Server 2000 a 2003 |
Microsoft |
operační
systém serverů |
všechny |
všichni |
0 |
|
MS
SQL Server |
Microsoft |
databázový stroj k EZOPu |
všechny |
Všichni |
3 |
|
MS
Windows XP a Vista |
Microsoft |
operační
systém |
všechny |
Všichni |
0 |
|
eTesty |
Ministerstvo
dopravy ČR |
agenda
testů řidičů |
VS |
3 |
|
|
Registr
živnostenského podnikání RŽP |
ICZ
a.s. |
agenda
evidence podnikatelů |
ŽPSÚ |
3 |
|
|
IISSDE |
Ministerstvo
vnitra ČR |
agenda
evidence obyvatel, občanských
průkazů, pasů, řidičských
oprávnění |
VS |
3 |
|
|
EVPE
Editor vodoprávní evidence |
Ministerstvo
zemědělství ČR |
agenda
spojená s vodoprávními
evidencemi |
ŽPSÚ |
2 |
|
|
ISVAK |
agenda
vodovodů a kanalizací |
ŽPSÚ |
2 |
Pokračování Tabulky 3: Přehled SW
podporující činnosti jednotlivých odborů
Zdroj:
Vlastní zpracování
|
Název
programu |
Výrobce
- Dodavatel |
Účel |
Odbor |
Uživatel |
Priorita |
|
Evidence
zemědělských podnikatelů |
PC
HELP |
evidence
zemědělských podnikatelů |
ŽÚ |
3 |
|
|
JASU-výkaznictví |
MÚZO Praha s.r.o. |
tvorba
souhrnných finančních výkazů
škol |
E |
2 |
|
|
OKnouze |
OKsystem,
s. r. o. |
Agendy
Ministerstva sociálních věcí |
SVZ |
4 |
|
|
602XML
Filler |
Software602,
a. s. |
Klient
pro zobrazování, vyplňování
a tisk XML formulářů |
všechny |
0 |
|
|
TRANIS |
TRANIS
s.r.o. |
technické
popisy homologovaných
vozidel |
VS |
0 |
|
|
VEMA
PAM a PER |
VEMA
a.s. |
agenda
personalistiky a mezd |
E |
3 |
|
|
IS
Radnice VERA |
VERA
s.r.o. |
mnoho
modulů např. evidence obyvatel,
ek. subjektů, příjmy, výdaje,
TKO, psi, soc. agenda, matrika |
všechny |
Vybraní |
4 |
|
VITA |
VITA
SW |
stavební
úřad |
ŽPSÚ |
3 |
|
|
Elektronický
registr oznámení |
WEBHOUSE
s.r.o. |
Vedení
registru oznámení o činnostech,
majetku, příjmech, darech
a závazcích veřejných funkcionářů. |
TAJ |
4 |
|
|
VISMO
Online |
WEBHOUSE
s.r.o. |
publikační
systém WWW stránek |
všechny |
Vybraní |
1 |
|
Evidence
dopravních agend |
YAMACO
Software |
agenda
dopravních agend |
VS |
3 |
|
|
Evidence
rybářských lístků |
YAMACO
Software |
agenda
mysliveckých a rybářských lístků |
ŽPSÚ |
3 |
Pokračování Tabulky 3: Přehled SW
podporující činnosti jednotlivých odborů
Zdroj:
Vlastní zpracování
|
Název
programu |
Výrobce
- Dodavatel |
Účel |
Odbor |
Uživatel |
Priorita |
|
Evidence
myslivosti |
YAMACO
Software |
1x
za rok sumář |
ŽPSÚ |
3 |
|
|
Vyvolávací
systém |
Kadlec
elektronika s.r.o. |
vyvolávací
systém (tisk pořadních
lístků - občanské průkazy, pasy,
řidičské průkazy) |
VS |
0 |
|
|
Janitor2 |
systém
pro analýzu a syntézu dat |
ŽPSÚ |
Vybraný |
1 |
|
|
Ovzduší
SQL |
Kvasar,
spol. s r. o. |
agenda
životního prostředí spojené se
znečišťovateli ovzduší |
ŽPSÚ |
Vybraný |
2 |
|
EVI |
INISOFT
s.r.o. |
Evidence
odpadů |
ŽPSÚ |
Vybraný |
2 |
|
ESPI |
INISOFT
s.r.o. |
Evidence
správních řízení |
ŽPSÚ |
Vybraný |
2 |
|
Total
Commander |
Ghisler |
správce
souborů |
všechny |
Všichni |
0 |
|
Kristýna-GIS
prohlížečka 1.2 |
Prohlížečka
GIS dat |
ŽPSÚ |
0 |
||
|
ICQ |
ICQ
LLC |
komunikátor |
všechny |
Vybraní |
0 |
|
Mozilla
Firefox |
prohlížeč
web stránek |
všechny |
0 |
||
|
Zoner
Photo Studio |
ZONER
software, a.s. |
Grafický
program |
KST,ŽPSÚ |
0 |
|
|
SafeSign |
čtečka
čipových karet |
ŽÚ |
0 |
||
|
Adobe
Photoshop+Illustrator+Acrobat |
grafický
balík |
KST |
0 |
||
|
ABBYY
FineReader |
ABBYY
Software House |
ORC
rozpoznávací software |
KST |
0 |
|
|
CorelDRAW |
Corel
Corporation |
grafický
program |
ŽPSÚ |
Vybraný |
0 |
|
BDE |
Borland |
datový
stroj |
všechny |
Vybraní |
0 |
Pokračování Tabulky 3: Přehled SW
podporující činnosti jednotlivých odborů
Zdroj:
Vlastní zpracování
|
Název
programu |
Výrobce
- Dodavatel |
Účel |
Odbor |
Uživatel |
Priorita |
|
Nero |
vypalovací
program |
všechny |
Vybraní |
0 |
|
|
Kubik
SMS DreamCom |
zasílání
SMS |
KST |
0 |
||
|
View
Companion Pro |
Software
Companion |
prohlížečka
a tisk tiskových výstupů |
ŽPSÚ |
Vybraný |
0 |
|
Heletax |
Topol
Pro s.r.o. |
prohlížečka
LHO a LHP |
ŽPSÚ |
Vybraný |
1 |
|
PerfectDisk |
Raxco |
defragmentace
disků |
všechny |
Vybraní |
0 |
|
OK
smart |
OKsystem,
s. r. o. |
integrační
software pro čipové
karty |
SVZ |
0 |
|
|
ERMa |
ÚHÚL
- Hosp. úprava lesa |
Evidence
reprodučního materiálu |
ŽPSÚ |
2 |
Pokračování Tabulky 3: Přehled SW
podporující činnosti jednotlivých odborů
Zdroj:
Vlastní zpracování
Uvedené licencované SW vybavení lze dále dělit na:
·
volně užívané (freeware),
·
volně šiřitelné s poplatky autorovi pro jejich
trvalé užívání (shareware),
· ostatní ze SW
(komerční licencovaný software).
Z
programů volného užití jsou používány SW 602XML Filler, Kristýna – GIS
prohlížečka 1.2, ICQ, Mozilla Firefox a BDE. Total
Commander a Kubik SMS DreamCom jsou naopak volně šiřitelné SW s poplatky
autorovi pro jejich trvalé užívání. Ostatní licencované SW z tabulky 3
jsou komerčně licencované.
3.6.1
Operační systémy
Operační
systémy na serverech jsou:
· MĚSTO – Linux
Debian,
· MS Windows
server 2000/2003.
Na pracovních
stanicích jsou nainstalovány tyto SW:
·
Microsoft Windows XP – instalován v 75% počítačích,
·
Microsoft Windows Vista – instalován ve 25% počítačích.
3.6.2
Kancelářský software
Městský
úřad Veselí nad Moravou výhradně používá kancelářský SW od firmy Microsoft,
který se jeví z hlediska uživatelů jako nejlepší.
Druhy
kancelářského SW od firmy Microsoft:
·
MS Office 2003 – instalován v 75% počítačích,
·
MS Office 2007 – instalován ve 25% počítačích.
3.6.3
Grafické informační systémy (GIS)
Z GIS
produktů je používán produkt Microstation. Z produktů technologie společnosti
ESRI GIS se používá freeware ArcView. Data GIS jsou ukládána na serveru GLOBUS.
3.6.4
Grafika a ostatní SW
Z grafických
programů je na MěÚ používán balík grafických programu firmy Adobe (Photoshop,
Ilustrator, InDesign). Používán je také shareware program PaintShop Pro. Pro převod
obrazů do textu je používán program ABBY FineReader.
Z ostatních
produktů je pak používán WinRAR, Total Commander, Docházka Goldcard GCS 7800,
Antivirový program InoculateIT ITM.
3.7 Používaný
hardware v Městském úřadě Veselí nad Moravou
3.7.1
Servery
· MESTO –
firewall, mail server, proxy server,
· GOLEM2 –
databázový a aplikační server pro IS Radnice VERA (na DB Informix),
· TITAN – doménový
server, DNS server, částečně souborový,
· ATLAS –
databázový a aplikační server pro Spisovou služby EZOP a aplikace Stavebního
úřadu. Použitá DB MS SQL 2000,
· GLOBUS – Windows
update server, souborový server, lokální GIS – MISYS,
· MAPY - webový mapový server.
3.7.2
Pracovní stanice
Na MěÚ Veselí
nad Moravou se nachází přibližně sto PC. Všechny jsou připojeny na lokání
síť. V současné době jsou na úřadě pro tisk využívány především lokální
tiskárny různých značek (nejvíce zastoupenou značkou je HP) a kopírky dle
objemu tisku.
3.8
Analýza stávajícího IS
Skutečný
stav bezpečnostní politiky byl zjištěn podle dotazníků pro zjištění analýzy
současného stavu informační bezpečnosti, které byly vytvořeny pomocí
internetové sítě www.vyplnto.cz. Dotazníky
byly podle daných a určitých částí odeslány na e - mail zaměstnancům MěÚ podle
jejich pracovních funkcí. Dotazníky jsou uvedeny v přílohách bakalářské
práce.
Rozdělení
dotazníků podle daných částí:
·
dotazník
pro management (vedení) města,
·
dotazníky
pro pracovníky IT oddělení,
·
bezpečnostní
politika,
·
organizační
struktura,
·
fyzická
bezpečnost,
·
zálohování
a zotavování se po katastrofě,
·
technické
zabezpečení,
·
telekomunikační
bezpečnost,
·
dotazník
pro zaměstnance odborů (úředníky) v MěÚ.
3.8.1 Analýza
dotazníku pro management (vedení) města
Tento
dotazník byl určen pro vedení MěÚ, kterými jsou starosta, dva místostarostové,
tajemník, radu města Veselí nad Moravou (RMV) a zastupitelstvo města
Veselí nad Moravou (ZMV).
Ze součtu počtu bodů vyplněných dotazníků vedením města
vyplývá celkový součet 38 bodů. Dle tabulky 4 z Přílohy 1 lze
konstatovat, že je výsledek na hranici mezi hodnocením „Slušné“ a „Uspokojivé“.
Znamená to především, že management si je vědom nutnosti chránit informace
a zná strategické cíle.
Z vedení města odpověděl pouze jeden respondent,
který je dobře seznámen se stavem bezpečnostní politiky ve Veselí nad Moravou.
Pro ukázku byla vybrána jedna otázka, zda si pracovníci
uvědomují odpovědnost pro ochranu informačních zdrojů. Z grafu
vyplývá, že si pracovníci a vedoucí odborů svou odpovědnost téměř uvědomují.
Graf 1: Otázka
z dotazníku pro management města
Zdroj:
Vlastní zpracování
3.8.2 Analýza
dotazníku pro pracovníky IT oddělení
Následující dotazníky byly určeny pracovníkům IT oddělení
MěÚ ve Veselí nad Moravou. V organizaci pracují celkem tři
informatici, kteří se starají o správný a bezpečný chod informační sítě.
3.8.2.1 Bezpečnostní
politika
Ze součtu počtu bodů podle informatiků MěÚ vychází
celkový součet 43 bodů. Z tabulky 5 lze vyvodit závěr, že lze bezpečnostní
politiku hodnotit slovem „Uspokojivé“. Pracovníci informačního oddělení jsou si vědomi,
že jsou některé aktivity a ochrana informací teprve ve vývoji a že projevují
snahu neustále zlepšovat bezpečnostní politiku.
Na dotazník, týkající se bezpečnostní politiky,
odpověděli všichni 4 zaměstnanci informačního oddělení. Z grafu 2 vyplývá,
že 50% respondentů si myslí, že politika nedefinuje pojem „informace“, 25%
respondentů si myslí, že téměř definuje a 25% si myslí, že definuje pojem
„informace“.
Graf 2: Otázka z dotazníku
Bezpečnostní politika
Zdroj:
Vlastní zpracování
3.8.2.2 Organizační
struktura
Celkový součet vychází na 60 bodů, což podle tabulky 6
znamená, že je organizační struktura uspokojivá. V MěÚ je stanoven tým pro
informační bezpečnost, pracovníci jsou vždy informování o změnách, ke kterým
dochází. Některé aktivity jsou teprve ve fázi vývoje, většina managementu
(vedení) města je si vědoma a souhlasí s ochranou dat a informací.
Na dotazník Organizační struktura
odpověděli 3 pracovníci informačního oddělení ze 4. Pro ukázku byla
vybrána jedna z otázek, která zjišťovala, zda systémoví administrátoři
dostávají bezpečnostní školení, týkající se jejich práce. Z grafu 3
vyplývá, že 66,67% respondentů si myslí, že téměř nedostávají specifické
školení, naopak 33,33% respondentů odpovědělo, že vůbec nedostávají školení,
specifické jejich práci.
Graf 3: Otázka z dotazníku
Organizační struktura
Zdroj:
Vlastní zpracování
3.8.2.3 Fyzická
bezpečnost
Ze součtu počtu bodů podle pracovníků IT oddělení vyplývá
celkový součet 42 bodů, což podle tabulky 7 znamená, že je fyzická
bezpečnost na velmi slušné úrovni. Je chráněn přístup do důležitých prostorů a
pracovníci IT oddělení jsou informováni a vědomi si postupů v případě
vyskytnutí katastrofy. Také je v MěÚ zavedeno mnoho aktivit.
Na otázku, zda jsou tajné informace náležitě chráněny,
odpověděl každý respondent jinak. Jedna třetina respondentů dle grafu 4 si je
jista, že tajné informace jsou náležitě chráněny, jedna třetina, že jsou
s výjimkami náležitě chráněny a jedna třetina odpověděla, že tento
problém je ve fázi vývoje.
Graf 4: Otázka z dotazníku
Fyzická bezpečnost
Zdroj:
Vlastní zpracování
3.8.2.4 Zálohování
a zotavování se po katastrofě
Ze součtu počtu bodů vychází celkový výsledek na 39 bodů.
Podle tabulky 8 lze stanovit, že je výsledek na
hranici mezi hodnocením „Uspokojivé“ a „Špatné“. Znamená to tedy, že zálohování
a zotavování není na dobré úrovni. Plán záloh je zformulován,
ale seznam kritických situací je teprve ve fázi příprav. Kritické zdroje
jsou identifikovány a zálohy jsou skladovány mimo místo pořízení.
Z grafu 5 vyplývá podle 66,7% respondentů, že kopie
záložního plánování nejsou pravidelně aktualizovány. 33,33% dotazovaných
odpovědělo, že jsou s výjimkami kopie záložního plánování pravidelně
aktualizovány.
Graf 5: Otázka z dotazníku
Zálohy a jejich zotavení
Zdroj:
Vlastní zpracování
3.8.2.5 Technické
zabezpečení
Podle výsledku celkového součtu
41 bodů je podle tabulky 9 technické zabezpečení na velmi slušné úrovni.
Výsledek je dokonce velmi blízko hodnocení „Nadprůměrné“. Část aktivit je tedy implementována a
systémoví a síťoví administrátoři jsou školeni. V MěÚ je přijata
bezpečnostní politika a síťové standardy jsou ve vývoji.
Na otázku, týkající se provádění
ohodnocení zranitelnosti na síti. Zde se respondenti zcela shodli, že tento
problém ohodnocení zranitelnosti je teprve ve vývoji.
Graf 6: Otázka z dotazníku
Technické zabezpečení
Zdroj:
Vlastní zpracování
3.8.2.6 Telekomunikační
bezpečnost
Celkový součet
vyšel 37 bodů, což podle tabulky 10 znamená, že je telekomunikační bezpečnost
uspokojivá. Některé aktivity jsou teprve ve vývoji a většina managementu
(vedení) města souhlasí s ochranou dat a informací. Politiky a postupy
jsou pouze identifikovány a telekomunikační standardy jsou ve vývoji.
Na dotazník, týkající se
oblasti telekomunikační bezpečnosti odpověděli tři pracovníci informačního
oddělení ze 4. Jedna z otázek se zabývala automatickým zablokováním
veškerých účtů a karet v případě rozvázání pracovního poměru se zaměstnancem
Městského úřadu ve Veselí nad Moravou. Z grafu 7 vyplývá, že 66,67%
respondentů odpovědělo, že jsou účty a karty automaticky zablokovány. 33,33%
respondentů odpovědělo, že s výjimkami jsou v případě rozvázání
pracovního poměru zablokovány veškeré účty a karty.
Graf 7: Otázka z dotazníku
telekomunikační bezpečnost
Zdroj:
Vlastní zpracování
3.8.3
Dotazník
pro zaměstnance odborů (úředníky) v MěÚ
Tento
dotazník byl určen pro řadové zaměstnance různých odborů, tedy pracovníky,
kteří pracují v kancelářích.
Ze součtu počtu bodů podle zaměstnanců různých odborů vyšel celkový součet 31 bodů,
což je dle tabulky 11 výsledek pozici hodnocení „Slušné“. Znamená to především,
že pracovníci vědí o potřebě chránění podnikových dat a informací, avšak někteří
nedodržují všechny pokyny, pokud jsou jim dány. Tedy do nejlepšího povědomí o
informační bezpečnosti ještě trochu chybí.
Na dotazník pro ostatní
řadové zaměstnance Městského úřadu odpovědělo 29 zaměstnanců. Pro ukázku
byla vybrána jedna otázka o vytváření hesel dle příslušné směrnice.
Tato otázka byla vybrána záměrně, neboť bylo zjištěno, že zaměstnanci
nechávají svá hesla volně přístupná, Z grafu 8 vyplývá, že 41,38%
respondentů svá hesla vytváří podle příslušné směrnice. 24,14% dotazovaných
uvedlo, že hesla vytváří okrajově, 10,34% téměř nevytváří, 24,14%
respondentů hesla zcela nevytváří dle směrnice.
Graf 8: Otázka z dotazníku
pro řadové zaměstnance
Zdroj:
Vlastní zpracování
3.9
Návrh řešení
Návrh řešení je rozdělen podle částí dotazníků a je určen
jak pro vedení MěÚ Veselí nad Moravou, tak i zaměstnancům IT oddělení a
úředníkům. Jedná se o vlastní doporučení, která můžou trochu pomoci pro
zabezpečení bezpečnostní politiky MěÚ.
3.9.1
Doporučené řešení pro management (vedení) města
Pro vedení města je doporučováno častější podílení se na
vytváření bezpečnostních standardů a nechávání si pravidelně předkládat zprávy
o momentálním stavu bezpečnostní politiky. Management by neměl také opomenout
přezkoumávání a případné schvalování prioritní seznam kritických aplikací.
Taktéž je doporučeno sestavení rozpočtu bezpečnostního programu v celkovém
rozpočtu města.
3.9.2
Doporučené řešení pro pracovníky IT oddělení
Zaměstnancům IT oddělení jsou doporučena následná řešení
podle rozdělených části bezpečností.
3.9.2.1 Doporučené řešení pro bezpečnostní
politiku
Pro lepší zabezpečení bezpečnostní politiky je vhodné,
aby na každém pracovišti byla informační bezpečnostní příručka, která by
obsahovala celou politiku a která by určovala odpovědnosti zaměstnanců a jejich
stupně odpovědnosti. Dále by měla příručka obsahovat důsledky případného
porušení a nedodržení směrnic.
3.9.2.2 Doporučené řešení organizační
strukturu
Pro stanovení vhodné organizační
struktury, je doporučeno, aby byly bezpečnostní postupy a politiky pravidelně
testovány a aby se toto testování provádělo v odděleném prostředí. Jsou
doporučeny pravidelné audity a je doporučena osoba, která by byla určena
pro sledování auditních záznamů. Samozřejmou součástí by měly být
dokumentační mechanismy ve všech pracovištích.
3.9.2.3 Doporučené řešení pro fyzickou
bezpečnost
Především by měl být
sledován personál, který provádí úklid po pracovní době úředníků. Na pracovištích by měly být zavedeny postupy
k odstranění tajných informací a postupy a politiky musí být po případných
incidentech přezkoumány z důvodu jejich případné modifikace. Také by měl
být zaveden kompletní plán zotavení po katastrofě, který by měl být po
případné katastrofě testován.
3.9.2.4 Doporučené řešení pro zálohování
a zotavování se po katastrofě
Pro správné řešení je
doporučeno plánování, které by identifikovalo všechny kritické programy a
zdroje požadující vykonávání úloh během zotavování systému. Měly by být identifikovány
kritické doby obnovy pro aplikace a systémy. Také opatření pro případ nehody
by měla být viditelná zaměstnancům. Doporučeno je i sestavení, přezkoumávání a aktualizování
nové Analýzy systémů a aplikací (ASA), které ovlivňují strategické procesy. Pro
správné zálohování by se měl zakoupit nový produkt pro centrální zálohování software.
3.9.2.5 Doporučené řešení pro technické
zabezpečení
K tomu, aby technické
zabezpečení správně fungovalo, musí být pravidelně testovány firewally a na
síti pravidelně hodnoceny zranitelnosti. Pracovníci musí být správně poučeni o vytváření
odpovídajících hesel a musí být po nich vyžadována častá změna jejich hesel.
Také by měly být často přezkoumávány logovací záznamy.
3.9.2.6 Doporučené řešení pro telekomunikační
bezpečnost
Pro tuto část je doporučeno sestavení politiky pro používání
telekomunikačních zdrojů, ve které by byly znázorněny postihy zaměstnanců a
externistů a ve které by si zaměstnanci uvědomili důležitost
telekomunikační politiky. Tato telekomunikační politika musí být ovšem
pravidelně aktualizována. Telefony, které umožňují monitorování, musí být
pravidelně přezkoumávány pro odhalení případných zneužití.
3.9.3
Doporučené řešení pro zaměstnance odborů
(úředníky) v MěÚ
Pro
zaměstnance, konkrétně úředníky, je doporučeno, aby znali postihy za porušení
pravidel a vytvářeli si hesla podle interních předpisů. Dále by se zajímali a
znali strategické cíle města Veselí nad Moravou. Měli by také omezit přístup
třetích osob ke svým počítačům, a co nejméně používali Internet a počítačové
prostředky k soukromým účelům. Při odchodu z kanceláře nesmí opomenout
zabezpečení PC či odhlášení se z něj.
Především je pro celý MěÚ doporučeno vytvořit a vydat
interní předpisy a směrnice, které by názorně obsahovaly postupy, postihy a
definice bezpečnostní politiky. Dále se musí měnit hesla a změnit se sdílení
hesel, hesla se nesmí sdílet. Také je doporučena aktualizace informační
strategie a jejich schválení orgány obce.
3.10
Finanční zhodnocení
Městský úřad Veselí nad Moravou nemá centrální zálohovací
systém, který při výpadku databázového serveru nezpůsobí ztrátu dat. Dále
by MěÚ mělo řešit centrální zálohování napájení pro servery a aktivní prvky a
klíčové stanice. Zaměstnanci mohou i přes výpadek sítě pokračovat v práci,
ale jen na lokálních počítačích. Proto je nutné jej zakoupit.
Navrhované
následující výdaje na centrální zálohování:
- software
pro centrální zálohování
Symantec Backup Exec (cena dle konfigurace) ………… 50 000 Kč s DPH,
- pásková
mechanika
z řady HP StorageWorks DAT, základ
…………………. 50 000 Kč s DPH,
- doplnění
již existujícího diskového pole o SW pro zálohování pomocí „snapshotů“
100 000 Kč s DPH,
·
centrální
zálohování napájení pro serverovnu a aktivní prvky a klíčové stanice
APC Symmetra PX 10kW Scalable to 40kW N+1 …….. . 500 000 Kč s DPH.
Σ 700.000 Kč s DPH.
Software
Symantec Backup Exec pro centrální zálohování byl vybrán pro jeho dobré
vlastnosti, mezi které se řadí zálohování a obnova dat, vylepšený přístup pro
technickou podporu a podpora nových produktů firmy Microsoft.
Pro
centrální zálohovací systém byla vybrána pásková mechanika právě z řady
HP StorageWorks DAT, neboť pracovníci informačního oddělení mají dobré
zkušenosti s touto firmou Hewllet Packard. Pásková mechanika tohoto typu
je výborná ochrana dat pro MěÚ, která využívá technologie DAT
mechanik od HP. Jsou dobré i pro dobrou šetrnost výkonnosti.
APC
Symmetra PX 10kW Scalable to 40kW N+1 je záložní zdroj, který byl vybrán
pro jeho dobrou cenu a je velmi
vhodný pro pracovní stanice nebo důležité server.
Dále v MěÚ neexistují interní bezpečnostní předpisy,
které je možné vypracovat a vytisknout vlastními zaměstnanci MěÚ. Nesmí se
také zapomenout na vypracování a vytisknutí postupů a opatření
v případě nehody do 50 kanceláří. Důležité je i školení zaměstnanců o
bezpečnosti.
- interní předpisy
vypracovaní interních předpisů vlastními zaměstnanci …….50 000 Kč s DPH, - výtisk postupů a opatření v případě nehody (čísla
112, 150 …) 1000 Kč s DPH,
- školení zaměstnanců o bezpečnosti ………………………...
50 000 Kč s DPH,
Σ
101.000 Kč s DPH.
Ceny
jsou rámcové, protože nasazování zálohování je vždy individuální a závisí
na požadavcích MěÚ.
Závěr
Tato
bakalářská práce byla rozdělena do dvou částí, a to do teoretické a praktické
části. Z toho praktická část byla rozdělena na všeobecný pohled na
veřejnou správu, poté do podrobné analýzy stavu bezpečnosti
informatiky, a následně byla na základě výsledků analýzy doporučena opatření a
doporučení pro MěÚ ve Veselí nad Moravou.
V
prácí byl zanalyzován stav bezpečnosti MěÚ Veselí nad Moravou, a poté byla
napsána a doporučena vhodná opatření a doporučení pro správnou ochranu
bezpečnosti informací a dat. Pro zaměstnance MěÚ ve Veselí nad Moravou je
důležité především stanovit si určitá a konkrétní pravidla pro bezpečnost
sítí. Nejprve musí vedení i a zaměstnanci IT oddělení vytvořit a zavést do
organizace interní předpisy, kterými se musí všichni zaměstnanci řídit.
Vedoucí
zaměstnanci se mohou podle navrhovaného finančního zhodnocení rozhodnout, jaký
typ centrálního zálohování bude vybrán a zakoupen, komu bude dána povinnost
vypracovat interní předpisy. Dále práce přináší doporučení pro volbu vhodných
prostředků pro sestavení dokumentu postupů a jiných opatření v případě
nehody.
Přínosem
bakalářské práce je poskytnutí přehledu o bezpečnostní politice jako takové, o stavu
bezpečnostní politiky v MěÚ Veselí nad Moravou, návrhu bezpečnostní
politiky a finančního zhodnocení. Při práci bylo věnováno značné úsilí ke
zjištění aktuálního stavu bezpečnostní politiky pomocí dotazníků a návrh
řešení, které bylo velmi nutné vypracovat pro městský úřad.
V dalším
období je proto nutné věnovat se celé bezpečnostní politice v Městském
úřadě Veselí nad Moravou a pravidelně ji aktualizovat.
Resumé
ABSTRAKT
HORÁKOVÁ J. Návrh
bezpečnostní politiky pro informační systém MÚ ve Veselí nad Moravou.
Kunovice 2009. Bakalářská práce. Evropský polytechnický institut, s.r.o.
Vedoucí práce P. Kebrle
Klíčové pojmy: bezpečnostní politika, hrozby a ztráty dat, ochrana
systému a dat, řízení informační bezpečnosti, systém managementu bezpečnosti
informací, informační strategie, organizační struktura, technologická
architektura
Bakalářská práce pojednává o aplikování návrhu bezpečnostní politiky
informačního systém pro Městský úřad ve Veselí nad Moravou. Je kladen důraz jak
na teoretickou část, tak i na praktickou. Teoretická práce vysvětluje
definice pojmů a důvody ochrany informačních systémů, a zabezpečení systému
proti cizím útokům, virům a hackerům.
Praktická část je věnována dokumentaci analýzy stavu zabezpečení
Městského úřadu ve Veselí nad Moravou, finančnímu zhodnocení a
doporučením volby vhodných prostředků pro sestavení dokumentu postupů a jiných opatření
v případě nehody.
Abstract
The security policy project for the information
system of the Municipal Office Veselí nad Moravou.
Key terms: Security policy, threats
and data loss, system and data protection, information security management,
information security management system, information strategy, organizational
structure, technologic architecture.
My bachelor work deals with the security policy application for the
information system of the Municipal Office Veselí nad Moravou. The
emphasis is placed on the theoretical part as well as on the practical
part. The theoretical part explains the definitions of terms and reasons
for the information systems protection - securing the systems against attacks,
viruses and hackers.
The pratical part deals with the documentation of the Municipal Office
security state analysis, financial evaluation and of decide chat means should
be used for drawing up the procedures and measures in the event of an accident.
Seznam použité literatury
[1]
ČSN BS
7799-2. Systém management bezpečnosti
informací – Specifikace s návodem pro použití. Praha: Český
normalizační institut, 2005-01-01. 40 s. Třídící znak 36 9790.
[2]
ČSN ISO/IEC
17799. Informační technologie – Soubor
postupů pro management bezpečnosti informací. Praha: Český
normalizační institut, 2006-09-01. 102 s. Třídící znak 36 9790.
[3]
ČSN ISO/IEC
27001. Informační technologie –
Bezpečnostní techniky – Systémy management bezpečnosti informací - Požadavky.
Praha: Český normalizační institut, 2006-10-01. 35 s. Třídící znak 36 9790.
[4]
Česko. Vyhláška č.529/2006 Sb. ze dne 6.
prosince 2006. In Vyhláška o požadavcích
na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích
na řízení bezpečnosti a kvality informačních systémů veřejné správy. 2006,
částka 172. Dostupný také z WWW: < http://www.mvcr.cz/clanek/vyhlaska-c-529-2006-sb-o-dlouhodobem-rizeni-informacnich-systemu-verejne-spravy.aspx >. ISSN 1802-6575.
[5]
BELLOVIN, S. Firewally a bezpečnost Internetu, aneb Jak zahnat
lstivého hackera. 1. vyd. Veletiny: Science, 1998. 290 s. ISBN
80-86083-01-2.
[6]
BURDA, K. Bezpečnost informačních systémů. Brno:
Vysoké učení technické v Brně, 2005. 103 s.
[7]
DOSTÁLEK, L.
a kol. Velký průvodce protokoly TCP/IP,
část Bezpečnost. 2. vyd. Praha: Computer
Press, 2003. 571 s. ISBN 80-7226-849-X.
[8]
DRYŠL,
K. Řízení bezpečnosti IT
v malých až středních podnicích. Brno: 2006, Mendelova
zemědělská a lesnická univerzita v Brně.
[9]
CHAPMAN, D.; ZWICKY,
E. Firewally: principy budování a udržování. 1. vyd. Praha: Computer Press, 1998. 508 s. ISBN
80-7226-051-0.
[10]
PELTIER, T.
R. Information security risk analysis. Boca Raton: Auerbach, 2001.
281 s. ISBN 0-8493-0880-1.
[11] PUŽMANOVÁ, R. TCP/IP v kostce.
1. vyd. České Budějovice: Kopp, 2004. 607 s. ISBN 80-7232-236-2.
[12]
RODRYČOVÁ, D.; STAŠTA, P. Bezpečnost informací jako podmínka
prosperity firmy. 1. vyd. Praha: Grada, 2000. 143 s. ISBN ISBN
80-7169-144-5.
[13]
ŠEBESTA, V.; ŠTVERKA, V.; STEINER, F.;
ŠEBESTOVÁ, M. Praktické zkušenosti
z implementace systému managementu bezpečnosti informací podle ČSN BS 7799
– 2: 2004. ISBN 80-7283-204-2.
[14]
THOMAS, M. T. Zabezpečení počítačových sítí bez předchozích znalostí. Brno: CP
Books, a.s., 2005, 338 s.
[15]
Analýza rizik. [online]. 2009 [cit. 2009-04-15]. Dostupný z WWW:
< http://www.tsoft.cz/index.php?q=cz/analyza-rizik >.
[16]
Bezpečnostní informace. [online]. 2009 [cit. 2009-04-15]. Dostupný z WWW:
<
www.isvs.cz/bezpecnost/bezpecnostni-politika-2-dil-.html >.
[17]
Bezpečnostní politika - organizace. [online]. 2009, [cit. 2009-04-16].
Dostupný z WWW: < http://www.cleverlance.cz/cz/sluzby/Informacni-bezpecnost/Bezpecnostni-politika-organizace/>.
[18]
Information security [online]. 2010 [cit. 2010-04-15].
Dostupný z WWW:< http://en.wikipedia.org/wiki/Information_security>.
[19] MěÚ
Veselí nad Moravou. Organizační řád [online]. 2009, [cit. 2009-04-09]. Dostupný
z WWW: < http://www.veseli-nad moravou.cz/vismo/dokumenty2.asp?id_org=18072&id=145604&p1=28200>.
[20]
STEINER, F. Bezpečnostní politika. [online]. 2009 [cit. 2009-04-15].
Dostupný z WWW:< http://home.zcu.cz/~steiner/ZPI/P%F8edn%E1%9Aka%202.pdf>
[21]
Veselí nad Moravou [online]. 2010 [cit. 2010-05-18].
Dostupný z WWW:< http://www.mapy.cz/#mm=ZTtTcP@sa=s@st=s@ssq=vesel%C3%AD%20nad%20moravou@sss=1@ssp=120560748_126938828_150019180_149892812@x=139973504@y=131992352@z=15
>.
Seznam použitých
zkratek
AR analýza
rizik
BIS bezpečnostní
informační systém
BP bezpečnostní
politika
ČNI Český
normalizační institut
E ekonomický
odbor
GIS grafické
informační systémy
HW hardware
KST kancelář
starosty a tajemníka
IS informační
systém
IS/IT informační
systémy, resp. informační technologie
ISMS systém
řízení bezpečnosti
ISt informační
strategie
ISVS informační
systémy veřejné správy
IT informační technologie
MěÚ Městský
úřad ve Veselí nad Moravou
PC počítač
RSM odbor
rozvoje a správy města
SVZ odbor
sociálních věcí a zdravotnictví
SW software
VS odbor
vnitřní správy
WLAN bezdrátová
lokální síť
ŽPSÚ odbor
životního prostředí a Stavební úřad
ŽÚ odbor
Živnostenský úřad
Seznam příloh
Příloha 1: Dotazník pro management (vedení)
města [10]
Příloha 2: Dotazníky pro pracovníky IT
oddělení [10]
Příloha 3: Dotazník pro zaměstnance odborů
(úředníky) v MěÚ [10]
Příloha 4: Hodnocení vedení MěÚ
Příloha
1: Dotazník pro management (vedení) města
Možnosti odpovědi: 1 = ano, 2 = téměř ano, 3 = téměř
ne, 4 = ne
1.
Jste
aktivně zapojen do budování informační 1 4
bezpečnosti?
2.
Podílíte
se na vytváření bezpečnostních 1 2 3 4
standardů v podniku?
3.
Nechává
si vrcholový management pravidelně 1 2 3 4
předkládat
zprávy o aktuálním stavu informační
bezpečnosti
v podniku včetně seznamu incidentů?
4.
Přezkoumáváte
a schvalujete prioritní seznam 1 2 3 4
kritických aplikaci?
5.
Záleží
každoroční zpráva o stupni informační 1 2 3 4
bezpečnosti na Vašem souhlasu?
6.
Jste
schopen provádět své úkoly výkonně a účinně, 1 2 3 4
zatímco
dodržujete bezpečnostní postupy?
7.
Podporuje
zastupitelstvo města Veselí nad Moravou 1 2 3 4
aktivně informační
bezpečnostní program?
8.
Má
informační bezpečnostní program svůj vlastní 1 2 3 4
rozpočet v celkovém
rozpočtu města?
9.
Má
město dostatek zaměstnanců k podpoře 1 2 3 4
současných obchodních cílů?
10.
Uvědomují
si pracovníci a vedoucí odborů 1 2 3 4
svou odpovědnost pro
ochranu informačních zdrojů?
11.
Jsou
pracovníci náležitě proškoleni k výkonu 1 2 3 4
svých úkolů?
12.
Má
město dostatečně kvalifikované pracovníky 1 2 3 4
k implementování programu
pro zvýšení
povědomí o informační
bezpečnosti?
13.
Znají
pracovnici strategické cíle podniku? 1 2 3 4
14.
Je
vedoucí IT oddělení dostatečně kvalifikovaný? 1 2 3 4
15.
Má
vedoucí IT oddělení přehled o firmě, 1 2 3 4
klíčových procesích,
informacích a jejich
významu pro existenci a
prosperitu firmy?
|
Součet bodů |
Pravděpodobné zaužití |
Hodnocení |
Patrná situace |
|
|
15 - 26 |
MÚ se aktivně věnuje informační bezpečnosti. |
Nadprůměrné |
Management plně podporuje tvorbu bezpečnosti. Dostatek kvalifikovaných
zaměstnanců. Dostatečně kvalifikovaný vedoucí IT oddělení. |
|
|
27 - 38 |
MÚ do optimálního stavu informační bezpečnosti ještě něco chybí. |
Slušné |
Management si je vědom nutnosti ochrany informací. Pracovníci znají strategické cíle města. |
|
|
39 - 50 |
V podniku je pouze rámcově zavedena informační bezpečnost. |
Uspokojivé |
Management se příliš nezajímá o informační bezpečnost. |
|
|
51 - 60 |
Podnik se vůbec nezajímá o informační bezpečnost. |
Špatné |
Management absolutně nepodporuje tvorbu informační bezpečnosti. Pracovníci nemají ponětí, co jsou to informace, že je potřeba je
chránit. |
Tabulka 1:
Výsledky dotazníku pro management
Zdroj: [10]
Příloha
2: Dotazníky pro pracovníky IT oddělení
Možnosti odpovědi: 1 = ano, 2 = téměř ano, 3 = téměř
ne, 4 = ne
1. Bezpečnostní politika
1.
Je
v městě implementována informační 1 4
bezpečnost
na každém pracovišti?
2.
Je
v politice určeno, co je a co není dovoleno? 1 2 3 4
(1 = srozumitelně, 2 = méně srozumitelně,
3 = trochu nejasně, 4 = nejasně)
3.
Postihuje
politika alespoň rámcově všechny 1 2 3 4
stránky
informací?
4. Definuje politika pojem
„informace“? 1 2 3 4
5. Podporuje politika obchodní
cíle 1 2 3 4
a
poslání města?
6. Identifikuje politika
odpovědnosti 1 2 3 4
managementu
a pracovníků?
7. Určuje politika důsledky
nedodržení směrnic? 1 2 3 4
8. Implementují postupy na
pracovišti 1 2 3 4
informační
bezpečnostní politiku?
(1 = úplně, 2 = téměř úplně, 3 = ve vývoji, 4 = dosud ne)
9. Jsou politiky a postupy
nepřetržitě hodnoceny 1 2 3 4
vůči
současným potřebám města?
10. Je na každém pracovišti
pracovní informační 1 4
bezpečnostní příručka?
11. Pokrývá příručka celou
politiku? 1 2 3 4
12. Identifikuje příručka důležité
věci 1 2 3 4
z bezpečnostní politiky?
13. Určuje příručka pracovníkovy
odpovědnosti? 1 2 3 4
14. Zdůrazňuje příručka stupeň
pracovníkovy 1 2 3 4
osobní
odpovědnosti?
15. Stanovuje příručka důsledky
případného 1 2 3 4
porušení?
|
Součet bodů |
Pravděpodobné zaužití |
Hodnocení |
Patrná situace |
|
|
15 - 26 |
Většina aktivit je
implementována. Většina pracovníků je seznámena s informační politikou. |
Nadprůměrné |
Ochrana informací je
implementována. Podpůrné standardy a
postupy jsou na pracovišti integrovány. |
|
|
27 - 38 |
Mnoho aktivit je
implementováno. Mnoho pracovníků je seznámeno s informační politikou. |
Slušné |
Ochrana informací není na
prvním místě. Podpůrné standardy a postupy
jsou ve vývoji. Povědomí zaměstnanců je
teprve na začátku. |
|
|
39 - 50 |
Některé aktivity jsou ve
vývoji. Většina managementu
souhlasí s ochranou informací. |
Uspokojivé |
Ochrana informací je
patrně ve vývoji. |
|
|
51 - 60 |
Politiky, standardy i
postupy chybí nebo nejsou implementovány. Management a zaměstnanci nemají
povědomí o nutnosti ochrany informací. |
Špatné |
Management vyslovil potřebu
ochrany informací. Je očekáván audit. |
Tabulka 2:
Výsledky dotazníku bezpečnostní politiky
Zdroj: [10]
2. Organizační struktura
1. Podporuje nejvyšší vedení
města informační 1 4
bezpečnostní
program?
2. Má informační bezpečnostní
program svůj 1 4
vlastní
rozpočet v celkovém rozpočtu podniku?
3. Záleží každoroční zpráva o
stupni informační 1 4
bezpečnosti na souhlasu
managementu?
4. Má podnik dostatek
zaměstnanců k podpoře 1 4
současných
obchodních cílů?
5. Uvědomují si pracovníci a
vedoucí odborů své 1 4
odpovědnosti
pro ochranu informačních zdrojů?
6. Jsou pracovnici náležitě
proškoleni k výkonu 1 4
svých
úkolů?
7. Je přístup k citlivým a
tajným údajům monitorován? 1 2 3 4
(1 = úplně, 2 = téměř úplně, 3 = ve vývoji, 4 = dosud ne)
8. Znají pracovníci strategické
cíle? 1 2 3 4
9. Dostávají pracovníci školení,
specifické 1 2 3 4
pro
jejich povolání?
10. Odráží bezpečnostní trénink
pravidelně 1 2 3 4
změny
a nové metody?
11. Dostávají systémoví
administrátoři bezpečnostní 1 2 3 4
školení,
specifické jejich práci?
12. Je zde pravidelné bezpečnostní
povědomí 1 2 3 4
a
tréninkový program na každém pracovišti?
13. Jsou bezpečnostní politiky a
postupy 1 2 3 4
běžně
testovány?
14. Jsou dokumentační mechanismy
na všech 1 2 3 4
pracovištích
a ve všech platformách?
15. Jsou chyby a selhání
zaznamenávány? 1 2 3 4
16. Pokud je zaměstnanec
přistižen, že porušil 1 2 3 4
bezpečnostní
politiku, má za to následek
náležité
disciplinární řízení?
17. Jsou audity vykonávány
pravidelně? 1 2 3 4
18. Jsou vykonávány neplánované
nebo 1 2 3 4
překvapivé
audity?
19. Je někdo určen ke sledování
auditních záznamů? 1 2 3 4
20. Vykonává se přípravné
testování v odděleném 1 2 3 4
prostředí?
|
Součet bodů |
Pravděpodobné zaužití |
Hodnocení |
Patrná situace |
|
|
20 - 43 |
Většina aktivit je
implementována. Většina pracovníků je seznámena s infor. politikou. |
Nadprůměrné |
Ředitel a příslušní
pracovníci pro bezpečnost jsou určeni. Probíhají zaměstnanecká
školení. Tréninkový program je na
pracovišti. Informační politika je
pravidelně přezkoumávána. |
|
|
44 - 52 |
Mnoho aktivit je
implementováno. Mnoho pracovníků je seznámeno s inform. politikou. |
Slušné |
Bezpečnostní úkoly jsou ve
vývoji. Zaměstnanecké povědomí o
ochraně informací je teprve na začátku. |
|
|
53 - 68 |
Některé aktivity jsou ve
vývoji. Většina managementu souhlasí s ochranou informací. |
Uspokojivé |
Je stanoven tým pro
informační bezpečnost. Pracovníci jsou
informování, k jakým změnám dojde. |
|
|
69 - 80 |
Politiky, standardy i
postupy chybí nebo nejsou implementovány. Management a zaměstnanci nemají
povědomí o nutnosti ochrany informací. |
Špatné |
Management má projekt
bezpečnosti informací. Je třeba provést audit. |
Tabulka 3:
Výsledky dotazníku Vhodnost organizační struktury
Zdroj: [10]
3. Fyzická bezpečnost
Možnosti
odpovědi: 1 = ano, 2 = ano s výjimkami, 3 = ve vývoji, 4 = ne
1.
Je
přístup do budov kontrolován? 1 2 3 4
2. Je přístup k počítačovým
zařízením kontrolován? 1 2 3 4
3. Je dostatečný stupeň kontroly pro přístup 1 2 3 4
mimo
pracovní dobu?
4. Je zavedeno monitorování
(„logování“)? 1 2 3 4
5. Je adekvátně chráněn systém a
další HW 1 2 3 4
před
krádeží?
6. Jsou stanoveny a zavedeny
postupy na pracovišti 1 2 3 4
k
náležitému odstranění tajných informací?
7. Jsou prostory, obsahující
důležité informace, 1 2 3 4
náležitě
zabezpečeny?
8. Jsou pracovní stanice po
pracovní době chráněny? 1 2 3 4
9. Jsou klíče a přístupové karty
náležitě chráněny? 1 2 3 4
10. Jsou tajné informace náležitě
chráněny? 1 2 3 4
11. Jsou monitorovány aktivity
personálu, 1 2 3 4
který provádí úklid podnikových
prostor?
12. Je stanoven tým pro případ
nehody? 1 2 3 4
13. Jsou zaměstnanci seznámeni s
tím, 1 2 3 4
co mají dělat, pokud jsou
upozorněni na nehodu?
14. Jsou politiky a postupy po
incidentech 1 2 3 4
přezkoumány
pro určení případné nutnosti
modifikace
těchto politik a postupů?
15. Je sestaven Plán zotavení po
katastrofě? 1 2 3 4
16. Je testován Plán zotavení po
katastrofě 1 2 3 4
během
posledních 12 měsíců?
17. Jsou systémy, aplikace a
datové zálohy 1 2 3 4
pravidelně
zasílány na bezpečné místo mimo
místo
pořízení?
|
Součet bodů |
Pravděpodobné
zaužití |
Hodnocení |
Patrná situace |
|
|
17 - 30 |
Většina aktivit je
implementována. Většina pracovníků je seznámena s inform. politikou. |
Nadprůměrné |
Přístup do důležitých
prostorů je chráněn automatizovaným mechanismem. Je zaveden tým pro případ
nehody. |
|
|
31 - 43 |
Mnoho aktivit je zavedeno.
Mnoho pracovníků je seznámeno s inform. politikou. |
Slušné |
Přístup do důležitých
prostorů je obvykle chráněn. Pracovníci si jsou vědomi
postupů pro případ katastrof. |
|
|
44 - 56 |
Některé aktivity jsou ve
vývoji. Většina managementu souhlasí s ochranou informací. |
Uspokojivé |
Přístup do důležitých
prostorů je na základě přihlášení. Pracovníci kontaktují IT
oddělení v případě výskytu problému. |
|
|
57 - 68 |
Politiky, standardy i
postupy chybí nebo nejsou implement. Management a zaměstnanci nemají povědomí
o nutnosti ochrany informací. |
Špatné |
Přístup do důležitých
prostorů není adekvátně chráněn. Incidenty se řeší pouze
lokálně. |
Tabulka 4:
Výsledky dotazníku Fyzická bezpečnost
Zdroj: [10]
4. Zálohování a zotavování se po
katastrofě
Možnosti
odpovědi: 1 = ano, 2 = ano s výjimkami, 3 = ve vývoji, 4 = ne
1. Obsahuje záložní plánování
identifikaci 1 2 3 4
všech
kritických programů, dokumentů a zdrojů
vyžadující
nezbytné vykonávání úloh během
doby,
kdy probíhá zotavení systému?
2. Je identifikována kritická
doba obnovy pro 1 2 3 4
všechny
aplikace a systémy?
3. Přezkoumává a schvaluje rada
města 1 2 3 4
Veselí
nad Moravou seznam kritických aplikaci?
4. Je seznam současných
naléhavých telefonních 1 2 3 4
čísel
na policii, hasiče, první pomoc a podnikové
úředníky
strategicky umístěn po celou dobu práce
a
mimo místo pořízení?
5. Je záložní místo dostatečně
vzdáleno od nebezpečí, 1 2 3 4
které
by ohrožovalo hlavní datové centrum?
6. Jsou záložní a obnovovací
postupy otestovány 1 2 3 4
minimálně
vždy poslední rok?
7. Provádí se školení pro
všechen relevantní 1 2 3 4
personál,
který zálohuje či obnovuje?
8. Existuje Analýza systémů a
aplikací (ASA), 1 2 3 4
které
ovlivňují důležité obchodní procesy?
9. Je ASA přezkoumávána a
aktualizována 1 2 3 4
Pravidelně
s důrazem na nové technologie
a
změny obchodních cílů?
10. Je minimálně jedna kopie
záložního plánování 1 2 3 4
pravidelně
aktualizována?
11. Jsou opatření pro případ
nehody umístěna 1 2 3 4
v místech
s HW, SW a viditelná pracovníkům?
12. Podílí se řadoví pracovníci na
zálohování? 1 2 3 4
|
Součet bodů |
Pravděpodobné zaužití |
Hodnocení |
Patrná situace |
|
|
12 - 21 |
Většina aktivit je
implementována. Většina pracovníků je seznámena s inf. politikou. |
Nadprůměrné |
Plán záloh je na
pracovištích a otestován. Pracovníci jsou
proškolení k zálohování. Plán záloh je pravidelně
aktualizován. |
|
|
22 - 30 |
Mnoho aktivit je
implementováno. Mnoho pracovníků je seznámeno s inform. politikou. |
Slušné |
Plán záloh je napsán Pracovníci vědí o své roli
v Plánu záloh. Management podporuje Plán
záloh. |
|
|
31 - 39 |
Některé aktivity jsou ve
vývoji. Většina managementu souhlasí s ochranou informací. |
Uspokojivé |
Plán záloh je
zformulován. Seznam kritických situací
se teprve sestavuje. Kritické zdroje jsou
teprve identifikovány. Zálohy jsou skladovány
mimo místo pořízení. |
|
|
40 - 48 |
Politiky, standardy i
postupy chybí nebo nejsou implementovány. Management a zaměstnanci nemají
povědomí o nutnosti ochrany informací. |
Špatné |
Audit určil slabá místa
Plánu záloh. Management si je vědom
odpovědnosti za zálohování. |
Tabulka 5:
Výsledky dotazníku Plán
záloh a zotavení po katastrofě
Zdroj: [10]
5. Technické zabezpečení
Možnosti
odpovědi: 1 = ano, 2 = ano s výjimkami, 3 = ve vývoji, 4 = ne
1. Jsou stolní prostory náležitě
zabezpečeny? 1 2 3 4
2. Jsou hostitelské systémy a
servery stejně 1 2 3 4
jako
aplikační servery zabezpečeny?
3. Jsou hesla a účty sdíleny? 1 2 3 4
4. Jsou nezabezpečené
uživatelské účty 1 2 3 4
(„guest“) aktivní?
5. Jsou dočasné uživatelské účty
zakázány 1 2 3 4
a
zrušeny v přiměřeném čase?
6. Jsou pracovníci poučeni k
vytváření 1 2 3 4
správných
hesel?
7. Je po pracovnících ze společnosti, kteří 1 2 3 4
poskytují
síťové služby, požadována změna
počátečních
(„defaultních“) hesel?
8. Mají síťoví a systémoví
administrátoři 1 2 3 4
adekvátní
zkušenosti s implementací
bezpečnostních
standardů?
9. Jsou logovací záznamy
pravidelně přezkoumávány? 1 2 3 4
10. Používají administrátoři
vhodné nástroje 1 2 3 4
pro
výkon své práce?
11. Je dostupný současný diagram
sítě? 1 2 3 4
12. Je na místě postup vzdáleného
přístupu? 1 2 3 4
13. Jsou kritické servery
adekvátně chráněny? 1 2 3 4
14. Je síťová infrastruktura
pravidelně 1 2 3 4
kontrolována?
15. Jsou na síti prováděna
ohodnoceni 1 2 3 4
zranitelnosti?
16. Sledují změny či zdokonalení
současné 1 2 3 4
trendy
vývoje bezpečnosti?
17. Jsou FW (firewall) testovány k určení 1 2 3 4
možných
vnějších průniků?
18. Existují další produkty, které
zvyšují 1 2 3 4
stupeň
bezpečnosti FW?
19. Jsou FW udržovány a
monitorovány 7x24? 1 2 3 4
20. Jsou dokumentovány veškeré
služby, které 1 2 3 4
prošly
či se snaží o průchod FW?
|
Součet bodů |
Pravděpodobné zaužití |
Hodnocení |
Patrná situace |
|
|
20 - 40 |
Většina aktivit je
implementována. Většina pracovníků je
seznámena s informační politikou. |
Nadprůměrné |
Jsou implementovány
síťové bezpečnostní politiky a postupy. Systémoví a síťoví
administrátoři jsou školeni v bezpečnosti. FW je implementován a
monitorován. |
|
|
41 - 54 |
Mnoho aktivit je
implementováno. Mnoho pracovníků je
seznámeno s informační politikou. |
Slušné |
Je přijata síťová
bezpečnostní politika. Síťové standardy jsou ve
vývoji. Administrátor FW ještě není
zaměstnán. |
|
|
55 - 67 |
Některé aktivity jsou ve
vývoji. Většina managementu souhlasí s ochranou informací. |
Uspokojivé |
Je určen tým pro
bezpečnostní politiku a postupy. FW ještě není
implementován. |
|
|
68 - 80 |
Politiky, standardy i
postupy chybí nebo nejsou implementovány. Management a zaměstnanci
nemají povědomí o nutnosti ochrany informací. |
Špatné |
Management pouze vyslovil
potřebu bezpečnosti síťové infrastruktury. |
Tabulka 6:
Výsledky dotazníku Technické zabezpečení
Zdroj: [10]
6. Telekomunikační bezpečnost
Možnosti
odpovědi: 1 = ano, 2 = ano s výjimkami, 3 = ve vývoji, 4 = ne
1. Je publikována politika
používání 1 2 3 4
telekomunikačních zdrojů?
2. Uvědomují si všichni
zaměstnanci telekomunikační 1 2 3 4
politiku?
3. Uvědomují si zaměstnanci
důležitost podnikových 1 2 3 4
dat autorizování pro přístup do Internetu?
4. Komunikují zaměstnanci pomocí
mobilního 1 2 3 4
nebo bezdrátového telefonu i přes nezabezpečenou
verzi této technologie?
5. Publikovala organizace
politiku 1 2 3 4
postihů
zaměstnanců a externistů?
6. Jsou podniková data uložena
na přenosných 1 2 3 4
počítačích
zabezpečena proti neautorizovanému
přístupu?
7. Je požadována změna
automatických a počátečních 1 2 3 4
hesel po uživatelích všech společností
poskytujících
komunikační
systémy?
8. Jsou telefony, které umožňují
monitorování, 1 2 3 4
pravidelně
přezkoumávány pro odhalení možných
zneužití?
9. Jsou si zaměstnanci vědomi
své odpovědnosti 1 2 3 4
zachovat
přiměřeně bezpečné přístupové kódy proti
neoprávněným
přístupům a užitím?
10. Jsou uživatelé používající
přenosné počítače opatřeni 1 2 3 4
mechanismem,
který dovoluje zálohu citlivých
informací,
aplikací na server nebo na přenosná
skladová
média?
11. Je určen pracovník pro správu
telekomunikačních 1 2 3 4
zdrojů?
12. Je telekomunikační politika
pravidelně 1 2 3 4
aktualizována?
13. Pokud je rozvázán pracovní
poměr se zaměstnancem, 1 2 3 4
jsou
mu automaticky zablokovány veškeré účty a karty?
|
Součet bodů |
Pravděpodobné zaužití |
Hodnocení |
Patrná situace |
|
|
12 - 23 |
Většina aktivit je
implementována. Většina pracovníků je
seznámena s inform. politikou. |
Nadprůměrné |
Telekomunikační
bezpečnostní politika a postupy jsou implementovány. Telekomunikační
administrátor je proškolen v otázkách bezpečnosti. |
|
|
24 - 33 |
Mnoho aktivit je
implementováno. Mnoho pracovníků je
seznámeno s inform. politikou. |
Slušné |
Telekomunikační
bezpečnostní politika je pouze schválena. Monitorování provozu je
zavedeno. Standardy jsou ve vývoji. |
|
|
34 - 43 |
Některé aktivity jsou ve
vývoji. Většina managementu
souhlasí s ochranou informací. |
Uspokojivé |
Politiky a postupy jsou
pouze identifikovány. Telekomunikační standardy
jsou ve vývoji. |
|
|
44 - 52 |
Politiky, standardy i
postupy chybí nebo nejsou implementovány. Management a zaměstnanci
nemají povědomí o nutnosti ochrany informací. |
Špatné |
Management si je pouze
vědom nutnosti telekomunikační bezpečnostní politiky. Audit identifikoval slabiny
telekomunikační bezpečnosti. |
Tabulka 7:
Výsledky dotazníku Telekomunikační bezpečnost
Zdroj: [10]
Příloha
3: Dotazník pro zaměstnance odborů (úředníky) v MÚ
Možnosti odpovědi: 1 = ano, 2 = okrajově ano, 3 =
téměř ne, 4 = ne
1. Jste seznámen s informační
bezpečností 1 2 3 4
města
Veselí nad Moravou?
2. Víte, co je, případně co není
dovoleno? 1 2 3 4
3. Znáte seznam postihů za
případné porušení 1 2 3 4
pravidel?
4. Vytváříte si hesla dle
příslušné směrnice? 1 2 3 4
5. Znáte strategické cíle a
poslání města 1 2 3 4
Veselí nad Moravou?
6. Dbáte na zabezpečení počítače
v době 1 2 3 4
Vaši
nepřítomnosti?
7. Používáte Internet či
počítačové prostředky 1 2 3 4
i k
soukromým účelům?
8. Chráníte si dostatečně přístupové
karty či klíče? 1 2 3 4
9. Provádíte pravidelně zálohy
důležitých dat? 1 2 3 4
10. Ukládáte všechny důležité
dokumenty na server, 1 2 3 4
který
se zálohuje?
11. Používáte pouze licencované
verze SW? 1 2 3 4
12. Víte, kdo je odpovědný za
krizové řízení 1 2 3 4
v oblasti
informační technologie?
13. Myslíte si, že jste dostatečně
proškolen
v problematice
informační bezpečnosti v rámci 1 2 3 4
Vaši
profese?
14. Pokud používáte přenosný
počítač, máte 1 2 3 4
k dispozici
mechanismus dovolující zálohu
informací
na server či přenosná média?
15. Pokud používáte nezabezpečenou
komunikaci 1 2 3 4
přes
mobilní telefon, hovoříte pouze krátce?
16. Uvědomujete si důležitost
ochrany informací 1 2 3 4
organizace
před vnějším okolím?
|
Součet |
Pravděpodobné zaužití |
Hodnocení |
Patrná situace |
|
|
16 - 27 |
Inform. bezpečnost je
plně implementována spolu s programem inform. povědomí. Pracovníci plně chápou
potřebu chránit podniková data. |
Nadprůměrné |
Pracovníci jsou seznámeni
s informační bezpečností v podniku. Pracovníci vědí, co si mohou či
nemohou dovolit. Jsou také plně
zainteresováni na plnění úkolů v souvislosti s ochranou informací. |
|
|
28 - 40 |
Inform. bezpečnost je na
slušné úrovni. Do optimálního povědomí o infor. bezpečnosti ještě trochu
chybí. |
Slušné |
Pracovníci vědí o potřebě
chránit podniková data. Nedodržují však všechny
pokyny. |
|
|
41 - 53 |
„Nějaká“ informační
bezpečnost je pouze zavedena. Ne všichni pracovníci mají o ní přehled. |
Uspokojivé |
Pracovníci mají přehled o
informační bezpečnosti pouze rámcově. Postupy však nedodržují. |
|
|
54 - 64 |
Inform. bezpečnost
v podniku absolutně neexistuje. |
Špatné |
Pracovníci absolutně
nevědí, že nějaká informační bezpečnost existuje. |
Tabulka 8:
Výsledky dotazníku pro řadové zaměstnance
Zdroj: [10]