Kybernetická bezpečnost

Ohlášení bezpečnostního incidentu

Ohlášení incidentu není považováno za stížnost, ale za ochotu spolupracovat na zvýšení kvality ICT služeb, kde velice děkujeme za ochotu přispět k udržení provozní spolehlivosti a bezpečnosti ICT služeb pro studenty a pracovníky VŠE. Kybernetické útoky jsou prováděny koordinovaně a profesionálně. Úspěšná obrana proti kybernetickým útokům je primárně složena z disciplinovaného chování uživatelů i provozovatelů ICT služeb VŠE. Z pohledu bezpečnostní infrastruktury zatím neumíme vidět všechno, ale rádi se dozvíme, co vás bezpečnostně trápí a ohrožuje. Hlášení je doporučeno provést formou HelpDesk (web: https://ci.vse.cz/sluzby/pro-zamestnance/helpdesk/ nebo e-mail: helpdesk[zavináč]vse.cz). V ohlášení nutno uvést časové období, stručný popis symptomů incidentů, případně doložit kopií obrazovky nebo vyfocením obrazovky přes mobilní telefon. Za bezpečnostní incident je považováno např.:

• zneužití identity (username);
• zneužití poštovního účtu VŠE;
• narušení informatické služby (tiskárny, počítače, datové komunikace) VŠE;
• neoprávněný přístup k informacím a datům, případně jejich únik k cizím osobám;
• zničení dat jejich smazáním nebo znemožněním přístupu k datům (šifrováním);
• instalace nebo šíření neschváleného nebo nepovoleného software na prostředky VŠE;
• aktivity neoprávněného sběru dat o chování ICT komponent, funkcí a služeb VŠE;

Zákonné povinnosti

Centrum informatiky zajišťuje zákonné povinnosti VŠE ze zákona a vyhlášky o kybernetické bezpečnosti. Pro výkon zákonné povinnosti byla zřízena pozice Manažer kybernetické bezpečnosti a Výbor Kybernetické bezpečnosti zajišťující řízení bezpečnosti na nejvyšší úrovni vedení VŠE. Pro bezpečnostní účely Centrum informatiky provozuje bezpečnostní infrastrukturu zajišťující výkony:

• správy uživatelských identit;
• přístupy do datové sítě, informačních systémů, aplikací a databází;
• instalaci a provoz anti-malware systémů na koncových zařízeních typu počítač nebo server;
• provoz anti-malware a anti-spam systémů na perimetrech datové sítě;
• sběr provozních, bezpečnostních a kontextových dat:
  • o chování veškerých ICT komponent VŠE;
  • o chování uživatelů v informačních systémech VŠE;
  • o zranitelnostech ICT komponent VŠE;
  • o hrozbách směřující na ICT komponenty a informační systémy VŠE;
• provoz dohledových a reakčních systémů umožňující detekci a reakci na bezpečnostní anomálie, události a incidenty.

Manažer kybernetické bezpečnosti

Manažerem kybernetické bezpečnosti VŠE je Ing. Karel Šimeček, Ph.D., e-mail: karel.simecek@vse.cz, telefon: +420 224 09 5853. Na manažera kybernetické bezpečnosti je možné se obrátit s dotazy a požadavky na ochranu dat a zajištění bezpečnosti ICT zařízení, systému, aplikací, atp.

Výbor pro kybernetickou bezpečnost

Výbor pro kybernetickou bezpečnost Vysoké školy ekonomické v Praze je zřízen k zajištění:

• řízení kybernetické bezpečnosti ve smyslu ČSN ISO/IEC 27001 – Systém řízení bezpečnosti informací.
• řízení kybernetické bezpečnosti významných informačních systémů dle zákona č. 181/2014 Sb., zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále již jen „ZoKB“) a jeho prováděcích právních předpisů, zejména vyhlášky č. 82/2018 Sb., vyhláška o kybernetické bezpečnosti, tj. o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále již jen „VoKB“).
• řízení ochrany dat a informací ve smyslu ISO/IEC 27701 – Systémy řízení osobních údajů.

Agenda Výboru Kybernetické bezpečnosti:

1. navrhuje cíle a strategii kybernetické bezpečnosti Vysoké školy ekonomické v Praze a koordinuje přípravu, implementaci a rozvoj jednotného Systému řízení bezpečnosti informací VŠE v oblasti kybernetické bezpečnosti;
2. projednává a doporučuje změny bezpečnostní politiky a další dokumentaci v oblasti kybernetické bezpečnosti a kontroluje implementaci změn v rámci VŠE;
3. schvaluje hodnocení účinnosti bezpečnostních opatření, jejich důsledků i vhodnosti, jakož i na identifikaci jim odpovídajících alternativ vhodných pro VŠE;
4. informuje vedení VŠE o opatřeních v oblasti kybernetické bezpečnosti.