22 | CRP-Kyber | Masarykova univerzita

Projekt CRP-Kyber22 usiluje podobně jako jeho předchůdce CRP-Kyber21 o posílení spolupráce veřejných vysokých škol.

V souvislosti s postupující digitalizací se účinná ochrana před kybernetickými útoky stává kritickým předpokladem pro spolehlivé fungování všech institucí, vysoké školy nevyjímaje. Již řadu let sledujeme dramatický celosvětový nárůst kybernetických bezpečnostních hrozeb a bohužel i úspěšně provedených útoků, kdy se některé z nich týkají i České republiky. Žádná organizace, uživatelská skupina či sektor nejsou těchto vysoce nebezpečných rizik ušetřeny.

Hlavní cíl spočívá v posílení zejména praktické spolupráce veřejných vysokých škol, ale také v sourodém zapojování technologií podporujících zavedení systému řízení bezpečnosti, budování společné znalostní báze a bezpečnostních politik, ale také v osvětě a vzdělávání různých akademických skupin, nastavení pokročilého zabezpečení prostředí MS365, a analýze právních dopadů změn v legislativě týkající se kyberbezpečnosti.

Bez popisku

PS-1 Procesní aspekty systému řízení bezpečnosti informací

Pracovní skupina PS1 byla zaměřena především na proces zavádění Systému řízení bezpečnosti informací na VVŠ. V první části projektu jsme se tedy pokusili vysvětlit požadavky na organizační i technická opatření, popsat funkční procesy ve všech oblastech SŘBI a zmapovat stav zavádění SŘBI na jednotlivých VVŠ na začátku a na konci tohoto projektu. V druhé části řešila problematiku softwarových i jiných nástrojů pro podporu zavedení a zlepšování SŘBI, a to nejen na základě vlastních zkušeností s některými nástroji, ale v průběhu projektu chtěla skupina získat doporučení i od externích subjektů. Třetím dílčím výstupem bylo doporučení a nasazení vhodných nástrojů a opatření na jednotlivých univerzitách zapojených do projektu.

Šetření identifikující procesy zavádění SŘBI na VVŠ (mapa)

PS-2 Bezpečnostní politiky

Analýza stavubezpečnostních politik

Analýza nastíněná vtomto dokumentumá za cíl zmapovat stav a procesy související sřešením bezpečnostních politik vrámci jednotlivých VVŠ vČeské republice. Report se zaměřuje primárně naidentifikaci nedostatečně pokrytých oblastí zpohledu interního nastavení a provozu VVŠ a představuje zároveň distribucipolitik vrámci organizací vprůběhu roku 2022, a to sohledem na vnitřní (procesní) avnější (zákonné ajiné) povinnosti. Veškerá data byla získána vrámci dvoukolového dotazníkového šetření, jenž proběhlo vkvětnuaprosinci 2022, a které mělo za cíl identifikovat interní dokumenty(kapitoly, řády, směrnice) pro Systém řízení bezpečnosti informacívrámci organizace.

Analýza ke stažení

PS-3 Osvěta a vzdělání uživatelů – bezpečnost lidských zdrojů

Prvním cílem pracovní skupiny bylo zpracování specializovaných vzdělávacích modulů pokrývajících potřeby třech cílových skupin uživatelů, tj. vyššího managementu VŠ, administrativy VŠ a vědecké komunity, v oblasti kybernetické bezpečnosti. Následně pak přizpůsobení vytvořených vzdělávacích modulů specifickým podmínkám/potřebám jednotlivých vysokých škol a jejich nasazení do praxe.
Moduly byly modifikovány do excelové tabulky, rozdělené primárně na zásady a hrozby, která následně slouží k druhému cíli, tedy zpracování koncepce a následná implementace společné znalostní báze (SZB) se zaměřením na bezpečnostní role (zejména na manažera kybernetické bezpečnosti a garanta aktiva) sloužící pro shromažďování, uchování a využití procesních, implementačních, legislativních a dalších artefaktů ze zájmových oblastí SŘBI a SŘKB pro potřeby všech VVŠ zapojených do projektu.

Tabulka obsahující hrozby a zásady
Generátor vzdělávacích modulů dle potřeb cílových skupin
Platforma pro manažery kybernetické bezpečnosti

PS-4 Integrace technicko-personálních opatření kyberbezpečnosti

Záměrem pracovní skupiny bylo zajištění koordinované spolupráce veřejných vysokých škol v oblasti bezpečnosti přes povřené osoby v zákonné roli Manažer Kybernetické bezpečnosti.Dále se pracovní skupina zaměřila na oblast Security Operation Centra (SOC) z pohledu dekompozice funkcí SOC, popisu základních aspektů provozu SOC a nezbytných potřeb součinnosti při připojení k SOC. Cílem bylo dodat ostatním VŠ: základní představu o SOC; možnostmi využití služeb nebo možnostmi participace na jeho vytváření a provozu; Model sdíleného SOC pracoviště.

Bezpečnostní zpráva: Vyhodnocení kybernetických bezpečnostních událostí

Procesní aspekty systému řízení bezpečnosti informací

Oblast je zaměřená na zmapování funkčních procesů systému řízení bezpečnosti informací (SŘBI) na veřejných vysokých školách (VVŠ), a na vytvoření doporučení pro nástroje a technologie na podporu zavedení SŘBI a SŘKB v organizaci typu VVŠ. Dále se také zabývá rozvojem a nasazením nástroje pro prevenci a praktické testování uživatelů v oblasti sociálního inženýrství.

Ing Jiří Richter

Rektorát ČVUT – odbor pro kvalitu a informační systém

Jugoslávských partyzánů 1580/3 160 00 Praha 6 / B-708

e‑mail:

Bezpečnostní politiky

Náplní této oblasti je vytvořit návrh bezpečnostních politik pro klíčové oblasti veřejných vysokých škol (VVŠ), a následně tyto politiky implementovat na jednotlivých VVŠ.

Ing Jiří Slanina

Rektorát a celouniverzitní útvary UPa - Oddělení správy systémů a sítí, Referát informační a kybernetické bezpečnosti

Studentská 95 - budova R
532 10 Pardubice

e‑mail:

Osvěta a vzdělávání - bezpečnost lidských zdrojů

Oblast se zabývá osvětou uživatelů v oblasti kybernetické bezpečnosti, skrze přípravu tří specializovaných modulů, zaměřených na vybrané cílové skupiny: vyšší management VŠ, administrativa VŠ, vědecká komunita.

RNDr. Michal Javorník, Ph.D.

kancelář: bud. A/9.18
Šumavská 525/33
602 00 Brno

Zobrazit na mapě

e‑mail:

Integrace technicko-personálních opatření kyberbezpečnosti

Oblast zkoumá potřeby procesních, organizačních, technologických, datových, ekonomických a legislativních podmínek pro zřízení a provozování sdíleného pracoviště SOC (Security Operations Center) pro prevenci, detekci, analyzování a řešení kyberbezpečnostních incidentů. Dále se také zaměřuje na ustanovení Fóra manažerů kybernetické bezpečnosti veřejných vysokých škol jako trvalé platformy pro operativní komunikaci, spolupráci a výměnu zkušeností v oblasti strategického řízení kybernetické bezpečnosti na vysoké škole, a na vypracování doporučení pro zadávací dokumentaci a realizaci bezpečnostních auditů ICT/IS. V neposlední řadě náplní této oblasti je provedení penetračních testů vybraných významných informačních systémů (VIS) u jednotlivých spoluřešitelských organizací podle jejich aktuálních potřeb, a vytvoření pokročilého zabezpečení prostředí MS 365 v prostředí vysoké školy.

Ing Karel Šimeček, Ph.D.

IT/AV specialista - Oddělení datové analytiky a reportingu VŠE, vedoucí oddělení - Oddělení datové analytiky a reportingu VŠE

Centrum informatiky
Pracoviště Žižkov
nám. W. Churchilla 1938/4
130 67 Praha 3 - Žižkov

e‑mail:

Legislativa a právní podpora

Náplní této oblasti je analyzovat právní úpravy a dopadů právní úpravy v oblasti kybernetické bezpečnosti (KB) na prostředí veřejných vysokých škol, a identifikovat dobrou praxi v oblasti KB v prostředí veřejných vysokých škol s ohledem na požadavky legislativy.