Datove schranky

Datové schránky

= elektronicke úložiště pro orgán veřejné moci (OVM), PO nebo podnikající FO

• jsou sem doručovány datové zprávy od OVM, prováděny úkony a komunikace

• upraveny v zákonu o eGovernmentu – el. úkony, inform. syst. schránek a autorizovaná konverze* dokumentů

• konverze = úplně převedení dokumentu z listovní do datové podoby + ověření

• vzniklý dokument má stejné právní účinky jako ověřená kopie

využití DS: 1) FO – DS je nepovinná, její zřízení je bezplatné a zařízené do 3 dnů od podání žádosti

2) Podnikající FO - DS je nepovinná, bezplatná, do 3 dnů, má nárok na jednu DS,

3) PO – DS je povinná, bezplatná má nárok na jednu DS, pro zapsané v obchodním rejstříku auomatická

4) OVM – povinná, bezodkladná

Bezpecnost

Ochrana IS: 1. Ochrana uživatelů při práci s ICT

2. fyzická ochrana ICT/IS

3. ochrana vlastního info systému včerně s ním spojených zdrojů

Fyzická ochrana info systému

• Aktiva - souhrn všech zhodnotitelných zdrojů v podniku

• Hrozby – událost ohrožující bezpečnost info systému

• Zranitelnost – slabé místo v aktivech IS

• Riziko – stupeň ohrožení IS

• Opatření – snižuje hrozbu útoku na IS

• Dopady – vzniklá škoda

Ochrana IS

• Hardwarová ochrana (mechanické klíče počítače, technické zajištění Pc)

• Softwarové aplikace v rámci osobní informatiky (zaheslování PC nebo operačního systému)

• Ochrana objektu (kamerový systém)

• Sítové aplikace (user name/password)

• Organizační směrnice (podmínky v pracovní smlouvě)

• Zákony (ochrana osobních údajů)

• Informační a informatická etika

Bezpečnost informací

• Důvěrnost

• Integrita

• Dostupnost

Hrozba informací a IS

• Škodlivé programy (malware)

• Počítačové viry

• Trojský kůň

• Spyware

• Spam

• Phishing = jedna z velmi rozšířených metod kyberzločinu

Kritéria bezpečnosti informačních systémů (TCSEC)

• Kritéria TCSEC ( v r. 1983)

Zavádějí 4 základní skupiny ochrany informačních systémů

• Skupina D – minimální ochrana (uzamčení jednotlivých PC hardwarově nebo softwarově)

• Skupina C – výběrová ochrana (uživat. Jméno a heslo)

• Třída C1 – ochrana výběrovým přístupem

• Třída C2 – ochrana řízeným přístupem

• Skupina B – povinná ochrana – hierar

• Třída B1 – ochrana bezpečnosti návěštím – přidělení stupně utajení

• Třída B2 – struktorovaná ochrana – existence poloformálního modelu

• Třída B3 – bezpečnostní domény

• Skupina A – verifikovaná ochrana

• Třída A1 – verifikovaný návrh – vychází z třídy B3 a prohlubuje rozsah verifikace

Základní typy přístupových práv

1. Vlastník (systémový administrátor) – funkce tvorby datových soubor a databází)

2. Zaměstnanec – read/write: koncový uživatel – přístupové právo ke kontréktním souborům (např. pozměnovat záznamy)

3. Zaměstnanec jen s právem číst

4. Bez přístupového práva – např. pokladní nemá přístup k personálním souborům zaměstnanců banky

ACL – access control list = seznam pro řízení přístupu, - je seznam orpávnění přístupu ke konkrétnímu objektu.

Autorizace a přístupová práva

• Volné řízení přístupu

• Řízení přístupu založené na úrovních citlivosti

• Řízení přístupu založené na rolích

• Bezpečnostní politika

Přístupová hesla – PIN (k mobilu, bankomatu, atd.)

• Útok na IS : - útok hrubou silou – zkoušení kombinací všechn znaků

• - optimalizovaný útok hrubou silou – zkoušejí se pouze nejpravděpodobnější kombinace

• - slovníkový útok – generátor zkouší hesla, která jsou součástí slovníku

• - hybridní útok – k původně vybraným heslům (např. podle slovníku) přidají hackeři algoritmy

Úřad pro ochranu osobních údajů: (UOOU)

• Je to nezávislý orgán, který má ve své kompetenci tyto funkce:

1. Provádí dozor nad dodržováním povinností stanovených zákonem při zpracování osobních údajů

2. Vede registr zpracování osobních údajů

3. Přijímá podněty a stížnosti na porušení povinností stanovených zákonem při zpracování osobních údajů a informuje o jejich vyřízení

4. Zpracovává a veřejnosti zpřístupňuje výroční zprávu o své činnosti

5. Vykonává další působnosti stanovené mu zákonem

6. Projednává přestupky a jiné správní delikty a uděluje pokuty podle tohto zákona

7. Zajišťuje plnění požadavků vyplývajících z mezinárodních smluv, jimiž je ČR vázaná, a z přímo použitelných předpisů Evropských společenství

8. Poskytuje konzultace v oblasti ochrany osobních údajů

9. Spolupracuje s obdobnými úřady jiných států

Zásady ochrany osobních údajů:

1. Každý kdo požaduje vaše osobní údaje, musí mít k jejich využití váš souhlas nebo ho ke shromažďovaní osobních údajů musí opravovat zákon

2. Pozorně si třeba přečíst dokument, který podepisujeme. Jen na základe podmínek uvedených v dokumentu, vámi podepsaných a odsouhlasených, mohou být vaše osobní údaje využívány

3. Souhlas musí být: vědomý, svobodný a informovaný, může být poskytnut iba ked obdržíme všechny potřebné informace o zpracování Vašich osobních údajů

4. Máme právo žádat o blokování, opravu, odblokování anebo výmaz našich osobních údajů, ked sú neúplné anebo nepravdivé

5. Naše osobní údaje smí být uchovávány pouze po dobu, která je nezbytné nutná pro naplnění účelu jejich zpracování

6. Je zakázané pořizovat kopie našich osobních údajů bez našeho souhlasu

7. Pro evidenci vstupu do budov nesmí být vyžadováno naše rodné číslo, plně dostačující je jméno, příjmení, připadne číslo občanského průkazu

8. Pokud jsme své osobní údaje uložili na nějaký disko v počítači, aby jsme jich uchránili třeba jich smazat

9. Musíme byt opatrní při zasílaní Našich osobních údajů pomocí elektronických prostředků. Musíme mít na paměti, že komunikační kanály mohou být odposlouchávaní neopravenou osobou.

10. Kamerové sledování je nepřístupné v prostorách určených pro ryze intimní úkony (toalety, koupelny, prostory určené na převlékaní...)

• Původně byli distribuovány jako informační leták (2004), rozhodli se nabídnout soubor informací, které by mněli občanům zpřístupnit problematiku ochrany osobních údajů v souvislosti s jejich právy, zohledňuje také však potřebu varovat před riziky ohrožující osobní údaje

Koncový uživatel a UOOU

Koncový uživatel je povinen dodržovat rámec prací s informacemi

Národní bezpečnostní úřad (NBU)

• vykonává státní správu v oblasti utajovaných informací a bezpečnosti způsobilosti

Jeho hlavní úkony sú:

1. rozhoduje o žádosti fyzické osoby o doklad o bezpečnosti způsobilosti

2. plní úkoly v oblasti utajovaných informací

3. vede ústřední registr

4. povoluje poskytování utajovaných informací v mezinárodním styku

5. zajišťuje činnost speciálních středisek pro bezpečnost

6. provádí certifikaci ICT, IS a kryptografických prostředků

7. vytváří národní politiku kryptografické ochrany

Zákon uvádí 4 stupně utajení:

1. Přísné tajné, vyzrazení neoprávněné osobě může způsobit mimořádné vážnou újmu České Republiky

2. Tajné, vyzrazení neoprávněné osobě může způsobit vážnou ujmu České Republiky

3. Důvěrné, vyzrazení neoprávněné osobě může způsobit prostou ujmu České Republiky

4. Vyhrazené, vyzrazeni neoprávněné osobě může byt nevýhodné pro zájmy České Republiky

Zákon také uvádí typy bezpečnosti, jejíž kontrolu zajišťuje NBU:

1. Průmyslová bezpečnost

2. Administrativní bezpečnost

3. Fyzická bezpečnost

4. Bezpečnost informačních a komunikačních systémů

5. Kryptografická ochrana