česky english Vítejte, dnes je čtvrtek 11. srpen 2022

Kybernetická bezpečnost. Terminologie

DPS 2/2022 | Zajímavosti - články
Autor: RNDr. Karel Jurák, Ph.D., Ing. Zuzana Nejezchlebová, CSc.

Následující článek se zabývá kybernetickou bezpečností, která vyžaduje nezbytné činnosti k ochraně sítí a informačních systémů, jejich uživatelů, dalších osob a objektů ohrožených kyberneticky. Mezi tyto ohrožené cíle se dnes počítá i kritická informační infrastruktura státu atp.

Článek navazuje na předchozí terminologická témata, například Informační a komunikační technologie. Text vychází z právních předpisů EU a ČR, z dokumentů normalizační subkomise ISO/IEC JTC 1/SC 27, z článků české a anglické wikipedie.

Kybernetická bezpečnost, KB (cybersecurity), je novější název pro alternativní názvy s blízkým významem [WIKIdata]:

  • počítačová bezpečnost (computer security);
  • bezpečnost informačních technologií (information technology security);
  • bezpečnost IT (IT security);
  • digitální bezpečnost (digital security).

Kybernetická kriminalita značí libovolný kriminální čin, který zahrnuje počítač a síť. Používají se alternativní názvy [WIKIdata]:

  • počítačová kriminalita (computer crime);
  • kybernetické válečnictví (cyber warfare);
  • kybernetický terorismus (cyberterrorism).

Základní termíny

  • Bezpečnost na internetu (internet security) je částí kybernetické bezpečnosti, která se vztahuje k internetu.
  • CERT (Computer Emergency Response Team) je tým pro reakci na počítačové stavy nouze.
  • CSIRT (Computer Security Incident Response Team) je tým pro reakci na počítačové bezpečnostní incidenty.
  • Incident (incident) je jakákoliv událost, která má reálný negativní dopad na bezpečnost sítí a informačních systémů.
  • Kritická infrastruktura (critical infrastructure) je infrastruktura (ČR, EU atp.), která je klíčová pro chod společnosti a ekonomiky. Její ochrana je důležitá, aby nenastala krizová situace (v ČR, EU atp.), patří sem např. jaderné elektrárny.
  • Kritická informační infrastruktura ( critical information infrastructure) je definována zákonem o KB, patří sem např. významné informační systémy.
  • Kybernetika (cybernetics) studuje principy řízení a sdělování zpráv v živých organismech, automatech, počítačích i společenských systémech.
  • Kybernetická hrozba (cyber threat) je každá potenciální okolnost, událost nebo čin, které mohou poškodit, narušit nebo jinak nepříznivě ovlivnit sítě a informační systémy, jejich uživatele a další osoby.
  • Kyberprostor (cyberspace) je virtuální počítačový svět, přesněji elektronické médium tvořící světovou, globální počítačovou síť, která je základem online komunikace používající protokol TCP/IP.
  • Kyberterorismus (cyberterrorism) jsou internetové teroristické aktivity.
  • Technická aktiva ( technical assets) zahrnují technická vybavení, komunikační prostředky, příslušný software a databáze.

Obr. 1  (jpg)

Klasifikace souvisejících termínů

ENISA, dle nařízení EU, má postupně dva významy:

  • 526/2013: Agentura Evropské unie pro bezpečnost sítí a informací (European Union Agency for Network and Information Security); náplň byla novelizována další směrnicí, při zachování původní zkratky.
  • 2019/881: Agentura Evropské unie pro kybernetickou bezpečnost (European Union Agency for Cybersecurity). Národní centra kybernetické bezpečnosti (National centers of cybersecurity) [csWIKI]:
  • NBÚ, Národní bezpečnostní úřad, se stal gestorem problematiky kybernetické bezpečnosti v říjnu 2011.
  • NUKIB, Národní úřad pro kybernetickou a informační bezpečnost, vznikl 1. srpna 2017 na základě zákona číslo 205/2017 Sb. o KB.

NCKB, Národní centrum kybernetické bezpečnosti, bylo roku 2017 převedeno z NBÚ do NUKIB. NCKB zajišťuje prevenci před kybernetickými hrozbami proti:

  • prvkům kritické informační infrastruktury,
  • informačním systémům základní služby,
  • významným informačním systémům a
  • vybraným informačním systémům veřejné správy.

Risk Analysis Consultants, služby a projekty v oblasti bezpečnosti informací pro organizace [RAC].

Kyberbezpečnostní týmy CERT a CSIRT pracují dnes na úrovni:

  • globální (CERT CC, 1988);
  • evropské (CERT-EU);
  • národní (CSIRT.CZ, Česko, 2010; … CERTNZ, Nový Zéland);
  • organizací (CSIRT-MU, Masarykova univerzita; CSIRT-VUT Vysoké učení technické).

Související certifikace:

  • Evropský systém certifikace kybernetické bezpečnosti (European cybersecurity certification scheme) je rozvíjen a udržován agenturou ENISA.
  • Certifikace systému managementu bezpečnosti informací (Information security management system) podle ČSN ISO/IEC 27001 [CQS].
  • Certifikace kyberbezpečnostních týmů, [Thrusted Intoducer].
  • Certifikace osob pro obor KB, [EZÚ].

Role v systému managementu kybernetické bezpečnosti:

  • manažer kybernetické bezpečnosti ‒ odpovídá za kybernetickou bezpečnost jako celek;
  • architekt kybernetické bezpečnosti ‒ zajišťuje návrhy implementace bezpečnostních opatření;
  • garant aktiva ‒ odpovídá za zajištění rozvoje, použití a bezpečnost aktiva;
  • auditor kybernetické bezpečnosti ‒ odpovídá za ověření kybernetické bezpečnosti.

Obr. 2 (jpg)

Související legislativa EU:

  • Nařízení EU 2014/910, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu.
  • Směrnice EU 2016/1148, o opatřeních pro bezpečnost sítí a informačních systémů v EU;
  • Nařízení EU 2019/881, o novelizaci náplně agentury ENISA a o certifikaci KB (akt o KB).

Nařízení a zákony ČR o KB:

  • Zákon 181/2014 Sb., o KB, (ve znění změn 104/2017 Sb. až 261/2021 Sb.) stanoví práva a povinnosti osob a pravomoci orgánů veřejné moci v oblasti KB.
  • Vyhláška 316/2014 Sb., o KB, (ve znění vyhlášky 82/2018 Sb.) o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat.

Související normalizační subkomise ISO/IEC JTC 1/SC 27 Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí (Information security, cybersecurity and privacy protection). SC 27 vypracovala např. normy:

  • ČSN EN ISO/IEC 27000: 2020, Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník;
  • ČSN ISO/IEC 27001: 2014, Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky;
  • ČSN ISO/IEC 27032: 2013, Informační technologie – Bezpečnostní techniky – Směrnice pro kybernetickou bezpečnost.

Studium související problematiky:

  • MU, Fakulta informatiky, bakalářské studium, kyberbezpečnost;
  • MU, Ústav výpočetní techniky, kybernetický polygon, laboratoř pro výzkum a vývoj metod na ochranu proti útokům na kritickou infrastrukturu ČR;
  • ČVUT, Fakulta informačních technologií (Faculty of information technology), katedra informační bezpečnosti (Department of information security).

Literatura:

Ivan Havel, Kybernetika, Vesmír, 1998

What is cyberattack, https://www.cisco.com/c/en/us/products/security/common-cyberattacks.html#~types-of-cyber-attacks

Zákon o KB, https://nukib.cz/images/icons/2021-08-31_novelizace_zneni_zakona_181_2014.pdf

[csWiki] csWikipedia: https://cs.wikipedia.org/

  • CSIRT.CZ
  • Fakulta informatiky Masarykovy univerzity
  • Kybernetika
  • Národní úřad pro kybernetickou a informační bezpečnost
  • Počítačová bezpečnost

[CQS] Certifikace systémů managementu (ISO/IEC 27001, ISO/IEC 20000-1, ISO 9001), https://www.cqs.cz/

[DPS-AZ] Informační a komunikační technologie: Terminologie, DPS-AZ, 3/2016

[enWiki] https://en.wikipedia.org/

  • Computer emergency response team, CERT
  • Computer security
  • Cybersecurity standards

[EZU] Osobní certifikace, https://ezu.cz/katalog-produktu/osobnicertifikace/

[RAC] Risk analysis consultants, služby a konzultace ve všech oblastech bezpečnosti informací

[Thrusted Intoducer] certificaton, https://www.trusted-introducer.org/processes/certification.html

[WikiComm] Wikimedia Commons: (obr. 1 a 2)

  • Cybersecurity Visuals Challenge 2019 - John Hurley.png, autor: John Hurley
  • EU cyber security conference 2017 (37241113571).jpg, autor: EU2017EE Estonian Presidency

[WikiData] definice termínů, https://wikidata.org/

Partneři

eipc
epci
imaps
ryston-logo-RGB-web
mikrozone
mcu
projectik