Bezpečnost informací

Questions and Answers

Jaké opatření musí provozovatelé KII a VIS dodržovat při autentizaci uživatelů?

• Povolit opakování stejných hesel po každé změně
• Používat pouze hesla jako autentizační mechanizmus
• Implementovat vícefaktorovou autentizaci s nejméně 2 různými typy faktorů (correct)
• Nastavit minimální délku hesla na 8 znaků

Jaká je minimální délka hesla pro administrátory podle Zákona o kybernetické bezpečnosti?

• 12 znaků
• 17 znaků (correct)
• 8 znaků
• 10 znaků

Jak často musí uživatelé měnit svá hesla podle zákonných požadavků?

• Každé 2 roky
• Každých 6 měsíců
• Každý měsíc
• Každých 18 měsíců (correct)

Co je podmínkou k nahlášení kybernetické bezpečnostní události?

Narušení bezpečnosti informací v informačních systémech (A)

Jaké je cílové výstupní opatření pro správce a provozovatele IS kritické informační infrastruktury?

Zavedení pravidelné evidence incidentů (C)

Jaké faktory musí být dodrženy při provádění reaktivních a ochranných opatření?

Omezení neúspěšných pokusů o přihlášení (D)

Jaký je cíl kybernetické bezpečnostní triády, známé jako CIA?

Integrita, důvěrnost, dostupnost (C)

Jaké opatření je nesprávné podle požadavků Zákona o kybernetické bezpečnosti?

Používání nejčastějších hesel (D)

Jaký je hlavní cíl analýzy bezpečnostních rizik?

Identifikovat potenciální hrozby a hodnotit jejich dopady. (B)

Co zahrnuje bezpečnostní triáda CIA?

Důvěrnost, integrita, dostupnost. (C)

Jaká opatření mohou snižovat riziko v oblasti kybernetické bezpečnosti?

Šifrování dat a školení zaměstnanců. (A)

Který z následujících faktorů není součástí ochrany informací?

Zvýšení počtu zaměstnanců v IT oddělení. (B)

Jaké jsou negativní dopady realizace hrozby na organizaci?

Ztráta dat a finanční ztráty. (C)

Jaká metoda zabezpečuje integritu systémů a informací?

Digitální podpisy. (C)

Jaký je cíl zákona o kybernetické bezpečnosti?

Chránit kritickou informační infrastrukturu. (A)

Co je definováno jako chráněná aktiva?

Informace, systémy a infrastruktura s hodnotou pro organizaci. (B)

Flashcards

Bezpečnost informací

Ochrana informací ve všech jejich formách a po celý jejich životní cyklus.

Důvěrnost

Zajištění, že informace jsou přístupné pouze oprávněným osobám.

Integrita

Schopnost zabránit neautorizovaným změnám systému a informací.

Dostupnost

Zajištění nepřerušeného fungování systémů a dostupnosti informací.

Hrozby

Potenciální události nebo aktivity, které mohou narušit bezpečnost informací.

Zranitelnosti

Slabé stránky v systému, které mohou být zneužity hrozbami.

Dopady

Negativní důsledky, pokud dojde k realizaci hrozby.

Opatření

Aktivity nebo mechanismy, které snižují riziko.

Kdo je povinen dodržovat Zákon o kybernetické bezpečnosti?

Zákon o kybernetické bezpečnosti se týká vybraných právnických osob, orgánů a subjektů podnikání. Patří mezi ně provozovatelé kritické informační infrastruktury (KII), významných informačních systémů (VIS), základních služeb a poskytovatelé digitálních služeb (digislužby).

Jaké zabezpečení nařizuje Zákon o kybernetické bezpečnosti?

Podle Zákona o kybernetické bezpečnosti je potřeba implementovat různé typy zabezpečení. Mezi ně patří: řízení přístupů, šifrování informací, zálohování dat, řízení rizik, zavedení bezpečnostních politik a mnoho dalších opatření.

Jaké bezpečnostní prvky se týkají autentizace uživatelů?

KII, VIS, a provozovatelé základních služeb musí zavést důraz na vícefaktorovou autentizaci, která vyžaduje minimálně 2 různé typy faktorů. Jedním typem je například heslo a druhým může být ověřovací kód z mobilního zařízení.

Co je hlavním cílem Zákona o kybernetické bezpečnosti?

Hlavní cíl Zákona o kybernetické bezpečnosti je chránit bezpečnost informací, služeb a sítí elektronických komunikací. Zaměřuje se na zabránění narušení CIA (confidentiality, integrity, availability) informačních systémů.

Jaký je rozdíl mezi kybernetickou bezpečnostní událostí a incidentem?

V Zákona o kybernetické bezpečnosti se mluví o kybernetických bezpečnostních událostech a incidentech. Událost je něco, co může způsobit narušení bezpečnosti, zatímco incident je už samotné narušení bezpečnosti informací, služeb nebo sítí.

Kdy je potřeba hlásit kybernetický bezpečnostní incident?

Každý provozovatel KII, VIS a základních služeb je povinen nahlásit incidenty. Hlášení pomáhá snížit dopady a umožňuje účinnější obranu proti kybeř útokům.

Co je to CERT?

CERT (Computer Emergency Response Team) je specializovaný tým, který se zabývá řešením kybernetických incidentů a bezpečnostních hrozeb.

Kdo je zodpovědný za dodržování Zákona o kybernetické bezpečnosti?

Za dodržování Zákona o kybernetické bezpečí je zodpovědný správce a provozovatel informačního systému i komunikačního systému.

Study Notes

Bezpečnost informací

• Bezpečnost informací chrání informace v jejich různých formách a během celého jejich životního cyklu.
• Bezpečnostní triáda (CIA triad):
  • Důvěrnost: Ochrana proti neoprávněnému přístupu, použití nebo odhalení informací. Ochrana dat v systému, při přenosu i zpracování. Metody: fyzická bezpečnost, šifrování, autentizace, autorizace (přístupová práva).
  • Integrita: Ochrana před neoprávněnými změnami systému a informací. Detekování nežádoucích změn při ukládání, přenosu a zpracování. Metody: digitální podpisy, haše, auditování operací, odolnost k chybám uživatele.
  • Dostupnost: Zachování dostupnosti systémů, služeb a informací pro uživatele. Udržování přijatelné úrovně výkonnosti, prevence ztrát a zničení. Metody: redundance ukládání dat, zálohování, plány obnovy, aktualizace, řízení prostředí (elektřina, chlazení).

Hrozby a zranitelnosti

• Potenciální události nebo aktivity, které mohou ohrozit bezpečnost informací (např. kybernetické útoky, přírodní katastrofy, chyby zaměstnanců).

Dopady

• Negativní důsledky realizace hrozby (např. ztráta dat, finanční ztráty, poškození reputace).

Opatření

• Aktivity nebo mechanismy k minimalizaci rizika (např. šifrování dat, zálohování, školení zaměstnanců).

Chráněná aktiva

• Informace, systémy, infrastruktura a další zdroje, které mají pro organizaci hodnotu a je třeba je chránit.

Analýza bezpečnostních rizik

• Proces identifikace potenciálních hrozeb a zranitelností a posouzení jejich dopadů na organizaci.

Zákon o kybernetické bezpečnosti

• Souhrn právních, organizačních, technických a vzdělávacích opatření pro ochranu kybernetického prostoru.
• Cíl: ochrana kritické informační infrastruktury, významných IS a zajištění bezpečnosti základních služeb.
• Národní úřad pro kybernetickou a informační bezpečnost, Národní bezpečnostní úřad.
• Povinnosti plynoucí ze zákona se týkají vybraných právnických osob, orgánů a podnikatelů.

Hlášení incidentů, opatření, varování, evidence

• Reaktivní a ochranná opatření, Computer Emergency Response Team (CERT).

Vyhláška o kybernetické bezpečnosti

• Popisuje konkrétní opatření pro provozovatele kritické informační infrastruktury, významných informačních systémů, základních služeb.
• Požaduje organizační i technická opatření (řízení přístupů, šifrování, zálohování, řízení rizik).
• Dotýká se správců a provozovatelů IS kritické infrastruktury, komunikačních systémů, významných IS, služeb, poskytovatelů digitálních služeb.

Kybernetická bezpečnostní událost a incident

• Může narušit bezpečnost informací v informačních systémech nebo narušit bezpečnost a integritu sítí elektronických komunikací.
• Kybernetický bezpečnostní incident je narušením v důsledku kybernetické bezpečnostní události.
• Kybernetický incident vyžaduje narušení CIA (bezpečnostní triáda).

Další specifikace v zákoně:

• Požadavky na zabezpečení hesla (délka, složitost, změny).
• Zvýšená ochrana administrátorských účtů.
• Omezení na nejčastější hesla.
• Povinnost změny hesla po dané době.
• Použití vícefaktorové autentizace (min. 2 různé faktory).

Description

Tento kvíz se zaměřuje na základy bezpečnosti informací, včetně bezpečnostní triády: důvěrnosti, integrity a dostupnosti. Prozkoumáme také možné hrozby a zranitelnosti, které mohou ovlivnit ochranu dat. Ideální pro studenty technických oborů nebo přípravu na certifikace v oblasti kybernetické bezpečnosti.