Název oblasti: Budování situačního povědomí v kyberprostoru VVŠ a efektivní reakce na krizové situace
Registrační číslo projektu: C9 - 2023
Doba řešení projektu: 1.1.2023 – 31.12.2023
Gestor: Ing. Jan Borák, Ph.D.
Obhajoba dne: 25.1.2024
Rozpočet v Kč: Celkem/NIV/INV: 500 000/500 000/0
Plnění kontrolovatelných výstupů
Nasazení nástroje pro budování situačního povědomí o dění v počítačové síti.
Díky neustálému vývoji ČZU jsou průběžně nasazována nová aktiva, která je nutno dle požadavků řízení rizik také evidovat a hodnotit. Toto je nezbytné pro správné fungování ISMS a přístupu založeném na hodnocení rizik. Vzhledem k obtížnosti zaznamenání nově vznikajících aktiv v momentě jejich faktického nasazení v organizaci bylo rozhodnuto o nasazení nového nástroje, který je založen na automatické detekci komunikace ve vnitřním prostředí univerzity, čímž umožní získání informací o dosud přehlížených aktivech. Tento nástroj byl prozatím testován v režimu PoC a v budoucím období bude nasazen do pracovního prostředí. Výstup splněn.
Realizace cvičné phishingové kampaně vůči univerzitním uživatelům.
V rámci výstupu byl nasazen nový nástroj pro testování uživatelů na podvodné zprávy. Díky nově nastavenému procesu a tomuto nástroji se podařilo v pravidelných intervalech testovat vybrané zaměstnance (případně skupiny zaměstnanců) na schopnost reakce a rozpoznání podvodné zprávy. Výsledky testování jsou pak ve formě interní zprávy zasílány na vedoucí pracovníky vybraných pracovišť. Celý proces je kontinuální a je založen na neustálém zlepšování a budování schopnosti zaměstnanců rozpoznávat hrozby v oblasti informační a kybernetické bezpečnosti. Výstup splněn.
Začlenění klasifikace informací do univerzitního prostředí.
V rámci chystané Směrnice organizační bezpečnosti byla aktualizována dosud platná pravidla, klasifikační stupně informací a metody uchování, předávání a likvidace dokumentů a médií které tyto informace obsahují. Novelizovaná směrnice by měla být vydána v rámci chystaného balíčku nových politik informační bezpečnosti ČZU a následně podpořena nástroji typu DLP. Výstup splněn.
Integrace krizových plánů pro zajištění kontinuity činností univerzity.
V rámci společných diskuzí vybraných pracovníků byl navržen a projednán společný strategický plán pro krizové situace, vnímající potřeby jak fyzické, tak kybernetické bezpečnosti. V návaznosti na tento plán bude budováno společné dohledové centrum pro zajištění celkové bezpečnosti areálu ČZU, tak jeho zaměstnanců, studentů, uživatelů a návstěvníků. Výstup splněn.
Audit/Penetrační test zákonem regulovaného VIS.
V průběhu realizace projektu byl proveden penetrační test studijního informačního systému, založených na vlastním procesu a doporučení výstupu pracovní skupiny CRP. Výsledný soupis zranitelností a nálezů je interním dokumentem ČZU a bude dále zpracován relevantními pracovníky. Výstup splněn.
Rozvoj odbornosti a certifikace Manažera KB dle zákonných požadavků.
Bylo splněno odborné školení a následná certifikace Manažera KB ČZU dle ČIA schématu v soulad s doporučením Vyhlášky o kybernetické bezpečnosti. Výstup splněn.
Aktualizace analýzy rizik.
V rámci pravidelné aktualizace analýzy rizik byly osloveni garanti primárních a podpůrných aktiv. Jejich hodnocení svěřených aktiv bude promítnuto do celkových výsledků a hodnocení aktiv univerzity. Analýza rizik je kontinuální proces, který není nikdy dokončen a pomáhá k neustálému zlepšování schopnosti reagovat na relevantní hrozby v kyberprostoru. Výstup splněn.
Hodnocení komise:
Aktivity CRP projektu byly realizovány v souladu s plánovanými cíli. Sledované ukazatele byly naplněny. Rozpočet byl čerpán v souladu s pravidly programu.