← Tutorials05 / 9

Navrhněte vhodný nástroj pro výběr bezpečnostních opatření vybraných aktiv SŠ

4 min readPrůvodce školní kyberbezpečností

Metodika a tabulka pro výběr bezpečnostních opatření k vybraným aktivům (katalog aktiv, hrozby, rizika, opatření).

Úloha „navrhněte vhodný nástroj pro výběr bezpečnostních opatření“ není o tom najít konkrétní software. Dokument musí ukázat metodiku — jasný postup, kterým ze znalosti aktiva, jeho hrozeb a rizik odvodíte konkrétní sadu opatření. Výsledkem je tabulka nebo jednoduchý rozhodovací strom.

1. Úvod — co je aktivum

Aktivum je cokoliv, co má pro školu hodnotu: data žáků, server Bakaláři, síťová infrastruktura, osobní počítače, tiskárny, dokumentace, know-how zaměstnanců. V úvodu definujte aktivum a rozdělte je do tří kategorií: primární (data), podpůrná (HW, SW, síť) a lidská (zaměstnanci).

2. Katalog aktiv

Tabulka se sloupci: číslo, název aktiva, typ, vlastník, důvěrnost (nízká/střední/vysoká), integrita, dostupnost. Pro každou vlastnost použijte třístupňovou škálu 1–3.

3. Hrozby a zranitelnosti

Pro každé aktivum identifikujte relevantní hrozby (malware, krádež, výpadek napájení, lidská chyba, povodeň). Zdrojem může být katalog z ISO 27005 nebo NIST SP 800-30. U každé hrozby vyhodnoťte pravděpodobnost výskytu a dopad — opět na škále 1–3.

4. Výpočet rizika

Riziko = Pravděpodobnost × Dopad. Hodnoty 1–2 jsou přijatelné, 3–4 vyžadují opatření, 5–9 vyžadují okamžitou akci. Tabulku rizik zobrazte jako matici a zvýrazněte zóny.

5. Katalog opatření

Nejdůležitější tabulka práce. Sloupce: číslo opatření, popis (např. „AV na všech stanicích“, „šifrování disků BitLockerem“, „zálohování 3-2-1“, „segmentace sítě pomocí VLAN“), typ (preventivní / detektivní / korektivní), kryté aktivum, kryté hrozby, odhad nákladů (nízké / střední / vysoké), odpovědná osoba. Použijte katalog z ISO 27001 Annex A nebo NIST SP 800-53.

6. Nástroj / rozhodovací strom

Samotný „nástroj“ může být jednoduchá rozhodovací tabulka: pokud je riziko vysoké a aktivum má osobní údaje, vyber opatření A, B a C. Pokud je riziko střední, vyber jen A. Lze ho zakreslit do blokového diagramu nebo zapsat do Excelu s podmínkovým formátováním.

7. Praktický příklad

Na konci dokumentu vyberte jedno aktivum (např. Bakaláři server) a projděte celý proces: identifikace aktiva → hrozby → rizika → vybraná opatření → odhad nákladů. Dokument musí ukázat, že metodika opravdu funguje, ne jen teoretický popis.

8. Normy

ISO 27005 (řízení rizik), ISO 27001 Annex A (katalog opatření), NIST SP 800-30 a NIST SP 800-53. Můžete také zmínit zákon č. 181/2014 Sb. (zákon o kybernetické bezpečnosti), i když škola obvykle nespadá mezi povinné subjekty.