Maturitní témata SSPŠ oboru KB

16. Legislativa, etika a normy

3 min čtení

16. Legislativa, etika a normy

Co se po vás bude chtít?

Legislativa

Úvod do práva ICT

  • Základní struktura právního systému:

    • Ústava, zákony, vyhlášky, nařízení
    • Hierarchie právních předpisů
    • Judikáty a jejich význam v oblasti ICT

  • Odpovědnost v oblasti ICT:

    • Právní rámec pro jednání v oblasti ICT
    • Trestněprávní odpovědnost (počítačová kriminalita)
    • Občanskoprávní odpovědnost

Legislativa upravující kybernetickou bezpečnost

  • Česká legislativa:

    • Zákon o kybernetické bezpečnosti (č. 181/2014 Sb.)
    • Vyhláška o kybernetické bezpečnosti (č. 82/2018 Sb.)
    • Zákon o elektronických komunikacích
    • Trestní zákoník - skutkové podstaty počítačové kriminality

  • Evropská legislativa:

    • Směrnice NIS (Network and Information Security)
    • Směrnice NIS2 - aktualizace a rozšíření
    • ENISA a její role

Ochrana osobních údajů

  • GDPR (General Data Protection Regulation):

    • Základní principy zpracování osobních údajů
    • Práva subjektů údajů
    • Povinnosti správců a zpracovatelů
    • Pověřenec pro ochranu osobních údajů (DPO)
    • Sankce za porušení

  • Zákon o zpracování osobních údajů (č. 110/2019 Sb.):

    • Národní úprava GDPR
    • Úřad pro ochranu osobních údajů (ÚOOÚ)

Autorská práva

  • Autorský zákon (č. 121/2000 Sb.):

    • Autorská díla a jejich ochrana
    • Majetková a osobnostní práva
    • Licence a jejich typy
    • Software jako autorské dílo

  • Licence v IT:

    • Proprietární licence
    • Open-source licence (GPL, MIT, Apache)
    • Creative Commons

Svobodný přístup k informacím

  • Zákon o svobodném přístupu k informacím (č. 106/1999 Sb.):
    • Povinné subjekty
    • Způsob poskytování informací
    • Výjimky z poskytování

Služby informační společnosti

  • Zákon o některých službách informační společnosti (č. 480/2004 Sb.):
    • Elektronický obchod
    • Odpovědnost poskytovatelů služeb
    • Nevyžádaná obchodní sdělení (spam)

Normy

Systém řízení bezpečnosti informací (ISMS)

  • ISO/IEC 27001:

    • Požadavky na ISMS
    • Plánování, implementace, provoz, monitorování
    • Certifikace organizací

  • ISO/IEC 27002:

    • Soubor bezpečnostních opatření
    • Doporučené postupy (best practices)

  • Další normy řady 27000:

    • ISO 27005 - řízení rizik
    • ISO 27017 - cloud security
    • ISO 27018 - ochrana osobních údajů v cloudu
    • ISO 27035 - řízení incidentů

Řízení kontinuity činností (BCM)

  • Business Continuity Management:

    • Zajištění kontinuity klíčových procesů
    • Plány obnovy po havárii (DRP)
    • Business Impact Analysis (BIA)

  • ISO 22301:

    • Požadavky na BCM systém
    • Testování a údržba plánů

Další relevantní standardy

  • ITIL (IT Infrastructure Library):

    • Best practices pro IT služby
    • Service management

  • COBIT:

    • Framework pro IT governance
    • Řízení a správa IT

  • NIST Cybersecurity Framework:

    • Identify, Protect, Detect, Respond, Recover
    • Americký standard aplikovatelný globálně

Analýza rizik

  • Proces řízení rizik:

    • Identifikace aktiv
    • Identifikace hrozeb a zranitelností
    • Hodnocení rizik (pravděpodobnost × dopad)
    • Ošetření rizik (mitigace, akceptace, přenos, vyhnutí)

  • Metodologie hodnocení rizik:

    • Kvalitativní vs kvantitativní přístup
    • Matice rizik
    • Dokumentace a reporting

Metodiky efektivního zavedení kybernetické bezpečnosti

  • Postup zavedení kybernetické bezpečnosti v organizaci:

    • Analýza současného stavu
    • Definice bezpečnostních politik
    • Implementace technických opatření
    • Implementace organizačních opatření
    • Školení zaměstnanců
    • Monitoring a vyhodnocování

  • Technická opatření:

    • Firewally, IDS/IPS
    • Šifrování, řízení přístupu
    • Zálohování, monitoring

  • Netechnická (organizační) opatření:

    • Bezpečnostní politiky a směrnice
    • Řízení přístupových práv
    • Bezpečnostní školení
    • Incident response plány

  • Zvládání kybernetických bezpečnostních incidentů:

    • Detekce a hlášení
    • Klasifikace a prioritizace
    • Reakce a řešení
    • Poučení a prevence

Etika a bezpečnostní kultura

Informační etika

  • Základní principy:
    • Šíření pravdivých informací
    • Rovný přístup k informacím
    • Nezkreslování informací
    • Respektování soukromí

Etický hacking

  • Principy etického hackingu:

    • Legální rámec - povolení, smlouvy
    • Responsible disclosure
    • Bug bounty programy
    • Penetrační testování vs nelegální hacking

  • Hranice etického hackingu:

    • Co je povoleno a co ne
    • Dokumentace a reporting
    • Profesní odpovědnost

Příchozí odkazy