Praktikum z informační bezpečnosti a ochrany dat

Podmínky, termíny, případové studie


Sylabus je k dispozici ZDE.

---

Podmínky ukončení jsou uvedené v sylabu.

---

K odevzdání tří plnění stanovuji následující termíny:

  • Politika ochrany osobních údajů/dat - 12. listopadu 2019, 23:59
    • vychází ze 2. a 3. cvičení; odhadovaný rozsah 3-5 normostran
  • Interní předpis vycházející z politiky - 26. listopadu 2019, 23:59
    • vychází ze 3. cvičení; odhadovaný rozsah 2-4 normostran
  • Návrh komunikace předpisu zaměstnancům - 10. prosince 2019, 23:59
    • vychází ze 4. cvičení, odhadovaný rozsah 1-2 normostrany

---

Plnění se odevzdávají do příslušné odevzdávárny dle pořadového čísla plnění.

---

Výuka bude řešena na třech modelových společnostech:

  1. House&Wilson, s.r.o.; společnost byla založena v roce 2000; zabývá se prováděním klinických studií a jako subdodavatel se podílí na vývoji léčiv; společnost má korporátní matku z USA; má cca 20 zaměstnanců
  2. Eyes Wide Shut, a.s.; společnost byla založena v roce 2010; poskytuje služby ostrahy objektů vč. technického vybavení (kamerové systémy se záznamem/bez záznamu); společnost má českého majitele; má cca 500 zaměstnanců
  3. School Credit, a.s.; společnost byla založena v roce 2019; poskytuje nebankovní půjčky; společnost má korporátní matku z ČLR; společnost má cca 50 zaměstnanců

---

Rozdělení studentů k jednotlivým společnostem (tedy které společnosti se budou týkat plnění individuálních studentů) naleznete v poznámkovém bloku "Rozdělení k případovkám".

---

Povinná literatura:

  • NONNEMANN, František. Soukromí na pracovišti. Právní rozhledy. 2015, č. 7, s. 229-236
  • LOUTOCKÝ, Pavel a Kamil MALINKA. Bezpečnost ICT ve vnitřních předpisech a školení zaměstnanců. Revue pro právo a technologie, Masarykova univerzita, 2016, roč. 7, č. 14, s. 45-64. ISSN 1804-5383.
  • WP 29 - Stanovisko 2/2017 ke zpracování osobních údajů na pracovišti, dostupné v českém jazyce na https://www.uoou.cz/zverejneno-stanovisko-wp29-ke-nbsp-zpracovani-udaju-na-pracovisti/d-28313

Doporučená literatura:

  • POLČÁK, Radim, Zdeněk ŘÍHA a Kamil MALINKA. Právní aspekty interních směrnic – část I. Data Security Management, Praha: TATE International s.r.o., 2015, XIX., 2., s. 36-39. ISSN 1211-8737.
  • POLČÁK, Radim, Zdeněk ŘÍHA a Kamil MALINKA. Právní aspekty interních instrukcí – část II. Data Security Management, Praha: TATE International s.r.o., 2015, XIX., 3., s. 36-38. ISSN 1211-8737.
  • MALINKA, Kamil a Jakub HARAŠTA. Právní aspekty sledování využití výpočetní techniky zaměstnancem. Data Security Management, Praha: Tate International, 2016, roč. 2016, č. 4, s. 44-49. ISSN 1211-8737.

---

Shrnutí 2. cvičení pro modelový případ House&Wilson, s.r.o.

Procesy:

  • Uchováváme osobní údaje o pacientech;
  • Potřebujeme ochranu výsledků studií;
  • Potřebujeme předávat některé údaje farmafirmám (výsledky studií) a zajistit, aby netekly údaje

 Potřebujeme následující osobní údaje:

  • Kontakt
  • Zdravotní údaje k zařazení do klinických studií

POZN: tyto databáze musí být oddělené a mít řízení přístupu mezi nimi tak, aby lidé, co pracují se zdravotními údaji, nemohli mít přístup ke kontaktům a vice versa

Rizika:

  • Únik údajů o zdravotním stavu
    • Pryč (směrem k veřejnosti)
    • Farmaceutické firmě (nedostatečné zaslepení výsledků studií a předání os.údajů s výsledky studie)
  • Únik výsledků klinických studií
    • Ke konkurenci – riziko útoku?
    • Ke konkurenci – riziko insidera (zaměstnance, manažera)

---

Shrnutí 2. cvičení pro modelový případ Eyes Wide Shut, a.s.

Procesy:

  • Nabírání zaměstnanců
  • Řízení přístupů do prostor, které smluvně hlídáme
    • Biometricky řízený přístup
    • Fyzicky řízený přístup (ostraha)
  • Řízení přístupu do našich prostor
    • Pult centrální ochrany (zavedené kamery z hlídaných prostor)
  • Hlídání efektivity lidí a vynášení informací
    • BYOB policy, GPS polohování hlídačů (kde jsou? dělají obchůzku?)

 Potřebujeme následující osobní údaje:

  • Jméno, příjmení a rodné číslo, adresa; zdravotní stav (fyzická ostraha)
  • Výpis rejstříku trestů
  • Nice to have: finanční minulost (odhadování rizika, že člověk bude ve svěřeném prostoru krást)
  • Rozlišovat údaje o našich zaměstnancích a údaje o zaměstnancích firem, ve kterých máme řídit přístup/řešit ostrahu

 Rizika:

  • Nespolehlivost
    • Zneužití údajů zaměstnancem
    • Útok zvenku (naše konkurence; konkurence firem, kterým poskytujeme služby ostrahy)
  • Neefektivita

---

Shrnutí 2. cvičení pro modelový případ School Credit, a.s.

Procesy:

  • Uzavírání smluv, takže ověřování bonity klienta

 Potřebujeme následující osobní údaje:

  • Finanční situace: minulost, současnost, prognóza do budoucnosti
  • Identifikace a kontakt: jméno, příjmení, rodné číslo, telefon, e-mailová adresa
  • Rodinný stav (spoludlužníci, vyšší bonita)
  • Údaje o zaměstnání a výši příjmů
  • Možnost nahlížet do registru dlužníků
  • Speciální úprava: klient chce půjčit hodně peněz – zajištění pohledávka + podrobnější informace?

Rizika:

  • Obecné riziko podnikání
    • Fyzická bezpečnost
    •  IT bezpečnost
  • Zaměstnanec neví, co dělat s osobními údaji
    • Individuální chyba
    • Systémová chyba
  • Matka v ČLR
    • Jsou s tím spojena nějaká rizika (např. zvýšený zájem dozorových orgánů?)

Předchozí
Následující