AuditTools - stránka projektu, součást CRP 2015 na ZČU

Tyto webové stránky slouží k umístění části výstupů Centrálního rozvojového projektu MŠMT v roce 2015, které byly realizovány na Západočeské univerzitě v Plzni během roku 2015.

Název projektu	Rozvoj systémů pro podporu vnitřní kontroly kvality VVŠ Seznam CRP podpořených MŠMT v roce 2015
Řešitel - koordinátor	ČVUT, VIC, Ing. Radek Holý
Spoluřešitelé	23 vysokých škol v ČR, jednou z nich rovněž Západočeská univerzita v Plzni Anotace projektu na stránkách ZČU

Anotace projektu

Projekt byl zaměřen na zvyšování bezpečnosti a důvěryhodnosti informačních systémů a souvisejících procesů vysoké školy, zahrnující aplikaci nové legislativy, autorizaci jednotlivých záznamů a dokumentů s využitím elektronického podpisu a elektronického časového razítka. Cílem projektu bylo zvýšení kvality dohledu a provozu informačních systémů prostřednictvím monitoringu nestandardních jevů. Koordinovaný postup VVŠ zahrnuje implementace společných výsledků projektu na pilotní instalaci a předání licencí/dokumentace na ostatní účastníky projektu.

Projekt je zaměřen na 3 hlavní prioritní oblasti:

Implementace zákona o kybernetické bezpečnosti v kontrolních procesech VVŠ
Zvyšování důvěryhodnosti a bezpečnosti IS včetně podpory dlouhodobého ukládání eDokumentů
Ochrana investic

Západočeská univerzita v Plzni se garantským nebo aktivním přístupem podílela mimo jiné na těchto následujících cílech projektu. Stránky jsou určeny pro prezentaci výstupů právě těchto částí:

Cíl 1: Rozšířením a doplněním systému vnitřních kontrol zlepšit bezpečnost informačního systému a kvalitu zpracovaných provozních dat
- Výstup 1.2: Doplnění fyzického modelu bezpečnosti v IS/STAG
- Výstup 1.3: Implementace nových bezpečnostních prvků IS/STAG
Cíl 3: Zajistit ochranu investic již vložených do stávajících technologií, aplikací, systémů a interface formou koordinovaného doplnění licencí, rozvoje funkcionality aplikací a upgrade verzí
- Výstup 3.2: Certifikace a/nebo atesty přírůstků SW

Objektivní důvody pro realizaci projektu - relevantní výňatek

1. Zákon o kybernetické bezpečnosti

Na základě provedené analýzy rizik (CRP 2014) byla identifikována objektivní potřeba aplikace vybraných požadavků zákona o kybernetické bezpečnosti do IS a do kontrolních procesů VVŠ. Nový zákon a prováděcí vyhláška (s účinností od 1.1.2015) se ve většině případů netýká přímo VVŠ, ale stanovuje rozumná a obecně platná pravidla, která by měla být závazná pro všechny provozovatele IS. Například ale nejenom:

(§18) pravidla ověřování identity uživatelů
(§21) povinnost auditní stopy

3. Ochrana investic –koordinovaný rozvoj, licence, upgrade a audit přírůstků - relevantní výňatek

Jedním ze synergických efektů koordinovaného postupu VVŠ je aplikovatelnost přírůstků (technické zhodnocení) softwarových komponent na všech instalacích v síti škol zapojených do projektu a to díky jednotné technologické základně (Oracle), jednotnému nebo obdobnému aplikačnímu vybavení a koordinované implementaci aplikačního vybavení. Audit přírůstků – technického zhodnocení software aktuálně používané verze je objektivní nutnost při prokazování oprávněnosti používání software a věrohodnosti použitých nástrojů mimo jiné při kontrolách čerpání dotací.

Forma realizace daných cílů v rámci řešení ZČU

Cíl 1: Rozšířením a doplněním systému vnitřních kontrol zlepšit bezpečnost informačního systému a kvalitu zpracovaných provozních dat
- Výstup 1.2: Doplnění fyzického modelu bezpečnosti v IS/STAG
  Realizace: Analýza požadavků Zákona o kybernetické bezpečnosti v souladu s příslušnou prováděcí vyhláškou, identifikace okruhů pro implementaci bezpečnostních politik v systému IS/STAG v souladu s požadavky ZKB/VKB a návrh realizace řešení.
- Výstup 1.3: Implementace nových bezpečnostních prvků IS/STAG
  Realizace: Implementace bezpečnostní nadstavby nad databází Oracle 12c realizující jednotlivé okruhy bezpečnostní politiky a požadavky kladené vybranými paragrafy ZKB/VKB. Částečně doplněním stávající bezpečnostní infastruktury DB Oracle na úrovni nastavení a definice funkčních podprogramů, auditních politik, uživatelskách profilů, verifikačních funkcí a souvisejících komponent. Částečně vytvořením webové aplikace AuditTools reprezentující uživatelské prostředí pro ovládání bezpečnostní nadstavby a vizualizaci aktuálního stavu příslušné databáze z hlediska zabezpečení.
Cíl 3: Zajistit ochranu investic již vložených do stávajících technologií, aplikací, systémů a interface formou koordinovaného doplnění licencí, rozvoje funkcionality aplikací a upgrade verzí
- Výstup 3.2: Certifikace a/nebo atesty přírůstků SW
  Realizace: IT a audit a certifikace výstupu 1.3. firmou BDO Audit s.r.o. během prosince 2015

Prezentace výstupu sestává z těchto komponent (odkazy vedou do zabezpečeného archivu)

Testovací aplikace (přístupná pouze ověřenému testovacímu uživateli!)
Dokumentace bezpečnostní nástavby a aplikace AuditTools
- Principy řešení a uživatelská dokumentace
- Technická dokumentace
- Potenciální body zadání pro případné pokračování
Instalační skripty DB součástí a archiv webové aplikace
Průvodní dokumentace pro audit (PDF)
Zpráva auditora, výstup auditu

Jelikož výše uvedené dokumenty a zdrojové kódy zahrnují materiály citlivé z hlediska udržení bezpečnosti informačního systému IS/STAG a odhalují některé metody implementace jeho zabezpečení, není možné je uveřejnit na internetu přístupné komukoliv. Výše uvedené odkazy proto vedou do části těchto stránek zabezpečené systémem autentikace ZČU Webauth. Účastníci Centrálního rozvojového projektu nebo kontrolní orgány MŠMT, kteří/které jsou oprávněni/é dané materiály získat, nechť se prosím obrátí na ing. Petra Jirouška, CIV ZČU Plzeň s žádostí o přístupové údaje.

Kontaktní osoba - přihlašovací údaje:
Ing. Petr Jiroušek
vedoucí CIV-PIS, ZČU Plzeň
petr AT civ.zcu.cz

Technické dotazy - aplikace AuditTools:
Ing. Milan Michajlov
programátor CIV-PIS, ZČU Plzeň
x3dw AT civ.zcu.cz