Kybernetická bezpečnost
Dopředu upozorňujeme, že výčet opatření v aktuálním příkazu děkana není v žádném případě konečný. Pokud Vám například některá
opatření připadají jako nedostatečná, může tomu tak být. Prostě je třeba někde začít ...
Text níže bude rovněž průběžně aktualizován a doplňován podle Vašich připomínek a poznatků.
Pokyn děkana PD 5/2023 a jeho metodika implementace se týká zaměstnanců a partnerů FSv. Případné dopady na studenty budou
specifikovány ve zvláštním dokumentu.
Registrace zařízení, odpovědné osoby
body 2.1, 2.2 a 2.3
Registrace v IS slouží k jednoznačné evidenci síťových zařízení (evidence v Majetku v iFIS je nedostatečná) a osob, odpovědných za zařízení. Ze získaných údajů se jednak síťová zařízení
registrují do správného segmentu datové sítě a zejména přes odpovědnou osobu se vytváří komunikační kanál pro řešení problémů nebo incidentů se zařízením.
Zařízení se registrují zadáním tiketu do
HelpDesku (projekt FSv_VIC_IT_Problémy a požadavky)
a to včetně soukromých zařízení, které se připojují do datové sítě fakulty prostřednictvím pevného (kabelového) připojení. Pokud u fakultního zařízení ještě nemáte přiděleno inventární číslo, je možné do žádosti napsat, že se jedná o nové zařízení,
zatím bez IČ. Registrace proběhne a o doplnění IČ budete vyzváni e-mailem.
V tuto chvíli není nutné registrovat zařízení, které do fakultní datové sítě přistupují pouze pomocí bezdrátového připojení.
Přehled zařízení, u kterých jste vedeni jako odpovědná osoba, naleznete po přihlášení na svojí
osobní stránce v Portálu FSv.
Veškeré změny a nesrovnalosti směřujte výhradně do
Helpdesku, u každého požadavku uveďte parametr
hostname, který naleznete u každého zařízení ve Vašem seznamu v Portále.
Školení kybernetické bezpečnosti
bod 2.4
Průběh a četnost školení na téma Kybernetická bezpečnost spolu s dalšími informacemi bude doplněn.
Nepodporované operační systémy
bod 3.1
Bod se týká zejména ukončení provozu nepodporovaných operačních systémů jako jsou Windows XP, Windows 7 a Windows 8.1
od firmy Microsoft, stejně tak výrobcem nepodporovaných linuxových distribucí či verzí MAC OS.
Bod může být uplatněn i na ostatní sítová zařízení (tiskárny, IP telefony, NAS, ...), které mají v sobě firmware s bezpečnostní
chybou a výrobce již nedodává jeho aktualizace.
Pokud se o Vaše zařízení staráte sami, vydali jsme pro zařízení s OS Windows
Metodický pokyn VIC 1/2024 – Doporučené kroky pro správu a servis počítačů.
V případě, že si se správou Vašeho zařízení neporadíte, kontaktujte kolegy z HelpDesku, kteří Vám poradí, nebo správu Vašeho zařízení převezmou.
Z tohoto bodu je možné udělit výjimku, podrobnosti naleznete v bodě
3.11.
Nebezpečná zařízení
bod 3.2
Aktuálně NÚKIB vydal varování před zařízeními firem Huawei Technologies Co., Ltd. a ZTE Corporation.
Zařízení těchto firem se nebudou nově pořizovat, stávající mohou dožít, pokud na nich nebude provozována vícefaktorová autentizace
(MFA) nebo pracováno s certifikáty. V těchto případech musí být bezodkladně nahrazeny zařízeními jiných značek.
Centrální bezpečnostní řešení FSv
bod 3.3
Jedná se o produkt firmy ESET. Produkt musí být stažen výhradně ze stránky
download.cvut.cz a pokud se sám nezaregistruje, je potřeba
registraci dořešit prostřednictvím
HelpDesku.Je k dispozici i instalační balíček pro MAC OS a Linux.
Produkt musí být instalován i na soukromých zařízeních, které se připojují do pevné datové sítě FSv.
"Dočasné" připojení do sítě FSv
bod 3.4
Provoz tzv. "WG serveru" neboli dočasného připojení do sítě FSv byl ukončen. Pokud chcete ze svého zařízení přistupovat do sítě FSv i nadále, postupujte podle bodu
2.1.
Blokování datového provozu do sítě FSv
bod 3.5
Opatření je realizováno na centrálním fakultním firewallu, nemá nic společného s firewally na koncových stanicích od firmy Eset. Ve výchozím stavu je veškerá příchozí komunikace blokována, pokud chcete tento stav změnit,
otevřete prosím tiket v
Helpdesku.
Aktuální přehled o úrovni ochrany Vašeho zařízení naleznete na vaší osobní stránce v
Portále FSv.
Toto opatření se netýká speciálních zařízení jako servery, NAS a vybrané další. Musí být ale provozovány v souladu s pravidly uvedenými dále v bodech
3.7 a 3.8.
Z tohoto bodu je možné udělit výjimku, podrobnosti naleznete v bodě
3.11.
Virtual Private Network - VPN
bod 3.6
Podrobnosti o nastavení VPN lze najít na Portále FSv -
VPN (Virtual Private Network).
Připomínáme, že pro ověření ve VPN FSv se nepoužívá Hlavní přístupové heslo ČVUT, ale heslo pro EduRoam, známe i jako Mobility Password.
Pro přístup k zařízením, která jsou registrována v privátních adresních rozsazích sítě FSv je nutné použít výhradně VPN FSv.
Pro osoby mimo ČVUT je nutné zřídit vztah Partner k danému pracovišti, tímto osoba získá možnost nastavit si Mobility heslo,
a tím použít fakultní VPN.
Provoz serverů ve správě kateder
bod 3.7
Doporučujeme odpovědným osobám jednotlivých serverů, aby kontaktovali VIC FSv prostřednictvím
HelpDesku.
Servery musí být provozovány z vyhrazeného adresního rozsahu, musí mít nakonfigurováno vlastní firewallové řešení a pokud je to možné tak i instalováno centrální bezpečnostní řešení FSv.
EDR software zmiňovaný v příkazu děkana 5/2023 nebude z technických důvodů provozován.
Provoz datových úložišť ve správě kateder
bod 3.8
Doporučujeme odpovědným osobám jednotlivých NAS, aby kontaktovali VIC FSv prostřednictvím
HelpDesku.
Domluvíme se na přeadresaci zařízení, nastavení výjimek na centrálním firewallu a posoudíme stav vaší NAS.
Výjimky z PD
bod 3.11
Výjimky jsou možné z definovaných odstavců tohoto opatření děkana. O každou výjimku je nutné žádat v
HelpDesku, žádost musí podat odpovědná osoba daného zařízení.
Udělení výjimky může být časově omezeno.
Udělení výjimky bude vždy podmíněno nějakým technickým opatřením, na omezení rizika, které plyne z bezpečnostní hrozby, kterou daná
výjimka obchází. Nejčastěji to bude omezení přístupu k zařízení z Internetu, a to i za pomoci VPN.
