Schválené projekty 2012

Rozdělení přidělené dotace z MŠMT na specifický vysokoškolský výzkum po fakultách se zohledněním celoškolských pracovišť na rok 2012

Celková přidělená částka z MŠMT na specifický vysokoškolský výzkum na VŠB-TUO - 40 767 tis.Kč

Z toho 2.5%  - 1 019 175 Kč - úhrada způsobilých nákladů spojených s organizací SGS

fakultačástka v  Kč
FBI 1 135 000
EKF 5 252 000
FAST 2 282 000
FS 7 631 476
FEI 9 323 810
HGF 6 829 216
FMMI 7 293 498
CELKEM 39 747 000

(825,-Kč rezerva)

KódSP2012/154
Název projektuAnalýza rozsahu implementace ISMS a jejího vlivu na informační bezpečnost v rámci českého a zahraničního univerzitního prostředí
ŘešitelPetříková Jiřina Ing.
Školitel projektudoc. Ing. Milena Tvrdíková, CSc.<br />
Období řešení projektu01.01.2012 - 31.12.2012
Předmět výzkumuProjekt je zaměřen na identifikaci a analýzu úrovně řízení informační bezpečnosti v prostředí českých a zahraničních univerzit a využití výsledků výzkumu při návrhu Bezpečnostní politiky informací Vysoké školy báňské – Technické univerzity Ostrava.

Projekt by měl poukázat na hrozby s nejvyšší mírou rizika ohrožující informační aktiva v rámci univerzitního prostředí. Tyto výstupy pak bude možné využít pro definování bezpečnostních opatření, která je nutné implementovat pro dosažení potřebné úrovně informační bezpečnosti.

Systém řízení informační bezpečnosti (Information Security Management System, dále jen ISMS) lze v tomto kontextu charakterizovat jako dokumentovaný systém sloužící k predikci rizikových stavů a minimalizaci následků bezpečnostních incidentů.

K účasti na výzkumu budou osloveny všechny univerzity v ČR a některé zahraniční univerzity z Polska a Slovenska. U těchto univerzit bude provedena analýza stavu informační bezpečnosti s využitím metodik a nástrojů používaných při Průzkumu stavu informační bezpečnosti v komerčním sektoru, který je realizován časopisem DSM ve spolupráci se společností ERNST & YOUNG a Národním bezpečnostním úřadem. Výzkum bude zaměřen především na formální bezpečnost, tedy na oblasti týkající se například řízení rizik, řešení bezpečnostních incidentů, ochrany osobních údajů či zvyšování bezpečnostního povědomí.

U univerzit, které v minulosti implementovaly některé z principů řízení informační bezpečnosti, bude zjišťován vliv zavedených bezpečnostních opatření na četnost výskytu a charakter bezpečnostních incidentů.

Součástí projektu bude také výzkum zaměřený na definování rolí a zodpovědností za ochranu informačních aktiv v majetku Vysoké školy báňské – Technické univerzity Ostrava a získané výstupy budou dále využity při návrhu Bezpečnostní politiky informací. Jedná se o stěžejní dokument systému řízení bezpečnosti informací, který definuje základní strategii, cíle, postoje, role, zodpovědnosti a zásady týkající se činností spojených s informační bezpečností. Jeho implementace do prostředí univerzity umožní systematicky řídit rizika, zajišťovat optimální úroveň ochrany významných informačních aktiv univerzity, zvýšit kvalitu služeb vzdělávání, formalizovat procesy v rámci integrovaného systému řízení a také stanovit základní přístupy pro krizové řízení.

Současný stav:

Dosud nebyly realizovány žádné výzkumy, které by poskytovaly informace o stavu informační bezpečnosti na českých univerzitách.

Při zpracování projektu vycházíme z následujících zdrojů:

[1] ARNASON, Sigurjon Thor and Keith D. WILLETT. How to Achieve 27001 Certification - An Example of Applied Compliance Management. New York: Auerbach Publications, 2007. ISBN 978-0-8493-3648-5.
[2] BARMAN, Scott. Writing Information Security Policies. 2nd ed. Indianapolis: New Riders Publishing, 2004. ISBN 978-1-5787-0264-0.
[3] CALDER, Alan and Steve WATKINS. IT Governance: A Manager's Guide to Data Security and ISO 27001 / ISO 27002. 4th ed. London: Kogan Page, 2008. ISBN 978-0-7494-5271-1.
[4] ČERMÁK, Miroslav. Řízení informačních rizik v praxi. Brno: Tribun EU, 2009. ISBN 978-80-7399731-1-1.
[5] EGAN, Mark and Tim MATHER. The Executive Guide to Information Security: Threats, Challenges, and Solutions. Boston: Addison-Wesley Professional, 2004. ISBN 978-0-3213-0451-3.
[6] HUMPHREYS, Edward. Implementing the ISO/IEC 27001 Information Security Management System Standard. London: Artech House Publishers, 2009. ISBN 978-1-59693-172-5.
[7] ISO/IEC 27002:2005. Information technology - Security techniques - Code of practice for information security management. London: British Standards Institution, 2005.
[8] KOPÁČIK, Ivan a kol. Riadenie a audit v informačnej bezpečnosti. Bratislava: TATE International Slovakia, 2007. ISBN 978-80-969747-0-2.
[9] PELTIER, Thomas R. Information Security Policies and Procedures: A Practitioner's Reference. 2nd ed. New York: Auerbach Publications, 2004. ISBN 978-0-8493-1958-7.
[10] STAMP, Mark. Information Security: Principles and Practice. 2nd ed. Hoboken (New Jersey): John Wiley & Sons, 2011. ISBN 978-0-470-62639-9.
[11] TIPTON, Harold F. and Micki KRAUSE. Information Security Management Handbook. 5th ed. New York: Auerbach Publications, 2011. ISBN 978-1-4398-5345-0.
[12] VACCA, John R. Managing Information Security. Burlington: Syngress, 2010. ISBN 978-1-59749-533-2.
[13] WHITMAN, Michael E. and Herbert J. MATTORD. Management of Information Security. 3rd ed. Boston: Course Technology, 2010. ISBN 978-1-4354-8884-7.
[14] WHITMAN, Michael E. and Herbert J. MATTORD. Principles of Information Security. 4th ed. Boston: Course Technology, 2011. ISBN 978-1-111-13821-9.
Členové řešitelského týmuIng. Martin Huf
Bc. Petr Martinásek
Ing. Jan Ministr, Ph.D.
Ing. Jiřina Petříková
Bc. Adam Řeha
Ing. Martin Števko
doc. Ing. Milena Tvrdíková, CSc.
Specifikace výstupů projektu (cíl projektu)Cílem projektu je zjištění stavu informační bezpečnosti v univerzitním prostředí a definování klíčových faktorů ovlivňujících četnost a typ bezpečnostních incidentů. Pro zajištění tohoto výstupu budou získána komplexní data ze zvolené problémové oblasti, která budou vhodná k dalšímu zkoumání s využitím odpovídajících statistických metod, jež jsou dále popsány.

Dílčím cílem pak bude využití výsledků výzkumu pro návrh Bezpečnostní politiky informací VŠB-TUO.

Výzkum lze rozdělit do dvou fází. V první fázi bude sběr dat uskutečněn metodou dotazníkového šetření, které bude probíhat v rámci celé České republiky a na zvolených zahraničních univerzitách. Šetření bude připravováno s využitím metodiky průzkumu stavu informační bezpečnosti v komerčním sektoru a státní správě, a to ve spolupráci se společností ERNST & YOUNG a časopisem DSM.
Pro druhou fázi pak vybereme 10 univerzit, u kterých bude realizován podrobný průzkum všech oblastí informační bezpečnosti za pomoci řízených osobních rozhovorů s vyžitím metodiky definované normou ISO/IEC 27001. Získaná data budou kompletována a zpracována do podoby ucelených přehledů.

Analýza dat bude zaměřena na zkoumání závislostí mezi kvantitativními a kvalitativními ukazateli charakterizujícími stav informační bezpečnosti na dané univerzitě a pravděpodobností výskytu bezpečnostního incidentu s ohledem na jeho charakter a předpokládané ekonomické ztráty v případě jeho realizace. Součástí analýzy bude také identifikace klíčových faktorů, které se podílí nejvyšší měrou na vzniku nežádoucích stavů.

Pro analýzu získaných dat budou využity následující metody:
- test ANOVA
- korelační analýza - Pearsonův korelační koeficient
- regresní analýza
- faktorová explorační analýza

Projekt zakládá dlouhodobý výzkum trendu bezpečnosti informací na českých univerzitách.

Harmonogram činností:

Leden 2012: Příprava realizace projektu, přidělení úkolů členům týmu.
Únor – duben 2012: Studium odborné literatury, identifikace informačních potřeb ve vzdělávacích institucích, zhodnocení možnosti aplikace průmyslových metodik, definování struktury dat pro dotazníkové šetření.
Duben-květen 2012: Realizace dotazníkového šetření.
Květen-červen 2012: Řízené osobní rozhovory na vybraných univerzitách.
Červenec – srpen 2012: Analýza získaných dat, interpretace výsledků. Zpracování prvních publikačních výstupů.
Září – říjen 2012: Využití výsledků analýzy v prostředí VŠB-TUO, návrh Bezpečnostní politiky informací.
Listopad – prosinec 2012: Souhrnné zhodnocení výsledků, zpracování článků, publikování.

Plánovaná vystoupení na mezinárodních konferencích:

- Federated Conference on Computer Science and Information Systems, Wrocław, Polsko, září 2012 (D - dle RVVI za 8 bodů)
- IDIMT - Interdisciplinary Information and Management Talls, Jindřichův Hradec, září 2012 (D - dle RVVI za 8 bodů)
- mezinárodní konference doktorandů – MEKON 2013

Publikování výsledků ve vybraných recenzovaných časopisech – reálný termín publikování se předpokládá na konci roku 2012 nebo v průběhu roku 2013:

- Data Security Management (Jrec – dle RVVI za 4 body)
- ECON (Jrec – dle RVVI za 4 body)
- Ekonomická revue (Jrec – dle RVVI za 4 body)

Výstupem projektu SGS bude závazně minimálně 20 bodů.

Rozpočet projektu - uznané náklady

NávrhSkutečnost
1. Osobní náklady
Z toho
13400,-13400,-
1.1. Mzdy (včetně pohyblivých složek)10000,-10000,-
1.2. Odvody pojistného na veřejné zdravotně pojištění a pojistného na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti3400,-3400,-
2. Stipendia84000,-84000,-
3. Materiálové náklady44000,-59367,-
4. Drobný hmotný a nehmotný majetek0,-0,-
5. Služby26600,-26191,-
6. Cestovní náhrady30000,-15042,-
7. Doplňkové (režijní) náklady max. do výše 10% poskytnuté podpory22000,-22000,-
8. Konference pořádané VŠB-TUO k prezentaci výsledků studentského grantu (max. do výše 10% poskytnuté podpory)0,-0,-
9. Pořízení investic0,-0,-
Plánované náklady220000,-
Uznané náklady220000,-
Celkem běžné finanční prostředky220000,-220000,-