FIALÍK, T. Návrh síťové bezpečnosti firmy a plánu obnovy [online]. Brno: Vysoké učení technické v Brně. Fakulta strojního inženýrství. 2023.
Tato diplomová práce (DP) se věnovala "Návrhu síťové bezpečnosti firmy a plánu obnovy" a odpovídá zadání. Cíle DP student splnil a práci logicky rozdělil na úvod, hlavní kapitoly, závěr a přílohy. Po formální stránce je hodnocená práce zpracována na dobré úrovni s větším počtem stylistických chyb, Vlastní text student zpracoval velmi dobře a řešil problematiku ve vybrané firmě pro kterou navrhoval firemní síť a plán obnovy s pohledu managementu. V případě práce pokud by byla koncipována do hloubky (technické řešení, typologie sítí, bezpečnostní prvky aj.), by se jednalo o velmi obsahlou práci. Student prokázal schopnost vhodně interpretovat dosažené výsledky a vyvodit z nich závěry. Student při práci vychází z doporučené literatury, kterou vhodně doplnil i dalšími zdroji a ty řádně ocitoval. Práce jako celek představuje dobrou publikaci, která může být využita v praxi, jako inspirace pro další firmy. Student na diplomové práci pracoval samostatně a využíval konzultací na ústavu ÚVSSR. Práci doporučuji k obhajobě.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Splnění požadavků a cílů zadání | A | ||
| Postup a rozsah řešení, adekvátnost použitých metod | B | ||
| Vlastní přínos a originalita | B | ||
| Schopnost interpretovat dosažené výsledky a vyvozovat z nich závěry | A | ||
| Využitelnost výsledků v praxi nebo teorii | B | ||
| Logické uspořádání práce a formální náležitosti | B | ||
| Grafická, stylistická úprava a pravopis | B | ||
| Práce s literaturou včetně citací | A | ||
| Samostatnost studenta při zpracování tématu | B |
Problematika informační bezpečnosti je velmi složitá, není-li uchopena pevně a jednoznačně. Práce vykazuje potenciál studenta v řešení daných otázek. Nicméně, co bych považovala za velmi podstatné, je schopnost definice "co je třeba řešit". V části teoretických východisek se student mohl více profilovat do oblastí, které souvisí s problematikou síťové bezpečnosti, méně pak do oblastí managementu. Čímž by si jednoznačněji vymezil rámec řešené problematiky, např.: zcela chybí topologie síťové infrastruktury, zmínka o referenčních modelech, či síťové architektuře, popřípadě i typy kabeláží a dalších komponent a prvků. Zmiňuje-li student NIS2 ve svém závěru, pak by v práci mohl také zmínit krom NIST, také ENISA (The European Union Agency for Cybersecurity), což je právě ona hybná síla kybernetické bezpečnosti na úrovni Evropské unie. V oblasti dohledu nad daty, by bylo vhodné zařadit zmínku o nástrojích s nimiž společnosti pracují na úrovni monitoringu, např. SCADA systémy. Co se pak zpracování praktické části týče, z pohledu praxe by bylo vhodné postupovat dle doporučení ISO 27002 - tedy vyhrocení aktiv společnosti, jejich klasifikaci a zaměření se primárně na aktiva s nejvyšší hodnotou pro podnikové procesy. Dovolím si uvést pár poznámek z hodnocené práce: - str.24 - podstatnější je uvést datum, ke kterému směrnice, či jiný dokument je přijat, nežli, kdy byl zveřejněn. Tedy u Směrnice EU 2022/2555 (NIS2) se jedná o datum 14.12.2022; - str.25 - NIS 2 - příloha I. jednoznačně definuje odvětví na Vysoce kritická a Další kritická odvětví; - str.26 - v oblasti legislativy považuji za poměrně validní upozornit na aktuální tvorbu nového zákona, jehož tvorbu lze sledovat na stránkách NUKIB a na odborné úrovni je možné se k němu i vyjadřovat; - str.26 - GDPR - není uvedena informace, že se jedná o: "NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)"; - str.27 - Nařízení rozšiřuje pojem "osobní údaje"-> veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby; - str.36 - pokud bych měla vytáhnout některé normy, vztažené k řešené problematice, pak bych se zaměřila právě na normy řady ISO norem 15408-xx je určena viz. kapitola 5.3.4 b.) auditoři, interní i externí, odpovědní za posouzení adekvátnosti bezpečnostního řešení IT. Dle 5.2 je zde i řešena právě i oblast - místní síť (LAN) obsahující všechny terminály, servery, síťová řízení a SW.; a samozřejmě ISO 27033-xx, na které se mohl student více zaměřit. -str.52 - Fyzická bezpečnost - datové sítě se mapují pomocí diagramů toků dat v rámci topologie sítě. Jejím zmapování je možno jednoznačně určit prvky zapojené v síti. Z pohledu bezpečnosti se díváme na topologii sítě z pohledu fyzického a logického. Z bezpečnostního hlediska řešeného v této práci je pak primární pohled na první, tedy fyzickou vrstvu (ISO/OSI) modelu nejpodstatnější (moderní prvky již z části pracují i na vrstvě linkové). Na úrovni bezpečnosti sítě je také důležité se zaměřit právě na bezpečnost komponent samotné sítě a jejího fyzického vedení. Síť má být vedena buď v drážkách zdiva, nebo lištách (dle úrovně datového aktiva, které přenáší). - str.53 - Bezpečnost konvových bodů - koncových - str.61 - zde by bylo vhodné uvést informace k vymezení rámce Informační bezpečnosti->Kde se daná síť nachází? Typ? Kde je daná budova umístěna? Chybí vytyčení ono pověstné vytyčení perimetru. Tedy společnost Ferrit s.r.o. má odlišnou adresu sídla společnosti a provozovny. Pokud se zaměřujeme na provozovnu, pak je perimetr vymezen parcelami 7393/44 a 7393/38 budovy určené pro administrativu. Přičemž budova na prcele číslo 7393/38 má 4.NP a budova 7393/44 má 3.NP. Budovy jsou propojeny vrátnicí. S ohledem na vícepatrové budovy bude síť rozvedena pomocí dvou páteřních systému zakomponovaných do budov (předpoklad dle katastrálních a mapových podkladů). Dále se jedná o budovy se statusem více účelová stavba p.č. 7393/4, nebo stavba pro výrobu a skladování na parcelách p.č. 7393/5; 7393/31; 7393/50; 7393/6 a jím příslušejících obslužných ploch a ploch určených pro nakládku a vykládku, atd. -> čímž by bylo jednoznačně vymezeno, která ze sítí spadá do tzv. "Office net" a která do kategorie "Technology net"; - str.66 - Zero Trust Policy - znamená "nikdy nedůvěřuj, vždy ověřuj". V případě, že má společnost privátní cloudové úložiště, pak daný cloudový server skutečně využívá pouze jedna společnost kvůli míře bezpečnosti, ale takový cloud bývá umístěn v nějakém datacentru, nebo pomocí hostování. V případě, že je fyzický server cloudového úložiště umístěn ve stejném areálu, pak se bezpečnost zálohovaných dat snižuje, a to i za předpokladu, že je umístěn v zabezpečené místnosti stejného areálu; - str.83 - Student se zaměřuje na chybu lidského faktoru. V praxi se však můžeme velmi často setkat i s tím, že slabým článkem je zastaralý prvek infrastruktury, jehož aktualizace SW již buď nejsou podporovány. Což však lze podchytit evidencí SW a HW a nastavením životnosti prvků. Eliminaci kreativity lidských zdrojů má ve všech případech na starosti IT technik. Nicméně z práce je vidět diplomantovo zapálení pro jím zvolenou oblast a nadšení ve zpracování. Práce však mohla být užžší a hlouběji uchopena právě v oblasti sítí. Práce i student prokázali velký potenciál.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Splnění požadavků a cílů zadání | C | ||
| Postup a rozsah řešení, adekvátnost použitých metod | D | ||
| Vlastní přínos a originalita | C | ||
| Schopnost interpretovat dosaž. výsledky a vyvozovat z nich závěry | B | ||
| Využitelnost výsledků v praxi nebo teorii | D | ||
| Logické uspořádání práce a formální náležitosti | C | ||
| Grafická, stylistická úprava a pravopis | A | ||
| Práce s literaturou včetně citací | B |
eVSKP id 149313