Bezpečnost při práci s IS Studium ****************************************************************************************** * ****************************************************************************************** Verze 01 ****************************************************************************************** * Zásady práce s IS Studium pro jednotlivé kategorie uživatelů ****************************************************************************************** Tato kapitola shrnuje základní doporučení pro práci s IS Studium, jejichž cílem je snížit informací nebo zneužití přístupu do systému na minimum: • Uživatel je povinen volit dostatečně přístupové bezpečné heslo, což v praxi znamená, že má být zapamatovatelné, avšak současně dostatečně složité, aby je jiná osoba nemohla sna zneužít. Doporučení pro tvorbu přístupových hesel jsou uvedena např. na stránkách Centrá služby UK (dále jen „CAS“). • Uživatel je povinen přístupové heslo uchovávat v tajnosti a nesdělovat je dalším osobám, osobám ani spolupracovníkům či spolužákům. • Uživatel by si neměl přístupové heslo nikam zapisovat (např. na počítač, na cedulku na m diáře apod.), ale ponechat je uložené pouze ve své hlavě. V případě nouze je vždy možné fakultního správce IS Studium nebo na správu CAS s prosbou o znovunastavení hesla. • Uživatel nesmí přístupový účet do systému sdílet s dalšími spolupracovníky (předejde se sporům, kdo způsobil jakou chybu v datech systému apod.). Systém (až na vybrané systémov možnosti, jak umožnit přístup více uživatelům ke stejným datům a se stejnými právy. • V případě, že uživatel opouští svůj počítač, měl by provést jeho zabezpečení před zneuži počítač uzamknout prostředky, které k tomu nabízí provozovaný operační systém. Je zakázá na počítači otevřený program s možností náhledu na citlivá data nebo s možností jejich z nepovolaných osobám (ostatní spolupracovníci, jiní zaměstnanci či zcela cizí osoby, např údržbář, pošťák, student apod.). • Uživatelé, kteří při práci s programy IS Studium přicházejí osobně do styku se studenty na přepážce), by si měli monitor umístit tak, aby nebylo možné z pohledu příchozího stud návštěvníka číst údaje na monitoru a zjišťovat tak potenciálně osobní a studijní údaje o studentech, uchazečích o studium apod. • Je doporučeno, aby uživatelé používali antivirový software. • Je třeba, aby se uživatelé vyvarovali reakce na tzv. „podvodné e-maily“, které požadují či kliknout na nějaký odkaz a zadat při tom kompletní přihlašovací údaje uživatele – na požaduje zadat přihlašovací údaje, uživatel nesmí reagovat či provádět postupy v něm pož • Na počítači, na které uživatel provozuje programy IS Studium, je třeba se vyvarovat použ služeb internetu, které mohou umožnit přístup cizích osob zvenčí na tento počítač. • Uživatel by se měl domluvit s fakultním správcem výpočetní techniky na tom, aby jeho poč proti útokům zvenčí, např. firewallem přímo na počítači nebo firewallem pro lokální síť, počítač připojuje apod. ****************************************************************************************** * Loginy a hesla ****************************************************************************************** Uživatele IS Studium je možné podle způsobu přístupu rozdělit do následujících skupin: • anonymní uživatelé, • uchazeči o studium, • studenti, stážisté a osoby studující v kurzech celoživotního vzdělávání (dále jen CŽV), • učitelé a zaměstnanci. *========================================================================================= * Anonymní uživatelé *========================================================================================= Anonymní uživatelé přistupují k IS Studium prostřednictvím webového rozhraní umístěného na is.cuni.cz/studium [ URL " http://is.cuni.cz/studium"] . Mohou využívát pouze takové modul které nevyžadují přihlášení. Loginem ani heslem nedisponují. *========================================================================================= * Uchazeči o studium *========================================================================================= Uchazeči o studium přistupují k IS Studium prostřednictvím webového rozhraní umístěného na is.cuni.cz/studium [ URL " http://is.cuni.cz/studium"] . Přihlašují se specifickým způsobe vybraných identifikačních údajů osoby a/nebo čísla přihlášky. Mohou využívat pouze moduly přijímací řízení, zejména moduly Elektronická přihláška ke studiu a Průběh přijímacího říz heslem nedisponují. *========================================================================================= * Studenti, stážisté a osoby studující v kurzech CŽV *========================================================================================= Studenti, stážisté a osoby studující v kurzech CŽV (dále jen studenti) přistupují k IS Stu prostřednictvím webového rozhraní umístěného na adrese http://is.cuni.cz/studium [ URL " h studium"] . Používají studentské moduly pro zápis předmětů, zápis do rozvrhu, přihlašování výběr studentských prací apod. Studenti se mohou přihlásit: • buď číslem osoby a heslem nastaveným v CAS, • anebo loginem vygenerovaným CAS a heslem nastaveným v CAS. Číslo osoby je všem studentům (v případě, že jde o osoby dosud neevidované v Informačním s jen „IS UK“) vygenerováno nejpozději v okamžiku založení studia v aplikaci Student, v typi však již v okamžiku založení přihlášky ke studiu aplikací Uchazeč. Číslo osoby se student v okamžiku vydání studentského průkazu, na němž je číslo osoby uvedeno pod fotografií, a k vygenerováno počáteční heslo pro nastavení osobního hesla v CAS. Login je studentům vygenerován CAS nejpozději v okamžiku vzniku vztahu osoby v CAS, tj. do hodin poté, co je studentovi nastaven vztah s významem studuje v aplikaci Student. Login s zpravidla v okamžiku vydání studentského průkazu, kdy je spolu s počátečním heslem student i jeho login do aplikací IS UK. Login mohou studenti rovněž nalézt v aplikaci Vyhledávání "https://is.cuni.cz/studium/loginy/index.php"] na adrese nebo po přihlášení přímo v CAS [ ldap.cuni.cz"] . Z historických důvodů existují případy, kdy je login nastaven v IS Studium a v CAS odlišně jsou průběžně řešeny. Změna loginu neovlivňuje již nastavené heslo, které je možné používa Fakultní správce IS Studium nemůže login ani heslo nastavit ani změnit. *========================================================================================= * Učitelé a zaměstnanci *========================================================================================= Učitelé a zaměstnanci přistupují k IS Studium prostřednictvím webového rozhraní umístěného http://is.cuni.cz/studium [ URL " http://is.cuni.cz/studium"] a/nebo prostřednictvím exe a Uchazeč, Tajemník, Parametry, ...). Tuto skupinu je tedy možné dále rozdělit na tyto podskupiny: • uživatelé s výhradně webovými rolemi, • uživatelé s rolemi pro exe aplikace. ------------------------------------------------------------------------------------------ Uživatelé s výhradně webovými rolemi (typicky učitelé) ------------------------------------------------------------------------------------------ Tito uživatelé používají zejména webové moduly určené pro vyučující, jakými jsou např. mod studijních výsledků, editaci informací o předmětech, tvorbu rozvrhu apod. Tito uživatelé se zakládají pomocí aplikace Tajemník (tlačítko „Nový vyučující“) nebo Para záznamu do číselníku „Učitelé a zaměstnanci“). Tito uživatelé používají pouze webové aplikace IS Studium, a to v mezích definovaných jeji přidělovanými (po předchozím založení osoby) v aplikacích Parametry nebo Tajemník (tlačítk www aplikací“) nebo fakultním správcem IS Studium ve webovém modulu Správa SIS - Role a už „Úprava uživatele“). Tito uživatelé se nezobrazují v aplikaci Správce, ta je určena pouze pro správu uživatelů Pokud je známo číslo osoby učitele či zaměstnance, je třeba je uvést do položky UKČO. Čísl identifikovat osobu v IS UK a propojit záznam s CAS a umožnit tak uživateli přihlásit se p a hesla nastaveného v CAS nebo loginem vygenerovaným v CAS a heslem nastaveným v CAS. Čísl uživateli nastavit, ale ne změnit (z bezpečnostních důvodů). V případě potřeby změnit čísl se fakultní správce může obrátit na univerzitního správce. Pokud je číslo osoby známo, neměl by administrátor nastavovat uživateli login (pokud není vygeneruje automaticky CAS do cca 2 hodin od založení uživatele s číslem osoby. Číslo osob a zaměstnanci dozví zpravidla v okamžiku vydání zaměstnaneckého průkazu, na němž je číslo pod fotografií. Login se učitelé a zaměstnanci dozví zpravidla rovněž v okamžiku vydání za průkazu, kdy je jim login vytištěn spolu s počátečním heslem pro CAS. Případně jim login m fakultní správce IS Studium nebo jej mohou nalézt pro přihlášení přímo v CAS [ URL "http:/ Pokud číslo osoby není známo, je přesto možné umožnit uživateli přístup k webovým aplikací loginu a hesla v aplikacích Parametry nebo Tajemník (tlačítko „Přístup do www aplikací“) n správcem ve webové aplikaci Správa SIS - Role a uživatelé (záložka „Úprava uživatele“). Be však nebude možné využít pro přihlášení heslo nastavené v CAS. Z historických důvodů existují případy, kdy je login nastaven v IS Studium a v CAS odlišně jsou průběžně řešeny. Změna loginu neovlivňuje již nastavené heslo, které je možné používa Fakultní správce IS Studium může login i heslo nastavit i změnit. ------------------------------------------------------------------------------------------ Uživatelé s rolemi pro exe aplikace (typicky studijní referentky a tajemníci kateder) ------------------------------------------------------------------------------------------ Tito uživatelé používají převážně exe aplikace (Student, Uchazeč, Tajemník, Parametry), al i webové aplikace, pokud mají příslušnou roli. Tito uživatelé jsou zakládáni aplikací Správce a touto aplikací se dále spravují. Aplikace uživatele zakládá jako reálné databázové uživatele databáze Oracle. Pozor: Uživatelé založení aplikací Správce se z historických důvodů automaticky nezakládaj „Učitelé a zaměstnanci“, je však možné je do něj přidat aplikací Tajemník (tlačítko „Nový Parametry (vložením záznamu do číselníku „Učitelé a zaměstnanci“). Z historických důvodů existují případy, kdy je login nastaven v IS Studium a v CAS odlišně jsou průběžně řešeny. Změnu loginu těchto uživatelů není možné provést jinak než zrušením uživatele aplikací Spr založením s jiným loginem. Před zrušením uživatele je nutné mu odebrat všechny role na vše změně loginu si systém nezapamatuje původní heslo a je nutné heslo uživateli nastavit znov ------------------------------------------------------------------------------------------ pokud uživatelé s rolemi pro exe aplikace přistupují k webovým aplikacím ------------------------------------------------------------------------------------------ Pokud mají uživatelé v aplikaci Správce vyplněné číslo osoby (UKČO), které tvoří vazební p komunikaci s CAS, mohou se do webových aplikací přihlásit číslem osoby a heslem nastaveným loginem vygenerovaným v CAS a heslem nastaveným v CAS. Zároveň se uživatelé do webového rozhraní mohou přihlásit loginem nastaveným fakultním spr Správce a heslem nastaveným fakultním správcem v aplikaci Správce. Heslo nastavené fakultn aplikaci Správce si uživatelé mohou změnit v aplikacích Student, Uchazeč, Tajemník, Parame Systém -> Změna hesla ...). ------------------------------------------------------------------------------------------ pokud uživatelé přistupují k exe aplikacím ------------------------------------------------------------------------------------------ Uživatelé musí použít heslo nastavené fakultním správcem v aplikaci Správce. Uživatelé si fakultním správcem mohou změnit v aplikacích Student, Uchazeč, Tajemník, Parametry (položk Změna hesla ...). *========================================================================================= * Cílový stav *========================================================================================= Cílový stav způsobu práce s loginy a hesly v IS Studium je následující: • loginy pro všechny uživatele s číslem osoby bude nastavovat CAS a nebude je možné v IS S • loginy všech uživatelů s číslem osoby budou odpovídat loginům v CAS, • ověřování hesla všech uživatelů s číslem osoby (jak s webovými rolemi, tak s rolemi pro bude probíhat v CAS, • uživatelé, u nichž není známo číslo osoby, budou mít login i heslo nastavované správcem zajištěna bezkoliznost loginu v CAS), • po doplnění čísla osoby k uživateli se začne automaticky ověřovat jeho uživatelské jméno K dosažení popsaného cílového stavu je třeba vykonat několik postupných kroků. Termín dosa stavu zatím není znám; lze však předpokládat, že se jej podaří dosáhnout do konce roku 200 ****************************************************************************************** * Deduplikace uživatelů a evidovaných osob ****************************************************************************************** Stává se, a to jak v případě uživatelů (pracovníků zacházejících s programy IS Studium) s oprávněním, než mají studenti či uchazeči o studium, tak v případě studentů či uchazečů o daná osoba v systému zaevidována dvakrát (případně vícekrát). Nejčastěji k tomu dochází v a uchazečů o studium z řad cizinců, u kterých může současně existovat univerzitou vygenero kód a státem přidělené rodné číslo. Kromě těchto případů může k duplicitní evidenci studen o studium dojít v důsledku nějakého typu překlepu. V případě uživatelů s vyšším oprávněním důvodem vzniku duplicity záznamu o uživateli jeho působení na více fakultách UK s různými historických důvodů vzniklá duplicita i v rámci jedné fakulty. Deduplikace je proces, který se snaží výše popsaný stav napravit. V případě studentů a uch při tomto procesu dojde k zániku jednoho výskytu záznamu o osobě, přičemž studia a přihláš u zanikajícího záznamu o osobě se převedou k druhému záznamu té samé osoby, který byl vybr ponechán. Přitom dochází zároveň k tomu, že osobní a kontaktní údaje uvedené v jednom ze záznamů o t ztraceny a nadále zůstanou v platnosti osobní a kontaktní údaje ponechaného záznamu dané o V případě deduplikace uživatelů - pracovníků UK - vzniká (narozdíl od studentů a uchazečů problém spíše s přístupovými rolemi do systému. U ponechaného záznamu zůstávají všechna př role, kdežto práva a role mazaného záznamu se při deduplikaci ztratí. Deduplikace se řeší vždy na centrální úrovni. Pomoc při tomto procesu poskytují dva nástro Správa SIS - Role a uživatelé a dále program Parametry. ****************************************************************************************** * Práce s osobními údaji ****************************************************************************************** Při práci s osobními údaji platí zejména následující zásady: • Pracovníci a uživatelé systému, kteří mají přístup k osobním údajům osob evidovaným v IS povinni zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnán při nichž mají dotyční pracovníci k osobním údajům přístup. Doporučuje se u těchto praco mlčenlivosti zakotvit ve smlouvě upravující pracovněprávní vztah pracovníka s UK. • V případě, že pracovník komunikuje o údajích týkajících se studia či přihlášky ke studiu uchazečem o studium, kterého se tyto údaje týkají, je třeba, aby si ověřil, že jedná sku osobou (např. na základě sdělení některých identifikačních údajů studentem či uchazečem Osobní údaje studenta či uchazeče o studium nelze, bez písemného souhlasu studenta či uc studium, sdělovat dalším osobám, ani pokud jsou v příbuzenském vztahu se studentem či uc studium. • Osobní údaje studentů a uchazečů o studium je možné poskytovat orgánům státní a veřejné republiky, pokud povinnost poskytnutí těchto informací vyplývá z platných právních předp ****************************************************************************************** * ****************************************************************************************** Vypracováno: 27. 03. 2009 Zveřejněno: 06. 04. 2009 Vypracovali: Sc Mgr. Michal Josífko, Jakub Zásměta Mgr. oddělení pro informační systém univerzity, vedoucí oddělení ÚVT UK