Bezpečnost při práci s IS Studium

Verze 01


Zásady práce s IS Studium pro jednotlivé kategorie uživatelů

Tato kapitola shrnuje základní doporučení pro práci s IS Studium, jejichž cílem je snížit riziko úniku informací nebo zneužití přístupu do systému na minimum:

  • Uživatel je povinen volit dostatečně přístupové bezpečné heslo, což v praxi znamená, že přístupové heslo má být zapamatovatelné, avšak současně dostatečně složité, aby je jiná osoba nemohla snadno uhodnout a zneužít. Doporučení pro tvorbu přístupových hesel jsou uvedena např. na stránkách Centrální autentizační služby UK (dále jen „CAS“).


  • Uživatel je povinen přístupové heslo uchovávat v tajnosti a nesdělovat je dalším osobám, a to cizím osobám ani spolupracovníkům či spolužákům.


  • Uživatel by si neměl přístupové heslo nikam zapisovat (např. na počítač, na cedulku na monitor, do diáře apod.), ale ponechat je uložené pouze ve své hlavě. V případě nouze je vždy možné se obrátit na fakultního správce IS Studium nebo na správu CAS s prosbou o znovunastavení hesla.


  • Uživatel nesmí přístupový účet do systému sdílet s dalšími spolupracovníky (předejde se tak např. sporům, kdo způsobil jakou chybu v datech systému apod.). Systém (až na vybrané systémové role) nabízí možnosti, jak umožnit přístup více uživatelům ke stejným datům a se stejnými právy.


  • V případě, že uživatel opouští svůj počítač, měl by provést jeho zabezpečení před zneužitím, např. počítač uzamknout prostředky, které k tomu nabízí provozovaný operační systém. Je zakázáno ponechávat na počítači otevřený program s možností náhledu na citlivá data nebo s možností jejich změny k dispozici nepovolaných osobám (ostatní spolupracovníci, jiní zaměstnanci či zcela cizí osoby, např. uklízečka, údržbář, pošťák, student apod.).


  • Uživatelé, kteří při práci s programy IS Studium přicházejí osobně do styku se studenty (např. referent na přepážce), by si měli monitor umístit tak, aby nebylo možné z pohledu příchozího studenta či jiného návštěvníka číst údaje na monitoru a zjišťovat tak potenciálně osobní a studijní údaje o ostatních studentech, uchazečích o studium apod.


  • Je doporučeno, aby uživatelé používali antivirový software.


  • Je třeba, aby se uživatelé vyvarovali reakce na tzv. „podvodné e-maily“, které požadují odpovědět či kliknout na nějaký odkaz a zadat při tom kompletní přihlašovací údaje uživatele – na mail, který požaduje zadat přihlašovací údaje, uživatel nesmí reagovat či provádět postupy v něm požadované.


  • Na počítači, na které uživatel provozuje programy IS Studium, je třeba se vyvarovat použití takových služeb internetu, které mohou umožnit přístup cizích osob zvenčí na tento počítač.


  • Uživatel by se měl domluvit s fakultním správcem výpočetní techniky na tom, aby jeho počítač byl chráněn proti útokům zvenčí, např. firewallem přímo na počítači nebo firewallem pro lokální síť, ke které se počítač připojuje apod.


Loginy a hesla

Uživatele IS Studium je možné podle způsobu přístupu rozdělit do následujících skupin:

  • anonymní uživatelé,

  • uchazeči o studium,

  • studenti, stážisté a osoby studující v kurzech celoživotního vzdělávání (dále jen CŽV),

  • učitelé a zaměstnanci.


Anonymní uživatelé

Anonymní uživatelé přistupují k IS Studium prostřednictvím webového rozhraní umístěného na adrese http://is.cuni.cz/studium. Mohou využívát pouze takové moduly IS Studium, které nevyžadují přihlášení. Loginem ani heslem nedisponují.


Uchazeči o studium

Uchazeči o studium přistupují k IS Studium prostřednictvím webového rozhraní umístěného na adrese http://is.cuni.cz/studium. Přihlašují se specifickým způsobem pomocí vybraných identifikačních údajů osoby a/nebo čísla přihlášky. Mohou využívat pouze moduly určené pro přijímací řízení, zejména moduly Elektronická přihláška ke studiu a Průběh přijímacího řízení. Loginem ani heslem nedisponují.


Studenti, stážisté a osoby studující v kurzech CŽV

Studenti, stážisté a osoby studující v kurzech CŽV (dále jen studenti) přistupují k IS Studium prostřednictvím webového rozhraní umístěného na adrese http://is.cuni.cz/studium. Používají studentské moduly pro zápis předmětů, zápis do rozvrhu, přihlašování na zkoušky, výběr studentských prací apod.


Studenti se mohou přihlásit:

  • buď číslem osoby a heslem nastaveným v CAS,

  • anebo loginem vygenerovaným CAS a heslem nastaveným v CAS.

Číslo osoby je všem studentům (v případě, že jde o osoby dosud neevidované v Informačním systému UK – dále jen „IS UK“) vygenerováno nejpozději v okamžiku založení studia v aplikaci Student, v typickém případě však již v okamžiku založení přihlášky ke studiu aplikací Uchazeč. Číslo osoby se student dozví zpravidla v okamžiku vydání studentského průkazu, na němž je číslo osoby uvedeno pod fotografií, a kdy je mu zároveň vygenerováno počáteční heslo pro nastavení osobního hesla v CAS.


Login je studentům vygenerován CAS nejpozději v okamžiku vzniku vztahu osoby v CAS, tj. do několika hodin poté, co je studentovi nastaven vztah s významem studuje v aplikaci Student. Login se student dozví zpravidla v okamžiku vydání studentského průkazu, kdy je spolu s počátečním heslem studentovi vytištěn i jeho login do aplikací IS UK. Login mohou studenti rovněž nalézt v aplikaci Vyhledávání loginů na adrese nebo po přihlášení přímo v CAS.


Z historických důvodů existují případy, kdy je login nastaven v IS Studium a v CAS odlišně. Tyto případy jsou průběžně řešeny. Změna loginu neovlivňuje již nastavené heslo, které je možné používat i nadále.


Fakultní správce IS Studium nemůže login ani heslo nastavit ani změnit.

Učitelé a zaměstnanci

Učitelé a zaměstnanci přistupují k IS Studium prostřednictvím webového rozhraní umístěného na adrese http://is.cuni.cz/studium a/nebo prostřednictvím exe aplikací (Student, Uchazeč, Tajemník, Parametry, ...).


Tuto skupinu je tedy možné dále rozdělit na tyto podskupiny:

  • uživatelé s výhradně webovými rolemi,

  • uživatelé s rolemi pro exe aplikace.


Uživatelé s výhradně webovými rolemi (typicky učitelé)

Tito uživatelé používají zejména webové moduly určené pro vyučující, jakými jsou např. moduly pro zápis studijních výsledků, editaci informací o předmětech, tvorbu rozvrhu apod.


Tito uživatelé se zakládají pomocí aplikace Tajemník (tlačítko „Nový vyučující“) nebo Parametry (vložením záznamu do číselníku „Učitelé a zaměstnanci“).


Tito uživatelé používají pouze webové aplikace IS Studium, a to v mezích definovaných jejich rolemi přidělovanými (po předchozím založení osoby) v aplikacích Parametry nebo Tajemník (tlačítko „Přístup do www aplikací“) nebo fakultním správcem IS Studium ve webovém modulu Správa SIS - Role a uživatelé (záložka „Úprava uživatele“).


Tito uživatelé se nezobrazují v aplikaci Správce, ta je určena pouze pro správu uživatelů exe aplikací.


Pokud je známo číslo osoby učitele či zaměstnance, je třeba je uvést do položky UKČO. Číslo osoby umožní identifikovat osobu v IS UK a propojit záznam s CAS a umožnit tak uživateli přihlásit se pomocí čísla osoby a hesla nastaveného v CAS nebo loginem vygenerovaným v CAS a heslem nastaveným v CAS. Číslo osoby je možné uživateli nastavit, ale ne změnit (z bezpečnostních důvodů). V případě potřeby změnit číslo osoby v záznamu se fakultní správce může obrátit na univerzitního správce.


Pokud je číslo osoby známo, neměl by administrátor nastavovat uživateli login (pokud není vyplněn). Login vygeneruje automaticky CAS do cca 2 hodin od založení uživatele s číslem osoby. Číslo osoby se učitelé a zaměstnanci dozví zpravidla v okamžiku vydání zaměstnaneckého průkazu, na němž je číslo osoby uvedeno pod fotografií. Login se učitelé a zaměstnanci dozví zpravidla rovněž v okamžiku vydání zaměstnaneckého průkazu, kdy je jim login vytištěn spolu s počátečním heslem pro CAS. Případně jim login může sdělit fakultní správce IS Studium nebo jej mohou nalézt pro přihlášení přímo v CAS.


Pokud číslo osoby není známo, je přesto možné umožnit uživateli přístup k webovým aplikacím nastavením loginu a hesla v aplikacích Parametry nebo Tajemník (tlačítko „Přístup do www aplikací“) nebo fakultním správcem ve webové aplikaci Správa SIS - Role a uživatelé (záložka „Úprava uživatele“). Bez čísla osoby však nebude možné využít pro přihlášení heslo nastavené v CAS.


Z historických důvodů existují případy, kdy je login nastaven v IS Studium a v CAS odlišně. Tyto případy jsou průběžně řešeny. Změna loginu neovlivňuje již nastavené heslo, které je možné používat i nadále.


Fakultní správce IS Studium může login i heslo nastavit i změnit.

Uživatelé s rolemi pro exe aplikace (typicky studijní referentky a tajemníci kateder)

Tito uživatelé používají převážně exe aplikace (Student, Uchazeč, Tajemník, Parametry), ale mohou používat i webové aplikace, pokud mají příslušnou roli.


Tito uživatelé jsou zakládáni aplikací Správce a touto aplikací se dále spravují. Aplikace Správce uživatele zakládá jako reálné databázové uživatele databáze Oracle.


Pozor: Uživatelé založení aplikací Správce se z historických důvodů automaticky nezakládají do číselníku „Učitelé a zaměstnanci“, je však možné je do něj přidat aplikací Tajemník (tlačítko „Nový vyučující“) nebo Parametry (vložením záznamu do číselníku „Učitelé a zaměstnanci“).


Z historických důvodů existují případy, kdy je login nastaven v IS Studium a v CAS odlišně. Tyto případy jsou průběžně řešeny.


Změnu loginu těchto uživatelů není možné provést jinak než zrušením uživatele aplikací Správce a opětovným založením s jiným loginem. Před zrušením uživatele je nutné mu odebrat všechny role na všech fakultách. Při změně loginu si systém nezapamatuje původní heslo a je nutné heslo uživateli nastavit znovu.

pokud uživatelé s rolemi pro exe aplikace přistupují k webovým aplikacím

Pokud mají uživatelé v aplikaci Správce vyplněné číslo osoby (UKČO), které tvoří vazební prvek pro komunikaci s CAS, mohou se do webových aplikací přihlásit číslem osoby a heslem nastaveným v CAS nebo loginem vygenerovaným v CAS a heslem nastaveným v CAS.


Zároveň se uživatelé do webového rozhraní mohou přihlásit loginem nastaveným fakultním správcem v aplikaci Správce a heslem nastaveným fakultním správcem v aplikaci Správce. Heslo nastavené fakultním správcem v aplikaci Správce si uživatelé mohou změnit v aplikacích Student, Uchazeč, Tajemník, Parametry (položka menu Systém -> Změna hesla ...).

pokud uživatelé přistupují k exe aplikacím

Uživatelé musí použít heslo nastavené fakultním správcem v aplikaci Správce. Uživatelé si heslo nastavené fakultním správcem mohou změnit v aplikacích Student, Uchazeč, Tajemník, Parametry (položka menu Systém -> Změna hesla ...).

Cílový stav

Cílový stav způsobu práce s loginy a hesly v IS Studium je následující:

  • loginy pro všechny uživatele s číslem osoby bude nastavovat CAS a nebude je možné v IS Studium měnit,

  • loginy všech uživatelů s číslem osoby budou odpovídat loginům v CAS,

  • ověřování hesla všech uživatelů s číslem osoby (jak s webovými rolemi, tak s rolemi pro exe aplikace) bude probíhat v CAS,

  • uživatelé, u nichž není známo číslo osoby, budou mít login i heslo nastavované správcem IS Studium (bude zajištěna bezkoliznost loginu v CAS),

  • po doplnění čísla osoby k uživateli se začne automaticky ověřovat jeho uživatelské jméno a heslo v CAS.

K dosažení popsaného cílového stavu je třeba vykonat několik postupných kroků. Termín dosažení cílového stavu zatím není znám; lze však předpokládat, že se jej podaří dosáhnout do konce roku 2009.

Deduplikace uživatelů a evidovaných osob

Stává se, a to jak v případě uživatelů (pracovníků zacházejících s programy IS Studium) s vyšším oprávněním, než mají studenti či uchazeči o studium, tak v případě studentů či uchazečů o studium, že je daná osoba v systému zaevidována dvakrát (případně vícekrát). Nejčastěji k tomu dochází v případě studentů a uchazečů o studium z řad cizinců, u kterých může současně existovat univerzitou vygenerovaný rodný kód a státem přidělené rodné číslo. Kromě těchto případů může k duplicitní evidenci studenta či uchazeče o studium dojít v důsledku nějakého typu překlepu. V případě uživatelů s vyšším oprávněním je hlavním důvodem vzniku duplicity záznamu o uživateli jeho působení na více fakultách UK s různými rolemi, anebo z historických důvodů vzniklá duplicita i v rámci jedné fakulty.


Deduplikace je proces, který se snaží výše popsaný stav napravit. V případě studentů a uchazečů o studium při tomto procesu dojde k zániku jednoho výskytu záznamu o osobě, přičemž studia a přihlášky uvedené u zanikajícího záznamu o osobě se převedou k druhému záznamu té samé osoby, který byl vybrán, že bude ponechán.


Přitom dochází zároveň k tomu, že osobní a kontaktní údaje uvedené v jednom ze záznamů o té samé osobě jsou ztraceny a nadále zůstanou v platnosti osobní a kontaktní údaje ponechaného záznamu dané osoby.


V případě deduplikace uživatelů - pracovníků UK - vzniká (narozdíl od studentů a uchazečů o studium) problém spíše s přístupovými rolemi do systému. U ponechaného záznamu zůstávají všechna přístupová práva a role, kdežto práva a role mazaného záznamu se při deduplikaci ztratí.


Deduplikace se řeší vždy na centrální úrovni. Pomoc při tomto procesu poskytují dva nástroje - webový modul Správa SIS - Role a uživatelé a dále program Parametry.

Práce s osobními údaji

Při práci s osobními údaji platí zejména následující zásady:

  • Pracovníci a uživatelé systému, kteří mají přístup k osobním údajům osob evidovaným v IS Studium, jsou povinni zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo prací, při nichž mají dotyční pracovníci k osobním údajům přístup. Doporučuje se u těchto pracovníků závazek mlčenlivosti zakotvit ve smlouvě upravující pracovněprávní vztah pracovníka s UK.


  • V případě, že pracovník komunikuje o údajích týkajících se studia či přihlášky ke studiu se studentem či uchazečem o studium, kterého se tyto údaje týkají, je třeba, aby si ověřil, že jedná skutečně s touto osobou (např. na základě sdělení některých identifikačních údajů studentem či uchazečem o studium). Osobní údaje studenta či uchazeče o studium nelze, bez písemného souhlasu studenta či uchazeče o studium, sdělovat dalším osobám, ani pokud jsou v příbuzenském vztahu se studentem či uchazečem o studium.


  • Osobní údaje studentů a uchazečů o studium je možné poskytovat orgánům státní a veřejné správy České republiky, pokud povinnost poskytnutí těchto informací vyplývá z platných právních předpisů.


Vypracováno:

27. 03. 2009

Zveřejněno:

06. 04. 2009


Vypracovali:

Schválil:

Mgr. Michal Josífko, Jakub Zásměta

Mgr. Martin Maňásek

oddělení pro informační systém univerzity,

ÚVT UK

vedoucí oddělení pro informační systém univerzity,

ÚVT UK



Poslední změna: 21. leden 2018 23:29 
Sdílet na: Facebook Sdílet na: Twitter
Sdílet na:  
Za obsah stránky zodpovídá: Ústav výpočetní techniky
Máte dotaz ?
Kontakty

Univerzita Karlova

Ovocný trh 560/5

Praha 1, 116 36

Česká republika


Identifikátor datové schránky: piyj9b4

IČO: 00216208 

DIČ: CZ00216208




Jak k nám