White Paper Nové přístupy k bezpečnosti cloudu

Rozměr: px
Začít zobrazení ze stránky:

Download "White Paper Nové přístupy k bezpečnosti cloudu"

Transkript

1 White Paper Nové přístupy k bezpečnosti cloudu

2

3 Obsah 1. Bezpečnost a cloud computing 1.1 Veřejný, hybridní a privátní cloud 1.2 Specifická legislativa ochrany dat v jednotlivých zemích 1.3 In-house provoz není bez rizik Komplexní přístup k bezpečnosti 2.1 Správa identit s rolemi a právy, bezpečnost koncového bodu a kontrola přístupů 2.2 Infrastruktura firmy a bezpečná komunikace v cloudu 2.3 IT systémy v datových centrech 2.4 Bezpečná komunikace v cloudu a správa služeb 2.5 Ochrana IT systémů na straně poskytovatele služeb 2.6 Bezpečnost datového centra 2.7 Organizace bezpečnosti a bezpečná správa 2.8 Správa služeb a dostupnost 2.9 Kontrakty, integrace procesů a migrace 2.10 Správa bezpečnosti a zranitelnosti 2.11 Bezpečnostní reporting a řízení událostí 2.12 Řízení požadavků a shody Závěr 4. Seznam obrázků 20 22

4 1. IT bezpečnost a cloud computing Analytici chrlí objemné studie o budoucnosti cloud computingu. Jejich nadšení však tlumí obavy o bezpečnost. V průzkumu britské společnosti pro výzkum trhu IT Quocirca¹ více než jedna třetina respondentů naznačila, že hlavním důvodem kategorického odmítání cloud computingu jsou otázky bezpečnosti. Obavy z rizik jsou pochopitelné, když uvážíme, že počet útoků na IT systémy prakticky den co den roste. Studie uveřejněná začátkem srpna 2012 společností McAfee odhalila, že neznámí útočníci během několika let pronikli do počítačových systémů nejméně 72 vládních institucí, organizací a firem ve 14 zemích. Alarmující zjištění předložil i Německý úřad na ochranu ústavy: roční škody způsobené evropské ekonomice elektronickou špionáží odhaduje zhruba na 250 miliard eur mnoho případů se však nepodaří odhalit, nebo nejsou hlášeny. Takováto zjištění jsou stále běžnější. Cloud computing je často obviňován v případech, kdy jsou pravou příčinou obecnější rizika ICT. Při přechodu na cloud je však třeba zaměřit pozornost na bezpečnost IT, ochranu dat a dostupnost. U řešení založených na cloudu totiž došlo k případům závažných ohrožení a vážných kybernetických útoků. Koncem července 2012 došlo například k výpadku, jenž postihl řadu cloudových služeb Amazonu. 25 miliónů zákazníků kvůli tomu nemělo celých 12 hodin přístup ke streamingové službě Netflix, a to i přesto, že je zálohována v dalších dvou datových centrech. Na vině byly nepříznivé povětrnostní podmínky na východě USA. Jednotliví hackeři a skupiny organizovaného zločinu využívají rostoucí měrou internet k útokům na specifické služby, k jejich manipulaci a vyřazení z provozu. V celosvětovém měřítku je každé dvě vteřiny vytvořen jeden nový exemplář malwaru. A evropské vlády hlásí denně 4 4 až 5 útoků hackerů na své sítě. IT systémy mají životní význam až pro 30 procent ekonomického výkonu průmyslových zemí. Podniky výrazně závisejí na IT, které podporuje jejich procesy i v případě, že je nekontroluje. Rostoucí počet a intenzitu kybernetických útoků tudíž nelze podceňovat. Na významu proto nabývá bezpečnost IT. 1)Next generation Datacentre Cycle II Cloud findings, quocirca Business and IT Analysis, April 2012: April202012%final.pdf 2) 16. a 30. června 2012 informoval zpravodajský portál o výpadcích proudu pro cloudovou nabídku Amazonu AWS (Amazon Web Seervices). Několik hodin byly off-line různé služby hostingované Amazonem.. html (German only) html (German only) 3) V dubnu 2011 pronikli počítačoví zločinci do sítě herní konzole Playstation firmy Sony. Získali přístup k datům více než 100 miliónů zákazníků, která byla poté prodána ilegálním fórům. Škoda způsobená společnosti Sony byla odhadnuta na 24 miliard dolarů. /meldung/angriff-auf-playstation-network-persoenliche-daten-von- Millionen-Kunden-gestohlen html(German only) 4) 9. května 2012 během 8. symposia o bezpečnosti informací Erich Schreiber, generální ředitel CIS ve Vídni citoval mezinárodní odhady odvětví ICT ve vídeňském Lázeňském salonu (Wiener Kursalon): Evropské vlády denně zaznamenávají 4-5 hackerských útoků. (German only)

5 Veřejný, hybridní, nebo privátní cloud Mezi nabízenými typy cloudového řešení je třeba rozlišovat. Nebezpečí spojované s veřejným nebo hybridním cloudem je v porovnání s privátním cloudem nesrovnatelně vyšší. Je proto třeba si uvědomovat potenciální hrozby a k jejich minimalizaci využívat veškerých dostupných prostředků. Mnohá rizika jsou známa z běžného outsourcingu. Znamená to, že data opouštějí firmu a uživatelé mají přístup k datům a k aplikacím přes sítě. Vyčleněné aplikace jsou provozovány v datových centrech poskytovatelů ICT služeb a jsou vystaveny obdobným rizikům jako v případě cloud computingu. Služby založené na cloud computingu však představují nové hrozby. Pokud jde o nabídky veřejného cloudu nemohou uživatelé přesně měřit stupeň bezpečnosti vyžadovaný poskytovatelem. Nemají konkrétní informace o způsobu jakým je služba dodávána a nejsou schopni prověřovat bezpečnostní mechanismy na místě v datových centrech, která jsou často rozptýlena po celém světě. Uživatelé mohou provádět jen omezené testy, setkávají se s potížemi při zajišťování svých specifických požadavků a často se obtížně vyrovnávají s právními předpisy spojenými s monitoringem. Znamená to, že firemní řízení rizik nemůže akceptovat služby veřejného cloudu, neboť nemůže přesně zjistit, analyzovat a vyhodnocovat rizika. Nejasnosti se často týkají toho, které systémy hostují data a aplikace, ve kterých datových centrech, a v jakých zemích. Uživatelé tak nemohou zajistit ani dokumentovat soulad s národní legislativou, firemní politikou a zvláštními požadavky odvětví. 1.2 Specifická legislativa ochrany dat v jednotlivých zemích Každá země má svůj vlastní přístup k bezpečnosti a ochraně dat. Mohou existovat rozdíly týkající se: Ochrany dat a s ní spojených zákonů Ochrany duševního vlastnictví a odpovídající legislativy Rizika zasahování vládních institucí jako nezjištěného přístupu či dohledu Zákazu nebo omezování používání technologií jako je šifrování Nedostatku kultury bezpečnosti Daňových předpisů Nejistotu zvyšuje hlavně skutečnost, že decentralizace, distribuce dat a používání progresivní technologie virtualizace představují nová rizika a zranitelnost. A tyto otázky jsou neodlučně spojovány s cloud computingem. Distribuce dat do datových center v různých lokalitách vytváří nové fyzické a logické přístupové body. Na tomto pozadí je velmi důležité vědět, jak poskytovatelé cloudových služeb chrání svá datová centra před neoprávněným přístupem a haváriemi. Služby dodávané různým uživatelům ve virtualizovaných prostředích sdílejí stejnou infrastrukturu. Rizika virtualizace však nejsou nová. Zavedení poskytovatelé s úspěchem používají prověřené virtualizační technologie na úrovni sítě a v datových centrech již desítky let. Tyto zkušenosti pomáhají vytvářet oprávněnou důvěru. 1.3 In-house provoz není bez rizika Firmy by se přes zmíněná rizika neměly domnívat, že je úroveň bezpečnosti cloud computingu nižší, neboť jejich vlastní zaměstnanci nemají vše pod kontrolou. Výzkumy ve skutečnosti nasvědčují, že služby založené na cloudu jsou často bezpečnější než vlastní IT. Odborníci z Německé národní iniciativy pro bezpečnost internetu (NIFIS) odhadují, že u více než poloviny porušení firemní bezpečnosti lze vystopovat vlastní personál. 5) Služby veřejného cloudu jsou potenciálně přístupné komukoliv. Privátní cloud je pro dedikované, známé firmy a provozuje se v souladu s dohodnutými úrovněmi bezpečnosti. Kombinace obou typů služeb je známa jako hybridní cloud. Globální studie o rizicích mobility provedená americkým ústavem Ponemon označuje za rostoucí ohrožení používání mobilních přístrojů. Další výzkum potvrzuje, že více než polovina vedoucích pracovníků IT v Německu považuje za další riziko rostoucí počet mobilních přístrojů a jejich používání pro soukromé účely na pracovišti. Stávající bezpečnostní mechanismy v mnoha případech nepomáhají bezmála třetina oslovených firem sdělila, že jsou zaměstnanci schopni metody jako hesla a uzamčené klávesnice přelstít.

6 2. K bezpečnosti je třeba přistupovat komplexně Pro minimalizaci vnějších i vnitřních rizik cloud computingu je k bezpečnosti ICT zapotřebí komplexního přístupu. Zahrnuje to zjišťování všech potenciálních hrozeb a zavádění strukturovaných ochranných mechanismů. To znamená zaměřit se na technologii. K výraznému snížení rizik cloud computingu musejí uživatelé i poskytovatelé brát v potaz technologii a procesy a implementovat odpovídající bezpečnostní mechanismus v různých oblastech. T-Systems vyvinul bezpečnostní technologii přesně pro tento účel. Zahrnuje 12 prvků, které by měl zvážit každý podnik s ohledem na bezpečnost svých dat a aplikací v (privátním) cloudu. 12 prvků cloud computingu, které je třeba brát v úvahu: 1. Správa identity, rolí a práv, bezpečnost a kontrola přístupů 2. Infrastruktura organizace 3. IT systémy v datových centrech 4. Bezpečná komunikace v cloudu a standardizace služeb 5. Ochrana IT systémů na straně poskytovatele služby 6. Bezpečnost datacentra 7. Organizace bezpečnosti a bezpečná administrace 8. Správa služby a dostupnost 9. Kontrakty, procesní integrace a migrace 10. Řízení bezpečnosti a zranitelnosti 11. Bezpečnostní výkaznictví a řízení událostí 12. Správa požadavků a shoda Topologie bezpečnosti cloud computingu Logon x7 Obr. 1.

7 Správa identit s rolemi a právy, bezpečnost koncového bodu a kontrola přístupů Nebezpečí neoprávněného přístupu Mají-li zaměstnanci přístup, mohou-li měnit či kopírovat kritické informace z obchodního hlediska, existuje vždy potenciál zneužití dat či manipulace se softwarem. Studie IDC z roku odhalila, že si polovina evropských podniků uvědomuje bezpečnostní hrozby představované personálem ať už stahují data, klepou na pochybné odkazy na sociálních sítích, nebo zacházejí nedbale s hesly a s přístupovými daty. Jednou skutečností je nedostatek patřičných mechanismů, druhou nedostatečné uvědomění zaměstnanců. Přestože většina podniků zná rizika, mnohé podle nich nepostupují. Identity management including roles and rights. Přístup k citlivým informacím však nemají jen vlastníci oprávnění. O proniknutí do IT systémů mohou usilovat také jednotlivci vně organizace a mohou tak vysávat data. Výsledek může být v obou případech katastrofální: jmenujme jen v krátkosti napadené ové účty, odcizená zákaznická data, podvodné používání informací o kreditních kartách. Aby tomu podniky zamezily, musejí ochraňovat své programy a regulovat přístup k přístrojům, softwaru, datům a odpovídajícím prostředím. Zásada potřeby vědět (The need-to-know principle) Nejprve je nutno uplatnit technické zabezpečení v souladu s přístupem potřeby vědět tzn., že zaměstnanci smějí přistupovat jen k datům a k softwaru, které potřebují pro vlastní práci. K určení rolí a přístupových oprávnění k aplikacím a datům lze používat přístupové systémy založené na úlohách (rolích). Zaměstnancům je přidělována digitální identita, která jasně určuje, které přístroje a jaký software smějí používat a jak. U cloudových služeb firmy často užívají zdvojený bezpečnostní mechanismus: nejprve kontrolují přístup ke cloudu samému, potom k samotné cloudové službě. V obou případech je absolutně nutná autentikace (bezpečná identifikace). V případě přístupu uživatele ke cloudu veřejnou sítí je zapotřebí ještě další ochrany. 1 Logon Vezměme si některé příklady: je-li jediným úkolem zaměstnance ukládat údaje do systému, neměl by být kupříkladu oprávněn kopírovat data do externího úložného přístroje. Obdobně pokud pro svoji práci nepotřebuje určitý balíček softwaru, neměl by mít příležitost tento software používat. Zaměstnancům by se také nemělo dovolovat svévolně instalovat programy nebo nástroje (byť jakkoli bezvýznamné). Zásadní význam má navíc prosazování bezpečnosti na přístrojové úrovni. Obr. 2. 6) (německy) 7) Hackeři využili zranitelnosti ve službě Yahoo! a získali přístup ke zhruba ovým adresám a k jednoduchým textovým heslům řady mailových poskytovatelů, včetně G-mail, Hotmail a GMX, jež byly poté uveřejněny on-line. (německy) 8) viz vysvětlivka č. 3 9) Počítačoví zločinci pronikli do systémů Citibank a odcizili data kreditních karet statisíců zákazníků. Ilegálním zatížením bankovních účtů nakonec získali 2,7 miliónu dolarů Kunden html (německy)

8 Minimální standardní opatření proto musejí zahrnovat: Řízení přístupu k přístrojům: automatické uzamykání Ochranu proti malwaru, sledování příchozích a odchozích dat Ochranu konfiguračních nastavení (nastavení BIOS, booting, autostart) Aktivní management bezpečnosti přístroje na pracovišti. Vedle výše uvedených bodů vyžadují mobilní přístroje další bezpečnostní vlastnosti jako dálkový výmaz (v případě ztráty), nebo šifrování včetně úložných datových médií. Ke zranitelnosti může docházet také v případě, kdy is zaměstnanci nebezpečí neuvědomují. O zajištění bezpečnosti proto rozhoduje především změna myšlení. Klíčovou úlohu při získávání pro firemní politiku bezpečnosti mají informační kampaně a školící programy. Personál musí porozumět otázkám a umět tak efektivně odhadovat rizika. Management musí přirozeně stanovit jasná pravidla vztahující se na každého, neboť jsou efektivní jen v případě, že zaměstnanci cítí potřebu aktivně zakročit a ohlašovat jakékoli přestupky. Prevence úniku dat Zaměstnanci mohou často vědomě či nevědomě vynášet data z firemní sítě do širého světa. Dojde-li k tomu, mohou být data ztracena nebo záměrně postoupena třetím stranám elektronickou poštou, mobilními přístroji, chytrými telefony nebo flash disky. Firmy však mohou svým zaměstnancům bránit v pořizování kopií nebo odesílání informací použitím vhodného softwaru proti úniku dat (Data Leakage Prevention DLP). Software DLP navíc zaznamenává jakékoli kopírování a určuje odpovědnost v případě ztráty dat. Významnou úlohu hraje i šifrování, neboť omezuje počet lidí, kteří mohou otevírat důvěrné složky. Firemní postupy mohou navíc jasně stanovit, že interní data musejí být před uložením na mobilní přístroje zaměstnanců šifrována. Dojde-li ke ztrátě či odcizení chytrého telefonu nebo laptopu nehrozí nebezpečí úniku dat.

9 Infrastruktura firmy a bezpečná komunikace v cloudu Přenos šifrovaných dat Základním rysem cloudových služeb je, že při přenosu mezi uživatelem a poskytovatelem nejsou data vystavena ohrožení, tzn., že spojení mezi koncovým přístrojem a datovým centrem je neprodyšné ať probíhá bezpečnou firemní sítí, veřejnou pevnou nebo veřejnou mobilní sítí. Předávají-li se data veřejnými sítěmi, jako internetem, musejí být zašifrována, aby se zamezilo přístupu neoprávněných stran a bylo zajištěno utajení a integrita. To platí i v případě, je-li lokalita uživatele (tzn. jeho síť) spojena s datacentrem poskytovatele internetem. Bezpečný vzdálený přístup může být prováděn pomocí VPN klienta 10 na uživatelově stolním počítači. Bezpečná komunikace do cloudu. Profesionální poskytovatelé nabízejí ohledně bezpečnosti kupříkladu standardizované nebo speciální zákaznické služby jako PKI (Public Key Infrastructure) 11, které umožňují bezpečný, ověřený a šifrovaný přenos dat z datových center pomocí širokopásmové sítě. Přístup ke cloudovým službám vlastní firemní sítí (intranet nebo LAN) umožňuje brána. Tato síť musí být rovněž chráněna implementací opatření jako je firewall a systémy detekce průniku (IDS/IPS) 12. Bezpečná správa vnitřní firemní sítě musí kromě toho zajistit, aby se do sítě mohly napojovat a do cloudových služeb vstupovat jen registrované stolní počítače. Zvýšení bezpečnosti pomocí MPLS-VPN Dodává-li poskytovatel cloudu také síťové komunikační služby zajišťují integrované mechanismy jako MPLS 13 přísné oddělení datových toků zasílaných různým uživatelům a službám. V rámci jedné sítě MPLS je datový provoz z různých zákaznických sítí přenášen současně dedikovanými virtuálními privátními sítěmi (VPN). Podle Německého spolkového úřadu pro bezpečnost informací (BSI) skýtají sítě MPLS-VPN dobrou základní ochranu, jež může být zesílena opatřeními jako jsou šifrované tunely IPSec, TLS/SSL či SSH. Poskytovatel ICT může také pro zákazníky vytvořit dedikované spoje mezi uživatelskou organizací a cloudovými službami v datovém centru. Tato strategie poskytuje nejvyšší úroveň ochrany, může však odrazovat organizace s velkým množstvím působišť. Před přechodem do cloudu musejí uživatelé důkladně vyhodnotit své požadavky. Pro aplikace s kritickým významem jsou nezbytné vyšší úrovně služeb: poskytovatelé musejí garantovat potřebnou šíři pásma a (nebo) doby odezvy. Poskytovatelé, kteří provozují vlastní síť, jsou v této souvislosti ve výhodě, jelikož mohou zajistit řízení kvality služby (QoS), včetně upřednostňování, vyrovnávání zatížení, úrovní služeb a, pokud je nutno, komprimace dat. Logon 2 Obr ) Virtual Private Network (VPN) je tunelová technologie umožňující zákazníkům vytvářet dedikovanou síť v rámci širší veřejné sítě. Znamená to, že různí uživatelé mohou sdílet jednu fyzickou síť, aniž by mohli prohlížet či měnit data ostatních. 11) PKI se týká technické a organizační infrastruktury, která vytváří, distribuuje a spravuje klíče a certifikáty. Klíče umožňují bezpečnou komunikaci mezi dvěma instancemi. 12) Technologie zjištění průniku jako domovní poplašné zařízení rozpoznává útoky proti klientům, serverům, nebo sítím a vyhlašuje poplach. Ochranné systémy proti průniku mají dodatečné funkce, které automaticky odvracejí nebo evidují útoky. 13) Technologie MPLS (multiprotocol label switching) spojuje síť zákazníka například s datovým centrem poskytovatele. Odděluje toky dat a zamezuje přenosu dat nesprávnému příjemci. Ke spojování zákazníků s cloudem mohou MPLS používat jen poskytovatelé, kteří nabízejí cloudové a síťové komunikační služby.

10 2.3 IT systémy v datových centrech Při používání cloudových řešení je v datacentrech zapotřebí dodatečných bezpečnostních opatření. Nejde však jen o implementaci mechanismů k zabezpečení systémů, aplikací a dat. Je třeba zvážit i další okolnost. Zatímco tradiční outsourcingoví poskytovatelé přidělují dedikované servery (někdy umístěné v oddělených prostorách) individuálním zákazníkům, je cloud computing založen jinak. Různí klienti, sdílející stejný hardware a software, vytváří zcela nové bezpečnostní požadavky. V žádném případě nesmí být jednomu uživateli umožněn přístup k datům jiného uživatele nebo zpochybnění integrity ICT systémů. Nastala by totiž velmi kritická situace, kdy by počítačoví zločinci mohli instalovat špionážní software či jiný malware, protože by to potenciálně mohlo ohrozit všechny uživatele tohoto cloudu. Virtuální oddělení uživatelů Poskytovatelé cloud computingu používají k oddělení zákazníků technologie virtualizace. Virtualizace se vztahuje nejen na computing jako takový, ale probíhá též na úrovni sítí v datovém centru, centrálních úložných systémech a v souvislosti s používáním dalších centrálních složek ICT pro správu systémů. K přísnému vzájemnému oddělení systémů se používá virtuálních lokálních sítí (Virtual local area networks VLAN) a firewallů. Brání jednomu uživateli v přístupu k serveru, aplikacím a datům jiného uživatele. Platí to pro jednotlivé fyzické servery (umístěné vedle sebe v datovém centru) i pro virtuální zákaznické servery, které běží na stejném fyzickém stroji. IT systémy v datových centrech. 3 Noví zákazníci dostávají svůj vlastní VLAN. Každý server má přesně tolik dedikovaných přístupových cest, jaký je počet zákazníků, kteří jej používají, a tyto cesty či sítě jsou navzájem zcela odděleny. Aplikace (jako SAP nebo Oracle), používané různými zákazníky, běží vedle sebe. Zákazníkův vlastní mnohostranný systém (kupř. SAP a CRM) však přitom může vzájemně komunikovat podle potřeby a předem stanovených pravidel. Izolace dat Data jsou v cloudu rovněž izolována v dedikovaných síťových úložných oblastech. Tyto oblasti se podobají pevným diskům a servery uživatele k nim přistupují sítí. Jsou propojeny tak, aby zákazníci měli přístup jen ke svým vlastním datům, jako by měli svůj vlastní dedikovaný disk. Data lze v případě potřeby zašifrovat, aby byla nečitelná pro neoprávněné osoby. Obr. 4.

11 Bezpečná komunikace v cloudu a správa služeb Otázkou, která stále vyvstává v souvislosti s cloudovými nabídkami, je zeměpisná poloha zpracování a ukládání dat. Regulatorní rámec (tzn. požadavky daňových orgánů, zákony o dodržování soukromí a audity) vyžaduje, aby byly podniky minimálně schopny s jistotou uvádět, ve které zemi jsou jejich data uložena. Bezpečná komunikace v cloudu. Daňové zákony v EU a v jiných zemích například dovolují finančním orgánům přístup k informacím relevantním pro daňové účely. K tomu však potřebují vědět, kde jsou data uložena. Zákony o soukromí jsou na druhé straně v různých zemích velmi odlišné. V mnoha oblastech světa je třeba přísně dodržovat předpisy zvláště při ukládání či zpracovávání údajů určitých osob. A v mnoha případech smějí být tyto údaje ukládány jen v domovské zemi uživatele cloudu. Soulad se zákony a postupy ohledně dodržování soukromí Vzhledem ke složitému právnímu prostředí je radno, aby firmy vyhledávaly cloudového poskytovatele, který ovládá znalost zákonů (i regionálních) ohledně dodržování soukromí a má odpovídající zdroje. To však může být rizikem u hráčů veřejného cloudu, neboť často rozmísťují mnoho datových center po různých světadílech a přidělují data různým lokalitám v závislosti na kapacitě v jakékoli dané době. V privátním cloudu lze zajišťovat soulad snáze, protože zákazníci mohou ve smlouvách o úrovních služeb určit, ve kterých zemích lze data zpracovávat a ukládat. 4 Cloudové aplikace lze distribuovat do různých datových center. Ale dostupnost, důvěrnost a integritu dat vyměňovaných prostřednictvím cloudových služeb a distribuovaných aplikací v cloudu musí být vždy zajištěna. Za tímto účelem byly vyvinuty speciální technologie, například k zajištění architektur pro služby (SOA). K vytváření záloh a zlepšování využití zdrojů však lze data přesouvat i z jednoho datového centra do druhého. IT služby musejí například vzájemně spolupůsobit, což znamená, že vyžadují výkonné internetové spojení a odkazy na jiné základní služby. Pohled do dodavatelských struktur cloudu Jsou-li cloudové služby poskládány do komplexní nabídky, není dodávka vždy snadnou záležitostí. I když jsou aplikace distribuovány, musejí jednotlivé složky cloudové služby vykazovat efektivní součinnost, aby byl zajištěn spolehlivý provoz. Zajištění efektivní dodávky a vzájemná součinnost vyžadují vývojářskou práci, které nemusí být sám operátor datového centra vždy schopen. Obr. 5. Složitější cloudové nabídky často zahrnují služby třetí strany. Takže přestože má zákazník smlouvu s poskytovatelem cloudu tento poskytovatel nedodává veškeré základní služby, nýbrž je nakupuje od třetích stran. Uživatelé tak přistupují k těmto službám buď prostřednictvím poskytovatele, nebo přímo třetí stranou. To ve skutečnosti znamená, že někteří poskytovatelé cloudu jsou pouhými dealery, kteří prodávají služby ve skutečnosti poskytované někým jiným. Uživatelské organizace by z tohoto důvodu měly trvat na možnosti náhledu do hodnotového řetězce poskytovatele. V kontraktu je třeba jasně specifikovat, jaké služby budou kým dodávány a kdo nese právní odpovědnost v případě jakýchkoli otázek. Zavedení poskytovatelé cloudu zaručují pevné bezpečnostní standardy, které působí jako záštita vůči rizikům, jež mohou nastat při začleňování služeb třetí strany.

12 2.5 Ochrana IT systémů na straně poskytovatele služeb Poskytovatel dodává ICT služby primárně z datového centra. V zařízení musejí být k zajištění správné úrovně bezpečnosti implementovány mechanismy, které chrání systémy, platformy a aplikace. Navíc musí existovat bezpečné spojení mezi zdroji IT uloženými v datovém centru a propojení s okolním světem. Pokud jde o požadavky bezpečnosti je cloud computing srovnatelný s konvenčními outsourcingovými modely. Ochrana IT systémů u poskytovatele služeb. Zjišťování průniků a prevence Firewallové systémy, které nemají zabudovánu funkčnost ochrany proti průniku, nemohou v dnešním světě zajistit dostatečný stupeň ochrany. Červi, trojští koně a hackeři se stali příliš mnohostrannými, rafinovanými a pokročilými. Pouhá ochrana IP adres a portů ponechává infrastrukturu na pospas různým rizikům. Zjistit a blokovat neoprávněný přístup k datům může řada technologií, jako jsou systémy k odhalování průniků a prevenci (IDS/IPS). Mohou zvláště skenovat data na výskyt malwaru a dokáží upozornit na jakékoli události, které naznačují útok. Řešení IDS i IPS automaticky odhalují nevhodný datový obsah nebo anomálie a odhalují útok. Firewally s hloubkovou kontrolou K zajištění efektivní ochrany síťových segmentů musejí poskytovatelé používat dvou druhů bezpečnostních úrovní. Potřebují jednak firewally, které provádějí aktuální kontrolu komunikace, portů a aplikací. Ale také firewally k hloubkové kontrole, které mohou skenovat protokoly o přenosu dat ohledně dobrých a závadných dotazů. Musí být zajištěna kontrola, i když jsou data zašifrována. Zjišťování malwaru nemá význam jen pro síťový provoz. Odpovídajícími bezpečnostními řešeními musejí být vybaveny také veškeré hostingované počítače, a to bez ohledu na to, zda tyto servery působí jako brána, poskytují ICT služby jako , nebo se používají pro jiné aplikace. 5 Další klíčové mechanismy zahrnují proxy servery a reverzní proxy, které filtrují a přeměňují příchozí a odchozí datový provoz, chrání citlivé informace, minimalizují zranitelná místa a přispívají k větší bezpečnosti ICT. Uživatelské organizace zároveň potřebují řešení, která podporují centrální ověřování uživatelských organizací a jednotlivých uživatelů. Obr. 6.

13 Bezpečnost datového centra Operátoři datového centra musejí nejen chránit prostředí IT ve svých zařízeních. Musejí též ochraňovat budovy a hardwarová aktiva, a to prostředky fyzických mechanismů a přístupových kontrol. Nejde prostě jen o technologii, nýbrž i o organizaci, procesy a lidi. DIN a TIA standardy Německá norma DIN EN 50600, která se právě vyvíjí, a americká norma TIA-942, definují nejlepší praktiky (best practices) pro design, uspořádání a výstavbu datových center. Norma DIN EN bude popisem klíčových parametrů vybavení a infrastruktury požadovaných pro zajištění efektivního provozu. Dále stanoví klasifikační systém založený na ústředních kritériích dostupnosti, provozní spolehlivosti a energetické efektivnosti pro celý předpokládaný životní cyklus zařízení. TIA-942 stanovuje požadavky na kabelovou infrastrukturu datového centra a jeho geografické umístění s ohledem na seizmickou činnost. Norma TIA-942 dělí zařízení do čtyř tříd dostupnosti od 9,.671 do 99,995 procenta. Bezpečnost datového centra. Datacentra musejí být postavena tak, aby budova odolala přírodním katastrofám, jako například bouřím, krupobití, potenciální fyzické sabotáži a ohni. Zařízení musí být vzdáleno od oblastí s výskytem bouří, záplav a zemětřesení. Kromě toho musí být zajištěno dobré dopravní spojení, ale musí být vzdáleno od letových koridorů. Musí být v blízkosti místních průmyslových zón, musí mít zajištěny dodávky vody a elektřiny, jakož i dostatečný odvod dešťové vody. Budova musí být exteriérově nenápadná, aby nepoutala nežádoucí pozornost. Klíčový význam mají hladký provoz a bezpečnost dat. Střežení obvodu a kontroly vozidel Ochrana datového centra zahrnuje bezpečné fyzické oplocení uzavírající celý objekt, který je tak pod trvalým dohledem a zábrany na komunikacích, která zamezují pohybu vozidel. Objekt musí mít dostatek prostoru ke kontrole vozidel a podporovat používání detektorů kovů. Budova musí být navíc pod vnitřním i vnějším videodohledem a záznamy musejí být uchovávány v souladu s odpovídajícími zákony o ochraně dat. Datové centrum by mělo mít zvláštní vchody pro příjem zboží a pro bezpečnou personální vrátnici. Veškeré příchozí a odchozí zboží musí být zaznamenáno a zadokumentováno. 4 6 Rozsáhlé kontroly personálu K odvracení útoků vnitřních a externích osob v datovém centru je zapotřebí zevrubných kontrol fyzického přístupu. Je nutno zajistit, aby do budovy měli přístup jen oprávnění zaměstnanci. Klíčovou vlastností jakéhokoli datového centra jsou tudíž turnikety, které umožňují jednotlivý vstup osob. Zaměstnanci, kteří chtějí vstoupit, musejí prokázat svoji totožnost a předložit oprávnění. Všichni návštěvníci se musí předem registrovat pomocí procesu bezpečné registrace, který je pečlivě dokumentován a vyžaduje od nich platný průkaz. Bezpečnostní personál musí mít přehled o přesném počtu lidí, kteří se kdykoli nacházejí v budově. Po zaznění poplašného signálu odpovídá i za evakuaci budovy ve stanovené době. K zajištění tohoto postupu je nutno provádět cvičení. Ve vnitřních zónách datového centra, kam má vstup jen pověřený personál, se v budoucnu bude stále více používat metod biometrického ověřování, jako jsou otisky prstů a scanování obličejů. Zvláštní zóny zvýšené bezpečnosti Přísné kontroly přístupu musí být prováděny po celé budově a do žádné místnosti nesmí vstupovat kdokoli. Musí být aplikována zásada menších privilegií a zvláště citlivá data musí být ukládána ve speciálně oddělených oblastech. 8 Obr. 7.

14 Může se tak dít například ve formě bezpečných klecí obsahujících hardware zákazníků, kteří chtějí mít odděleny své platformy od ostatních systémů v rámci datového centra. Klíčové systémy a vybavení pro vlastní ICT datového centra se zřizují dedikované, vysoce zabezpečené služební místnosti vybavené západkami. Subdodavatelé, pracovníci a další jednotlivci, kteří musejí do objektu vstupovat pravidelně podléhají zvláštním postupům a pravidlům. Přístup je například umožněn jen na vymezenou dobu. Tato informace je souhrnně zaznamenána v digitálních přístupových systémech. Příslušníci bezpečnostního týmu jsou jedinými lidmi, kteří mají přístup do všech místností datového centra. Zaměstnanci mohou vstupovat do místností s obzvláště citlivými daty nebo zařízením minimálně ve dvojici. 2.7 Organizace bezpečnosti a bezpečná administrace Lidský faktor hraje hlavní úlohu v bezpečnosti cloudových služeb pro zákazníky a je také výjimečně důležitou otázkou pro samotné poskytovatele služeb. Poskytovatelé z tohoto důvodu provozují dedikovaný systém informační bezpečnosti (ISMS). Je určen k tomu, aby se dostálo mezinárodní Organizace bezpečnosti a administrace. normě ISO/IEC a definuje procesy a pravidla pro efektivní řízení informační bezpečnosti. Poskytuje referenční model a nástroje pro plánování, implementaci, ověřování a úpravy informační bezpečnosti. Za ISMS odpovídá bezpečnostní tým. Tato skupina určuje postupy a sleduje shodu. Poskytovatelé cloudu též musejí vytvářet pravidla zaručující, že zaměstnanci plní požadavky kladené na bezpečnost, a určují kdo má přístup k jakým systémům a kdo zodpovídá za které úkoly vztahující se k provozu a bezpečnosti. Činnosti zahrnují: Přidělení odpovědností Stanovení a oddělení rolí a odpovědností Výběr (včetně zevrubných bezpečnostních kontrol) a registraci zaměstnanců Řízení, předávání znalostí a školení personálu plus jmenování personálu, podpis pracovní smlouvy a zajištění, aby byl začleněn do firemních procesů v oblasti lidských zdrojů. 7 Práva administrátora Administrace, správa složek počítačů a sítí musí být vysoce bezpečná. Správci mají obvykle zvláštní práva (privilegovaný uživatelský přístup), která musejí být plánována a řízena obzvláště pečlivě a pozorně. Spadají do tří kategorií: Management zaměstnanců Management identity správce Technologická infrastruktura pro správu a sledování (monitoring) Řízení identity správce zahrnuje přidělování digitálních totožností administrátorům. Tyto digitální totožnosti zahrnují jeden nebo více ověřovacích elementů (většinou běžně heslo s chytrou kartou s PINem) a role a přístupová oprávnění. Umožňuje to snadnou identifikaci těchto jednotlivců a přidělení zvláštních práv pro ně. Obr. 8. V prostředích dodávajících industrializované IT služby správci používají dedikovanou infrastrukturu. Zajišťuje to dodatečnou bezpečnost blokací přístupů nebo znemožněním provádění určitých funkcí (např. používáním tzv. jump serverů). Nedílnou součástí těchto infrastruktur je úzkostlivé monitorování bezpečnostních událostí a záznamů dat (protokolování).

15 Správa služby a dostupnost Dostupnost aplikací a dat v cloudu jsou žhavým tématem a častým předmětem diskuse. Dostupnost má úzký vztah k bezpečnosti. Výpadek aplikací může poškozovat obchod, zvláště pokud jsou postiženy kritické systémy. Organizace používající cloud je v důsledku toho třeba zapojit do patřičných úrovní služeb. Úrovně služby jsou rovněž pevnou součástí konvenčních outsourcingových kontraktů. Zálohování a zdvojená datová centra Poskytovatelé cloudu zajišťují dostupnost vytvářením zálohových systémů pro jednotlivé aplikace zdvojováním celých datových center. Občas se tomu říká strategie zdvojení. Poskytovatelé služeb zároveň musí zajistit také vysokou dostupnost aplikací a dat vytvářením záloh, které umožňují oživení systému po výpadku. Vzhledem k extrémní výši nákladů na zdvojování celého datového centra zacházejí poskytovatelé veřejného cloudu zřídkakdy tak daleko. Podtrhuje to skutečnost, že veřejné cloudy vytvořené a vyvinuté pro masový trh jsou ve většině případů nevhodné pro obchodní aplikace. Poskytovatelé v tomto prostoru používají mechanismy ochrany bezpečnosti a dat, které odpovídají potenciální škodě způsobené uživatelům. Co se považuje za pouhou náhodu pro soukromníky, může znamenat kolaps obchodu, či koneckonců vysoké finanční ztráty, poškozenou pověst, snížení tržní hodnoty a odhalení utajovaných informací. Někteří poskytovatelé nabízejí zákazníkům také 24ti hodinovou správu dodávky služby, kdykoli poskytují také dodatečnou podporu. Zjistí-li zákazníci pokles dostupnosti, dojde-li k narušení bezpečnosti či k jinému problému, mohou kontaktovat svého manažera dodávky služeb a požádat o podniknutí patřičné akce. Tato nabídka výrazně zvyšuje celkovou bezpečnost cloudových modelů. Bezpečnost však začíná v dřívější fázi. Poskytovatelé musí definovat normy pro bezpečný vývoj softwaru a systémů a zajištění kvality. Musí také kontrolovat nákup a začlenění softwaru, systémů a komponentů třetí strany. Aby platformy IT splňovaly proměnlivé nároky, musejí se pravidelně rozvíjet. Týmy řízení služby musí přijmout standardní postupy pro případy jako tyto: například kontroly zajišťující, aby byl dopad všech změn ověřen a aby se změny mohly provádět vždy jen s potřebným oprávněním. Tyto činnosti jsou popsány v ITIL 14 a je-li nutno, musí být kombinovány s dalšími bezpečnostními mechanismy. Řízení služby a dostupnost. End-to-end služby Privátní cloudy jsou naopak speciálně vyvinuty pro firmy. Poskytovatel služby garantuje požadovanou úroveň dostupnosti, splňuje požadavky kladené na uchování dat tím, že používá odpovídající archivační systémy a dodává komplexní (end-to-end) služby. Efektivní správa služeb zajišťuje, aby byly plněny všechny potřeby zákazníka a aby byly prováděny jakékoli nutné změny. Součástí této služby jsou spolehlivé procesy ITIL jako řízení změn, problémů a releasů. Existuje mnoho otázek souvisejících s ICT, které uživatelské organizace nedokáží řešit samy. Proto potřebují přístup k rozsáhlým zkušenostem poskytovatele služby s ohledem na probíhající údržbu a vývoj systémů a služeb. 24x7 8 14) ITIL IT Infrastructure Library je souborem nejlepších praktik pro správu IT služeb. Obr. 9.

16 2.9 Kontrakty, integrace procesů a migrace Rozsah a druh ICT služeb musí být stanoven v písemné dohodě. Komplexní poskytovatelé podporují začlenění cloudových služeb do stávajícího procesního prostředí. Organizace, které se rozhodnou pro model veřejného cloudu, z této služby nemají prospěch. Určení, zda začlenění cloudových služeb ovlivní projekty nebo vytvoří bezpečnostní rizika, závisí výrazně na tom, zda existují zevrubné informace o možnostech spolupráce mezi poskytovatelem a zákazníkem. V některých případech je rovněž třeba splnit specifické firemní bezpečnostní požadavky. V tomto případě nabízí privátní cloud daleko vyšší flexibilitu. Kontrakty, integrace procesu a migrace. 9 Externě dodávané ICT služby podléhají vnitřním postupům zákazníka. Poskytovatelé ICT služeb s rozsáhlými zkušenostmi v bezpečnosti IT používají systém řízení bezpečnosti. Zajišťuje, aby byly definovány požadavky a aby byly implementovány a sledovány všechny nutné změny. Dodávají navíc potřebné organizační struktury a procesy umožňující rychlou reakci na bezpečnostní problémy nebo hrozby. Když poskytovatel například zjistí, že do zákazníkova systému pronikl útočník, spolupracuje s uživatelskou organizací při hledání nejlepšího zásahu, tzn. zablokováním nebo změnou přístupové trasy nebo instalováním záplaty. Přizpůsobivost v bezpečnosti ICT Přizpůsobivost může kladně ovlivňovat bezpečnost. Oursourcingové modely například zjednodušují počet bezpečnostních úkolů ICT, protože jsou služby dodávány centrálně odborníky. Tyto služby zahrnují implementaci, konfiguraci, aktualizaci (řízení releasů, aktualizace, záplaty), zálohování, monitoring a údržbu. Podniky mohou určovat úroveň bezpečnosti, kterou potřebují. Služby se dodávají na modulární základně plať podle potřeby a jsou jasně definovány ve smlouvě o úrovni služeb (SLA). Před jejím podpisem by poskytovatel a zákazník měli společně zjistit, jaké aplikace mají kritický význam pro provoz a požadovat zvláště vysokou dostupnost a bezpečnost. Tento dokument zároveň musí stanovit, co se stane v případě poruchy, včetně postupu reaktivace systému po výpadku. Obr. 10.

17 Řízení bezpečnosti a zranitelnosti Strategie řízení rizik poskytovateli umožňuje rozpoznávat potenciální rizika a určovat činnosti k jejich potlačování. Poskytovatelé služeb potřebují komplexní procesy řízení rizik. Umožňuje jim to poskytovat informace, které zákazníkům umožňují přesně odhadovat rizika vyčlenění do cloudu a činit informovaná rozhodnutí. Složky ICT infrastruktury občas vykazují chyby či slabiny. Velice často k nim dochází kvůli programátorským chybám nebo špatnému nastavení. Často se objevují při změnách požadavků a scénářů nasazení. Aby se předcházelo větším problémům, musí být tyto slabiny odhalovány a včas řešeny. To je složitý proces zahrnující analýzu různých informačních zdrojů ke zjištění, které systémy jsou postiženy. Před záplatováním chyb je nutno provést zevrubné zkoušky a odhad rizik. Ve většině případů lze výpadku předejít, takže poskytovatelé služeb musí úzce spolupracovat s uživateli. Jak podtrhují tyto případy je bezpečnost hlavní otázkou po dobu celého životního cyklu systému ICT. Začíná to dokumentací a správným řízením konfiguračních údajů. Klíčovými záležitostmi jsou též instalace a procesy nastavení, včetně souladu s relevantními procesy. Především je třeba udržovat požadovanou úroveň bezpečnosti. Dalšími významnými otázkami je proaktivní řízení zranitelnosti a dalších událostí umožňujících náhled, zvýšení bezpečnosti a omezení vzniku trhlin. K zajištění efektivnosti ISMS je třeba bezpečnostní mechanismy celé infrastruktury a datového centra pravidelně podrobovat zkouškám. Zahrnuje to faktory jako fyzickou bezpečnost, kontrolu přístupů, bezpečnost dat, kontroly okolí, logging a monitoring. Auditoři navíc analyzují rozvržení a nastavení sítí, platforem, provozních systémů, bezpečnostní architektury sítě a také to, zda jsou k dispozici plány na udržení provozu a záchranu dat. Klíčem k dosažení certifikace je v neposlední řadě bezpečnost související s personálem. Zahrnuje to analýzu školení personálu poskytovatele, přenos znalostí a náborových postupů včetně, například, prověrek trestních rejstříků. Řízení bezpečnost a zranitelnosti. Povinná certifikace Cloudová datová centra musí být ověřena podle mezinárodně uznávaných norem jako ISO/IEC 2700 (15) a shoda musí být pravidelně ověřována nezávislými auditory. Norma ISO vyžaduje, aby poskytovatelé používali systému řízení bezpečnosti informací (ISMS), který zahrnuje řízení bezpečnosti a rizik a rozsáhlý bezpečnostní rámec. ISMS je klíčovým řídícím nástrojem k dosažení a udržování požadovaného stupně bezpečnosti. 10 Obr ) Mezinárodní norma ISO/IEC zahrnuje přes 130 položek ohledně postupů a činnosti, které souvisí s bezpečností informací. Analýzu provádějí oprávnění auditoři, aby zjistili shodu s normami a udělili certifikaci. Certifikace musí být kompletně obnovována každé dva roky.

18 2.11 Vykazování bezpečnosti a řízení událostí Podniky mohou k externímu poskytovateli služeb vyčleňovat produkci ICT i bezpečnost. Jsou však přesto vystaveny obchodním rizikům spojeným s ICT a právním rizikům (ohledně vlivu obchodních operací podporovaných ICT a potenciálního porušování shody). Proto je velmi důležitý přehled o dosaženém stupni bezpečnosti. Tento přehled poskytuje právě vykazování bezpečnosti (security reporting). Vykazování bezpečnosti a řízení událostí. Události související s bezpečností jsou součástí každodenního provozu ICT, protože k bezpečnostním událostem (porušení) bohužel dochází. Tyto události poskytují přehled o efektivnosti ochranných mechanismů. Analýza těchto událostí umožňuje úpravu, náhradu nebo zdokonalování opatření. Nápravu je třeba podnikat v závislosti na tom, do jaké míry určitá událost porušila bezpečnostní postupy. Může být zapotřebí informovat zákazníka, aby mohl provést odpovídající změny. Firma může mít za jistých okolností co do činění s kritickými dotazy sdělovacích prostředků, nebo poskytovat vysvětlení svým zaměstnancům a zákazníkům. Bezpečnostní události tohoto druhu jsou tím posledním, co si podniky přejí. Jakmile však k tomu dojde, je třeba mít co možná nejvíce informací. Proto je důležité začlenit procesy záznamu dat a jeho řízení, sledování, analýzu, podchycování, vyhodnocování a řízení bezpečnostních událostí do provozu ICT. Uživatelské organizace vyžadují přehled o tom, jak poskytovatel cloudové služby tyto činnosti řídí a jakou úlohu v tom hrají. Zahrnuje to využívání dostupných informací k proaktivnímu řízení firemních rizik Obr. 12.

19 Řízení požadavků a shoda Firmy musí přihlížet k mnoha vnějším příkazům. Musí splňovat zákonné, regulační a specifické odvětvové požadavky. Zahrnuje to vnitřní postupy, kontrakty se zákazníky, dodavateli a partnery, a další závazky, s nimiž explicitně či implicitně vyslovily souhlas. Řízení požadavků a shody. 12 Právní požadavky zahrnují zachovávání mlčenlivosti o soukromých záležitostech a povinnost poskytovat informace při civilních právních sporech a vládním orgánům. Regulační požadavky se týkají zákonů o finančním účetnictví a výkaznictví, povinné péči (due dilligence) a povinnosti vést patřičné záznamy. Zahrnují rovněž závazky k zajištění proaktivního řízení rizik s osobní odpovědností části vedoucích pracovníků (např. zákon KonTraG v Německu) V závislosti na odvětví či podniku mohou přicházet v úvahu další požadavky jako oficiální schvalování komponent provozu platebních systémů, včetně příslušné dokumentace. Nejznámnějším příkladem je norma PCI DSS, která stanovuje velmi podrobné nároky na transakce kreditními platebními kartami. Podniky by zároveň měly uvážit povinnost uchovávat jisté druhy obchodních údajů po určitou dobu. Může se též vyžadovat, aby ochraňovaly data proti manipulování a prokazovaly jejich pravost. Uživatelské organizace by měly prověřovat, zda je jejich poskytovatel cloudových služeb schopen tato imperativa skutečně plnit. Zákony o ochraně dat a způsob jejich uplatňování se v různých zemích výrazně liší. Navíc, žádné dvě organizace nejsou stejné. Liší se co do procesů a potenciálních hrozeb a ve stupni negativního vlivu bezpečnostních událostí na jejich byznys. Mají však jedno společné potřebují silného partnera, který nabízí bezpečnou a zajištěnou cestu do cloudu. Technická infrastruktura obvykle existuje. Avšak její spojení se specifickým byznysem firmy vyžaduje péči a, v některých případech, čas. 6 Obr. 13.

20 3. Závěr Cloud computing může být velmi bezpečný. Firmy by však měly pečlivě zvažovat výběr poskytovatele služeb založených na oblaku. Každý, kdo využívá služeb ICT, musí akceptovat jistou úroveň rizika. Platí to o kterémkoliv provozním modelu od vlastního ICT po konvenční outsourcing a cloud computing. Bezpečnost IT je vzhledem ke stále sílícím hrozbám těžkým břemenem ve smyslu nákladů, času a úsilí. Stále složitější technické požadavky a rostoucí náklady na zajišťování efektivní bezpečnosti činí z outsourcingu a cloud computingu stále oblíbenější alternativy provozu. V globálním průzkumu o stavu informační bezpečnosti z roku provedeného v roce 2012 firmou Pricewaterhouse Coopers (PwC) 54 procenta respondentů uvedlo, že používání cloudových služeb zlepšilo bezpečnost jejich IT. A studie Cloud Monitor společnosti KPMG odhalila, že zkušenosti téměř 60 procent subjektů řízení IT s cloudovými řešeními byly kladné. Nezmínili žádné vážné záporné zkušenosti. 16) 8M4LGB&ContentType=Content 17) html

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Není cloud jako cloud, rozhodujte se podle bezpečnosti Není cloud jako cloud, rozhodujte se podle bezpečnosti Marcel Jánský Manažer útvaru produktů a podpory prodeje 26. 2. 2013 České Radiokomunikace Vysílací služby Profesionální telekomunikační operátor Poskytovatel

Více

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc. Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o. Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav

Více

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295 Zákon o kybernetické bezpečnosti základní přehled Luděk Novák ludekn@email.cz, 603 248 295 Obsah Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti

Více

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu Jaroslav Šmíd Tel.: 420 257 283 333 e-mail: J.Smid@nbu.cz 30.5.2013 1 30.5.2013 1 Internet hybná síla globální ekonomiky

Více

Ochrana před následky kybernetických rizik

Ochrana před následky kybernetických rizik ztráta zisku ztráta důvěry poškození dobrého jména ztráta dat Ochrana před následky kybernetických rizik Co jsou kybernetická rizika? Kybernetická rizika jsou součástí našeho života ve světě plném informací

Více

Základy řízení bezpečnosti

Základy řízení bezpečnosti Základy řízení bezpečnosti Bezpečnost ve společnosti MND a.s. zahrnuje: - Bezpečnost a ochranu zdraví - Bezpečnost provozu, činností - Ochranu životního prostředí - Ochranu majetku - Ochranu dobrého jména

Více

Alternativní řešení pro ochranu dat, správu infrastruktury a zabezpečení přístupu. Simac Technik ČR, a.s.

Alternativní řešení pro ochranu dat, správu infrastruktury a zabezpečení přístupu. Simac Technik ČR, a.s. Alternativní řešení pro ochranu dat, správu infrastruktury a zabezpečení přístupu Simac Technik ČR, a.s. Praha, 26.10. 2012 Jan Kolář Vedoucí Technického Oddělení Jan.kolar@simac.cz Úvod 9:00 Úvod, novinky

Více

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman Cloud pro utajované informace OIB BO MV 2012, Karel Šiman Utajované informace (UI) Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti Vyhláška č. 523/2005 Sb., o bezpečnosti

Více

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy

Více

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001 ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005

Více

Bezepečnost IS v organizaci

Bezepečnost IS v organizaci Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost

Více

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb

Více

Konsolidace nemocničních informačních systémů v prostředí cloud infrastruktury

Konsolidace nemocničních informačních systémů v prostředí cloud infrastruktury 18. října 2011 ehealth Days Konsolidace nemocničních informačních systémů v prostředí cloud infrastruktury Petr Siblík Rostoucí nároky na ICT Správa a bezpečnost IT Komplexnost IT Mobilita pacientů Požadavky

Více

PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ

PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ na Střední škole automobilní, mechanizace a podnikání, Krnov, příspěvková organizace Úvodní ustanovení Střední škola automobilní, mechanizace a podnikání, Krnov, příspěvková

Více

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

Aktivity NBÚ při zajišťování kybernetické bezpečnosti Aktivity NBÚ při zajišťování kybernetické bezpečnosti Jaroslav Šmíd Tel.: 420 257 283 333 e-mail: J.Smid@nbu.cz 10.4.2013 1 Zákon o kybernetické bezpečnosti Kritická informační infrastruktura 10.4.2013

Více

Úvod - Podniková informační bezpečnost PS1-2

Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 2 Literatura Kovacich G.L.:

Více

Zákon o kybernetické bezpečnosti: kdo je připraven?

Zákon o kybernetické bezpečnosti: kdo je připraven? Zákon o kybernetické bezpečnosti: kdo je připraven? Pavel Minařík minarik@invea.com Dobrá praxe v IT Ochrana sítě na perimetru Separace do VLAN Antiviry na koncových stancích Striktní oddělení LAN/DMZ

Více

srpen 2008 Ing. Jan Káda

srpen 2008 Ing. Jan Káda nauka o srpen 2008 Ing. Jan Káda ČSN ISO/IEC 27001:2006 (1) aktivum cokoliv, co má pro organizaci hodnotu důvěrnost zajištění, že informace jsou přístupné pouze těm, kteří jsou k přístupu oprávněni integrita

Více

Nástroje IT manažera

Nástroje IT manažera Obsah Nástroje IT manažera Školení uživatelů Ochrana osobních údajů Bezpečnostní politika Software a právo Legální software Management jakosti Výběr a řízení dodavatelů Pracovněprávní minimum manažerů

Více

Technické aspekty zákona o kybernetické bezpečnosti

Technické aspekty zákona o kybernetické bezpečnosti D Ů V Ě Ř U J T E S I L N Ý M Technické aspekty zákona o kybernetické bezpečnosti Michal Zedníček Key Account Manager CCSSS, ID No.: CSCO11467376 michal.zednicek@alef.com ALEF NULA, a.s. Petr Vácha Team

Více

Technologický seminář Simac Technik ČR, a.s. Praha, 21.4. 2010

Technologický seminář Simac Technik ČR, a.s. Praha, 21.4. 2010 Technologický seminář Simac Technik ČR, a.s. Praha, 21.4. 2010 Petr Kolda Petr.kolda@simac.cz 1 Program 9.00 Představení společnosti Simac TECHINIK ČR a.s. 9.15 Unified Fabric konsolidace sítí v datových

Více

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@email.cz

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@email.cz ZÁKON O KYBERNETICKÉ BEZPEČNOSTI JUDr. Mgr. Barbora Vlachová judr.vlachova@email.cz PRÁVNÍ ZAKOTVENÍ KYBERNETICKÉ BEZPEČNOSTI zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů

Více

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti

Více

Zabezpečené vzdálené přístupy k aplikacím případová studie. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Zabezpečené vzdálené přístupy k aplikacím případová studie. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert případová studie Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert Sektor veřejné správy Zpracovává řadu agend potřebných pro život občanů IT představuje strategický pilíř, o který se opírá

Více

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických

Více

CLOUD COMPUTING PRO MALÉ A STŘEDNÍ FIRMY

CLOUD COMPUTING PRO MALÉ A STŘEDNÍ FIRMY 1 CLOUD COMPUTING PRO MALÉ A STŘEDNÍ FIRMY Ing. Martin Pochyla, Ph.D. VŠB TU Ostrava, Ekonomická fakulta Katedra Aplikovaná informatika martin.pochyla@vsb.cz Informační technologie pro praxi 2010 Definice

Více

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší? Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší? Karel Miko, CISA (miko@dcit.cz) DCIT, s.r.o (www.dcit.cz) Nadpis Penetrační test i bezpečnostní audit hodnotí bezpečnost předmětu

Více

Registr živnostenského podnikání předchůdce cloudových řešení

Registr živnostenského podnikání předchůdce cloudových řešení Registr živnostenského podnikání předchůdce cloudových řešení Ing. Miloslav Marčan, Ministerstvo průmyslu a obchodu ČR Ing. Martin Záklasník, PhD., Sales Director T-Systems Czech Republic Deutsche Telekom

Více

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice Účelem veřejné zakázky je vybudování, provoz a údržba infrastruktury pro provozování aplikací a služeb

Více

VOIPEX Pavel Píštěk, strategie a nové Sdílet projek ts y práv, I né PEX inf a.s orm. ace se správnými lidmi ve správný čas WWW.IPEX.

VOIPEX Pavel Píštěk, strategie a nové Sdílet projek ts y práv, I né PEX inf a.s orm. ace se správnými lidmi ve správný čas WWW.IPEX. VOIPEX Pavel Píštěk, strategie a nové projekty, Sdílet správné IPEX a.s. informace se správnými lidmi ve správný čas Byznys začíná komunikací Agenda 1. Cesta do Cloud služeb. 2. Přínos pro nás a naše zákazníky.

Více

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu 22 let zkušeností komplexní řešení & dlouhodobý provoz nepřetržité dohledové centrum procesy, role & kompetence zkušení, certifikovaní odborníci

Více

Filip Navrátil PCS spol. s r.o. Divize DataGuard stánek 45 přízemí

Filip Navrátil PCS spol. s r.o. Divize DataGuard stánek 45 přízemí Řešení pro vaše e technologie, technologie pro vaše řešení Filip Navrátil PCS spol. s r.o. Divize DataGuard stánek 45 přízemí Skupina PCS Společnosti sjednocené pod názvem PCS se zabývají širokým spektrem

Více

TOP 10 produktů a služeb

TOP 10 produktů a služeb TOP 10 produktů a služeb pro bezpečné a efektivní IT OMEGA24 s.r.o. www.omega24.cz Kontakt: Klára Sedláková obchodní manažer +420 601 367 374 info@omega24.cz Radek Štefan jednatel +420 602 778 395 stefan@omega24.cz

Více

Bezpečnostní technologie a jejich trendy. Simac Technik ČR, a.s.

Bezpečnostní technologie a jejich trendy. Simac Technik ČR, a.s. Bezpečnostní technologie a jejich trendy Simac Technik ČR, a.s. Praha, 5.5. 2011 Jan Kolář, Solution Architect Jan.kolar@simac.cz 1 Program 9:00 Úvod, aktuální hrozby a trendy v oblasti bezpečnosti (Jan

Více

Bezpečná výměna souborů mezi vnitřní a vnější sítí organizace. Autor: Martin Hanzal, CTO SODATSW spol. s r. o., Horní 32, Brno, Czech Republic

Bezpečná výměna souborů mezi vnitřní a vnější sítí organizace. Autor: Martin Hanzal, CTO SODATSW spol. s r. o., Horní 32, Brno, Czech Republic Bezpečná výměna souborů mezi vnitřní a vnější sítí organizace Autor: Martin Hanzal, CTO SODATSW spol. s r. o., Horní 32, Brno, Czech Republic Shrnutí Nejstřeženější data a informace jsou odděleny od vnějšího

Více

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER BOZP

Více

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s.

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s. Mobilní aplikace ve světě ERP Michal Hanko Petr Kolda Asseco Solutions, a.s. a Simac Technik ČR, a.s. Skupina Asseco Solutions Asseco Solutions je průkopníkem a vizionářem na poli informačních systémů

Více

VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ

VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ Infinity, a.s. U Panasonicu 375 Pardubice 530 06 Tel.: (+420) 467 005 333 www.infinity.cz PROČ SE ZABÝVAT VÝBĚREM CLOUDU 2 IT služba Jakákoliv služba poskytovaná

Více

2. setkání interních auditorů ze zdravotních pojišťoven

2. setkání interních auditorů ze zdravotních pojišťoven 2. setkání interních auditorů ze zdravotních pojišťoven Současné výzvy IT interního auditu 20. června 2014 Obsah Kontakt: Strana KPMG průzkum stavu interního auditu IT 2 Klíčové výzvy interního auditu

Více

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení...11. Kapitola 2 Filtrování paketů...27

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení...11. Kapitola 2 Filtrování paketů...27 Obsah Část I Základy bezpečnosti..............9 Kapitola 1 Základy obvodového zabezpečení.................11 Důležité pojmy...12 Hloubková obrana...15 Případová studie hloubkové obrany...25 Shrnutí...26

Více

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM Petr Dolejší Senior Solution Consultant OCHRANA KLÍČŮ A ZOKB Hlavní termín kryptografické prostředky Vyhláška 316/2014Sb. o kybernetické bezpečnosti zmiňuje: v 17 nástroj

Více

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER SM PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Certifikace pro výrobu čipové karty třetí stranou

Certifikace pro výrobu čipové karty třetí stranou Certifikace pro výrobu čipové karty třetí stranou Obsah: 1. Obsah 2. Seznam použitých zkratek 3. Úvod a cíl dokumentu 4. Certifikovaný dodavatel 5. Postup certifikace výroby BČK 6. Popis technologií 7.

Více

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 1 Literatura Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Časopis

Více

Akceptace platebních karet je specifická činnost a v souvislosti s ní je třeba si z hlediska zájemce vyjasnit řadu otázek, např.:

Akceptace platebních karet je specifická činnost a v souvislosti s ní je třeba si z hlediska zájemce vyjasnit řadu otázek, např.: BELLPRO, s.r.o. nezávislý konzultant pro problematiku akceptace platebních karet včetně jejích bezpečnostních aspektů spolupracující se Sdružením pro bankovní karty (sdružuje zejména všechny banky zajišťující

Více

Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o.

Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o. Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o. Bezpečnost informačních systémů Využívání informačních technologií, zejména sofistikovaných ERP systémů jako je SAP, znamená

Více

Mobile Device Management Mobilita v bankovním prostředí. Jan Andraščík, Petra Fritzová, 30. 4. 2014

Mobile Device Management Mobilita v bankovním prostředí. Jan Andraščík, Petra Fritzová, 30. 4. 2014 Mobile Device Management Mobilita v bankovním prostředí Jan Andraščík, Petra Fritzová, 30. 4. 2014 Obsah Průzkum názorů ICT ředitelů BYOD trendy Návrh bezpečnostního konceptu MDM Postup, přínosy pro klienta

Více

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

BEZPEČNOSTNÍ POLITIKA INFORMACÍ BEZPEČNOSTNÍ POLITIKA INFORMACÍ společnosti ČEZ Energetické služby, s.r.o. Stránka 1 z 8 Obsah: 1. Úvodní ustanovení... 3 2. Cíle a zásady bezpečnosti informací... 3 3. Organizace bezpečnosti... 4 4. Klasifikace

Více

Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Obchodní faktory a jejich dopad na IT AKCESCHOPNOST Jednejte rychle, pohotově a flexibilně 66 % vlastníků firem považuje akceschopnost za svou prioritu

Více

Projekt podnikové mobility

Projekt podnikové mobility Projekt podnikové mobility Cortado Corporate Server Jedno řešení pro firemní mobilitu IGNUM Telekomunikace s.r.o. Cortado Corporate Server Bezkonkurenční all-in-one řešení zahrnuje mobilní zařízení a správu

Více

Monitorování datových sítí: Dnes

Monitorování datových sítí: Dnes Monitorování datových sítí: Dnes FlowMon Friday, 29.5.2015 Petr Špringl springl@invea.com Obsah Monitorování datových toků = Flow monitoring Flow monitoring a bezpečnost sítě = Network Behavior Analysis

Více

Nástroje IT manažera

Nástroje IT manažera Obsah Nástroje IT manažera Školení uživatelů Ochrana osobních údajů Bezpečnostní politika Software a právo Legální software Management jakosti Výběr a řízení dodavatelů Pracovněprávní minimum manažerů

Více

ISO 9001 a ISO 13485 aplikace na pracovištích sterilizace stručný přehled. Ing. Lenka Žďárská

ISO 9001 a ISO 13485 aplikace na pracovištích sterilizace stručný přehled. Ing. Lenka Žďárská ISO 9001 a ISO 13485 aplikace na pracovištích sterilizace stručný přehled Ing. Lenka Žďárská Proč systém kvality? Vyhláška 306/2012 Sb., příloha IV, článek IV.I., odstavec 2 Pro sterilizování zdravotnických

Více

Zkouška ITIL Foundation

Zkouška ITIL Foundation Zkouška ITIL Foundation Sample Paper A, version 5.1 Výběr z více možností Pokyny 1. Měli byste se pokusit odpovědět na všech 40 otázek. 2. Všechny svoje odpovědi vyznačte na samostatný formulář, který

Více

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše Bezpečnost sítí, Firewally, Wifi Ing. Pavel Píše Útoky na síť Z Internetu Ze strany interní sítě Základní typy síťových útoků Útoky na bezpečnost sítě Útoky na propustnost sítě (šířka pásma, záplavové

Více

Business Suite for Notes

Business Suite for Notes Business Suite for Notes Systém BSFN byl vytvořen na základě zkušeností s podporou a řízením procesů v obchodní firmě. Během několika let existence na trhu se osvědčil u mnoha zákazníků. Z nejvýznamnějších

Více

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti Ing. Daniel Kardoš, Ph.D 4.11.2014 ČSN ISO/IEC 27001:2006 ČSN ISO/IEC 27001:2014 Poznámka 0 Úvod 1 Předmět normy 2 Normativní odkazy 3 Termíny

Více

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster. Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.com Kdo jsme Kooperační odvětvové uskupení 19 firem se specializací

Více

Zákon o kybernetické bezpečnosti a související předpisy

Zákon o kybernetické bezpečnosti a související předpisy Zákon o kybernetické bezpečnosti a související předpisy egovernment 20:10 Mikulov 2014 Václav Borovička NBÚ / NCKB Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti NBÚ ustaven gestorem

Více

Toshiba EasyGuard v akci:

Toshiba EasyGuard v akci: Toshiba EasyGuard v akci Toshiba EasyGuard v akci: portégé m400 VYSOCE PŘENOSNÝ POČÍTAČ TABLET PC, KTERÝ ZVLÁDNE VŠE. Technologie Toshiba EasyGuard zahrnuje sadu funkcí, které pomáhají mobilním profesionálním

Více

CA Business Service Insight

CA Business Service Insight SPECIFIKACE PRODUKTU: CA Business Service Insight CA Business Service Insight agility made possible Díky produktu CA Business Service Insight budete vědět, které služby jsou v rámci vaší společnosti využívány,

Více

Dalibor Kačmář 21. 9. 2015

Dalibor Kačmář 21. 9. 2015 Dalibor Kačmář 21. 9. 2015 200+ 75%+ $500B $3.5M Průměrný počet dní, které útočník stráví v síti oběti, než je detekován všech průniků do sítí se stalo díky úniku přihlašovacích údajů celková odhadovaná

Více

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007 Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti

INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti Obsah: 1) Adresa společnosti 2) Historie firmy 3) Rozsah systému kvality 4) Systém managementu kvality 5) Povinnosti

Více

Tomáš HEBELKA, MSc. Skepse vůči cloudu. 21. června 2011 VI. Konference ČIMIB, Hotel Continental, Brno

Tomáš HEBELKA, MSc. Skepse vůči cloudu. 21. června 2011 VI. Konference ČIMIB, Hotel Continental, Brno Tomáš HEBELKA, MSc Skepse vůči cloudu 21. června 2011 VI. Konference ČIMIB, Hotel Continental, Brno Co je to cloud? Cloud computing je na Internetu založený model vývoje a používání počítačových technologií.

Více

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o. Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 1. března 2016 Datum vypracování: 2. února 2016 Datum schválení: 29. února 2016 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav

Více

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA ISO 9001:2009 a ISO 27001:2005 dobrá praxe Ing. Martin Havel, MBA Obsah 1. Podstata řešení 2. Cíle 3. Průběh implementace 4. Přínos 5. Výsledky 6. Doporučení 2 Podstata řešení Vytvoření jednotného systému

Více

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány

Více

SMĚRNICE DĚKANA Č. 4/2013

SMĚRNICE DĚKANA Č. 4/2013 Vysoké učení technické v Brně Datum vydání: 11. 10. 2013 Čj.: 076/17900/2013/Sd Za věcnou stránku odpovídá: Hlavní metodik kvality Za oblast právní odpovídá: --- Závaznost: Fakulta podnikatelská (FP) Vydává:

Více

Chytrá systémová architektura jako základ Smart Administration

Chytrá systémová architektura jako základ Smart Administration Chytrá systémová architektura jako základ Smart Administration Ing. Petr Škvařil, Pardubický kraj Dipl. Ing.Zdeněk Havelka PhD. A-21 s.r.o. 1 Nepříjemné dotazy Jsme efektivní v provozování veřejné správy?

Více

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha Převzetí gesce nad problematikou kybernetické bezpečnosti bezpečnosti, jako

Více

PROVOZOVÁNÍ PRIVATE CLOUD VE VEŘEJNÉ SPRÁVĚ

PROVOZOVÁNÍ PRIVATE CLOUD VE VEŘEJNÉ SPRÁVĚ PROVOZOVÁNÍ PRIVATE CLOUD VE VEŘEJNÉ SPRÁVĚ Juraj Žoldák Vítkovice IT Solutions, Michal Osif Microsoft Services 2.4.2012 ISSS Hradec Králové http://itsolutions.vitkovice.cz Cíle a stav IT systémů ve veřejné

Více

České Budějovice. 2. dubna 2014

České Budějovice. 2. dubna 2014 České Budějovice 2. dubna 2014 1 IBM regionální zástupci - Jihočeský kraj Michal Duba phone: +420 737 264 058 e-mail: michal_duba@cz.ibm.com Zdeněk Barlok phone: +420 731 435 534 e-mail: zdenek_barlok@cz.ibm.com

Více

Zabezpečení dat v cloudu. Ing. Miroslav Ludvík, Ph.D.

Zabezpečení dat v cloudu. Ing. Miroslav Ludvík, Ph.D. Zabezpečení dat v cloudu Ing. Miroslav Ludvík, Ph.D. Co je to cloud computing? Business model IT as a servis Co je to Cloud? Dodávka formou služby IT jako služba s definovaným rozhraním a kvalitou. Škálovatelný

Více

Microsoft SharePoint Portal Server 2003. Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR

Microsoft SharePoint Portal Server 2003. Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR Microsoft SharePoint Portal Server 2003 Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR Přehled Země: Česká republika Odvětví: Velkoobchod Profil zákazníka

Více

LEX UNO ORE OMNES ALLOQUITUR

LEX UNO ORE OMNES ALLOQUITUR LEX UNO ORE OMNES ALLOQUITUR JUDr. Jaroslav Strouhal náměstek ministra vnitra pro řízení sekce informačních a komunikačních technologií 1. 6. 2015, Praha od BS 7799 do současnosti od BS 7799 do současnosti

Více

Zákon o kybernetické bezpečnosti a související předpisy

Zákon o kybernetické bezpečnosti a související předpisy Zákon o kybernetické bezpečnosti a související předpisy PSP ČR, listopad 2014 SEMINÁŘ Zákon o kybernetické bezpečnosti a řízení bezpečnosti informačních systémů ve veřejné správě a ve zdravotnictví Václav

Více

Služby datového centra

Služby datového centra Služby datového centra Společnost DataSpring je poskytovatelem služeb ICT infrastruktury a provozu IT řešení, veškeré služby provozuje ve vlastních datových centrech v Praze (Lucerna) a v Lužicích u Hodonína.

Více

Bezpečnost v ICT Anotace V souboru typu pdf uzpůsobenému k promítání jsou uvedeny informace o. Jazyk Autor. Firewall, záloha dat, antivir, zcizení dat

Bezpečnost v ICT Anotace V souboru typu pdf uzpůsobenému k promítání jsou uvedeny informace o. Jazyk Autor. Firewall, záloha dat, antivir, zcizení dat BEZPEČNOST V ICT Mgr. Krejčí Jan Základní škola Jaroslava Pešaty, Duchcov 21. září 2012 Mgr. Krejčí Jan (ZSJP) BEZPEČNOST V ICT 21. září 2012 1 / 7 Bezpečnost v ICT Anotace V souboru typu pdf uzpůsobenému

Více

ZVLÁŠTNÍ PODMÍNKY PRO BLOKY RIPE. Verze z 11/02/2011

ZVLÁŠTNÍ PODMÍNKY PRO BLOKY RIPE. Verze z 11/02/2011 ZVLÁŠTNÍ PODMÍNKY PRO BLOKY RIPE Verze z 11/02/2011 Výklad pojmů RIPE: Regionální registr odpovídající za správu IP adres na evropském kontinentu a v části Asie. OVH.CZ: Společnosti OVH.CZ, s.r.o., se

Více

ZVLÁŠTNÍ PODMÍNKY PRO ŘEŠENÍ MINICLOUD. Definice: Cloud: Technologie zaměřená na vzdálené použití prováděcích zdrojů a ukládání.

ZVLÁŠTNÍ PODMÍNKY PRO ŘEŠENÍ MINICLOUD. Definice: Cloud: Technologie zaměřená na vzdálené použití prováděcích zdrojů a ukládání. ZVLÁŠTNÍ PODMÍNKY PRO ŘEŠENÍ MINICLOUD Verze z 15. 2..2011 Definice: Cloud: Technologie zaměřená na vzdálené použití prováděcích zdrojů a ukládání. Věrnostní schéma: Část rozhraní správy pro zákazníka

Více

Státní pokladna. Centrum sdílených služeb

Státní pokladna. Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Organizační dopady při řešení kybernetické bezpečnosti Ing. Zdeněk Seeman, CISA, CISM Obsah prezentace Podrobnější pohled

Více

Kybernetická bezpečnost resortu MV

Kybernetická bezpečnost resortu MV Kybernetická bezpečnost resortu MV Ing. Miroslav Tůma Ph. D. odbor kybernetické bezpečnosti a koordinace ICT miroslav.tuma@mvcr.cz Agenda 1. Pokyn MV - ustanovení Výboru pro řízení kybernetické bezpečnosti

Více

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu. Návrh zákona o kybernetické bezpečnosti Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Předmět úpravy VKB Obsah a strukturu bezpečnostní dokumentace

Více

Obsah. Úvod 13. Věnování 11 Poděkování 11

Obsah. Úvod 13. Věnování 11 Poděkování 11 Věnování 11 Poděkování 11 Úvod 13 O autorech 13 O odborných korektorech 14 Ikony použité v této knize 15 Typografické konvence 16 Zpětná vazba od čtenářů 16 Errata 16 Úvod k protokolu IPv6 17 Cíle a metody

Více

PRAVIDLA SPRÁVY POČÍTAČOVÉ SÍTĚ BIOFYZIKÁLNÍHO ÚSTAVU AV ČR

PRAVIDLA SPRÁVY POČÍTAČOVÉ SÍTĚ BIOFYZIKÁLNÍHO ÚSTAVU AV ČR PRAVIDLA SPRÁVY POČÍTAČOVÉ SÍTĚ BIOFYZIKÁLNÍHO ÚSTAVU AV ČR Článek 1 Základní ustanovení 1. Počítačová síť Biofyzikálního ústavu AV ČR (dále jen BFÚ) je součástí Brněnské akademické počítačové sítě (BAPS).

Více

Připojení městských částí do infrastruktury MepNET. Dotazníkové šetření Bohdan Keil, 4.11.2009

Připojení městských částí do infrastruktury MepNET. Dotazníkové šetření Bohdan Keil, 4.11.2009 Připojení městských částí do infrastruktury MepNET Dotazníkové šetření Bohdan Keil, 4.11.2009 Agenda Jednotlivé otázky dotazníku Doplňující informace 2 Fyzická infrastruktura Popište lokality kde se síť

Více

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o.

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o. Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o. Obsah příspěvku Hledání odpovědí hlavně na otázky: Co v současnosti běžně děláme pro ochranu dat

Více

Výhody a rizika outsourcingu formou cloud computingu

Výhody a rizika outsourcingu formou cloud computingu Výhody a rizika outsourcingu formou cloud computingu Jiří Voříšek katedra informačních technologií Vysoká škola ekonomická v Praze vorisek@vse.cz 1 Výchozí model MMDIS pro identifikaci možností outsourcingu

Více

MXI řešení nabízí tyto výhody

MXI řešení nabízí tyto výhody MXI řešení nabízí tyto výhody Přenositelnost Zero-Footprint technologie Nezanechává žádnou stopu (klíče nebo software) v zařízeních, na kterých je používáno, což je důležité z bezpečnostních důvodů a dovoluje

Více

Outsourcing v podmínkách Statutárního města Ostravy

Outsourcing v podmínkách Statutárního města Ostravy Outsourcing v podmínkách Statutárního města Ostravy Říjen 2009 Ing. Stanislav Richtar Ředitel společnosti 1 OBSAH PREZENTACE 1. Outsourcing - obecně 2. Výchozí stav projektu 3. Model poskytovaných služeb

Více

Zdravotnické laboratoře. MUDr. Marcela Šimečková

Zdravotnické laboratoře. MUDr. Marcela Šimečková Zdravotnické laboratoře MUDr. Marcela Šimečková Český institut pro akreditaci o.p.s. 14.2.2006 Obsah sdělení Zásady uvedené v ISO/TR 22869- připravené technickou komisí ISO/TC 212 Procesní uspořádání normy

Více

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o. plachy@sefira.cz

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o. plachy@sefira.cz Vývoj moderních technologií při vyhledávání Patrik Plachý SEFIRA spol. s.r.o. plachy@sefira.cz INFORUM 2007: 13. konference o profesionálních informačních zdrojích Praha, 22. - 24.5. 2007 Abstrakt Vzhledem

Více

Optimalizaci aplikací. Ing. Martin Pavlica

Optimalizaci aplikací. Ing. Martin Pavlica Optimalizaci aplikací Ing. Martin Pavlica Vize: Aplikace v dnešním světě IT Ze všech částí IT jsou aplikace nejblíže businessu V elektronizovaném světě významným způsobem podporují business, ten se na

Více

Security of Things. 6. listopadu 2015. Marian Bartl

Security of Things. 6. listopadu 2015. Marian Bartl Security of Things 6. listopadu 2015 Marian Bartl Marian Bartl Unicorn Systems, Production Manager, 2013 Unicorn Systems, Operations Architect, 2012 Unicorn, 2012 Architektura a projektové řízení Bezpečnost

Více

Zkušenosti s budováním základního registru obyvatel

Zkušenosti s budováním základního registru obyvatel Zkušenosti s budováním základního registru obyvatel Jiří Dohnal, ICZ a.s. ISSS 2012 1 ROB - EDITOŘI Primární: evidence obyvatel (IS EO), cizinecký informační systém (CIS) UFO v rámci CIS? Potřeba pro:

Více

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Je Smart Grid bezpečný?

Je Smart Grid bezpečný? Je Smart Grid bezpečný? Petr Paukner petr.paukner@anect.com - člen představenstva Jen pro vnitřní potřebu ANECT a.s. Kontext Moderní Smart Grids potřebují zajistit: Aktivní participaci producentů i konzumentů

Více