White Paper Nové přístupy k bezpečnosti cloudu
|
|
- Nikola Procházková
- před 8 lety
- Počet zobrazení:
Transkript
1 White Paper Nové přístupy k bezpečnosti cloudu
2
3 Obsah 1. Bezpečnost a cloud computing 1.1 Veřejný, hybridní a privátní cloud 1.2 Specifická legislativa ochrany dat v jednotlivých zemích 1.3 In-house provoz není bez rizik Komplexní přístup k bezpečnosti 2.1 Správa identit s rolemi a právy, bezpečnost koncového bodu a kontrola přístupů 2.2 Infrastruktura firmy a bezpečná komunikace v cloudu 2.3 IT systémy v datových centrech 2.4 Bezpečná komunikace v cloudu a správa služeb 2.5 Ochrana IT systémů na straně poskytovatele služeb 2.6 Bezpečnost datového centra 2.7 Organizace bezpečnosti a bezpečná správa 2.8 Správa služeb a dostupnost 2.9 Kontrakty, integrace procesů a migrace 2.10 Správa bezpečnosti a zranitelnosti 2.11 Bezpečnostní reporting a řízení událostí 2.12 Řízení požadavků a shody Závěr 4. Seznam obrázků 20 22
4 1. IT bezpečnost a cloud computing Analytici chrlí objemné studie o budoucnosti cloud computingu. Jejich nadšení však tlumí obavy o bezpečnost. V průzkumu britské společnosti pro výzkum trhu IT Quocirca¹ více než jedna třetina respondentů naznačila, že hlavním důvodem kategorického odmítání cloud computingu jsou otázky bezpečnosti. Obavy z rizik jsou pochopitelné, když uvážíme, že počet útoků na IT systémy prakticky den co den roste. Studie uveřejněná začátkem srpna 2012 společností McAfee odhalila, že neznámí útočníci během několika let pronikli do počítačových systémů nejméně 72 vládních institucí, organizací a firem ve 14 zemích. Alarmující zjištění předložil i Německý úřad na ochranu ústavy: roční škody způsobené evropské ekonomice elektronickou špionáží odhaduje zhruba na 250 miliard eur mnoho případů se však nepodaří odhalit, nebo nejsou hlášeny. Takováto zjištění jsou stále běžnější. Cloud computing je často obviňován v případech, kdy jsou pravou příčinou obecnější rizika ICT. Při přechodu na cloud je však třeba zaměřit pozornost na bezpečnost IT, ochranu dat a dostupnost. U řešení založených na cloudu totiž došlo k případům závažných ohrožení a vážných kybernetických útoků. Koncem července 2012 došlo například k výpadku, jenž postihl řadu cloudových služeb Amazonu. 25 miliónů zákazníků kvůli tomu nemělo celých 12 hodin přístup ke streamingové službě Netflix, a to i přesto, že je zálohována v dalších dvou datových centrech. Na vině byly nepříznivé povětrnostní podmínky na východě USA. Jednotliví hackeři a skupiny organizovaného zločinu využívají rostoucí měrou internet k útokům na specifické služby, k jejich manipulaci a vyřazení z provozu. V celosvětovém měřítku je každé dvě vteřiny vytvořen jeden nový exemplář malwaru. A evropské vlády hlásí denně 4 4 až 5 útoků hackerů na své sítě. IT systémy mají životní význam až pro 30 procent ekonomického výkonu průmyslových zemí. Podniky výrazně závisejí na IT, které podporuje jejich procesy i v případě, že je nekontroluje. Rostoucí počet a intenzitu kybernetických útoků tudíž nelze podceňovat. Na významu proto nabývá bezpečnost IT. 1)Next generation Datacentre Cycle II Cloud findings, quocirca Business and IT Analysis, April 2012: April202012%final.pdf 2) 16. a 30. června 2012 informoval zpravodajský portál o výpadcích proudu pro cloudovou nabídku Amazonu AWS (Amazon Web Seervices). Několik hodin byly off-line různé služby hostingované Amazonem html (German only) html (German only) 3) V dubnu 2011 pronikli počítačoví zločinci do sítě herní konzole Playstation firmy Sony. Získali přístup k datům více než 100 miliónů zákazníků, která byla poté prodána ilegálním fórům. Škoda způsobená společnosti Sony byla odhadnuta na 24 miliard dolarů. /meldung/angriff-auf-playstation-network-persoenliche-daten-von- Millionen-Kunden-gestohlen html(German only) 4) 9. května 2012 během 8. symposia o bezpečnosti informací Erich Schreiber, generální ředitel CIS ve Vídni citoval mezinárodní odhady odvětví ICT ve vídeňském Lázeňském salonu (Wiener Kursalon): Evropské vlády denně zaznamenávají 4-5 hackerských útoků. (German only)
5 Veřejný, hybridní, nebo privátní cloud Mezi nabízenými typy cloudového řešení je třeba rozlišovat. Nebezpečí spojované s veřejným nebo hybridním cloudem je v porovnání s privátním cloudem nesrovnatelně vyšší. Je proto třeba si uvědomovat potenciální hrozby a k jejich minimalizaci využívat veškerých dostupných prostředků. Mnohá rizika jsou známa z běžného outsourcingu. Znamená to, že data opouštějí firmu a uživatelé mají přístup k datům a k aplikacím přes sítě. Vyčleněné aplikace jsou provozovány v datových centrech poskytovatelů ICT služeb a jsou vystaveny obdobným rizikům jako v případě cloud computingu. Služby založené na cloud computingu však představují nové hrozby. Pokud jde o nabídky veřejného cloudu nemohou uživatelé přesně měřit stupeň bezpečnosti vyžadovaný poskytovatelem. Nemají konkrétní informace o způsobu jakým je služba dodávána a nejsou schopni prověřovat bezpečnostní mechanismy na místě v datových centrech, která jsou často rozptýlena po celém světě. Uživatelé mohou provádět jen omezené testy, setkávají se s potížemi při zajišťování svých specifických požadavků a často se obtížně vyrovnávají s právními předpisy spojenými s monitoringem. Znamená to, že firemní řízení rizik nemůže akceptovat služby veřejného cloudu, neboť nemůže přesně zjistit, analyzovat a vyhodnocovat rizika. Nejasnosti se často týkají toho, které systémy hostují data a aplikace, ve kterých datových centrech, a v jakých zemích. Uživatelé tak nemohou zajistit ani dokumentovat soulad s národní legislativou, firemní politikou a zvláštními požadavky odvětví. 1.2 Specifická legislativa ochrany dat v jednotlivých zemích Každá země má svůj vlastní přístup k bezpečnosti a ochraně dat. Mohou existovat rozdíly týkající se: Ochrany dat a s ní spojených zákonů Ochrany duševního vlastnictví a odpovídající legislativy Rizika zasahování vládních institucí jako nezjištěného přístupu či dohledu Zákazu nebo omezování používání technologií jako je šifrování Nedostatku kultury bezpečnosti Daňových předpisů Nejistotu zvyšuje hlavně skutečnost, že decentralizace, distribuce dat a používání progresivní technologie virtualizace představují nová rizika a zranitelnost. A tyto otázky jsou neodlučně spojovány s cloud computingem. Distribuce dat do datových center v různých lokalitách vytváří nové fyzické a logické přístupové body. Na tomto pozadí je velmi důležité vědět, jak poskytovatelé cloudových služeb chrání svá datová centra před neoprávněným přístupem a haváriemi. Služby dodávané různým uživatelům ve virtualizovaných prostředích sdílejí stejnou infrastrukturu. Rizika virtualizace však nejsou nová. Zavedení poskytovatelé s úspěchem používají prověřené virtualizační technologie na úrovni sítě a v datových centrech již desítky let. Tyto zkušenosti pomáhají vytvářet oprávněnou důvěru. 1.3 In-house provoz není bez rizika Firmy by se přes zmíněná rizika neměly domnívat, že je úroveň bezpečnosti cloud computingu nižší, neboť jejich vlastní zaměstnanci nemají vše pod kontrolou. Výzkumy ve skutečnosti nasvědčují, že služby založené na cloudu jsou často bezpečnější než vlastní IT. Odborníci z Německé národní iniciativy pro bezpečnost internetu (NIFIS) odhadují, že u více než poloviny porušení firemní bezpečnosti lze vystopovat vlastní personál. 5) Služby veřejného cloudu jsou potenciálně přístupné komukoliv. Privátní cloud je pro dedikované, známé firmy a provozuje se v souladu s dohodnutými úrovněmi bezpečnosti. Kombinace obou typů služeb je známa jako hybridní cloud. Globální studie o rizicích mobility provedená americkým ústavem Ponemon označuje za rostoucí ohrožení používání mobilních přístrojů. Další výzkum potvrzuje, že více než polovina vedoucích pracovníků IT v Německu považuje za další riziko rostoucí počet mobilních přístrojů a jejich používání pro soukromé účely na pracovišti. Stávající bezpečnostní mechanismy v mnoha případech nepomáhají bezmála třetina oslovených firem sdělila, že jsou zaměstnanci schopni metody jako hesla a uzamčené klávesnice přelstít.
6 2. K bezpečnosti je třeba přistupovat komplexně Pro minimalizaci vnějších i vnitřních rizik cloud computingu je k bezpečnosti ICT zapotřebí komplexního přístupu. Zahrnuje to zjišťování všech potenciálních hrozeb a zavádění strukturovaných ochranných mechanismů. To znamená zaměřit se na technologii. K výraznému snížení rizik cloud computingu musejí uživatelé i poskytovatelé brát v potaz technologii a procesy a implementovat odpovídající bezpečnostní mechanismus v různých oblastech. T-Systems vyvinul bezpečnostní technologii přesně pro tento účel. Zahrnuje 12 prvků, které by měl zvážit každý podnik s ohledem na bezpečnost svých dat a aplikací v (privátním) cloudu. 12 prvků cloud computingu, které je třeba brát v úvahu: 1. Správa identity, rolí a práv, bezpečnost a kontrola přístupů 2. Infrastruktura organizace 3. IT systémy v datových centrech 4. Bezpečná komunikace v cloudu a standardizace služeb 5. Ochrana IT systémů na straně poskytovatele služby 6. Bezpečnost datacentra 7. Organizace bezpečnosti a bezpečná administrace 8. Správa služby a dostupnost 9. Kontrakty, procesní integrace a migrace 10. Řízení bezpečnosti a zranitelnosti 11. Bezpečnostní výkaznictví a řízení událostí 12. Správa požadavků a shoda Topologie bezpečnosti cloud computingu Logon x7 Obr. 1.
7 Správa identit s rolemi a právy, bezpečnost koncového bodu a kontrola přístupů Nebezpečí neoprávněného přístupu Mají-li zaměstnanci přístup, mohou-li měnit či kopírovat kritické informace z obchodního hlediska, existuje vždy potenciál zneužití dat či manipulace se softwarem. Studie IDC z roku odhalila, že si polovina evropských podniků uvědomuje bezpečnostní hrozby představované personálem ať už stahují data, klepou na pochybné odkazy na sociálních sítích, nebo zacházejí nedbale s hesly a s přístupovými daty. Jednou skutečností je nedostatek patřičných mechanismů, druhou nedostatečné uvědomění zaměstnanců. Přestože většina podniků zná rizika, mnohé podle nich nepostupují. Identity management including roles and rights. Přístup k citlivým informacím však nemají jen vlastníci oprávnění. O proniknutí do IT systémů mohou usilovat také jednotlivci vně organizace a mohou tak vysávat data. Výsledek může být v obou případech katastrofální: jmenujme jen v krátkosti napadené ové účty, odcizená zákaznická data, podvodné používání informací o kreditních kartách. Aby tomu podniky zamezily, musejí ochraňovat své programy a regulovat přístup k přístrojům, softwaru, datům a odpovídajícím prostředím. Zásada potřeby vědět (The need-to-know principle) Nejprve je nutno uplatnit technické zabezpečení v souladu s přístupem potřeby vědět tzn., že zaměstnanci smějí přistupovat jen k datům a k softwaru, které potřebují pro vlastní práci. K určení rolí a přístupových oprávnění k aplikacím a datům lze používat přístupové systémy založené na úlohách (rolích). Zaměstnancům je přidělována digitální identita, která jasně určuje, které přístroje a jaký software smějí používat a jak. U cloudových služeb firmy často užívají zdvojený bezpečnostní mechanismus: nejprve kontrolují přístup ke cloudu samému, potom k samotné cloudové službě. V obou případech je absolutně nutná autentikace (bezpečná identifikace). V případě přístupu uživatele ke cloudu veřejnou sítí je zapotřebí ještě další ochrany. 1 Logon Vezměme si některé příklady: je-li jediným úkolem zaměstnance ukládat údaje do systému, neměl by být kupříkladu oprávněn kopírovat data do externího úložného přístroje. Obdobně pokud pro svoji práci nepotřebuje určitý balíček softwaru, neměl by mít příležitost tento software používat. Zaměstnancům by se také nemělo dovolovat svévolně instalovat programy nebo nástroje (byť jakkoli bezvýznamné). Zásadní význam má navíc prosazování bezpečnosti na přístrojové úrovni. Obr. 2. 6) (německy) 7) Hackeři využili zranitelnosti ve službě Yahoo! a získali přístup ke zhruba ovým adresám a k jednoduchým textovým heslům řady mailových poskytovatelů, včetně G-mail, Hotmail a GMX, jež byly poté uveřejněny on-line. (německy) 8) viz vysvětlivka č. 3 9) Počítačoví zločinci pronikli do systémů Citibank a odcizili data kreditních karet statisíců zákazníků. Ilegálním zatížením bankovních účtů nakonec získali 2,7 miliónu dolarů Kunden html (německy)
8 Minimální standardní opatření proto musejí zahrnovat: Řízení přístupu k přístrojům: automatické uzamykání Ochranu proti malwaru, sledování příchozích a odchozích dat Ochranu konfiguračních nastavení (nastavení BIOS, booting, autostart) Aktivní management bezpečnosti přístroje na pracovišti. Vedle výše uvedených bodů vyžadují mobilní přístroje další bezpečnostní vlastnosti jako dálkový výmaz (v případě ztráty), nebo šifrování včetně úložných datových médií. Ke zranitelnosti může docházet také v případě, kdy is zaměstnanci nebezpečí neuvědomují. O zajištění bezpečnosti proto rozhoduje především změna myšlení. Klíčovou úlohu při získávání pro firemní politiku bezpečnosti mají informační kampaně a školící programy. Personál musí porozumět otázkám a umět tak efektivně odhadovat rizika. Management musí přirozeně stanovit jasná pravidla vztahující se na každého, neboť jsou efektivní jen v případě, že zaměstnanci cítí potřebu aktivně zakročit a ohlašovat jakékoli přestupky. Prevence úniku dat Zaměstnanci mohou často vědomě či nevědomě vynášet data z firemní sítě do širého světa. Dojde-li k tomu, mohou být data ztracena nebo záměrně postoupena třetím stranám elektronickou poštou, mobilními přístroji, chytrými telefony nebo flash disky. Firmy však mohou svým zaměstnancům bránit v pořizování kopií nebo odesílání informací použitím vhodného softwaru proti úniku dat (Data Leakage Prevention DLP). Software DLP navíc zaznamenává jakékoli kopírování a určuje odpovědnost v případě ztráty dat. Významnou úlohu hraje i šifrování, neboť omezuje počet lidí, kteří mohou otevírat důvěrné složky. Firemní postupy mohou navíc jasně stanovit, že interní data musejí být před uložením na mobilní přístroje zaměstnanců šifrována. Dojde-li ke ztrátě či odcizení chytrého telefonu nebo laptopu nehrozí nebezpečí úniku dat.
9 Infrastruktura firmy a bezpečná komunikace v cloudu Přenos šifrovaných dat Základním rysem cloudových služeb je, že při přenosu mezi uživatelem a poskytovatelem nejsou data vystavena ohrožení, tzn., že spojení mezi koncovým přístrojem a datovým centrem je neprodyšné ať probíhá bezpečnou firemní sítí, veřejnou pevnou nebo veřejnou mobilní sítí. Předávají-li se data veřejnými sítěmi, jako internetem, musejí být zašifrována, aby se zamezilo přístupu neoprávněných stran a bylo zajištěno utajení a integrita. To platí i v případě, je-li lokalita uživatele (tzn. jeho síť) spojena s datacentrem poskytovatele internetem. Bezpečný vzdálený přístup může být prováděn pomocí VPN klienta 10 na uživatelově stolním počítači. Bezpečná komunikace do cloudu. Profesionální poskytovatelé nabízejí ohledně bezpečnosti kupříkladu standardizované nebo speciální zákaznické služby jako PKI (Public Key Infrastructure) 11, které umožňují bezpečný, ověřený a šifrovaný přenos dat z datových center pomocí širokopásmové sítě. Přístup ke cloudovým službám vlastní firemní sítí (intranet nebo LAN) umožňuje brána. Tato síť musí být rovněž chráněna implementací opatření jako je firewall a systémy detekce průniku (IDS/IPS) 12. Bezpečná správa vnitřní firemní sítě musí kromě toho zajistit, aby se do sítě mohly napojovat a do cloudových služeb vstupovat jen registrované stolní počítače. Zvýšení bezpečnosti pomocí MPLS-VPN Dodává-li poskytovatel cloudu také síťové komunikační služby zajišťují integrované mechanismy jako MPLS 13 přísné oddělení datových toků zasílaných různým uživatelům a službám. V rámci jedné sítě MPLS je datový provoz z různých zákaznických sítí přenášen současně dedikovanými virtuálními privátními sítěmi (VPN). Podle Německého spolkového úřadu pro bezpečnost informací (BSI) skýtají sítě MPLS-VPN dobrou základní ochranu, jež může být zesílena opatřeními jako jsou šifrované tunely IPSec, TLS/SSL či SSH. Poskytovatel ICT může také pro zákazníky vytvořit dedikované spoje mezi uživatelskou organizací a cloudovými službami v datovém centru. Tato strategie poskytuje nejvyšší úroveň ochrany, může však odrazovat organizace s velkým množstvím působišť. Před přechodem do cloudu musejí uživatelé důkladně vyhodnotit své požadavky. Pro aplikace s kritickým významem jsou nezbytné vyšší úrovně služeb: poskytovatelé musejí garantovat potřebnou šíři pásma a (nebo) doby odezvy. Poskytovatelé, kteří provozují vlastní síť, jsou v této souvislosti ve výhodě, jelikož mohou zajistit řízení kvality služby (QoS), včetně upřednostňování, vyrovnávání zatížení, úrovní služeb a, pokud je nutno, komprimace dat. Logon 2 Obr ) Virtual Private Network (VPN) je tunelová technologie umožňující zákazníkům vytvářet dedikovanou síť v rámci širší veřejné sítě. Znamená to, že různí uživatelé mohou sdílet jednu fyzickou síť, aniž by mohli prohlížet či měnit data ostatních. 11) PKI se týká technické a organizační infrastruktury, která vytváří, distribuuje a spravuje klíče a certifikáty. Klíče umožňují bezpečnou komunikaci mezi dvěma instancemi. 12) Technologie zjištění průniku jako domovní poplašné zařízení rozpoznává útoky proti klientům, serverům, nebo sítím a vyhlašuje poplach. Ochranné systémy proti průniku mají dodatečné funkce, které automaticky odvracejí nebo evidují útoky. 13) Technologie MPLS (multiprotocol label switching) spojuje síť zákazníka například s datovým centrem poskytovatele. Odděluje toky dat a zamezuje přenosu dat nesprávnému příjemci. Ke spojování zákazníků s cloudem mohou MPLS používat jen poskytovatelé, kteří nabízejí cloudové a síťové komunikační služby.
10 2.3 IT systémy v datových centrech Při používání cloudových řešení je v datacentrech zapotřebí dodatečných bezpečnostních opatření. Nejde však jen o implementaci mechanismů k zabezpečení systémů, aplikací a dat. Je třeba zvážit i další okolnost. Zatímco tradiční outsourcingoví poskytovatelé přidělují dedikované servery (někdy umístěné v oddělených prostorách) individuálním zákazníkům, je cloud computing založen jinak. Různí klienti, sdílející stejný hardware a software, vytváří zcela nové bezpečnostní požadavky. V žádném případě nesmí být jednomu uživateli umožněn přístup k datům jiného uživatele nebo zpochybnění integrity ICT systémů. Nastala by totiž velmi kritická situace, kdy by počítačoví zločinci mohli instalovat špionážní software či jiný malware, protože by to potenciálně mohlo ohrozit všechny uživatele tohoto cloudu. Virtuální oddělení uživatelů Poskytovatelé cloud computingu používají k oddělení zákazníků technologie virtualizace. Virtualizace se vztahuje nejen na computing jako takový, ale probíhá též na úrovni sítí v datovém centru, centrálních úložných systémech a v souvislosti s používáním dalších centrálních složek ICT pro správu systémů. K přísnému vzájemnému oddělení systémů se používá virtuálních lokálních sítí (Virtual local area networks VLAN) a firewallů. Brání jednomu uživateli v přístupu k serveru, aplikacím a datům jiného uživatele. Platí to pro jednotlivé fyzické servery (umístěné vedle sebe v datovém centru) i pro virtuální zákaznické servery, které běží na stejném fyzickém stroji. IT systémy v datových centrech. 3 Noví zákazníci dostávají svůj vlastní VLAN. Každý server má přesně tolik dedikovaných přístupových cest, jaký je počet zákazníků, kteří jej používají, a tyto cesty či sítě jsou navzájem zcela odděleny. Aplikace (jako SAP nebo Oracle), používané různými zákazníky, běží vedle sebe. Zákazníkův vlastní mnohostranný systém (kupř. SAP a CRM) však přitom může vzájemně komunikovat podle potřeby a předem stanovených pravidel. Izolace dat Data jsou v cloudu rovněž izolována v dedikovaných síťových úložných oblastech. Tyto oblasti se podobají pevným diskům a servery uživatele k nim přistupují sítí. Jsou propojeny tak, aby zákazníci měli přístup jen ke svým vlastním datům, jako by měli svůj vlastní dedikovaný disk. Data lze v případě potřeby zašifrovat, aby byla nečitelná pro neoprávněné osoby. Obr. 4.
11 Bezpečná komunikace v cloudu a správa služeb Otázkou, která stále vyvstává v souvislosti s cloudovými nabídkami, je zeměpisná poloha zpracování a ukládání dat. Regulatorní rámec (tzn. požadavky daňových orgánů, zákony o dodržování soukromí a audity) vyžaduje, aby byly podniky minimálně schopny s jistotou uvádět, ve které zemi jsou jejich data uložena. Bezpečná komunikace v cloudu. Daňové zákony v EU a v jiných zemích například dovolují finančním orgánům přístup k informacím relevantním pro daňové účely. K tomu však potřebují vědět, kde jsou data uložena. Zákony o soukromí jsou na druhé straně v různých zemích velmi odlišné. V mnoha oblastech světa je třeba přísně dodržovat předpisy zvláště při ukládání či zpracovávání údajů určitých osob. A v mnoha případech smějí být tyto údaje ukládány jen v domovské zemi uživatele cloudu. Soulad se zákony a postupy ohledně dodržování soukromí Vzhledem ke složitému právnímu prostředí je radno, aby firmy vyhledávaly cloudového poskytovatele, který ovládá znalost zákonů (i regionálních) ohledně dodržování soukromí a má odpovídající zdroje. To však může být rizikem u hráčů veřejného cloudu, neboť často rozmísťují mnoho datových center po různých světadílech a přidělují data různým lokalitám v závislosti na kapacitě v jakékoli dané době. V privátním cloudu lze zajišťovat soulad snáze, protože zákazníci mohou ve smlouvách o úrovních služeb určit, ve kterých zemích lze data zpracovávat a ukládat. 4 Cloudové aplikace lze distribuovat do různých datových center. Ale dostupnost, důvěrnost a integritu dat vyměňovaných prostřednictvím cloudových služeb a distribuovaných aplikací v cloudu musí být vždy zajištěna. Za tímto účelem byly vyvinuty speciální technologie, například k zajištění architektur pro služby (SOA). K vytváření záloh a zlepšování využití zdrojů však lze data přesouvat i z jednoho datového centra do druhého. IT služby musejí například vzájemně spolupůsobit, což znamená, že vyžadují výkonné internetové spojení a odkazy na jiné základní služby. Pohled do dodavatelských struktur cloudu Jsou-li cloudové služby poskládány do komplexní nabídky, není dodávka vždy snadnou záležitostí. I když jsou aplikace distribuovány, musejí jednotlivé složky cloudové služby vykazovat efektivní součinnost, aby byl zajištěn spolehlivý provoz. Zajištění efektivní dodávky a vzájemná součinnost vyžadují vývojářskou práci, které nemusí být sám operátor datového centra vždy schopen. Obr. 5. Složitější cloudové nabídky často zahrnují služby třetí strany. Takže přestože má zákazník smlouvu s poskytovatelem cloudu tento poskytovatel nedodává veškeré základní služby, nýbrž je nakupuje od třetích stran. Uživatelé tak přistupují k těmto službám buď prostřednictvím poskytovatele, nebo přímo třetí stranou. To ve skutečnosti znamená, že někteří poskytovatelé cloudu jsou pouhými dealery, kteří prodávají služby ve skutečnosti poskytované někým jiným. Uživatelské organizace by z tohoto důvodu měly trvat na možnosti náhledu do hodnotového řetězce poskytovatele. V kontraktu je třeba jasně specifikovat, jaké služby budou kým dodávány a kdo nese právní odpovědnost v případě jakýchkoli otázek. Zavedení poskytovatelé cloudu zaručují pevné bezpečnostní standardy, které působí jako záštita vůči rizikům, jež mohou nastat při začleňování služeb třetí strany.
12 2.5 Ochrana IT systémů na straně poskytovatele služeb Poskytovatel dodává ICT služby primárně z datového centra. V zařízení musejí být k zajištění správné úrovně bezpečnosti implementovány mechanismy, které chrání systémy, platformy a aplikace. Navíc musí existovat bezpečné spojení mezi zdroji IT uloženými v datovém centru a propojení s okolním světem. Pokud jde o požadavky bezpečnosti je cloud computing srovnatelný s konvenčními outsourcingovými modely. Ochrana IT systémů u poskytovatele služeb. Zjišťování průniků a prevence Firewallové systémy, které nemají zabudovánu funkčnost ochrany proti průniku, nemohou v dnešním světě zajistit dostatečný stupeň ochrany. Červi, trojští koně a hackeři se stali příliš mnohostrannými, rafinovanými a pokročilými. Pouhá ochrana IP adres a portů ponechává infrastrukturu na pospas různým rizikům. Zjistit a blokovat neoprávněný přístup k datům může řada technologií, jako jsou systémy k odhalování průniků a prevenci (IDS/IPS). Mohou zvláště skenovat data na výskyt malwaru a dokáží upozornit na jakékoli události, které naznačují útok. Řešení IDS i IPS automaticky odhalují nevhodný datový obsah nebo anomálie a odhalují útok. Firewally s hloubkovou kontrolou K zajištění efektivní ochrany síťových segmentů musejí poskytovatelé používat dvou druhů bezpečnostních úrovní. Potřebují jednak firewally, které provádějí aktuální kontrolu komunikace, portů a aplikací. Ale také firewally k hloubkové kontrole, které mohou skenovat protokoly o přenosu dat ohledně dobrých a závadných dotazů. Musí být zajištěna kontrola, i když jsou data zašifrována. Zjišťování malwaru nemá význam jen pro síťový provoz. Odpovídajícími bezpečnostními řešeními musejí být vybaveny také veškeré hostingované počítače, a to bez ohledu na to, zda tyto servery působí jako brána, poskytují ICT služby jako , nebo se používají pro jiné aplikace. 5 Další klíčové mechanismy zahrnují proxy servery a reverzní proxy, které filtrují a přeměňují příchozí a odchozí datový provoz, chrání citlivé informace, minimalizují zranitelná místa a přispívají k větší bezpečnosti ICT. Uživatelské organizace zároveň potřebují řešení, která podporují centrální ověřování uživatelských organizací a jednotlivých uživatelů. Obr. 6.
13 Bezpečnost datového centra Operátoři datového centra musejí nejen chránit prostředí IT ve svých zařízeních. Musejí též ochraňovat budovy a hardwarová aktiva, a to prostředky fyzických mechanismů a přístupových kontrol. Nejde prostě jen o technologii, nýbrž i o organizaci, procesy a lidi. DIN a TIA standardy Německá norma DIN EN 50600, která se právě vyvíjí, a americká norma TIA-942, definují nejlepší praktiky (best practices) pro design, uspořádání a výstavbu datových center. Norma DIN EN bude popisem klíčových parametrů vybavení a infrastruktury požadovaných pro zajištění efektivního provozu. Dále stanoví klasifikační systém založený na ústředních kritériích dostupnosti, provozní spolehlivosti a energetické efektivnosti pro celý předpokládaný životní cyklus zařízení. TIA-942 stanovuje požadavky na kabelovou infrastrukturu datového centra a jeho geografické umístění s ohledem na seizmickou činnost. Norma TIA-942 dělí zařízení do čtyř tříd dostupnosti od 9,.671 do 99,995 procenta. Bezpečnost datového centra. Datacentra musejí být postavena tak, aby budova odolala přírodním katastrofám, jako například bouřím, krupobití, potenciální fyzické sabotáži a ohni. Zařízení musí být vzdáleno od oblastí s výskytem bouří, záplav a zemětřesení. Kromě toho musí být zajištěno dobré dopravní spojení, ale musí být vzdáleno od letových koridorů. Musí být v blízkosti místních průmyslových zón, musí mít zajištěny dodávky vody a elektřiny, jakož i dostatečný odvod dešťové vody. Budova musí být exteriérově nenápadná, aby nepoutala nežádoucí pozornost. Klíčový význam mají hladký provoz a bezpečnost dat. Střežení obvodu a kontroly vozidel Ochrana datového centra zahrnuje bezpečné fyzické oplocení uzavírající celý objekt, který je tak pod trvalým dohledem a zábrany na komunikacích, která zamezují pohybu vozidel. Objekt musí mít dostatek prostoru ke kontrole vozidel a podporovat používání detektorů kovů. Budova musí být navíc pod vnitřním i vnějším videodohledem a záznamy musejí být uchovávány v souladu s odpovídajícími zákony o ochraně dat. Datové centrum by mělo mít zvláštní vchody pro příjem zboží a pro bezpečnou personální vrátnici. Veškeré příchozí a odchozí zboží musí být zaznamenáno a zadokumentováno. 4 6 Rozsáhlé kontroly personálu K odvracení útoků vnitřních a externích osob v datovém centru je zapotřebí zevrubných kontrol fyzického přístupu. Je nutno zajistit, aby do budovy měli přístup jen oprávnění zaměstnanci. Klíčovou vlastností jakéhokoli datového centra jsou tudíž turnikety, které umožňují jednotlivý vstup osob. Zaměstnanci, kteří chtějí vstoupit, musejí prokázat svoji totožnost a předložit oprávnění. Všichni návštěvníci se musí předem registrovat pomocí procesu bezpečné registrace, který je pečlivě dokumentován a vyžaduje od nich platný průkaz. Bezpečnostní personál musí mít přehled o přesném počtu lidí, kteří se kdykoli nacházejí v budově. Po zaznění poplašného signálu odpovídá i za evakuaci budovy ve stanovené době. K zajištění tohoto postupu je nutno provádět cvičení. Ve vnitřních zónách datového centra, kam má vstup jen pověřený personál, se v budoucnu bude stále více používat metod biometrického ověřování, jako jsou otisky prstů a scanování obličejů. Zvláštní zóny zvýšené bezpečnosti Přísné kontroly přístupu musí být prováděny po celé budově a do žádné místnosti nesmí vstupovat kdokoli. Musí být aplikována zásada menších privilegií a zvláště citlivá data musí být ukládána ve speciálně oddělených oblastech. 8 Obr. 7.
14 Může se tak dít například ve formě bezpečných klecí obsahujících hardware zákazníků, kteří chtějí mít odděleny své platformy od ostatních systémů v rámci datového centra. Klíčové systémy a vybavení pro vlastní ICT datového centra se zřizují dedikované, vysoce zabezpečené služební místnosti vybavené západkami. Subdodavatelé, pracovníci a další jednotlivci, kteří musejí do objektu vstupovat pravidelně podléhají zvláštním postupům a pravidlům. Přístup je například umožněn jen na vymezenou dobu. Tato informace je souhrnně zaznamenána v digitálních přístupových systémech. Příslušníci bezpečnostního týmu jsou jedinými lidmi, kteří mají přístup do všech místností datového centra. Zaměstnanci mohou vstupovat do místností s obzvláště citlivými daty nebo zařízením minimálně ve dvojici. 2.7 Organizace bezpečnosti a bezpečná administrace Lidský faktor hraje hlavní úlohu v bezpečnosti cloudových služeb pro zákazníky a je také výjimečně důležitou otázkou pro samotné poskytovatele služeb. Poskytovatelé z tohoto důvodu provozují dedikovaný systém informační bezpečnosti (ISMS). Je určen k tomu, aby se dostálo mezinárodní Organizace bezpečnosti a administrace. normě ISO/IEC a definuje procesy a pravidla pro efektivní řízení informační bezpečnosti. Poskytuje referenční model a nástroje pro plánování, implementaci, ověřování a úpravy informační bezpečnosti. Za ISMS odpovídá bezpečnostní tým. Tato skupina určuje postupy a sleduje shodu. Poskytovatelé cloudu též musejí vytvářet pravidla zaručující, že zaměstnanci plní požadavky kladené na bezpečnost, a určují kdo má přístup k jakým systémům a kdo zodpovídá za které úkoly vztahující se k provozu a bezpečnosti. Činnosti zahrnují: Přidělení odpovědností Stanovení a oddělení rolí a odpovědností Výběr (včetně zevrubných bezpečnostních kontrol) a registraci zaměstnanců Řízení, předávání znalostí a školení personálu plus jmenování personálu, podpis pracovní smlouvy a zajištění, aby byl začleněn do firemních procesů v oblasti lidských zdrojů. 7 Práva administrátora Administrace, správa složek počítačů a sítí musí být vysoce bezpečná. Správci mají obvykle zvláštní práva (privilegovaný uživatelský přístup), která musejí být plánována a řízena obzvláště pečlivě a pozorně. Spadají do tří kategorií: Management zaměstnanců Management identity správce Technologická infrastruktura pro správu a sledování (monitoring) Řízení identity správce zahrnuje přidělování digitálních totožností administrátorům. Tyto digitální totožnosti zahrnují jeden nebo více ověřovacích elementů (většinou běžně heslo s chytrou kartou s PINem) a role a přístupová oprávnění. Umožňuje to snadnou identifikaci těchto jednotlivců a přidělení zvláštních práv pro ně. Obr. 8. V prostředích dodávajících industrializované IT služby správci používají dedikovanou infrastrukturu. Zajišťuje to dodatečnou bezpečnost blokací přístupů nebo znemožněním provádění určitých funkcí (např. používáním tzv. jump serverů). Nedílnou součástí těchto infrastruktur je úzkostlivé monitorování bezpečnostních událostí a záznamů dat (protokolování).
15 Správa služby a dostupnost Dostupnost aplikací a dat v cloudu jsou žhavým tématem a častým předmětem diskuse. Dostupnost má úzký vztah k bezpečnosti. Výpadek aplikací může poškozovat obchod, zvláště pokud jsou postiženy kritické systémy. Organizace používající cloud je v důsledku toho třeba zapojit do patřičných úrovní služeb. Úrovně služby jsou rovněž pevnou součástí konvenčních outsourcingových kontraktů. Zálohování a zdvojená datová centra Poskytovatelé cloudu zajišťují dostupnost vytvářením zálohových systémů pro jednotlivé aplikace zdvojováním celých datových center. Občas se tomu říká strategie zdvojení. Poskytovatelé služeb zároveň musí zajistit také vysokou dostupnost aplikací a dat vytvářením záloh, které umožňují oživení systému po výpadku. Vzhledem k extrémní výši nákladů na zdvojování celého datového centra zacházejí poskytovatelé veřejného cloudu zřídkakdy tak daleko. Podtrhuje to skutečnost, že veřejné cloudy vytvořené a vyvinuté pro masový trh jsou ve většině případů nevhodné pro obchodní aplikace. Poskytovatelé v tomto prostoru používají mechanismy ochrany bezpečnosti a dat, které odpovídají potenciální škodě způsobené uživatelům. Co se považuje za pouhou náhodu pro soukromníky, může znamenat kolaps obchodu, či koneckonců vysoké finanční ztráty, poškozenou pověst, snížení tržní hodnoty a odhalení utajovaných informací. Někteří poskytovatelé nabízejí zákazníkům také 24ti hodinovou správu dodávky služby, kdykoli poskytují také dodatečnou podporu. Zjistí-li zákazníci pokles dostupnosti, dojde-li k narušení bezpečnosti či k jinému problému, mohou kontaktovat svého manažera dodávky služeb a požádat o podniknutí patřičné akce. Tato nabídka výrazně zvyšuje celkovou bezpečnost cloudových modelů. Bezpečnost však začíná v dřívější fázi. Poskytovatelé musí definovat normy pro bezpečný vývoj softwaru a systémů a zajištění kvality. Musí také kontrolovat nákup a začlenění softwaru, systémů a komponentů třetí strany. Aby platformy IT splňovaly proměnlivé nároky, musejí se pravidelně rozvíjet. Týmy řízení služby musí přijmout standardní postupy pro případy jako tyto: například kontroly zajišťující, aby byl dopad všech změn ověřen a aby se změny mohly provádět vždy jen s potřebným oprávněním. Tyto činnosti jsou popsány v ITIL 14 a je-li nutno, musí být kombinovány s dalšími bezpečnostními mechanismy. Řízení služby a dostupnost. End-to-end služby Privátní cloudy jsou naopak speciálně vyvinuty pro firmy. Poskytovatel služby garantuje požadovanou úroveň dostupnosti, splňuje požadavky kladené na uchování dat tím, že používá odpovídající archivační systémy a dodává komplexní (end-to-end) služby. Efektivní správa služeb zajišťuje, aby byly plněny všechny potřeby zákazníka a aby byly prováděny jakékoli nutné změny. Součástí této služby jsou spolehlivé procesy ITIL jako řízení změn, problémů a releasů. Existuje mnoho otázek souvisejících s ICT, které uživatelské organizace nedokáží řešit samy. Proto potřebují přístup k rozsáhlým zkušenostem poskytovatele služby s ohledem na probíhající údržbu a vývoj systémů a služeb. 24x7 8 14) ITIL IT Infrastructure Library je souborem nejlepších praktik pro správu IT služeb. Obr. 9.
16 2.9 Kontrakty, integrace procesů a migrace Rozsah a druh ICT služeb musí být stanoven v písemné dohodě. Komplexní poskytovatelé podporují začlenění cloudových služeb do stávajícího procesního prostředí. Organizace, které se rozhodnou pro model veřejného cloudu, z této služby nemají prospěch. Určení, zda začlenění cloudových služeb ovlivní projekty nebo vytvoří bezpečnostní rizika, závisí výrazně na tom, zda existují zevrubné informace o možnostech spolupráce mezi poskytovatelem a zákazníkem. V některých případech je rovněž třeba splnit specifické firemní bezpečnostní požadavky. V tomto případě nabízí privátní cloud daleko vyšší flexibilitu. Kontrakty, integrace procesu a migrace. 9 Externě dodávané ICT služby podléhají vnitřním postupům zákazníka. Poskytovatelé ICT služeb s rozsáhlými zkušenostmi v bezpečnosti IT používají systém řízení bezpečnosti. Zajišťuje, aby byly definovány požadavky a aby byly implementovány a sledovány všechny nutné změny. Dodávají navíc potřebné organizační struktury a procesy umožňující rychlou reakci na bezpečnostní problémy nebo hrozby. Když poskytovatel například zjistí, že do zákazníkova systému pronikl útočník, spolupracuje s uživatelskou organizací při hledání nejlepšího zásahu, tzn. zablokováním nebo změnou přístupové trasy nebo instalováním záplaty. Přizpůsobivost v bezpečnosti ICT Přizpůsobivost může kladně ovlivňovat bezpečnost. Oursourcingové modely například zjednodušují počet bezpečnostních úkolů ICT, protože jsou služby dodávány centrálně odborníky. Tyto služby zahrnují implementaci, konfiguraci, aktualizaci (řízení releasů, aktualizace, záplaty), zálohování, monitoring a údržbu. Podniky mohou určovat úroveň bezpečnosti, kterou potřebují. Služby se dodávají na modulární základně plať podle potřeby a jsou jasně definovány ve smlouvě o úrovni služeb (SLA). Před jejím podpisem by poskytovatel a zákazník měli společně zjistit, jaké aplikace mají kritický význam pro provoz a požadovat zvláště vysokou dostupnost a bezpečnost. Tento dokument zároveň musí stanovit, co se stane v případě poruchy, včetně postupu reaktivace systému po výpadku. Obr. 10.
17 Řízení bezpečnosti a zranitelnosti Strategie řízení rizik poskytovateli umožňuje rozpoznávat potenciální rizika a určovat činnosti k jejich potlačování. Poskytovatelé služeb potřebují komplexní procesy řízení rizik. Umožňuje jim to poskytovat informace, které zákazníkům umožňují přesně odhadovat rizika vyčlenění do cloudu a činit informovaná rozhodnutí. Složky ICT infrastruktury občas vykazují chyby či slabiny. Velice často k nim dochází kvůli programátorským chybám nebo špatnému nastavení. Často se objevují při změnách požadavků a scénářů nasazení. Aby se předcházelo větším problémům, musí být tyto slabiny odhalovány a včas řešeny. To je složitý proces zahrnující analýzu různých informačních zdrojů ke zjištění, které systémy jsou postiženy. Před záplatováním chyb je nutno provést zevrubné zkoušky a odhad rizik. Ve většině případů lze výpadku předejít, takže poskytovatelé služeb musí úzce spolupracovat s uživateli. Jak podtrhují tyto případy je bezpečnost hlavní otázkou po dobu celého životního cyklu systému ICT. Začíná to dokumentací a správným řízením konfiguračních údajů. Klíčovými záležitostmi jsou též instalace a procesy nastavení, včetně souladu s relevantními procesy. Především je třeba udržovat požadovanou úroveň bezpečnosti. Dalšími významnými otázkami je proaktivní řízení zranitelnosti a dalších událostí umožňujících náhled, zvýšení bezpečnosti a omezení vzniku trhlin. K zajištění efektivnosti ISMS je třeba bezpečnostní mechanismy celé infrastruktury a datového centra pravidelně podrobovat zkouškám. Zahrnuje to faktory jako fyzickou bezpečnost, kontrolu přístupů, bezpečnost dat, kontroly okolí, logging a monitoring. Auditoři navíc analyzují rozvržení a nastavení sítí, platforem, provozních systémů, bezpečnostní architektury sítě a také to, zda jsou k dispozici plány na udržení provozu a záchranu dat. Klíčem k dosažení certifikace je v neposlední řadě bezpečnost související s personálem. Zahrnuje to analýzu školení personálu poskytovatele, přenos znalostí a náborových postupů včetně, například, prověrek trestních rejstříků. Řízení bezpečnost a zranitelnosti. Povinná certifikace Cloudová datová centra musí být ověřena podle mezinárodně uznávaných norem jako ISO/IEC 2700 (15) a shoda musí být pravidelně ověřována nezávislými auditory. Norma ISO vyžaduje, aby poskytovatelé používali systému řízení bezpečnosti informací (ISMS), který zahrnuje řízení bezpečnosti a rizik a rozsáhlý bezpečnostní rámec. ISMS je klíčovým řídícím nástrojem k dosažení a udržování požadovaného stupně bezpečnosti. 10 Obr ) Mezinárodní norma ISO/IEC zahrnuje přes 130 položek ohledně postupů a činnosti, které souvisí s bezpečností informací. Analýzu provádějí oprávnění auditoři, aby zjistili shodu s normami a udělili certifikaci. Certifikace musí být kompletně obnovována každé dva roky.
18 2.11 Vykazování bezpečnosti a řízení událostí Podniky mohou k externímu poskytovateli služeb vyčleňovat produkci ICT i bezpečnost. Jsou však přesto vystaveny obchodním rizikům spojeným s ICT a právním rizikům (ohledně vlivu obchodních operací podporovaných ICT a potenciálního porušování shody). Proto je velmi důležitý přehled o dosaženém stupni bezpečnosti. Tento přehled poskytuje právě vykazování bezpečnosti (security reporting). Vykazování bezpečnosti a řízení událostí. Události související s bezpečností jsou součástí každodenního provozu ICT, protože k bezpečnostním událostem (porušení) bohužel dochází. Tyto události poskytují přehled o efektivnosti ochranných mechanismů. Analýza těchto událostí umožňuje úpravu, náhradu nebo zdokonalování opatření. Nápravu je třeba podnikat v závislosti na tom, do jaké míry určitá událost porušila bezpečnostní postupy. Může být zapotřebí informovat zákazníka, aby mohl provést odpovídající změny. Firma může mít za jistých okolností co do činění s kritickými dotazy sdělovacích prostředků, nebo poskytovat vysvětlení svým zaměstnancům a zákazníkům. Bezpečnostní události tohoto druhu jsou tím posledním, co si podniky přejí. Jakmile však k tomu dojde, je třeba mít co možná nejvíce informací. Proto je důležité začlenit procesy záznamu dat a jeho řízení, sledování, analýzu, podchycování, vyhodnocování a řízení bezpečnostních událostí do provozu ICT. Uživatelské organizace vyžadují přehled o tom, jak poskytovatel cloudové služby tyto činnosti řídí a jakou úlohu v tom hrají. Zahrnuje to využívání dostupných informací k proaktivnímu řízení firemních rizik Obr. 12.
19 Řízení požadavků a shoda Firmy musí přihlížet k mnoha vnějším příkazům. Musí splňovat zákonné, regulační a specifické odvětvové požadavky. Zahrnuje to vnitřní postupy, kontrakty se zákazníky, dodavateli a partnery, a další závazky, s nimiž explicitně či implicitně vyslovily souhlas. Řízení požadavků a shody. 12 Právní požadavky zahrnují zachovávání mlčenlivosti o soukromých záležitostech a povinnost poskytovat informace při civilních právních sporech a vládním orgánům. Regulační požadavky se týkají zákonů o finančním účetnictví a výkaznictví, povinné péči (due dilligence) a povinnosti vést patřičné záznamy. Zahrnují rovněž závazky k zajištění proaktivního řízení rizik s osobní odpovědností části vedoucích pracovníků (např. zákon KonTraG v Německu) V závislosti na odvětví či podniku mohou přicházet v úvahu další požadavky jako oficiální schvalování komponent provozu platebních systémů, včetně příslušné dokumentace. Nejznámnějším příkladem je norma PCI DSS, která stanovuje velmi podrobné nároky na transakce kreditními platebními kartami. Podniky by zároveň měly uvážit povinnost uchovávat jisté druhy obchodních údajů po určitou dobu. Může se též vyžadovat, aby ochraňovaly data proti manipulování a prokazovaly jejich pravost. Uživatelské organizace by měly prověřovat, zda je jejich poskytovatel cloudových služeb schopen tato imperativa skutečně plnit. Zákony o ochraně dat a způsob jejich uplatňování se v různých zemích výrazně liší. Navíc, žádné dvě organizace nejsou stejné. Liší se co do procesů a potenciálních hrozeb a ve stupni negativního vlivu bezpečnostních událostí na jejich byznys. Mají však jedno společné potřebují silného partnera, který nabízí bezpečnou a zajištěnou cestu do cloudu. Technická infrastruktura obvykle existuje. Avšak její spojení se specifickým byznysem firmy vyžaduje péči a, v některých případech, čas. 6 Obr. 13.
20 3. Závěr Cloud computing může být velmi bezpečný. Firmy by však měly pečlivě zvažovat výběr poskytovatele služeb založených na oblaku. Každý, kdo využívá služeb ICT, musí akceptovat jistou úroveň rizika. Platí to o kterémkoliv provozním modelu od vlastního ICT po konvenční outsourcing a cloud computing. Bezpečnost IT je vzhledem ke stále sílícím hrozbám těžkým břemenem ve smyslu nákladů, času a úsilí. Stále složitější technické požadavky a rostoucí náklady na zajišťování efektivní bezpečnosti činí z outsourcingu a cloud computingu stále oblíbenější alternativy provozu. V globálním průzkumu o stavu informační bezpečnosti z roku provedeného v roce 2012 firmou Pricewaterhouse Coopers (PwC) 54 procenta respondentů uvedlo, že používání cloudových služeb zlepšilo bezpečnost jejich IT. A studie Cloud Monitor společnosti KPMG odhalila, že zkušenosti téměř 60 procent subjektů řízení IT s cloudovými řešeními byly kladné. Nezmínili žádné vážné záporné zkušenosti. 16) 8M4LGB&ContentType=Content 17) html
Nejbezpečnější prostředí pro vaše data
Když si musíte být jistí Kleos Nejbezpečnější prostředí pro vaše data Zabezpečení je pro Kleos prioritou. Držíme krok s nejvyššími standardy zabezpečení a disponujeme certifikáty dosvědčujícími tuto skutečnost.
VíceNení cloud jako cloud, rozhodujte se podle bezpečnosti
Není cloud jako cloud, rozhodujte se podle bezpečnosti Marcel Jánský Manažer útvaru produktů a podpory prodeje 26. 2. 2013 České Radiokomunikace Vysílací služby Profesionální telekomunikační operátor Poskytovatel
VíceBezpečnostní politika společnosti synlab czech s.r.o.
Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav
VíceTechnická a organizační opatření pro ochranu údajů
Technická a organizační opatření pro ochranu údajů V této příloze najdete více podrobností o tom, jak zabezpečujeme data. verze 1810 Adresa Bisnode Česká republika, a. s. Siemensova 2717/4 155 00 Praha
VíceCloud Slovník pojmů. J. Vrzal, verze 0.9
Cloud Slovník pojmů J. Vrzal, verze 0.9 Typické poskytované služby SaaS (Software as a Service): software jako služba Poskytování softwarové aplikace prostřednictvím internetu tak, že aplikace běží na
VíceODEMČENÉ DVEŘE PRŮZKUM UKAZUJE, ŽE TISKÁRNY ČASTO BÝVAJÍ NEZABEZPEČENÉ PROTI KYBERNETICKÝM ÚTOKŮM
OFICIÁLNÍ ZPRÁVA ODEMČENÉ DVEŘE PRŮZKUM UKAZUJE, ŽE TISKÁRNY ČASTO BÝVAJÍ NEZABEZPEČENÉ PROTI KYBERNETICKÝM ÚTOKŮM Zatímco se týmy IT soustředí na jiná koncová zařízení, zabezpečení firemních tiskáren
VíceFyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.
Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceOchrana před následky kybernetických rizik
ztráta zisku ztráta důvěry poškození dobrého jména ztráta dat Ochrana před následky kybernetických rizik Co jsou kybernetická rizika? Kybernetická rizika jsou součástí našeho života ve světě plném informací
VíceZákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295
Zákon o kybernetické bezpečnosti základní přehled Luděk Novák ludekn@email.cz, 603 248 295 Obsah Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti
VíceSpolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu
Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu Jaroslav Šmíd Tel.: 420 257 283 333 e-mail: J.Smid@nbu.cz 30.5.2013 1 30.5.2013 1 Internet hybná síla globální ekonomiky
VíceStandardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha
Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb
VíceBezepečnost IS v organizaci
Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost
Více1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads
1. Organizace dokumentu V tomto dokumentu jsou popsány organizační a technická opatření přijatá Hybrid Company a.s. pro jednotlivé služby a produkty týkající se poskytovaných služeb a produktů 2. Zabezpečení
VíceZákon o kybernetické bezpečnosti
Zákon o kybernetické bezpečnosti Ing. Ondřej Ševeček GOPAS a.s. MCSM:Directory2012 MVP:Security CEH CHFI CISA CISM CISSP ondrej@sevecek.com www.sevecek.com GOPAS: info@gopas.cz www.gopas.cz www.facebook.com/p.s.gopas
VíceNástroje IT manažera
Obsah Nástroje IT manažera Školení uživatelů Ochrana osobních údajů Bezpečnostní politika Software a právo Legální software Management jakosti Výběr a řízení dodavatelů Pracovněprávní minimum manažerů
Vícesrpen 2008 Ing. Jan Káda
nauka o srpen 2008 Ing. Jan Káda ČSN ISO/IEC 27001:2006 (1) aktivum cokoliv, co má pro organizaci hodnotu důvěrnost zajištění, že informace jsou přístupné pouze těm, kteří jsou k přístupu oprávněni integrita
VíceČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001
ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005
VíceISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok
ISO 9000, 20000, 27000 Informační management VIKMA07 Mgr. Jan Matula, PhD. jan.matula@fpf.slu.cz III. blok ITSM & Security management standard ISO 9000-1 ISO 9000:2015 Quality management systems Fundamentals
VíceBezpečnostní politika společnosti synlab czech s.r.o.
www.synlab.cz synlab czech s.r.o. Sokolovská 100/94 Karlín 186 00 Praha 8 Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 12. dubna 2017 Datum vypracování: 7. dubna 2017 Datum
VíceZákon o kybernetické bezpečnosti
Zákon o kybernetické bezpečnosti Ing. Ondřej Ševeček GOPAS a.s. MCSM:Directory2012 MCM:Directory2008 MVP:Enterprise Security CEH: Certified Ethical Hacker CHFI: Computer Hacking Forensic Investigator CISA
VíceZásady ochrany údajů v evropském regionu
Zásady ochrany údajů v evropském regionu Tyto zásady ochrany údajů v evropském regionu (dále jen Evropské zásady ) tvoří součást Zásad ochrany údajů společnosti Gates Corporation (dále jen Firemní zásady
VíceÚvod - Podniková informační bezpečnost PS1-2
VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 2 Literatura Kovacich G.L.:
VíceBezpečnostní aspekty informačních a komunikačních systémů KS2
VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy
VíceTechnická a organizační opatření Českých Radiokomunikací
Technická a organizační opatření Českých Radiokomunikací 1. Organizace dokumentu a definice pojmů V tomto dokumentu jsou popsány organizační a technická opatření přijatá CRA pro jednotlivé služby a produkty.
VíceNormy ISO/IEC NISS. V Brně dne 7. listopadu 2013
Normy ISO/IEC 27033 Bezpečnost síťové infrastruktury NISS V Brně dne 7. listopadu 2013 Soubor norem řady ISO/IEC 27033 ISO/IEC 27033 - Informační technologie Bezpečnostní techniky Síťová bezpečnost Jde
VíceNetwork Audit Komplexní provozní a bezpečnostní monitoring sítě
# DIGITAL TELECOMMUNICATIONS Network Audit Komplexní provozní a bezpečnostní monitoring sítě www.dto.cz Kontakt: Tomáš Vrba obchodní manažer +420 603 485 960 tomas.vrba@dto.cz V případě zájmu o vypracování
Více10. setkání interních auditorů v oblasti průmyslu
10. setkání interních auditorů v oblasti průmyslu Současné výzvy IT interního auditu 7. Března 2014 Obsah Kontakt: Strana KPMG průzkum stavu interního auditu IT 2 Klíčové výzvy interního auditu IT 3 KPMG
VíceAktivity NBÚ při zajišťování kybernetické bezpečnosti
Aktivity NBÚ při zajišťování kybernetické bezpečnosti Jaroslav Šmíd Tel.: 420 257 283 333 e-mail: J.Smid@nbu.cz 10.4.2013 1 Zákon o kybernetické bezpečnosti Kritická informační infrastruktura 10.4.2013
VíceTOP 10 produktů a služeb
TOP 10 produktů a služeb pro bezpečné a efektivní IT OMEGA24 s.r.o. www.omega24.cz Kontakt: Klára Sedláková obchodní manažer +420 601 367 374 info@omega24.cz Radek Štefan jednatel +420 602 778 395 stefan@omega24.cz
VíceTechnické aspekty zákona o kybernetické bezpečnosti
D Ů V Ě Ř U J T E S I L N Ý M Technické aspekty zákona o kybernetické bezpečnosti Michal Zedníček Key Account Manager CCSSS, ID No.: CSCO11467376 michal.zednicek@alef.com ALEF NULA, a.s. Petr Vácha Team
VíceDopady GDPR a jejich vazby
GDPR Dopady GDPR a jejich vazby Algotech & Michal Medvecký 22. 7. 2017 Algotech Telefon: +420 225 006 555 Fax: +420 225 006 194 E-mail: Web: Adresa: info@algotech.cz www.algotech.cz FUTURAMA Business Park
VíceNávrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB
Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti
VíceCloud pro utajované informace. OIB BO MV 2012, Karel Šiman
Cloud pro utajované informace OIB BO MV 2012, Karel Šiman Utajované informace (UI) Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti Vyhláška č. 523/2005 Sb., o bezpečnosti
VíceCloud Computing pro státní správu v praxi. Martin Vondrouš - Software602, a.s. Pavel Kovář - T-Systems Czech Republic a.s.
Cloud Computing pro státní správu v praxi Martin Vondrouš - Software602, a.s. Pavel Kovář - T-Systems Czech Republic a.s. Portál SecuStamp.com Proč vznikl portál SecuStamp.com Na trhu chybělo» Jednoduché
VícePříloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice
Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice Účelem veřejné zakázky je vybudování, provoz a údržba infrastruktury pro provozování aplikací a služeb
VíceISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013
ISMS Případová studie Síťová bezpečnost V Brně dne 7. a 14. listopadu 2013 Zadání - infrastruktura Modelová firma je výrobní firma, která síťové zabezpečení doposud nijak zásadně neřešila, a do jisté míry
VíceNástroje IT manažera
Obsah Nástroje IT manažera Školení uživatelů Ochrana osobních údajů Bezpečnostní politika Software a právo Legální software Management jakosti Výběr a řízení dodavatelů Pracovněprávní minimum manažerů
Více1 Slovník pojmů Zákaznická data jsou data, která mají být zahrnuta do záložní kopie vytvořené pomocí Služby v závislosti na zálohovacím schématu.
1 Slovník pojmů Zákaznická data jsou data, která mají být zahrnuta do záložní kopie vytvořené pomocí Služby v závislosti na zálohovacím schématu. Překročení objednané kapacity pro zálohu (Backup Burst)
VíceWS PŘÍKLADY DOBRÉ PRAXE
WS PŘÍKLADY DOBRÉ PRAXE ISO 9001 revize normy a její dopady na veřejnou správu Ing. Pavel Charvát, člen Rady pro akreditaci Českého institutu pro akreditaci 22.9.2016 1 ISO 9001 revize normy a její dopady
VíceVOIPEX Pavel Píštěk, strategie a nové Sdílet projek ts y práv, I né PEX inf a.s orm. ace se správnými lidmi ve správný čas WWW.IPEX.
VOIPEX Pavel Píštěk, strategie a nové projekty, Sdílet správné IPEX a.s. informace se správnými lidmi ve správný čas Byznys začíná komunikací Agenda 1. Cesta do Cloud služeb. 2. Přínos pro nás a naše zákazníky.
VíceZkušenosti z nasazení a provozu systémů SIEM
Zkušenosti z nasazení a provozu systémů SIEM ict Day Kybernetická bezpečnost Milan Šereda, 2014 Agenda Souhrn, co si má posluchač odnést, přínosy: Představení firmy Co je to SIEM a k čemu slouží Problematika
VíceRegistr živnostenského podnikání předchůdce cloudových řešení
Registr živnostenského podnikání předchůdce cloudových řešení Ing. Miloslav Marčan, Ministerstvo průmyslu a obchodu ČR Ing. Martin Záklasník, PhD., Sales Director T-Systems Czech Republic Deutsche Telekom
VíceAkceptace platebních karet je specifická činnost a v souvislosti s ní je třeba si z hlediska zájemce vyjasnit řadu otázek, např.:
BELLPRO, s.r.o. nezávislý konzultant pro problematiku akceptace platebních karet včetně jejích bezpečnostních aspektů spolupracující se Sdružením pro bankovní karty (sdružuje zejména všechny banky zajišťující
VíceZáklady řízení bezpečnosti
Základy řízení bezpečnosti Bezpečnost ve společnosti MND a.s. zahrnuje: - Bezpečnost a ochranu zdraví - Bezpečnost provozu, činností - Ochranu životního prostředí - Ochranu majetku - Ochranu dobrého jména
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.020; 35.040 2008 Systém managementu bezpečnosti informací - Směrnice pro management rizik bezpečnosti informací ČSN 36 9790 Červen idt BS 7799-3:2006 Information Security Management
VíceJak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.
Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.com Kdo jsme Kooperační odvětvové uskupení 19 firem se specializací
VíceAlternativní řešení pro ochranu dat, správu infrastruktury a zabezpečení přístupu. Simac Technik ČR, a.s.
Alternativní řešení pro ochranu dat, správu infrastruktury a zabezpečení přístupu Simac Technik ČR, a.s. Praha, 26.10. 2012 Jan Kolář Vedoucí Technického Oddělení Jan.kolar@simac.cz Úvod 9:00 Úvod, novinky
VíceBezpečnostní aspekty informačních a komunikačních systémů PS2-1
Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 1 Literatura Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Časopis
VíceDODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM Č. 16
Zadavatel: MĚSTSKÁ ČÁST PRAHA 4 se sídlem Praha 4, Antala Staška 2059/80b IČO: 00063584 Veřejná zakázka: Zajištění externího správce, tj. outsourcing informačních technologií a služeb Evidenční číslo zakázky:
VíceZkouška ITIL Foundation
Zkouška ITIL Foundation Sample Paper A, version 5.1 Výběr z více možností Pokyny 1. Měli byste se pokusit odpovědět na všech 40 otázek. 2. Všechny svoje odpovědi vyznačte na samostatný formulář, který
VíceProjekt podnikové mobility
Projekt podnikové mobility Cortado Corporate Server Jedno řešení pro firemní mobilitu IGNUM Telekomunikace s.r.o. Cortado Corporate Server Bezkonkurenční all-in-one řešení zahrnuje mobilní zařízení a správu
VícePodmínky ochrany osobních údajů
Podmínky ochrany osobních údajů Foxtrot Technologies s.r.o., se sídlem Jivenská 2, 140 00 Praha 4, Česká republika, identifikační číslo: 25709054, společnost vedená u Městského soudu v Praze, spisová značka:
Víceehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti
Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti ehealth Day 2016 16.2.2016 Ing. Stanislav Bíža, Senior IT Architekt, CISA stanislav.biza@cz.ibm.com 12016 IBM Corporation Požadavky
VíceVěstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010
Třídící znak 2 2 1 1 0 5 6 0 ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010 k výkonu činnosti organizátora regulovaného trhu, provozovatele vypořádacího systému a centrálního depozitáře cenných
VíceZákon o kybernetické bezpečnosti: kdo je připraven?
Zákon o kybernetické bezpečnosti: kdo je připraven? Pavel Minařík minarik@invea.com Dobrá praxe v IT Ochrana sítě na perimetru Separace do VLAN Antiviry na koncových stancích Striktní oddělení LAN/DMZ
Více2. setkání interních auditorů ze zdravotních pojišťoven
2. setkání interních auditorů ze zdravotních pojišťoven Současné výzvy IT interního auditu 20. června 2014 Obsah Kontakt: Strana KPMG průzkum stavu interního auditu IT 2 Klíčové výzvy interního auditu
VíceBEZPEČNOSTNÍ POLITIKA INFORMACÍ
BEZPEČNOSTNÍ POLITIKA INFORMACÍ společnosti ČEZ Energetické služby, s.r.o. Stránka 1 z 8 Obsah: 1. Úvodní ustanovení... 3 2. Cíle a zásady bezpečnosti informací... 3 3. Organizace bezpečnosti... 4 4. Klasifikace
VícePRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ
PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ na Střední škole automobilní, mechanizace a podnikání, Krnov, příspěvková organizace Úvodní ustanovení Střední škola automobilní, mechanizace a podnikání, Krnov, příspěvková
VíceZ P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P
Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P R O S T Ř E D Í ZoKB a cloudové služby Je možné zajistit
VícePřístupy k řešení a zavádění spisové služby
Přístupy k řešení a zavádění spisové služby Miroslav Kunt Praha, 22. 3. 2016 Výběr SSl důležité okolnosti Je potřeba zájem vedení organizace, kompetentní pracovníci spisové služby, co největší přiblížení
VíceTechnologický seminář Simac Technik ČR, a.s. Praha, 21.4. 2010
Technologický seminář Simac Technik ČR, a.s. Praha, 21.4. 2010 Petr Kolda Petr.kolda@simac.cz 1 Program 9.00 Představení společnosti Simac TECHINIK ČR a.s. 9.15 Unified Fabric konsolidace sítí v datových
VíceSměrnice upravující eliminaci rizik při správě osobních údajů technicko-organizační opatření
Směrnice určuje práva a povinnosti pracovníků správce osobních údajů ve vztahu k ochraně osobních údajů. Upravuje též konkrétní režim na pracovišti, způsoby zabezpečení (fyzického i elektronického). Směrnice
VíceDoporučení dobré praxe o vnitřní kontrole, etických zásadách a compliance
Doporučení dobré praxe o vnitřní kontrole, etických zásadách a compliance Přijato 18. února 2010 Tato Doporučení dobré praxe byla přijata Radou OECD jako nedílná součást Doporučení Rady OECD k dalšímu
VíceBEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant
BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM Petr Dolejší Senior Solution Consultant OCHRANA KLÍČŮ A ZOKB Hlavní termín kryptografické prostředky Vyhláška 316/2014Sb. o kybernetické bezpečnosti zmiňuje: v 17 nástroj
VícePenetrační test & bezpečnostní audit: Co mají společného? V čem se liší?
Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší? Karel Miko, CISA (miko@dcit.cz) DCIT, s.r.o (www.dcit.cz) Nadpis Penetrační test i bezpečnostní audit hodnotí bezpečnost předmětu
VíceBezpečná výměna souborů mezi vnitřní a vnější sítí organizace. Autor: Martin Hanzal, CTO SODATSW spol. s r. o., Horní 32, Brno, Czech Republic
Bezpečná výměna souborů mezi vnitřní a vnější sítí organizace Autor: Martin Hanzal, CTO SODATSW spol. s r. o., Horní 32, Brno, Czech Republic Shrnutí Nejstřeženější data a informace jsou odděleny od vnějšího
VíceStatutární město Brno, městská část Brno-střed INFORMAČNÍ KONCEPCE
Statutární město Brno, městská část Brno-střed INFORMAČNÍ KONCEPCE Pokyn tajemníka č.: 12 Bc. Petr Štika, MBA, LL.M., v.r. Vydání č.: 1 tajemník ÚMČ Brno-střed Účinnost: 16.07.2018 Vydal/schválil: Bc.
VíceTyp aktiv Aktivum Hrozba Zranitelnost Riziko
Zbytková rizika Typ aktiv Aktivum Hrozba Zranitelnost Částečná úroveň rizika Snížení hrozby Snížení zranit. Zbytkové Namapovaná opatření Riziko C I A T MAX Hodnota MAX Hodnota riziko ISO? specif.? Datová
VíceVzdálená správa v cloudu až pro 250 počítačů
Vzdálená správa v cloudu až pro 250 počítačů S pomocí ESET Cloud Administratoru můžete řídit zabezpečení vaší podnikové sítě bez nutnosti nákupu, instalace nebo údržby dalšího hardwaru. Řešení je poskytováno
VíceBezpečnostní technologie a jejich trendy. Simac Technik ČR, a.s.
Bezpečnostní technologie a jejich trendy Simac Technik ČR, a.s. Praha, 5.5. 2011 Jan Kolář, Solution Architect Jan.kolar@simac.cz 1 Program 9:00 Úvod, aktuální hrozby a trendy v oblasti bezpečnosti (Jan
VíceSecurity of Things. 6. listopadu 2015. Marian Bartl
Security of Things 6. listopadu 2015 Marian Bartl Marian Bartl Unicorn Systems, Production Manager, 2013 Unicorn Systems, Operations Architect, 2012 Unicorn, 2012 Architektura a projektové řízení Bezpečnost
VíceZabezpečené vzdálené přístupy k aplikacím případová studie. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert
případová studie Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert Sektor veřejné správy Zpracovává řadu agend potřebných pro život občanů IT představuje strategický pilíř, o který se opírá
VíceKonsolidace nemocničních informačních systémů v prostředí cloud infrastruktury
18. října 2011 ehealth Days Konsolidace nemocničních informačních systémů v prostředí cloud infrastruktury Petr Siblík Rostoucí nároky na ICT Správa a bezpečnost IT Komplexnost IT Mobilita pacientů Požadavky
VíceAudit ICT. KATALOG služeb. Ing. Jiří Štěrba
KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány
VíceCLOUD COMPUTING PRO MALÉ A STŘEDNÍ FIRMY
1 CLOUD COMPUTING PRO MALÉ A STŘEDNÍ FIRMY Ing. Martin Pochyla, Ph.D. VŠB TU Ostrava, Ekonomická fakulta Katedra Aplikovaná informatika martin.pochyla@vsb.cz Informační technologie pro praxi 2010 Definice
VícePROVOZOVÁNÍ PRIVATE CLOUD VE VEŘEJNÉ SPRÁVĚ
PROVOZOVÁNÍ PRIVATE CLOUD VE VEŘEJNÉ SPRÁVĚ Juraj Žoldák Vítkovice IT Solutions, Michal Osif Microsoft Services 2.4.2012 ISSS Hradec Králové http://itsolutions.vitkovice.cz Cíle a stav IT systémů ve veřejné
VíceStatut interního auditu. Město Vodňany
Statut interního auditu Město Vodňany Vypracovala: Bc. Martina Benešová Ve Vodňanech, dne 12. prosince 2016 Město Vodňany STATUT INTERNÍHO AUDITU Statut interního auditu (dále jen,,statut ) se vydává na
VíceToshiba EasyGuard v akci:
Toshiba EasyGuard v akci Toshiba EasyGuard v akci: portégé m400 VYSOCE PŘENOSNÝ POČÍTAČ TABLET PC, KTERÝ ZVLÁDNE VŠE. Technologie Toshiba EasyGuard zahrnuje sadu funkcí, které pomáhají mobilním profesionálním
VíceČeské Budějovice. 2. dubna 2014
České Budějovice 2. dubna 2014 1 IBM regionální zástupci - Jihočeský kraj Michal Duba phone: +420 737 264 058 e-mail: michal_duba@cz.ibm.com Zdeněk Barlok phone: +420 731 435 534 e-mail: zdenek_barlok@cz.ibm.com
VíceInformace, lidské zdroje a technologie: Klíčové faktory pro zajištění kybernetické bezpečnosti
Informace, lidské zdroje a technologie: Klíčové faktory pro zajištění kybernetické bezpečnosti Petr Pavlů (ppavlu@cisco.com) Systems Engineering Director, Eastern Europe Mikulov, září 2018 Hlavní témata
VíceMobile Device Management Mobilita v bankovním prostředí. Jan Andraščík, Petra Fritzová, 30. 4. 2014
Mobile Device Management Mobilita v bankovním prostředí Jan Andraščík, Petra Fritzová, 30. 4. 2014 Obsah Průzkum názorů ICT ředitelů BYOD trendy Návrh bezpečnostního konceptu MDM Postup, přínosy pro klienta
VícePřehled služeb CMS. Centrální místo služeb (CMS)
Přehled služeb Centrální místo služeb () Katalog služeb informačního systému obsahuje seznam všech služeb poskytovaných prostřednictvím tohoto systému a jejich stručnou charakteristiku. Verze 2.17 Schválil
VícePředstavení služeb DC SPCSS Státní pokladna Centrum sdílených služeb
Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb Datové centrum SPCSS Představení služeb DC SPCSS str. 2 Proč jsme na trhu Mise Předmětem podnikání státního podniku SPCSS je provozování
VíceDŮVODOVÁ ZPRÁVA. Jednání Zastupitelstva městské části Praha Zbraslav. číslo: 20 Dne: Zpracovatel: OKT
Městská část Praha Zbraslav Zbraslavské náměstí 464 156 00 Praha Zbraslav tel/fax: +420 257 111 888 e- mail: info@mc-zbraslav.cz http: www.mc-zbraslav.cz DŮVODOVÁ ZPRÁVA Jednání Zastupitelstva městské
VíceOBCHODNÍ SLUŽBY SPOLEČNOSTI WORLDLINE. Technická a organizační opatření a Seznam Oprávněných subdodavatelů
OBCHODNÍ SLUŽBY SPOLEČNOSTI WORLDLINE Technická a organizační opatření a Seznam Oprávněných subdodavatelů 1. ÚČEL TOHOTO DOKUMENTU Tento dokument obsahuje seznam technických a organizačních opatření, která
VíceBezpečnostní politika společnosti synlab czech s.r.o.
Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 1. března 2016 Datum vypracování: 2. února 2016 Datum schválení: 29. února 2016 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav
VíceČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE
ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE Č.j.: 3/12/51924/Moos PŘÍKAZ REKTORA č. 1/2012 Pravidla pro kompetence a odpovědnosti při správě informačního systému ČVUT Pravidla pro kompetence a odpovědnosti při
VíceImplementace systému ISMS
Implementace systému ISMS Krok 1 Stanovení rozsahu a hranic ISMS Rozsah ISMS Krok 2 Definice politiky ISMS Politika ISMS Krok 3 Definice přístupu k hodnocení rizik Dokumentovaný přístup k hodnocení rizik
VíceMobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s.
Mobilní aplikace ve světě ERP Michal Hanko Petr Kolda Asseco Solutions, a.s. a Simac Technik ČR, a.s. Skupina Asseco Solutions Asseco Solutions je průkopníkem a vizionářem na poli informačních systémů
VíceVěstník ČNB částka 20/2002 ze dne 19. prosince 2002
Třídící znak 1 1 2 0 2 5 1 0 OPATŘENÍ ČESKÉ NÁRODNÍ BANKY Č. 12 ZE DNE 11. PROSINCE 2002 K VNITŘNÍMU ŘÍDICÍMU A KONTROLNÍMU SYSTÉMU BANKY 0 Česká národní banka podle 15 s přihlédnutím k 12 odst. 1 a 8
VíceMonitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika
Monitorování a audit databází v reálném čase Ing. Jan Musil IBM Česká republika Jsou naše data chráněna proti zneužití? Ano, pokud... Nepoužitelné Steve Mandel, Hidden Valley Observatory http://apod.nasa.gov/apod/ap010809.html
VíceDalibor Kačmář 21. 9. 2015
Dalibor Kačmář 21. 9. 2015 200+ 75%+ $500B $3.5M Průměrný počet dní, které útočník stráví v síti oběti, než je detekován všech průniků do sítí se stalo díky úniku přihlašovacích údajů celková odhadovaná
VícePOZNÁMKA Zvláštní schválení požadavků nebo dokumentů souvisejících s bezpečností smí být vyžadováno zákazníkem nebo interními procesy organizace.
Schválené výklady byly určeny a schváleny IATF. Pokud není uvedeno jinak, jsou schváleny výklady platné po zveřejnění. Schválené výklady mění interpretaci pravidla nebo požadavky, která se pak stává podkladem
VíceCA AppLogic platforma typu cloud pro podnikové aplikace
INFORMACE O PRODUKTU: CA AppLogic CA AppLogic platforma typu cloud pro podnikové aplikace agility made possible CA AppLogic je platforma na klíč založená na technologii cloud computing, která pomáhá podnikům
VíceFilip Navrátil PCS spol. s r.o. Divize DataGuard stánek 45 přízemí
Řešení pro vaše e technologie, technologie pro vaše řešení Filip Navrátil PCS spol. s r.o. Divize DataGuard stánek 45 přízemí Skupina PCS Společnosti sjednocené pod názvem PCS se zabývají širokým spektrem
VíceVíce úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů
Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických
VíceChytrá systémová architektura jako základ Smart Administration
Chytrá systémová architektura jako základ Smart Administration Ing. Petr Škvařil, Pardubický kraj Dipl. Ing.Zdeněk Havelka PhD. A-21 s.r.o. 1 Nepříjemné dotazy Jsme efektivní v provozování veřejné správy?
Vícenová bezpečnostní identita nejen pro zákon pro skutečnou ochranu
nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu 22 let zkušeností komplexní řešení & dlouhodobý provoz nepřetržité dohledové centrum procesy, role & kompetence zkušení, certifikovaní odborníci
VícePotřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?
Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva? Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.com Kybernetická bezpečnost III Kdo jsme Kooperační odvětvové
VíceGradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1.
Gradua-CEGOS, s.r.o. Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR BOZP PŘEHLED POŽADOVANÝCH
Více