White Paper Nové přístupy k bezpečnosti cloudu

Save this PDF as:
 WORD  PNG  TXT  JPG

Rozměr: px
Začít zobrazení ze stránky:

Download "White Paper Nové přístupy k bezpečnosti cloudu"

Transkript

1 White Paper Nové přístupy k bezpečnosti cloudu

2

3 Obsah 1. Bezpečnost a cloud computing 1.1 Veřejný, hybridní a privátní cloud 1.2 Specifická legislativa ochrany dat v jednotlivých zemích 1.3 In-house provoz není bez rizik Komplexní přístup k bezpečnosti 2.1 Správa identit s rolemi a právy, bezpečnost koncového bodu a kontrola přístupů 2.2 Infrastruktura firmy a bezpečná komunikace v cloudu 2.3 IT systémy v datových centrech 2.4 Bezpečná komunikace v cloudu a správa služeb 2.5 Ochrana IT systémů na straně poskytovatele služeb 2.6 Bezpečnost datového centra 2.7 Organizace bezpečnosti a bezpečná správa 2.8 Správa služeb a dostupnost 2.9 Kontrakty, integrace procesů a migrace 2.10 Správa bezpečnosti a zranitelnosti 2.11 Bezpečnostní reporting a řízení událostí 2.12 Řízení požadavků a shody Závěr 4. Seznam obrázků 20 22

4 1. IT bezpečnost a cloud computing Analytici chrlí objemné studie o budoucnosti cloud computingu. Jejich nadšení však tlumí obavy o bezpečnost. V průzkumu britské společnosti pro výzkum trhu IT Quocirca¹ více než jedna třetina respondentů naznačila, že hlavním důvodem kategorického odmítání cloud computingu jsou otázky bezpečnosti. Obavy z rizik jsou pochopitelné, když uvážíme, že počet útoků na IT systémy prakticky den co den roste. Studie uveřejněná začátkem srpna 2012 společností McAfee odhalila, že neznámí útočníci během několika let pronikli do počítačových systémů nejméně 72 vládních institucí, organizací a firem ve 14 zemích. Alarmující zjištění předložil i Německý úřad na ochranu ústavy: roční škody způsobené evropské ekonomice elektronickou špionáží odhaduje zhruba na 250 miliard eur mnoho případů se však nepodaří odhalit, nebo nejsou hlášeny. Takováto zjištění jsou stále běžnější. Cloud computing je často obviňován v případech, kdy jsou pravou příčinou obecnější rizika ICT. Při přechodu na cloud je však třeba zaměřit pozornost na bezpečnost IT, ochranu dat a dostupnost. U řešení založených na cloudu totiž došlo k případům závažných ohrožení a vážných kybernetických útoků. Koncem července 2012 došlo například k výpadku, jenž postihl řadu cloudových služeb Amazonu. 25 miliónů zákazníků kvůli tomu nemělo celých 12 hodin přístup ke streamingové službě Netflix, a to i přesto, že je zálohována v dalších dvou datových centrech. Na vině byly nepříznivé povětrnostní podmínky na východě USA. Jednotliví hackeři a skupiny organizovaného zločinu využívají rostoucí měrou internet k útokům na specifické služby, k jejich manipulaci a vyřazení z provozu. V celosvětovém měřítku je každé dvě vteřiny vytvořen jeden nový exemplář malwaru. A evropské vlády hlásí denně 4 4 až 5 útoků hackerů na své sítě. IT systémy mají životní význam až pro 30 procent ekonomického výkonu průmyslových zemí. Podniky výrazně závisejí na IT, které podporuje jejich procesy i v případě, že je nekontroluje. Rostoucí počet a intenzitu kybernetických útoků tudíž nelze podceňovat. Na významu proto nabývá bezpečnost IT. 1)Next generation Datacentre Cycle II Cloud findings, quocirca Business and IT Analysis, April 2012: April202012%final.pdf 2) 16. a 30. června 2012 informoval zpravodajský portál o výpadcích proudu pro cloudovou nabídku Amazonu AWS (Amazon Web Seervices). Několik hodin byly off-line různé služby hostingované Amazonem.. html (German only) html (German only) 3) V dubnu 2011 pronikli počítačoví zločinci do sítě herní konzole Playstation firmy Sony. Získali přístup k datům více než 100 miliónů zákazníků, která byla poté prodána ilegálním fórům. Škoda způsobená společnosti Sony byla odhadnuta na 24 miliard dolarů. /meldung/angriff-auf-playstation-network-persoenliche-daten-von- Millionen-Kunden-gestohlen html(German only) 4) 9. května 2012 během 8. symposia o bezpečnosti informací Erich Schreiber, generální ředitel CIS ve Vídni citoval mezinárodní odhady odvětví ICT ve vídeňském Lázeňském salonu (Wiener Kursalon): Evropské vlády denně zaznamenávají 4-5 hackerských útoků. (German only)

5 Veřejný, hybridní, nebo privátní cloud Mezi nabízenými typy cloudového řešení je třeba rozlišovat. Nebezpečí spojované s veřejným nebo hybridním cloudem je v porovnání s privátním cloudem nesrovnatelně vyšší. Je proto třeba si uvědomovat potenciální hrozby a k jejich minimalizaci využívat veškerých dostupných prostředků. Mnohá rizika jsou známa z běžného outsourcingu. Znamená to, že data opouštějí firmu a uživatelé mají přístup k datům a k aplikacím přes sítě. Vyčleněné aplikace jsou provozovány v datových centrech poskytovatelů ICT služeb a jsou vystaveny obdobným rizikům jako v případě cloud computingu. Služby založené na cloud computingu však představují nové hrozby. Pokud jde o nabídky veřejného cloudu nemohou uživatelé přesně měřit stupeň bezpečnosti vyžadovaný poskytovatelem. Nemají konkrétní informace o způsobu jakým je služba dodávána a nejsou schopni prověřovat bezpečnostní mechanismy na místě v datových centrech, která jsou často rozptýlena po celém světě. Uživatelé mohou provádět jen omezené testy, setkávají se s potížemi při zajišťování svých specifických požadavků a často se obtížně vyrovnávají s právními předpisy spojenými s monitoringem. Znamená to, že firemní řízení rizik nemůže akceptovat služby veřejného cloudu, neboť nemůže přesně zjistit, analyzovat a vyhodnocovat rizika. Nejasnosti se často týkají toho, které systémy hostují data a aplikace, ve kterých datových centrech, a v jakých zemích. Uživatelé tak nemohou zajistit ani dokumentovat soulad s národní legislativou, firemní politikou a zvláštními požadavky odvětví. 1.2 Specifická legislativa ochrany dat v jednotlivých zemích Každá země má svůj vlastní přístup k bezpečnosti a ochraně dat. Mohou existovat rozdíly týkající se: Ochrany dat a s ní spojených zákonů Ochrany duševního vlastnictví a odpovídající legislativy Rizika zasahování vládních institucí jako nezjištěného přístupu či dohledu Zákazu nebo omezování používání technologií jako je šifrování Nedostatku kultury bezpečnosti Daňových předpisů Nejistotu zvyšuje hlavně skutečnost, že decentralizace, distribuce dat a používání progresivní technologie virtualizace představují nová rizika a zranitelnost. A tyto otázky jsou neodlučně spojovány s cloud computingem. Distribuce dat do datových center v různých lokalitách vytváří nové fyzické a logické přístupové body. Na tomto pozadí je velmi důležité vědět, jak poskytovatelé cloudových služeb chrání svá datová centra před neoprávněným přístupem a haváriemi. Služby dodávané různým uživatelům ve virtualizovaných prostředích sdílejí stejnou infrastrukturu. Rizika virtualizace však nejsou nová. Zavedení poskytovatelé s úspěchem používají prověřené virtualizační technologie na úrovni sítě a v datových centrech již desítky let. Tyto zkušenosti pomáhají vytvářet oprávněnou důvěru. 1.3 In-house provoz není bez rizika Firmy by se přes zmíněná rizika neměly domnívat, že je úroveň bezpečnosti cloud computingu nižší, neboť jejich vlastní zaměstnanci nemají vše pod kontrolou. Výzkumy ve skutečnosti nasvědčují, že služby založené na cloudu jsou často bezpečnější než vlastní IT. Odborníci z Německé národní iniciativy pro bezpečnost internetu (NIFIS) odhadují, že u více než poloviny porušení firemní bezpečnosti lze vystopovat vlastní personál. 5) Služby veřejného cloudu jsou potenciálně přístupné komukoliv. Privátní cloud je pro dedikované, známé firmy a provozuje se v souladu s dohodnutými úrovněmi bezpečnosti. Kombinace obou typů služeb je známa jako hybridní cloud. Globální studie o rizicích mobility provedená americkým ústavem Ponemon označuje za rostoucí ohrožení používání mobilních přístrojů. Další výzkum potvrzuje, že více než polovina vedoucích pracovníků IT v Německu považuje za další riziko rostoucí počet mobilních přístrojů a jejich používání pro soukromé účely na pracovišti. Stávající bezpečnostní mechanismy v mnoha případech nepomáhají bezmála třetina oslovených firem sdělila, že jsou zaměstnanci schopni metody jako hesla a uzamčené klávesnice přelstít.

6 2. K bezpečnosti je třeba přistupovat komplexně Pro minimalizaci vnějších i vnitřních rizik cloud computingu je k bezpečnosti ICT zapotřebí komplexního přístupu. Zahrnuje to zjišťování všech potenciálních hrozeb a zavádění strukturovaných ochranných mechanismů. To znamená zaměřit se na technologii. K výraznému snížení rizik cloud computingu musejí uživatelé i poskytovatelé brát v potaz technologii a procesy a implementovat odpovídající bezpečnostní mechanismus v různých oblastech. T-Systems vyvinul bezpečnostní technologii přesně pro tento účel. Zahrnuje 12 prvků, které by měl zvážit každý podnik s ohledem na bezpečnost svých dat a aplikací v (privátním) cloudu. 12 prvků cloud computingu, které je třeba brát v úvahu: 1. Správa identity, rolí a práv, bezpečnost a kontrola přístupů 2. Infrastruktura organizace 3. IT systémy v datových centrech 4. Bezpečná komunikace v cloudu a standardizace služeb 5. Ochrana IT systémů na straně poskytovatele služby 6. Bezpečnost datacentra 7. Organizace bezpečnosti a bezpečná administrace 8. Správa služby a dostupnost 9. Kontrakty, procesní integrace a migrace 10. Řízení bezpečnosti a zranitelnosti 11. Bezpečnostní výkaznictví a řízení událostí 12. Správa požadavků a shoda Topologie bezpečnosti cloud computingu Logon x7 Obr. 1.

7 Správa identit s rolemi a právy, bezpečnost koncového bodu a kontrola přístupů Nebezpečí neoprávněného přístupu Mají-li zaměstnanci přístup, mohou-li měnit či kopírovat kritické informace z obchodního hlediska, existuje vždy potenciál zneužití dat či manipulace se softwarem. Studie IDC z roku odhalila, že si polovina evropských podniků uvědomuje bezpečnostní hrozby představované personálem ať už stahují data, klepou na pochybné odkazy na sociálních sítích, nebo zacházejí nedbale s hesly a s přístupovými daty. Jednou skutečností je nedostatek patřičných mechanismů, druhou nedostatečné uvědomění zaměstnanců. Přestože většina podniků zná rizika, mnohé podle nich nepostupují. Identity management including roles and rights. Přístup k citlivým informacím však nemají jen vlastníci oprávnění. O proniknutí do IT systémů mohou usilovat také jednotlivci vně organizace a mohou tak vysávat data. Výsledek může být v obou případech katastrofální: jmenujme jen v krátkosti napadené ové účty, odcizená zákaznická data, podvodné používání informací o kreditních kartách. Aby tomu podniky zamezily, musejí ochraňovat své programy a regulovat přístup k přístrojům, softwaru, datům a odpovídajícím prostředím. Zásada potřeby vědět (The need-to-know principle) Nejprve je nutno uplatnit technické zabezpečení v souladu s přístupem potřeby vědět tzn., že zaměstnanci smějí přistupovat jen k datům a k softwaru, které potřebují pro vlastní práci. K určení rolí a přístupových oprávnění k aplikacím a datům lze používat přístupové systémy založené na úlohách (rolích). Zaměstnancům je přidělována digitální identita, která jasně určuje, které přístroje a jaký software smějí používat a jak. U cloudových služeb firmy často užívají zdvojený bezpečnostní mechanismus: nejprve kontrolují přístup ke cloudu samému, potom k samotné cloudové službě. V obou případech je absolutně nutná autentikace (bezpečná identifikace). V případě přístupu uživatele ke cloudu veřejnou sítí je zapotřebí ještě další ochrany. 1 Logon Vezměme si některé příklady: je-li jediným úkolem zaměstnance ukládat údaje do systému, neměl by být kupříkladu oprávněn kopírovat data do externího úložného přístroje. Obdobně pokud pro svoji práci nepotřebuje určitý balíček softwaru, neměl by mít příležitost tento software používat. Zaměstnancům by se také nemělo dovolovat svévolně instalovat programy nebo nástroje (byť jakkoli bezvýznamné). Zásadní význam má navíc prosazování bezpečnosti na přístrojové úrovni. Obr. 2. 6) (německy) 7) Hackeři využili zranitelnosti ve službě Yahoo! a získali přístup ke zhruba ovým adresám a k jednoduchým textovým heslům řady mailových poskytovatelů, včetně G-mail, Hotmail a GMX, jež byly poté uveřejněny on-line. (německy) 8) viz vysvětlivka č. 3 9) Počítačoví zločinci pronikli do systémů Citibank a odcizili data kreditních karet statisíců zákazníků. Ilegálním zatížením bankovních účtů nakonec získali 2,7 miliónu dolarů Kunden html (německy)

8 Minimální standardní opatření proto musejí zahrnovat: Řízení přístupu k přístrojům: automatické uzamykání Ochranu proti malwaru, sledování příchozích a odchozích dat Ochranu konfiguračních nastavení (nastavení BIOS, booting, autostart) Aktivní management bezpečnosti přístroje na pracovišti. Vedle výše uvedených bodů vyžadují mobilní přístroje další bezpečnostní vlastnosti jako dálkový výmaz (v případě ztráty), nebo šifrování včetně úložných datových médií. Ke zranitelnosti může docházet také v případě, kdy is zaměstnanci nebezpečí neuvědomují. O zajištění bezpečnosti proto rozhoduje především změna myšlení. Klíčovou úlohu při získávání pro firemní politiku bezpečnosti mají informační kampaně a školící programy. Personál musí porozumět otázkám a umět tak efektivně odhadovat rizika. Management musí přirozeně stanovit jasná pravidla vztahující se na každého, neboť jsou efektivní jen v případě, že zaměstnanci cítí potřebu aktivně zakročit a ohlašovat jakékoli přestupky. Prevence úniku dat Zaměstnanci mohou často vědomě či nevědomě vynášet data z firemní sítě do širého světa. Dojde-li k tomu, mohou být data ztracena nebo záměrně postoupena třetím stranám elektronickou poštou, mobilními přístroji, chytrými telefony nebo flash disky. Firmy však mohou svým zaměstnancům bránit v pořizování kopií nebo odesílání informací použitím vhodného softwaru proti úniku dat (Data Leakage Prevention DLP). Software DLP navíc zaznamenává jakékoli kopírování a určuje odpovědnost v případě ztráty dat. Významnou úlohu hraje i šifrování, neboť omezuje počet lidí, kteří mohou otevírat důvěrné složky. Firemní postupy mohou navíc jasně stanovit, že interní data musejí být před uložením na mobilní přístroje zaměstnanců šifrována. Dojde-li ke ztrátě či odcizení chytrého telefonu nebo laptopu nehrozí nebezpečí úniku dat.

9 Infrastruktura firmy a bezpečná komunikace v cloudu Přenos šifrovaných dat Základním rysem cloudových služeb je, že při přenosu mezi uživatelem a poskytovatelem nejsou data vystavena ohrožení, tzn., že spojení mezi koncovým přístrojem a datovým centrem je neprodyšné ať probíhá bezpečnou firemní sítí, veřejnou pevnou nebo veřejnou mobilní sítí. Předávají-li se data veřejnými sítěmi, jako internetem, musejí být zašifrována, aby se zamezilo přístupu neoprávněných stran a bylo zajištěno utajení a integrita. To platí i v případě, je-li lokalita uživatele (tzn. jeho síť) spojena s datacentrem poskytovatele internetem. Bezpečný vzdálený přístup může být prováděn pomocí VPN klienta 10 na uživatelově stolním počítači. Bezpečná komunikace do cloudu. Profesionální poskytovatelé nabízejí ohledně bezpečnosti kupříkladu standardizované nebo speciální zákaznické služby jako PKI (Public Key Infrastructure) 11, které umožňují bezpečný, ověřený a šifrovaný přenos dat z datových center pomocí širokopásmové sítě. Přístup ke cloudovým službám vlastní firemní sítí (intranet nebo LAN) umožňuje brána. Tato síť musí být rovněž chráněna implementací opatření jako je firewall a systémy detekce průniku (IDS/IPS) 12. Bezpečná správa vnitřní firemní sítě musí kromě toho zajistit, aby se do sítě mohly napojovat a do cloudových služeb vstupovat jen registrované stolní počítače. Zvýšení bezpečnosti pomocí MPLS-VPN Dodává-li poskytovatel cloudu také síťové komunikační služby zajišťují integrované mechanismy jako MPLS 13 přísné oddělení datových toků zasílaných různým uživatelům a službám. V rámci jedné sítě MPLS je datový provoz z různých zákaznických sítí přenášen současně dedikovanými virtuálními privátními sítěmi (VPN). Podle Německého spolkového úřadu pro bezpečnost informací (BSI) skýtají sítě MPLS-VPN dobrou základní ochranu, jež může být zesílena opatřeními jako jsou šifrované tunely IPSec, TLS/SSL či SSH. Poskytovatel ICT může také pro zákazníky vytvořit dedikované spoje mezi uživatelskou organizací a cloudovými službami v datovém centru. Tato strategie poskytuje nejvyšší úroveň ochrany, může však odrazovat organizace s velkým množstvím působišť. Před přechodem do cloudu musejí uživatelé důkladně vyhodnotit své požadavky. Pro aplikace s kritickým významem jsou nezbytné vyšší úrovně služeb: poskytovatelé musejí garantovat potřebnou šíři pásma a (nebo) doby odezvy. Poskytovatelé, kteří provozují vlastní síť, jsou v této souvislosti ve výhodě, jelikož mohou zajistit řízení kvality služby (QoS), včetně upřednostňování, vyrovnávání zatížení, úrovní služeb a, pokud je nutno, komprimace dat. Logon 2 Obr ) Virtual Private Network (VPN) je tunelová technologie umožňující zákazníkům vytvářet dedikovanou síť v rámci širší veřejné sítě. Znamená to, že různí uživatelé mohou sdílet jednu fyzickou síť, aniž by mohli prohlížet či měnit data ostatních. 11) PKI se týká technické a organizační infrastruktury, která vytváří, distribuuje a spravuje klíče a certifikáty. Klíče umožňují bezpečnou komunikaci mezi dvěma instancemi. 12) Technologie zjištění průniku jako domovní poplašné zařízení rozpoznává útoky proti klientům, serverům, nebo sítím a vyhlašuje poplach. Ochranné systémy proti průniku mají dodatečné funkce, které automaticky odvracejí nebo evidují útoky. 13) Technologie MPLS (multiprotocol label switching) spojuje síť zákazníka například s datovým centrem poskytovatele. Odděluje toky dat a zamezuje přenosu dat nesprávnému příjemci. Ke spojování zákazníků s cloudem mohou MPLS používat jen poskytovatelé, kteří nabízejí cloudové a síťové komunikační služby.

10 2.3 IT systémy v datových centrech Při používání cloudových řešení je v datacentrech zapotřebí dodatečných bezpečnostních opatření. Nejde však jen o implementaci mechanismů k zabezpečení systémů, aplikací a dat. Je třeba zvážit i další okolnost. Zatímco tradiční outsourcingoví poskytovatelé přidělují dedikované servery (někdy umístěné v oddělených prostorách) individuálním zákazníkům, je cloud computing založen jinak. Různí klienti, sdílející stejný hardware a software, vytváří zcela nové bezpečnostní požadavky. V žádném případě nesmí být jednomu uživateli umožněn přístup k datům jiného uživatele nebo zpochybnění integrity ICT systémů. Nastala by totiž velmi kritická situace, kdy by počítačoví zločinci mohli instalovat špionážní software či jiný malware, protože by to potenciálně mohlo ohrozit všechny uživatele tohoto cloudu. Virtuální oddělení uživatelů Poskytovatelé cloud computingu používají k oddělení zákazníků technologie virtualizace. Virtualizace se vztahuje nejen na computing jako takový, ale probíhá též na úrovni sítí v datovém centru, centrálních úložných systémech a v souvislosti s používáním dalších centrálních složek ICT pro správu systémů. K přísnému vzájemnému oddělení systémů se používá virtuálních lokálních sítí (Virtual local area networks VLAN) a firewallů. Brání jednomu uživateli v přístupu k serveru, aplikacím a datům jiného uživatele. Platí to pro jednotlivé fyzické servery (umístěné vedle sebe v datovém centru) i pro virtuální zákaznické servery, které běží na stejném fyzickém stroji. IT systémy v datových centrech. 3 Noví zákazníci dostávají svůj vlastní VLAN. Každý server má přesně tolik dedikovaných přístupových cest, jaký je počet zákazníků, kteří jej používají, a tyto cesty či sítě jsou navzájem zcela odděleny. Aplikace (jako SAP nebo Oracle), používané různými zákazníky, běží vedle sebe. Zákazníkův vlastní mnohostranný systém (kupř. SAP a CRM) však přitom může vzájemně komunikovat podle potřeby a předem stanovených pravidel. Izolace dat Data jsou v cloudu rovněž izolována v dedikovaných síťových úložných oblastech. Tyto oblasti se podobají pevným diskům a servery uživatele k nim přistupují sítí. Jsou propojeny tak, aby zákazníci měli přístup jen ke svým vlastním datům, jako by měli svůj vlastní dedikovaný disk. Data lze v případě potřeby zašifrovat, aby byla nečitelná pro neoprávněné osoby. Obr. 4.

11 Bezpečná komunikace v cloudu a správa služeb Otázkou, která stále vyvstává v souvislosti s cloudovými nabídkami, je zeměpisná poloha zpracování a ukládání dat. Regulatorní rámec (tzn. požadavky daňových orgánů, zákony o dodržování soukromí a audity) vyžaduje, aby byly podniky minimálně schopny s jistotou uvádět, ve které zemi jsou jejich data uložena. Bezpečná komunikace v cloudu. Daňové zákony v EU a v jiných zemích například dovolují finančním orgánům přístup k informacím relevantním pro daňové účely. K tomu však potřebují vědět, kde jsou data uložena. Zákony o soukromí jsou na druhé straně v různých zemích velmi odlišné. V mnoha oblastech světa je třeba přísně dodržovat předpisy zvláště při ukládání či zpracovávání údajů určitých osob. A v mnoha případech smějí být tyto údaje ukládány jen v domovské zemi uživatele cloudu. Soulad se zákony a postupy ohledně dodržování soukromí Vzhledem ke složitému právnímu prostředí je radno, aby firmy vyhledávaly cloudového poskytovatele, který ovládá znalost zákonů (i regionálních) ohledně dodržování soukromí a má odpovídající zdroje. To však může být rizikem u hráčů veřejného cloudu, neboť často rozmísťují mnoho datových center po různých světadílech a přidělují data různým lokalitám v závislosti na kapacitě v jakékoli dané době. V privátním cloudu lze zajišťovat soulad snáze, protože zákazníci mohou ve smlouvách o úrovních služeb určit, ve kterých zemích lze data zpracovávat a ukládat. 4 Cloudové aplikace lze distribuovat do různých datových center. Ale dostupnost, důvěrnost a integritu dat vyměňovaných prostřednictvím cloudových služeb a distribuovaných aplikací v cloudu musí být vždy zajištěna. Za tímto účelem byly vyvinuty speciální technologie, například k zajištění architektur pro služby (SOA). K vytváření záloh a zlepšování využití zdrojů však lze data přesouvat i z jednoho datového centra do druhého. IT služby musejí například vzájemně spolupůsobit, což znamená, že vyžadují výkonné internetové spojení a odkazy na jiné základní služby. Pohled do dodavatelských struktur cloudu Jsou-li cloudové služby poskládány do komplexní nabídky, není dodávka vždy snadnou záležitostí. I když jsou aplikace distribuovány, musejí jednotlivé složky cloudové služby vykazovat efektivní součinnost, aby byl zajištěn spolehlivý provoz. Zajištění efektivní dodávky a vzájemná součinnost vyžadují vývojářskou práci, které nemusí být sám operátor datového centra vždy schopen. Obr. 5. Složitější cloudové nabídky často zahrnují služby třetí strany. Takže přestože má zákazník smlouvu s poskytovatelem cloudu tento poskytovatel nedodává veškeré základní služby, nýbrž je nakupuje od třetích stran. Uživatelé tak přistupují k těmto službám buď prostřednictvím poskytovatele, nebo přímo třetí stranou. To ve skutečnosti znamená, že někteří poskytovatelé cloudu jsou pouhými dealery, kteří prodávají služby ve skutečnosti poskytované někým jiným. Uživatelské organizace by z tohoto důvodu měly trvat na možnosti náhledu do hodnotového řetězce poskytovatele. V kontraktu je třeba jasně specifikovat, jaké služby budou kým dodávány a kdo nese právní odpovědnost v případě jakýchkoli otázek. Zavedení poskytovatelé cloudu zaručují pevné bezpečnostní standardy, které působí jako záštita vůči rizikům, jež mohou nastat při začleňování služeb třetí strany.

12 2.5 Ochrana IT systémů na straně poskytovatele služeb Poskytovatel dodává ICT služby primárně z datového centra. V zařízení musejí být k zajištění správné úrovně bezpečnosti implementovány mechanismy, které chrání systémy, platformy a aplikace. Navíc musí existovat bezpečné spojení mezi zdroji IT uloženými v datovém centru a propojení s okolním světem. Pokud jde o požadavky bezpečnosti je cloud computing srovnatelný s konvenčními outsourcingovými modely. Ochrana IT systémů u poskytovatele služeb. Zjišťování průniků a prevence Firewallové systémy, které nemají zabudovánu funkčnost ochrany proti průniku, nemohou v dnešním světě zajistit dostatečný stupeň ochrany. Červi, trojští koně a hackeři se stali příliš mnohostrannými, rafinovanými a pokročilými. Pouhá ochrana IP adres a portů ponechává infrastrukturu na pospas různým rizikům. Zjistit a blokovat neoprávněný přístup k datům může řada technologií, jako jsou systémy k odhalování průniků a prevenci (IDS/IPS). Mohou zvláště skenovat data na výskyt malwaru a dokáží upozornit na jakékoli události, které naznačují útok. Řešení IDS i IPS automaticky odhalují nevhodný datový obsah nebo anomálie a odhalují útok. Firewally s hloubkovou kontrolou K zajištění efektivní ochrany síťových segmentů musejí poskytovatelé používat dvou druhů bezpečnostních úrovní. Potřebují jednak firewally, které provádějí aktuální kontrolu komunikace, portů a aplikací. Ale také firewally k hloubkové kontrole, které mohou skenovat protokoly o přenosu dat ohledně dobrých a závadných dotazů. Musí být zajištěna kontrola, i když jsou data zašifrována. Zjišťování malwaru nemá význam jen pro síťový provoz. Odpovídajícími bezpečnostními řešeními musejí být vybaveny také veškeré hostingované počítače, a to bez ohledu na to, zda tyto servery působí jako brána, poskytují ICT služby jako , nebo se používají pro jiné aplikace. 5 Další klíčové mechanismy zahrnují proxy servery a reverzní proxy, které filtrují a přeměňují příchozí a odchozí datový provoz, chrání citlivé informace, minimalizují zranitelná místa a přispívají k větší bezpečnosti ICT. Uživatelské organizace zároveň potřebují řešení, která podporují centrální ověřování uživatelských organizací a jednotlivých uživatelů. Obr. 6.

13 Bezpečnost datového centra Operátoři datového centra musejí nejen chránit prostředí IT ve svých zařízeních. Musejí též ochraňovat budovy a hardwarová aktiva, a to prostředky fyzických mechanismů a přístupových kontrol. Nejde prostě jen o technologii, nýbrž i o organizaci, procesy a lidi. DIN a TIA standardy Německá norma DIN EN 50600, která se právě vyvíjí, a americká norma TIA-942, definují nejlepší praktiky (best practices) pro design, uspořádání a výstavbu datových center. Norma DIN EN bude popisem klíčových parametrů vybavení a infrastruktury požadovaných pro zajištění efektivního provozu. Dále stanoví klasifikační systém založený na ústředních kritériích dostupnosti, provozní spolehlivosti a energetické efektivnosti pro celý předpokládaný životní cyklus zařízení. TIA-942 stanovuje požadavky na kabelovou infrastrukturu datového centra a jeho geografické umístění s ohledem na seizmickou činnost. Norma TIA-942 dělí zařízení do čtyř tříd dostupnosti od 9,.671 do 99,995 procenta. Bezpečnost datového centra. Datacentra musejí být postavena tak, aby budova odolala přírodním katastrofám, jako například bouřím, krupobití, potenciální fyzické sabotáži a ohni. Zařízení musí být vzdáleno od oblastí s výskytem bouří, záplav a zemětřesení. Kromě toho musí být zajištěno dobré dopravní spojení, ale musí být vzdáleno od letových koridorů. Musí být v blízkosti místních průmyslových zón, musí mít zajištěny dodávky vody a elektřiny, jakož i dostatečný odvod dešťové vody. Budova musí být exteriérově nenápadná, aby nepoutala nežádoucí pozornost. Klíčový význam mají hladký provoz a bezpečnost dat. Střežení obvodu a kontroly vozidel Ochrana datového centra zahrnuje bezpečné fyzické oplocení uzavírající celý objekt, který je tak pod trvalým dohledem a zábrany na komunikacích, která zamezují pohybu vozidel. Objekt musí mít dostatek prostoru ke kontrole vozidel a podporovat používání detektorů kovů. Budova musí být navíc pod vnitřním i vnějším videodohledem a záznamy musejí být uchovávány v souladu s odpovídajícími zákony o ochraně dat. Datové centrum by mělo mít zvláštní vchody pro příjem zboží a pro bezpečnou personální vrátnici. Veškeré příchozí a odchozí zboží musí být zaznamenáno a zadokumentováno. 4 6 Rozsáhlé kontroly personálu K odvracení útoků vnitřních a externích osob v datovém centru je zapotřebí zevrubných kontrol fyzického přístupu. Je nutno zajistit, aby do budovy měli přístup jen oprávnění zaměstnanci. Klíčovou vlastností jakéhokoli datového centra jsou tudíž turnikety, které umožňují jednotlivý vstup osob. Zaměstnanci, kteří chtějí vstoupit, musejí prokázat svoji totožnost a předložit oprávnění. Všichni návštěvníci se musí předem registrovat pomocí procesu bezpečné registrace, který je pečlivě dokumentován a vyžaduje od nich platný průkaz. Bezpečnostní personál musí mít přehled o přesném počtu lidí, kteří se kdykoli nacházejí v budově. Po zaznění poplašného signálu odpovídá i za evakuaci budovy ve stanovené době. K zajištění tohoto postupu je nutno provádět cvičení. Ve vnitřních zónách datového centra, kam má vstup jen pověřený personál, se v budoucnu bude stále více používat metod biometrického ověřování, jako jsou otisky prstů a scanování obličejů. Zvláštní zóny zvýšené bezpečnosti Přísné kontroly přístupu musí být prováděny po celé budově a do žádné místnosti nesmí vstupovat kdokoli. Musí být aplikována zásada menších privilegií a zvláště citlivá data musí být ukládána ve speciálně oddělených oblastech. 8 Obr. 7.

14 Může se tak dít například ve formě bezpečných klecí obsahujících hardware zákazníků, kteří chtějí mít odděleny své platformy od ostatních systémů v rámci datového centra. Klíčové systémy a vybavení pro vlastní ICT datového centra se zřizují dedikované, vysoce zabezpečené služební místnosti vybavené západkami. Subdodavatelé, pracovníci a další jednotlivci, kteří musejí do objektu vstupovat pravidelně podléhají zvláštním postupům a pravidlům. Přístup je například umožněn jen na vymezenou dobu. Tato informace je souhrnně zaznamenána v digitálních přístupových systémech. Příslušníci bezpečnostního týmu jsou jedinými lidmi, kteří mají přístup do všech místností datového centra. Zaměstnanci mohou vstupovat do místností s obzvláště citlivými daty nebo zařízením minimálně ve dvojici. 2.7 Organizace bezpečnosti a bezpečná administrace Lidský faktor hraje hlavní úlohu v bezpečnosti cloudových služeb pro zákazníky a je také výjimečně důležitou otázkou pro samotné poskytovatele služeb. Poskytovatelé z tohoto důvodu provozují dedikovaný systém informační bezpečnosti (ISMS). Je určen k tomu, aby se dostálo mezinárodní Organizace bezpečnosti a administrace. normě ISO/IEC a definuje procesy a pravidla pro efektivní řízení informační bezpečnosti. Poskytuje referenční model a nástroje pro plánování, implementaci, ověřování a úpravy informační bezpečnosti. Za ISMS odpovídá bezpečnostní tým. Tato skupina určuje postupy a sleduje shodu. Poskytovatelé cloudu též musejí vytvářet pravidla zaručující, že zaměstnanci plní požadavky kladené na bezpečnost, a určují kdo má přístup k jakým systémům a kdo zodpovídá za které úkoly vztahující se k provozu a bezpečnosti. Činnosti zahrnují: Přidělení odpovědností Stanovení a oddělení rolí a odpovědností Výběr (včetně zevrubných bezpečnostních kontrol) a registraci zaměstnanců Řízení, předávání znalostí a školení personálu plus jmenování personálu, podpis pracovní smlouvy a zajištění, aby byl začleněn do firemních procesů v oblasti lidských zdrojů. 7 Práva administrátora Administrace, správa složek počítačů a sítí musí být vysoce bezpečná. Správci mají obvykle zvláštní práva (privilegovaný uživatelský přístup), která musejí být plánována a řízena obzvláště pečlivě a pozorně. Spadají do tří kategorií: Management zaměstnanců Management identity správce Technologická infrastruktura pro správu a sledování (monitoring) Řízení identity správce zahrnuje přidělování digitálních totožností administrátorům. Tyto digitální totožnosti zahrnují jeden nebo více ověřovacích elementů (většinou běžně heslo s chytrou kartou s PINem) a role a přístupová oprávnění. Umožňuje to snadnou identifikaci těchto jednotlivců a přidělení zvláštních práv pro ně. Obr. 8. V prostředích dodávajících industrializované IT služby správci používají dedikovanou infrastrukturu. Zajišťuje to dodatečnou bezpečnost blokací přístupů nebo znemožněním provádění určitých funkcí (např. používáním tzv. jump serverů). Nedílnou součástí těchto infrastruktur je úzkostlivé monitorování bezpečnostních událostí a záznamů dat (protokolování).

15 Správa služby a dostupnost Dostupnost aplikací a dat v cloudu jsou žhavým tématem a častým předmětem diskuse. Dostupnost má úzký vztah k bezpečnosti. Výpadek aplikací může poškozovat obchod, zvláště pokud jsou postiženy kritické systémy. Organizace používající cloud je v důsledku toho třeba zapojit do patřičných úrovní služeb. Úrovně služby jsou rovněž pevnou součástí konvenčních outsourcingových kontraktů. Zálohování a zdvojená datová centra Poskytovatelé cloudu zajišťují dostupnost vytvářením zálohových systémů pro jednotlivé aplikace zdvojováním celých datových center. Občas se tomu říká strategie zdvojení. Poskytovatelé služeb zároveň musí zajistit také vysokou dostupnost aplikací a dat vytvářením záloh, které umožňují oživení systému po výpadku. Vzhledem k extrémní výši nákladů na zdvojování celého datového centra zacházejí poskytovatelé veřejného cloudu zřídkakdy tak daleko. Podtrhuje to skutečnost, že veřejné cloudy vytvořené a vyvinuté pro masový trh jsou ve většině případů nevhodné pro obchodní aplikace. Poskytovatelé v tomto prostoru používají mechanismy ochrany bezpečnosti a dat, které odpovídají potenciální škodě způsobené uživatelům. Co se považuje za pouhou náhodu pro soukromníky, může znamenat kolaps obchodu, či koneckonců vysoké finanční ztráty, poškozenou pověst, snížení tržní hodnoty a odhalení utajovaných informací. Někteří poskytovatelé nabízejí zákazníkům také 24ti hodinovou správu dodávky služby, kdykoli poskytují také dodatečnou podporu. Zjistí-li zákazníci pokles dostupnosti, dojde-li k narušení bezpečnosti či k jinému problému, mohou kontaktovat svého manažera dodávky služeb a požádat o podniknutí patřičné akce. Tato nabídka výrazně zvyšuje celkovou bezpečnost cloudových modelů. Bezpečnost však začíná v dřívější fázi. Poskytovatelé musí definovat normy pro bezpečný vývoj softwaru a systémů a zajištění kvality. Musí také kontrolovat nákup a začlenění softwaru, systémů a komponentů třetí strany. Aby platformy IT splňovaly proměnlivé nároky, musejí se pravidelně rozvíjet. Týmy řízení služby musí přijmout standardní postupy pro případy jako tyto: například kontroly zajišťující, aby byl dopad všech změn ověřen a aby se změny mohly provádět vždy jen s potřebným oprávněním. Tyto činnosti jsou popsány v ITIL 14 a je-li nutno, musí být kombinovány s dalšími bezpečnostními mechanismy. Řízení služby a dostupnost. End-to-end služby Privátní cloudy jsou naopak speciálně vyvinuty pro firmy. Poskytovatel služby garantuje požadovanou úroveň dostupnosti, splňuje požadavky kladené na uchování dat tím, že používá odpovídající archivační systémy a dodává komplexní (end-to-end) služby. Efektivní správa služeb zajišťuje, aby byly plněny všechny potřeby zákazníka a aby byly prováděny jakékoli nutné změny. Součástí této služby jsou spolehlivé procesy ITIL jako řízení změn, problémů a releasů. Existuje mnoho otázek souvisejících s ICT, které uživatelské organizace nedokáží řešit samy. Proto potřebují přístup k rozsáhlým zkušenostem poskytovatele služby s ohledem na probíhající údržbu a vývoj systémů a služeb. 24x7 8 14) ITIL IT Infrastructure Library je souborem nejlepších praktik pro správu IT služeb. Obr. 9.

16 2.9 Kontrakty, integrace procesů a migrace Rozsah a druh ICT služeb musí být stanoven v písemné dohodě. Komplexní poskytovatelé podporují začlenění cloudových služeb do stávajícího procesního prostředí. Organizace, které se rozhodnou pro model veřejného cloudu, z této služby nemají prospěch. Určení, zda začlenění cloudových služeb ovlivní projekty nebo vytvoří bezpečnostní rizika, závisí výrazně na tom, zda existují zevrubné informace o možnostech spolupráce mezi poskytovatelem a zákazníkem. V některých případech je rovněž třeba splnit specifické firemní bezpečnostní požadavky. V tomto případě nabízí privátní cloud daleko vyšší flexibilitu. Kontrakty, integrace procesu a migrace. 9 Externě dodávané ICT služby podléhají vnitřním postupům zákazníka. Poskytovatelé ICT služeb s rozsáhlými zkušenostmi v bezpečnosti IT používají systém řízení bezpečnosti. Zajišťuje, aby byly definovány požadavky a aby byly implementovány a sledovány všechny nutné změny. Dodávají navíc potřebné organizační struktury a procesy umožňující rychlou reakci na bezpečnostní problémy nebo hrozby. Když poskytovatel například zjistí, že do zákazníkova systému pronikl útočník, spolupracuje s uživatelskou organizací při hledání nejlepšího zásahu, tzn. zablokováním nebo změnou přístupové trasy nebo instalováním záplaty. Přizpůsobivost v bezpečnosti ICT Přizpůsobivost může kladně ovlivňovat bezpečnost. Oursourcingové modely například zjednodušují počet bezpečnostních úkolů ICT, protože jsou služby dodávány centrálně odborníky. Tyto služby zahrnují implementaci, konfiguraci, aktualizaci (řízení releasů, aktualizace, záplaty), zálohování, monitoring a údržbu. Podniky mohou určovat úroveň bezpečnosti, kterou potřebují. Služby se dodávají na modulární základně plať podle potřeby a jsou jasně definovány ve smlouvě o úrovni služeb (SLA). Před jejím podpisem by poskytovatel a zákazník měli společně zjistit, jaké aplikace mají kritický význam pro provoz a požadovat zvláště vysokou dostupnost a bezpečnost. Tento dokument zároveň musí stanovit, co se stane v případě poruchy, včetně postupu reaktivace systému po výpadku. Obr. 10.

17 Řízení bezpečnosti a zranitelnosti Strategie řízení rizik poskytovateli umožňuje rozpoznávat potenciální rizika a určovat činnosti k jejich potlačování. Poskytovatelé služeb potřebují komplexní procesy řízení rizik. Umožňuje jim to poskytovat informace, které zákazníkům umožňují přesně odhadovat rizika vyčlenění do cloudu a činit informovaná rozhodnutí. Složky ICT infrastruktury občas vykazují chyby či slabiny. Velice často k nim dochází kvůli programátorským chybám nebo špatnému nastavení. Často se objevují při změnách požadavků a scénářů nasazení. Aby se předcházelo větším problémům, musí být tyto slabiny odhalovány a včas řešeny. To je složitý proces zahrnující analýzu různých informačních zdrojů ke zjištění, které systémy jsou postiženy. Před záplatováním chyb je nutno provést zevrubné zkoušky a odhad rizik. Ve většině případů lze výpadku předejít, takže poskytovatelé služeb musí úzce spolupracovat s uživateli. Jak podtrhují tyto případy je bezpečnost hlavní otázkou po dobu celého životního cyklu systému ICT. Začíná to dokumentací a správným řízením konfiguračních údajů. Klíčovými záležitostmi jsou též instalace a procesy nastavení, včetně souladu s relevantními procesy. Především je třeba udržovat požadovanou úroveň bezpečnosti. Dalšími významnými otázkami je proaktivní řízení zranitelnosti a dalších událostí umožňujících náhled, zvýšení bezpečnosti a omezení vzniku trhlin. K zajištění efektivnosti ISMS je třeba bezpečnostní mechanismy celé infrastruktury a datového centra pravidelně podrobovat zkouškám. Zahrnuje to faktory jako fyzickou bezpečnost, kontrolu přístupů, bezpečnost dat, kontroly okolí, logging a monitoring. Auditoři navíc analyzují rozvržení a nastavení sítí, platforem, provozních systémů, bezpečnostní architektury sítě a také to, zda jsou k dispozici plány na udržení provozu a záchranu dat. Klíčem k dosažení certifikace je v neposlední řadě bezpečnost související s personálem. Zahrnuje to analýzu školení personálu poskytovatele, přenos znalostí a náborových postupů včetně, například, prověrek trestních rejstříků. Řízení bezpečnost a zranitelnosti. Povinná certifikace Cloudová datová centra musí být ověřena podle mezinárodně uznávaných norem jako ISO/IEC 2700 (15) a shoda musí být pravidelně ověřována nezávislými auditory. Norma ISO vyžaduje, aby poskytovatelé používali systému řízení bezpečnosti informací (ISMS), který zahrnuje řízení bezpečnosti a rizik a rozsáhlý bezpečnostní rámec. ISMS je klíčovým řídícím nástrojem k dosažení a udržování požadovaného stupně bezpečnosti. 10 Obr ) Mezinárodní norma ISO/IEC zahrnuje přes 130 položek ohledně postupů a činnosti, které souvisí s bezpečností informací. Analýzu provádějí oprávnění auditoři, aby zjistili shodu s normami a udělili certifikaci. Certifikace musí být kompletně obnovována každé dva roky.

18 2.11 Vykazování bezpečnosti a řízení událostí Podniky mohou k externímu poskytovateli služeb vyčleňovat produkci ICT i bezpečnost. Jsou však přesto vystaveny obchodním rizikům spojeným s ICT a právním rizikům (ohledně vlivu obchodních operací podporovaných ICT a potenciálního porušování shody). Proto je velmi důležitý přehled o dosaženém stupni bezpečnosti. Tento přehled poskytuje právě vykazování bezpečnosti (security reporting). Vykazování bezpečnosti a řízení událostí. Události související s bezpečností jsou součástí každodenního provozu ICT, protože k bezpečnostním událostem (porušení) bohužel dochází. Tyto události poskytují přehled o efektivnosti ochranných mechanismů. Analýza těchto událostí umožňuje úpravu, náhradu nebo zdokonalování opatření. Nápravu je třeba podnikat v závislosti na tom, do jaké míry určitá událost porušila bezpečnostní postupy. Může být zapotřebí informovat zákazníka, aby mohl provést odpovídající změny. Firma může mít za jistých okolností co do činění s kritickými dotazy sdělovacích prostředků, nebo poskytovat vysvětlení svým zaměstnancům a zákazníkům. Bezpečnostní události tohoto druhu jsou tím posledním, co si podniky přejí. Jakmile však k tomu dojde, je třeba mít co možná nejvíce informací. Proto je důležité začlenit procesy záznamu dat a jeho řízení, sledování, analýzu, podchycování, vyhodnocování a řízení bezpečnostních událostí do provozu ICT. Uživatelské organizace vyžadují přehled o tom, jak poskytovatel cloudové služby tyto činnosti řídí a jakou úlohu v tom hrají. Zahrnuje to využívání dostupných informací k proaktivnímu řízení firemních rizik Obr. 12.

19 Řízení požadavků a shoda Firmy musí přihlížet k mnoha vnějším příkazům. Musí splňovat zákonné, regulační a specifické odvětvové požadavky. Zahrnuje to vnitřní postupy, kontrakty se zákazníky, dodavateli a partnery, a další závazky, s nimiž explicitně či implicitně vyslovily souhlas. Řízení požadavků a shody. 12 Právní požadavky zahrnují zachovávání mlčenlivosti o soukromých záležitostech a povinnost poskytovat informace při civilních právních sporech a vládním orgánům. Regulační požadavky se týkají zákonů o finančním účetnictví a výkaznictví, povinné péči (due dilligence) a povinnosti vést patřičné záznamy. Zahrnují rovněž závazky k zajištění proaktivního řízení rizik s osobní odpovědností části vedoucích pracovníků (např. zákon KonTraG v Německu) V závislosti na odvětví či podniku mohou přicházet v úvahu další požadavky jako oficiální schvalování komponent provozu platebních systémů, včetně příslušné dokumentace. Nejznámnějším příkladem je norma PCI DSS, která stanovuje velmi podrobné nároky na transakce kreditními platebními kartami. Podniky by zároveň měly uvážit povinnost uchovávat jisté druhy obchodních údajů po určitou dobu. Může se též vyžadovat, aby ochraňovaly data proti manipulování a prokazovaly jejich pravost. Uživatelské organizace by měly prověřovat, zda je jejich poskytovatel cloudových služeb schopen tato imperativa skutečně plnit. Zákony o ochraně dat a způsob jejich uplatňování se v různých zemích výrazně liší. Navíc, žádné dvě organizace nejsou stejné. Liší se co do procesů a potenciálních hrozeb a ve stupni negativního vlivu bezpečnostních událostí na jejich byznys. Mají však jedno společné potřebují silného partnera, který nabízí bezpečnou a zajištěnou cestu do cloudu. Technická infrastruktura obvykle existuje. Avšak její spojení se specifickým byznysem firmy vyžaduje péči a, v některých případech, čas. 6 Obr. 13.

20 3. Závěr Cloud computing může být velmi bezpečný. Firmy by však měly pečlivě zvažovat výběr poskytovatele služeb založených na oblaku. Každý, kdo využívá služeb ICT, musí akceptovat jistou úroveň rizika. Platí to o kterémkoliv provozním modelu od vlastního ICT po konvenční outsourcing a cloud computing. Bezpečnost IT je vzhledem ke stále sílícím hrozbám těžkým břemenem ve smyslu nákladů, času a úsilí. Stále složitější technické požadavky a rostoucí náklady na zajišťování efektivní bezpečnosti činí z outsourcingu a cloud computingu stále oblíbenější alternativy provozu. V globálním průzkumu o stavu informační bezpečnosti z roku provedeného v roce 2012 firmou Pricewaterhouse Coopers (PwC) 54 procenta respondentů uvedlo, že používání cloudových služeb zlepšilo bezpečnost jejich IT. A studie Cloud Monitor společnosti KPMG odhalila, že zkušenosti téměř 60 procent subjektů řízení IT s cloudovými řešeními byly kladné. Nezmínili žádné vážné záporné zkušenosti. 16) 8M4LGB&ContentType=Content 17) html

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o. Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav

Více

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb

Více

Úvod - Podniková informační bezpečnost PS1-2

Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 2 Literatura Kovacich G.L.:

Více

srpen 2008 Ing. Jan Káda

srpen 2008 Ing. Jan Káda nauka o srpen 2008 Ing. Jan Káda ČSN ISO/IEC 27001:2006 (1) aktivum cokoliv, co má pro organizaci hodnotu důvěrnost zajištění, že informace jsou přístupné pouze těm, kteří jsou k přístupu oprávněni integrita

Více

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice Účelem veřejné zakázky je vybudování, provoz a údržba infrastruktury pro provozování aplikací a služeb

Více

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

BEZPEČNOSTNÍ POLITIKA INFORMACÍ BEZPEČNOSTNÍ POLITIKA INFORMACÍ společnosti ČEZ Energetické služby, s.r.o. Stránka 1 z 8 Obsah: 1. Úvodní ustanovení... 3 2. Cíle a zásady bezpečnosti informací... 3 3. Organizace bezpečnosti... 4 4. Klasifikace

Více

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 1 Literatura Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Časopis

Více

Nástroje IT manažera

Nástroje IT manažera Obsah Nástroje IT manažera Školení uživatelů Ochrana osobních údajů Bezpečnostní politika Software a právo Legální software Management jakosti Výběr a řízení dodavatelů Pracovněprávní minimum manažerů

Více

Ochrana před následky kybernetických rizik

Ochrana před následky kybernetických rizik ztráta zisku ztráta důvěry poškození dobrého jména ztráta dat Ochrana před následky kybernetických rizik Co jsou kybernetická rizika? Kybernetická rizika jsou součástí našeho života ve světě plném informací

Více

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy

Více

Technické aspekty zákona o kybernetické bezpečnosti

Technické aspekty zákona o kybernetické bezpečnosti D Ů V Ě Ř U J T E S I L N Ý M Technické aspekty zákona o kybernetické bezpečnosti Michal Zedníček Key Account Manager CCSSS, ID No.: CSCO11467376 michal.zednicek@alef.com ALEF NULA, a.s. Petr Vácha Team

Více

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti

Více

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster. Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.com Kdo jsme Kooperační odvětvové uskupení 19 firem se specializací

Více

Projekt podnikové mobility

Projekt podnikové mobility Projekt podnikové mobility Cortado Corporate Server Jedno řešení pro firemní mobilitu IGNUM Telekomunikace s.r.o. Cortado Corporate Server Bezkonkurenční all-in-one řešení zahrnuje mobilní zařízení a správu

Více

Bezepečnost IS v organizaci

Bezepečnost IS v organizaci Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost

Více

ZVLÁŠTNÍ PODMÍNKY PRO ŘEŠENÍ MINICLOUD. Definice: Cloud: Technologie zaměřená na vzdálené použití prováděcích zdrojů a ukládání.

ZVLÁŠTNÍ PODMÍNKY PRO ŘEŠENÍ MINICLOUD. Definice: Cloud: Technologie zaměřená na vzdálené použití prováděcích zdrojů a ukládání. ZVLÁŠTNÍ PODMÍNKY PRO ŘEŠENÍ MINICLOUD Verze z 15. 2..2011 Definice: Cloud: Technologie zaměřená na vzdálené použití prováděcích zdrojů a ukládání. Věrnostní schéma: Část rozhraní správy pro zákazníka

Více

Alternativní řešení pro ochranu dat, správu infrastruktury a zabezpečení přístupu. Simac Technik ČR, a.s.

Alternativní řešení pro ochranu dat, správu infrastruktury a zabezpečení přístupu. Simac Technik ČR, a.s. Alternativní řešení pro ochranu dat, správu infrastruktury a zabezpečení přístupu Simac Technik ČR, a.s. Praha, 26.10. 2012 Jan Kolář Vedoucí Technického Oddělení Jan.kolar@simac.cz Úvod 9:00 Úvod, novinky

Více

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány

Více

Bezpečnostní technologie a jejich trendy. Simac Technik ČR, a.s.

Bezpečnostní technologie a jejich trendy. Simac Technik ČR, a.s. Bezpečnostní technologie a jejich trendy Simac Technik ČR, a.s. Praha, 5.5. 2011 Jan Kolář, Solution Architect Jan.kolar@simac.cz 1 Program 9:00 Úvod, aktuální hrozby a trendy v oblasti bezpečnosti (Jan

Více

CA AppLogic platforma typu cloud pro podnikové aplikace

CA AppLogic platforma typu cloud pro podnikové aplikace INFORMACE O PRODUKTU: CA AppLogic CA AppLogic platforma typu cloud pro podnikové aplikace agility made possible CA AppLogic je platforma na klíč založená na technologii cloud computing, která pomáhá podnikům

Více

Symantec Mobile Security

Symantec Mobile Security Pokročilá ochrana mobilních zařízení před bezpečnostními riziky Katalogový list: Správa koncových zařízení a mobilita Přehled Nabídka aplikací neautorizovanými prodejci spolu se značnou otevřeností platformy

Více

České Budějovice. 2. dubna 2014

České Budějovice. 2. dubna 2014 České Budějovice 2. dubna 2014 1 IBM regionální zástupci - Jihočeský kraj Michal Duba phone: +420 737 264 058 e-mail: michal_duba@cz.ibm.com Zdeněk Barlok phone: +420 731 435 534 e-mail: zdenek_barlok@cz.ibm.com

Více

ČD Telematika a.s. Efektivní správa infrastruktury. 11. května 2010. Konference FÓRUM e-time, Kongresové centrum Praha. Ing.

ČD Telematika a.s. Efektivní správa infrastruktury. 11. května 2010. Konference FÓRUM e-time, Kongresové centrum Praha. Ing. ČD Telematika a.s. Efektivní správa infrastruktury 11. května 2010 Konference FÓRUM e-time, Kongresové centrum Praha Ing. František Nedvěd Agenda O společnosti ČD Telematika a.s. Efektivní správa konfigurací

Více

Monitorování datových sítí: Dnes

Monitorování datových sítí: Dnes Monitorování datových sítí: Dnes FlowMon Friday, 29.5.2015 Petr Špringl springl@invea.com Obsah Monitorování datových toků = Flow monitoring Flow monitoring a bezpečnost sítě = Network Behavior Analysis

Více

Virtualizace serverů v ČSOB

Virtualizace serverů v ČSOB 5 Shared Experience Technická řešení Virtualizace serverů v ČSOB ČSOB jsme pomohli vybudovat globální evropské data-centrum, ušetřit náklady a zkrátit dobu dodání serverů pro nové aplikace a to díky virtualizaci

Více

Bezpečná výměna souborů mezi vnitřní a vnější sítí organizace. Autor: Martin Hanzal, CTO SODATSW spol. s r. o., Horní 32, Brno, Czech Republic

Bezpečná výměna souborů mezi vnitřní a vnější sítí organizace. Autor: Martin Hanzal, CTO SODATSW spol. s r. o., Horní 32, Brno, Czech Republic Bezpečná výměna souborů mezi vnitřní a vnější sítí organizace Autor: Martin Hanzal, CTO SODATSW spol. s r. o., Horní 32, Brno, Czech Republic Shrnutí Nejstřeženější data a informace jsou odděleny od vnějšího

Více

PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ

PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ na Střední škole automobilní, mechanizace a podnikání, Krnov, příspěvková organizace Úvodní ustanovení Střední škola automobilní, mechanizace a podnikání, Krnov, příspěvková

Více

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva? Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva? Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.com Kybernetická bezpečnost III Kdo jsme Kooperační odvětvové

Více

Virtualizace jako nástroj snížení nákladů. Periodické opakování nákladů nové verze Licence na pevný počet klientů

Virtualizace jako nástroj snížení nákladů. Periodické opakování nákladů nové verze Licence na pevný počet klientů Model Mainframe Centralizované řešení Cena za strojový čas Klientská zařízení nedisponují výkonem Vysoké pořizovací náklady na hardware Bez softwarových licencí software na míru Model Klient Server Přetrvává

Více

Ředitel odboru archivní správy a spisové služby PhDr. Jiří ÚLOVEC v. r.

Ředitel odboru archivní správy a spisové služby PhDr. Jiří ÚLOVEC v. r. VMV čá. 65/2012 (část II) Oznámení Ministerstva vnitra, kterým se zveřejňuje vzorový provozní řád archivu oprávněného k ukládání archiválií v digitální podobě Ministerstvo vnitra zveřejňuje na základě

Více

KIV/SI. Přednáška č.2. Jan Valdman, Ph.D. jvaldman@dns.cz

KIV/SI. Přednáška č.2. Jan Valdman, Ph.D. jvaldman@dns.cz KIV/SI Přednáška č.2 Jan Valdman, Ph.D. jvaldman@dns.cz 8.3.2011 ITIL Information Technology Infrastructure Library ITIL v současnosti zahrnuje: Samotnou knihovnu Oblast vzdělávání a certifikace odborné

Více

WINCOR NIXDORF. Certifikovaný PCI DSS auditor - QSA

WINCOR NIXDORF. Certifikovaný PCI DSS auditor - QSA WINCOR NIXDORF Certifikovaný PCI DSS auditor - QSA Wincor Nixdorf s.r.o. Evropská 33a 160 00 Praha 6 Tel.: +420 233 034 129 Email: pci@wincor-nixdorf.cz PCI DSS jako norma pro bezpečnost v odvětví platebních

Více

POSKYTOVÁNÍ ZÁKLADNÍCH PROVOZNÍCH APLIKACÍ VEŘEJNÉ SPRÁVY

POSKYTOVÁNÍ ZÁKLADNÍCH PROVOZNÍCH APLIKACÍ VEŘEJNÉ SPRÁVY POSKYTOVÁNÍ ZÁKLADNÍCH PROVOZNÍCH APLIKACÍ VEŘEJNÉ SPRÁVY Ing. Juraj Žoldák ve spolupráci s Datum Duben 2014 Místo Hradec Králové, ISSS http://itsolutions.vitkovice.cz Charakteristika trhu Možnost využití

Více

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha Převzetí gesce nad problematikou kybernetické bezpečnosti bezpečnosti, jako

Více

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM Petr Dolejší Senior Solution Consultant OCHRANA KLÍČŮ A ZOKB Hlavní termín kryptografické prostředky Vyhláška 316/2014Sb. o kybernetické bezpečnosti zmiňuje: v 17 nástroj

Více

Dalibor Kačmář 21. 9. 2015

Dalibor Kačmář 21. 9. 2015 Dalibor Kačmář 21. 9. 2015 200+ 75%+ $500B $3.5M Průměrný počet dní, které útočník stráví v síti oběti, než je detekován všech průniků do sítí se stalo díky úniku přihlašovacích údajů celková odhadovaná

Více

VOIPEX Pavel Píštěk, strategie a nové Sdílet projek ts y práv, I né PEX inf a.s orm. ace se správnými lidmi ve správný čas WWW.IPEX.

VOIPEX Pavel Píštěk, strategie a nové Sdílet projek ts y práv, I né PEX inf a.s orm. ace se správnými lidmi ve správný čas WWW.IPEX. VOIPEX Pavel Píštěk, strategie a nové projekty, Sdílet správné IPEX a.s. informace se správnými lidmi ve správný čas Byznys začíná komunikací Agenda 1. Cesta do Cloud služeb. 2. Přínos pro nás a naše zákazníky.

Více

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s.

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s. Mobilní aplikace ve světě ERP Michal Hanko Petr Kolda Asseco Solutions, a.s. a Simac Technik ČR, a.s. Skupina Asseco Solutions Asseco Solutions je průkopníkem a vizionářem na poli informačních systémů

Více

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81 Mgr. Jiří Malý duben 2014, PRAHA Gesce kybernetické bezpečnosti Usnesení vlády ze dne 19. října 2011 č. 781 o ustavení Národního bezpečnostního úřadu gestorem

Více

CLOUD COMPUTING PRO MALÉ A STŘEDNÍ FIRMY

CLOUD COMPUTING PRO MALÉ A STŘEDNÍ FIRMY 1 CLOUD COMPUTING PRO MALÉ A STŘEDNÍ FIRMY Ing. Martin Pochyla, Ph.D. VŠB TU Ostrava, Ekonomická fakulta Katedra Aplikovaná informatika martin.pochyla@vsb.cz Informační technologie pro praxi 2010 Definice

Více

Občanské sdružení CHROPNET Ladova 389\10, Olomouc, 779 00 IČ: 01466925 Registrované na Ministerstvu vnitra ČR pod č.j.

Občanské sdružení CHROPNET Ladova 389\10, Olomouc, 779 00 IČ: 01466925 Registrované na Ministerstvu vnitra ČR pod č.j. Občanské sdružení CHROPNET Ladova 389\10, Olomouc, 779 00 IČ: 01466925 Registrované na Ministerstvu vnitra ČR pod č.j. VS/1-1/92231/13-R Občanské sdružení CHROPNET PROVOZNÍ ŘÁD OBSAH DOKUMENTU ČL. 1. ÚVOD...

Více

Technologický seminář Simac Technik ČR, a.s. Praha, 21.4. 2010

Technologický seminář Simac Technik ČR, a.s. Praha, 21.4. 2010 Technologický seminář Simac Technik ČR, a.s. Praha, 21.4. 2010 Petr Kolda Petr.kolda@simac.cz 1 Program 9.00 Představení společnosti Simac TECHINIK ČR a.s. 9.15 Unified Fabric konsolidace sítí v datových

Více

Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Dr. Igor Čermák

Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Dr. Igor Čermák Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Dr. Igor Čermák Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Igor Čermák

Více

Tisková konference VSCloud

Tisková konference VSCloud Tisková konference VSCloud Damir Špoljarič (ředitel projektu VSCloud) Jan Martinů (technický ředitel a vedoucí vývoje VSCloud) Pavel Foltýn (PR Manager) Program tiskové konference: 10.15 10.20 Úvod 10.20

Více

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše Bezpečnost sítí, Firewally, Wifi Ing. Pavel Píše Útoky na síť Z Internetu Ze strany interní sítě Základní typy síťových útoků Útoky na bezpečnost sítě Útoky na propustnost sítě (šířka pásma, záplavové

Více

Bosch Video Management System Zabezpečení budoucnosti pomocí technologie IP

Bosch Video Management System Zabezpečení budoucnosti pomocí technologie IP Bosch Video Management System Zabezpečení budoucnosti pomocí technologie IP Zabezpečení videodat přes síť IP Spojení všech součástí Systém Bosch Video Management System (VMS) slouží ke správě IP a digitálních

Více

Základy řízení bezpečnosti

Základy řízení bezpečnosti Základy řízení bezpečnosti Bezpečnost ve společnosti MND a.s. zahrnuje: - Bezpečnost a ochranu zdraví - Bezpečnost provozu, činností - Ochranu životního prostředí - Ochranu majetku - Ochranu dobrého jména

Více

Filip Navrátil PCS spol. s r.o. Divize DataGuard stánek 45 přízemí

Filip Navrátil PCS spol. s r.o. Divize DataGuard stánek 45 přízemí Řešení pro vaše e technologie, technologie pro vaše řešení Filip Navrátil PCS spol. s r.o. Divize DataGuard stánek 45 přízemí Skupina PCS Společnosti sjednocené pod názvem PCS se zabývají širokým spektrem

Více

Požadavky na outsourcing

Požadavky na outsourcing Požadavky na outsourcing Brno, 21.6.2011 Ing. Jan Bukovský, jan.bukovsky@ceb.cz Outsourcing Outsourcing firma vyčlení různé podpůrné a vedlejší činnosti a svěří je smluvně jiné společnosti (=poskytovateli

Více

Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o.

Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o. Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o. Bezpečnost informačních systémů Využívání informačních technologií, zejména sofistikovaných ERP systémů jako je SAP, znamená

Více

Aktivní bezpečnost sítě

Aktivní bezpečnost sítě Aktivní bezpečnost sítě Jindřich Šavel 27/11/2014 NOVICOM s.r.o. 2012 2014 Novicom All rights s.r.o. reserved. All rights reserved www.novicom.cz, sales@novicom.cz Program prezentace Představení společnosti

Více

Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Obchodní faktory a jejich dopad na IT AKCESCHOPNOST Jednejte rychle, pohotově a flexibilně 66 % vlastníků firem považuje akceschopnost za svou prioritu

Více

Alternativy k SAP HANA appliance? Představení možnosti TDI a cloudové infrastruktury

Alternativy k SAP HANA appliance? Představení možnosti TDI a cloudové infrastruktury Alternativy k SAP HANA appliance? Představení možnosti TDI a cloudové infrastruktury Jiří Vrbický Senior Architekt 10. září 2015 Infrastruktura pro SAP HANA Možnosti zajištění infrastruktury pro SAP HANA:

Více

1. Politika integrovaného systému řízení

1. Politika integrovaného systému řízení 1. Politika integrovaného systému řízení V rámci svého integrovaného systému řízení (IMS) deklaruje společnost AARON GROUP spol. s r.o. jednotný způsob vedení a řízení organizace, který splňuje požadavky

Více

Spolupráce dodavatele a zákazníka po zavedení knihovního systému do provozu

Spolupráce dodavatele a zákazníka po zavedení knihovního systému do provozu Spolupráce dodavatele a zákazníka po zavedení knihovního systému do provozu Iva Celbová * celbova@sefira.cz Abstrakt: Zprovozněním knihovního systému a odjezdem dodavatele z knihovny komunikace mezi těmito

Více

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY Příloha č. 3 k č.j. MV-159754-3/VZ-2013 Počet listů: 7 TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY Nové funkcionality Czech POINT 2012 Popis rozhraní egon Service Bus Centrální Místo Služeb 2.0 (dále jen CMS

Více

Business Suite for Notes

Business Suite for Notes Business Suite for Notes Systém BSFN byl vytvořen na základě zkušeností s podporou a řízením procesů v obchodní firmě. Během několika let existence na trhu se osvědčil u mnoha zákazníků. Z nejvýznamnějších

Více

Komplexní ICT outsourcing

Komplexní ICT outsourcing Komplexní ICT outsourcing Jan Košátko 28.2.2012 Danube House Algotech Telefon: +420 225 006 555 Fax: +420 225 006 194 E-mail: info@algotech.cz Web: www.algotech.cz Adresa: Zirkon Office Center, Sokolovská

Více

Zabezpečení dat v cloudu. Ing. Miroslav Ludvík, Ph.D.

Zabezpečení dat v cloudu. Ing. Miroslav Ludvík, Ph.D. Zabezpečení dat v cloudu Ing. Miroslav Ludvík, Ph.D. Co je to cloud computing? Business model IT as a servis Co je to Cloud? Dodávka formou služby IT jako služba s definovaným rozhraním a kvalitou. Škálovatelný

Více

VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ

VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ Infinity, a.s. U Panasonicu 375 Pardubice 530 06 Tel.: (+420) 467 005 333 www.infinity.cz PROČ SE ZABÝVAT VÝBĚREM CLOUDU 2 IT služba Jakákoliv služba poskytovaná

Více

Tomáš HEBELKA, MSc. Skepse vůči cloudu. 21. června 2011 VI. Konference ČIMIB, Hotel Continental, Brno

Tomáš HEBELKA, MSc. Skepse vůči cloudu. 21. června 2011 VI. Konference ČIMIB, Hotel Continental, Brno Tomáš HEBELKA, MSc Skepse vůči cloudu 21. června 2011 VI. Konference ČIMIB, Hotel Continental, Brno Co je to cloud? Cloud computing je na Internetu založený model vývoje a používání počítačových technologií.

Více

CA Business Service Insight

CA Business Service Insight SPECIFIKACE PRODUKTU: CA Business Service Insight CA Business Service Insight agility made possible Díky produktu CA Business Service Insight budete vědět, které služby jsou v rámci vaší společnosti využívány,

Více

Koncept. Centrálního monitoringu a IP správy sítě

Koncept. Centrálního monitoringu a IP správy sítě Koncept Centrálního monitoringu a IP správy sítě Koncept Centrálního monitoringu a IP správy sítě Společnost Novicom, společně se svým partnerem, společností INVEA-TECH, nabízí unikátní koncept Centralizovaného

Více

Daniela Lišková Solution Specialist Windows Client. daniela.liskova@microsoft.com

Daniela Lišková Solution Specialist Windows Client. daniela.liskova@microsoft.com DESKTOP: Windows Vista Daniela Lišková Solution Specialist Windows Client daniela.liskova@microsoft.com TCO desktopů analýzy spol. Gartner Téměř 80% všech nákladů v IT vzniká po nákupu tj. na správě, opravě,

Více

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat Název projektu: Redesign Statistického informačního systému v návaznosti na zavádění egovernmentu v ČR Příjemce: Česká republika Český statistický úřad Registrační číslo projektu: CZ.1.06/1.1.00/07.06396

Více

MODUL MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI V PODMÍNKÁCH UNIVERZITY OBRANY

MODUL MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI V PODMÍNKÁCH UNIVERZITY OBRANY Petr HRŮZA 1 MODUL MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI V PODMÍNKÁCH UNIVERZITY OBRANY Abstract: The article introduces the module cyber security at the University of Defence. This is a new module. University

Více

Bezpečnostní politika informací v ČSSZ

Bezpečnostní politika informací v ČSSZ Č. j.: 11 1700 2.6.2006/1641 Praze dne 9.6.2006 SMĚRNICE ŘEDITELE ODBORU BEZPEČNOSTNÍ POLITIKY č. 11/2006 Bezpečnostní politika informací v ČSSZ O B S A H : Čl. 1 Úvodní ustanovení Čl. 2 Cíle a zásady

Více

Brno. 30. května 2014

Brno. 30. května 2014 Brno 30. května 2014 IBM regionální zástupci - Morava Lubomír Korbel Dagmar Krejčíková phone: +420 737 264 440 phone: +420 737 264 334 e-mail: lubomir_korbel@cz.ibm.com e-mail: dagmar_krejcikova@cz.ibm.com

Více

EXTRAKT z české technické normy

EXTRAKT z české technické normy EXTRAKT z české technické normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním 35.240.60 materiálem o normě. Dopravní telematika Dopravní telematika Elektronický výběr poplatků Směrnice

Více

Distribuované pracovní týmy. Mobilní styl práce. Využití infrastruktury. Struktura IT nákladů

Distribuované pracovní týmy. Mobilní styl práce. Využití infrastruktury. Struktura IT nákladů Mobilní styl práce Distribuované pracovní týmy 50 procent business koncových zařízení budou v roce 2014 smartphony a mobilní PC 84 procent organizací využívá vzdálených pracovníků a spolupráci distribuovaných

Více

Je Smart Grid bezpečný?

Je Smart Grid bezpečný? Je Smart Grid bezpečný? Petr Paukner petr.paukner@anect.com - člen představenstva Jen pro vnitřní potřebu ANECT a.s. Kontext Moderní Smart Grids potřebují zajistit: Aktivní participaci producentů i konzumentů

Více

O autorech 13 O odborném korektorovi 13. Poděkování 15 Úvod 17. Cílová skupina této knihy 17 Témata této knihy 17

O autorech 13 O odborném korektorovi 13. Poděkování 15 Úvod 17. Cílová skupina této knihy 17 Témata této knihy 17 Obsah O autorech 13 O odborném korektorovi 13 Poděkování 15 Úvod 17 Cílová skupina této knihy 17 Témata této knihy 17 Část I: Začínáme 18 Část II: Technologie cloud computingu 19 Část III: Cloud computing

Více

ATEUS - OMEGA Komunikační řešení pro malé a střední firmy

ATEUS - OMEGA Komunikační řešení pro malé a střední firmy ATEUS - OMEGA Komunikační řešení pro malé a střední firmy 2 varianty: - ATEUS - OMEGA Business - ATEUS - OMEGA Basic Propojení všech telekomunikačních služeb firmy Přímé propojení do sítí ISDN, GSM a VoIP

Více

1.05 Informační systémy a technologie

1.05 Informační systémy a technologie Vypracoval Gestor Schválil Listů Příloh D. Marek(EOS/2) EOS VS 5 Směrnice platí pro všechny závody ŠKODA AUTO. Obsah: 1. Použité pojmy a zkratky 2. Plánování IT 3. Pořízení IT 4. Dodání IT 5. Provoz a

Více

Výhody a rizika outsourcingu formou cloud computingu

Výhody a rizika outsourcingu formou cloud computingu Výhody a rizika outsourcingu formou cloud computingu Jiří Voříšek katedra informačních technologií Vysoká škola ekonomická v Praze vorisek@vse.cz 1 Výchozí model MMDIS pro identifikaci možností outsourcingu

Více

CHARAKTERISTIKA VEŘEJNÉ ZAKÁZKY

CHARAKTERISTIKA VEŘEJNÉ ZAKÁZKY Příloha č. 1 CHARAKTERISTIKA VEŘEJNÉ ZAKÁZKY Veřejná zakázka Poskytování služeb outsourcingu Zadavatel: Nemocnice Český Krumlov a.s., sídlem: Český Krumlov, Horní Brána 429, PSČ 381 27 IČ: 260 95 149 DIČ:

Více

Bezpečnost na internetu. přednáška

Bezpečnost na internetu. přednáška Bezpečnost na internetu přednáška Autorské právo a bezpečnost na internetu Bezpečnost informačního systému školy Ing. Ludmila Kunderová Ústav informatiky PEF MENDELU v Brně lidak@pef.mendelu.cz internetu

Více

Systém Přenos verze 3.0

Systém Přenos verze 3.0 Systém Přenos verze 3.0 (bezpečná komunikace a automatizované zpracování dat) CTlabs spol. s r.o. Pernštejnské Janovice 28, 593 01 Bystřice nad Pernštejnem, tel/fax.: 0505-551 011 www.ctlabs.cz info@ctlabs.cz

Více

Trendy outsourcingu pro veřejnou správu

Trendy outsourcingu pro veřejnou správu Trendy outsourcingu pro veřejnou správu Jindra Tumová ISSS 2009 Obsah Stav Řešení Přínosy Reference Page 2 Klíčové trendy ve státní správě vysílají signál: více činností za méně peněz Ekonomická situace,

Více

CISCO CCNA I. 8. Rizika síťového narušení

CISCO CCNA I. 8. Rizika síťového narušení CISCO CCNA I. 8. Rizika síťového narušení Základní pojmy Rizika Devastace sítě Ztráta dat a důležitých informací Ztráta kontroly nad sítí Následnéčasové ztráty Krádež dat Ztráta identity (bankovní operace

Více

IBM Content Manager Collaboration Edition ECM služby pro IBM Lotus Quickr

IBM Content Manager Collaboration Edition ECM služby pro IBM Lotus Quickr IBM Content Manager Collaboration Edition ECM služby pro IBM Lotus Quickr 5/2010 IBM Content Manager Collaboration Edition O produktu IBM Content Manager Collaboration Edition IBM Content Manager Collaboration

Více

ního bezpečnostního úřadu známý jako kauza nbusr123 mluví za vše.

ního bezpečnostního úřadu známý jako kauza nbusr123 mluví za vše. ního bezpečnostního úřadu známý jako kauza nbusr123 mluví za vše. Antivirová bouře Doprovodné technologie, mezi které patří i zabezpečovací subsystémy, hlavně EPP (Endpoint Protection Platforms), se snaží

Více

1) Má Váš orgán platnou informační koncepci dle zákona 365/2000 Sb.? ano

1) Má Váš orgán platnou informační koncepci dle zákona 365/2000 Sb.? ano Pokyny pro vyplnění: a) na otázky uvedené v tomto dotazníku by měli být schopni odpovědět minimálně vedoucí pracovníci v oblasti informačních technologií, b) v případě, že některá z požadovaných informací

Více

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o. plachy@sefira.cz

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o. plachy@sefira.cz Vývoj moderních technologií při vyhledávání Patrik Plachý SEFIRA spol. s.r.o. plachy@sefira.cz INFORUM 2007: 13. konference o profesionálních informačních zdrojích Praha, 22. - 24.5. 2007 Abstrakt Vzhledem

Více

Standard státního dozoru nad sázkovými hrami a loteriemi

Standard státního dozoru nad sázkovými hrami a loteriemi Ministerstvo financí Státní dozor nad sázkovými hrami a loteriemi Letenská 15, Praha 1 - Malá Strana, 118 10 Pracoviště: Legerova, 69, Praha 2, 110 00 Sekretariát tel.: 25704 3322 Č.j.: MF-121975/2012/34

Více

Obsah: Základní pojmy, definice Informační systémy IT architektura Typické aplikační komponenty Implementace aplikací

Obsah: Základní pojmy, definice Informační systémy IT architektura Typické aplikační komponenty Implementace aplikací Monitorovací indikátor: 06.43.10 Počet nově vytvořených/inovovaných produktů Akce: Přednáška, KA 5 Číslo přednášky: 30 Téma: INFORMAČNÍ SYSTÉMY A ARCHITEKTURA IT V PODNIKU Lektor: Ing. Michal Beránek Třída/y:

Více

Chytrá systémová architektura jako základ Smart Administration

Chytrá systémová architektura jako základ Smart Administration Chytrá systémová architektura jako základ Smart Administration Ing. Petr Škvařil, Pardubický kraj Dipl. Ing.Zdeněk Havelka PhD. A-21 s.r.o. 1 Nepříjemné dotazy Jsme efektivní v provozování veřejné správy?

Více

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických

Více

LEX UNO ORE OMNES ALLOQUITUR

LEX UNO ORE OMNES ALLOQUITUR LEX UNO ORE OMNES ALLOQUITUR JUDr. Jaroslav Strouhal náměstek ministra vnitra pro řízení sekce informačních a komunikačních technologií 1. 6. 2015, Praha od BS 7799 do současnosti od BS 7799 do současnosti

Více

Národní bezpečnostní úřad

Národní bezpečnostní úřad 1 Role NBÚ v oblasti kybernetické bezpečnosti Jaroslav Šmíd náměstek ředitele NBÚ j.smid@nbu.cz 2 Obsah Něco z historie Vliv Internetu na národní hospodářství Legislativní rámec Hlavní činnosti NCKB NCKB

Více

Možnosti zabezpečení mobilní komunikace. Jan Křečan Manažer prodeje mobilních firemních řešení

Možnosti zabezpečení mobilní komunikace. Jan Křečan Manažer prodeje mobilních firemních řešení Možnosti zabezpečení mobilní komunikace Jan Křečan Manažer prodeje mobilních firemních řešení Agenda Mobilní firemní komunikace Nasazení mobilní firemní komunikace ve firmě Zabezpečení mobilní firemní

Více

ČSN EN ISO 50001:2012 ZKUŠENOSTI S UPLATŇOVÁNÍM

ČSN EN ISO 50001:2012 ZKUŠENOSTI S UPLATŇOVÁNÍM ČSN EN ISO 50001:2012 ZKUŠENOSTI S UPLATŇOVÁNÍM EnMS 1 SYSTÉM MANAGEMENTU HOSPODAŘENÍ S ENERGIÍ Záměrem je přijetí a zavedení systematického přístupu k dosahování neustálého zlepšování energetické náročnosti,

Více

STRATEGIE PRO OBLAST KYBERNETICKÉ BEZPEČNOSTI ČESKÉ REPUBLIKY NA OBDOBÍ 2011-2015

STRATEGIE PRO OBLAST KYBERNETICKÉ BEZPEČNOSTI ČESKÉ REPUBLIKY NA OBDOBÍ 2011-2015 III. STRATEGIE PRO OBLAST KYBERNETICKÉ BEZPEČNOSTI ČESKÉ REPUBLIKY NA OBDOBÍ 2011-2015 Strategie pro oblast kybernetické bezpečnosti České republiky na období 2011-2015 navazuje na Bezpečnostní strategii

Více

Je skutečně nutné kybernetické riziko nést ve vlastní bilanci

Je skutečně nutné kybernetické riziko nést ve vlastní bilanci Je skutečně nutné kybernetické riziko nést ve vlastní bilanci CEVRO Institut, 22. dubna 2014 Aon Central and Eastern Europe a.s. JE SKUTEČNĚ NUTNÉ KYBERNETICKÉ RIZIKO NÉST VE VLASTNÍ BILANCI? V PRAZE DNE

Více

EVROPSKÁ PRAVIDLA PRO INTERNETOVÉ STRÁNKY VPA

EVROPSKÁ PRAVIDLA PRO INTERNETOVÉ STRÁNKY VPA EVROPSKÁ PRAVIDLA PRO INTERNETOVÉ STRÁNKY VPA 1 EVROPSKÁ PRAVIDLA PRO INTERNETOVÉ STRÁNKY VPA Abychom zvýšili povědomí o společnosti Amway, výrobcích Amway a Podnikatelské příležitosti Amway a zároveň

Více

Vítejte v ICT oblacích

Vítejte v ICT oblacích Vítejte v ICT oblacích současnost a vize ICT služeb od Telefónica Czech Republic Martin Souček Senior product manager for housing and cloud services Praha, 3. 11. 2011 Co možná nevíte o společnosti Telefónica

Více

POŘÍZENÍ A IMPLEMENTACE INFORMAČNÍCH SYSTÉMŮ

POŘÍZENÍ A IMPLEMENTACE INFORMAČNÍCH SYSTÉMŮ POŘÍZENÍ A IMPLEMENTACE INFORMAČNÍCH SYSTÉMŮ ŽIVOTNÍ CYKLUS IS Stejně jako stroje a technologické linky, které jsou pořízeny, provozovány a následně, po opotřebování vyřazeny, má i informační systém svůj

Více

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více