Nabídka informační bezpečnosti - bezpečnostní menu ITI Security

Transkript

1 Nabídka Nabídka informační bezpečnosti - bezpečnostní menu ITI Security OBSAH Management bezpečnosti Bezpečnostní audity Plánování kontinuity a obnovy Bezpečnost v životním cyklu IT Ochrana dat Služby provozu a podpory O co se opíráme Vybrané reference Nabídka informační bezpečnosti je určena zákazníkům, kteří si kladou následující otázky: Máme přesné informace o tom, jak uživatelé nakládají s našimi informacemi, zpracovávanými v našem informačním systému? Existuje prokazatelná odpovědnost za nakládání s informacemi v našem informačním systému? Vynakládáme opravdu přiměřené finanční prostředky na bezpečnost a provozuschopnost našeho informačního systému? Jsou adekvátně chráněna naše citlivá data, jako např. obchodní informace nebo osobní údaje? Je náš informační systém adekvátně zabezpečen před úmyslným poškozením či útokem? Existují krizové plány pro případ havárie našeho informačního systému? Víme, co nás vlastně ohrožuje? Informační bezpečnost obecně zahrnuje v zásadě čtyři základní oblasti, které se promítají do naší nabídky: organizačně administrativní bezpečnost, personální bezpečnost, fyzická (objektová) bezpečnost, počítačová a komunikační (nebo také technická/technologická) bezpečnost. Bezpečnostní projekty z naší nabídky se orientují na odhalování nedostatků, hrozeb, zranitelných míst a rizik, ať už ohrožují samotný informační systém, nebo jím zpracovávaná data. Důvody jsou zřejmé, neboť činnost organizací je stále více závislá na provozuschopnosti informačních systémů tvořených nejen technikou a technologiemi, ale také prostředím, obsluhujícím personálem a s tím vším souvisejícími procesy. Klíčovými požadavky na bezpečnost jsou důvěrnost, dostupnost a integrita informací. Informační a komunikační technologie ve Vaší organizaci jsou primárně určeny k tomu, aby byly prostředkem, nikoliv překážkou při práci uživatelů. Proto je pro Vás důležité stanovit přijatelné zásady jejich správného a bezpečného používání. Najít tu správnou rovnováhu mezi kvantitou implementovaných bezpečnostních prvků a použitelností takto zabezpečeného systému je cílem bezpečnostní politiky založené na výsledcích bezpečnostního auditu/analýzy rizik Vašeho systému. Jinými slovy, investice do bezpečnosti by se Vám měly vyplatit, protože mimo jiné: nepřijdete o své cenné informace, nedojde ke zneužití citlivých dat konkurencí, nebudete vystaveni postihům za nedodržení zákonů, nestanete se snadným cílem hackerských útoků, bezpečný, důvěryhodný a funkční informační systém pozitivně ovlivní Vaše ekonomické ukazatele, nepřijdete o čas, který můžete věnovat svému byznysu, nepřijdete o provozuschopnost a kontinuitu. Portfolio naší nabídky najdete podrobně rozpracované s detailními popisy v celkem šesti samostatných kapitolách. V závěru dokumentu najdete užitečné informace o zákonech, normách a certifikacích, o které se opíráme, a pochopitelně také vybrané reference ze všech oblastí naší působnosti.

2 1. Management bezpečnosti Hledáte způsob, jak účinně řídit bezpečnost informací? Zajímá Vás, jak například: vyhovět zákonným požadavkům na bezpečnost informací? vybudovat systém řízení bezpečnosti informací (tzv. ISMS dle normy ISO 27001)? zpracovat strategické/koncepční dokumenty? vytvořit bezpečnostní politiku, bezpečnostní nebo havarijní plány? dosáhnout požadované certifikace systému? splnit zákonné požadavky na dlouhodobé řízení IS veřejné správy (ISVS)? Nabízíme služby a technologie, které Vám zajistí: zpracování návrhu komplexního projektu řízení bezpečnosti informací nebo vybraných částí, vybudování systému řízení bezpečnosti informací (tzv. ISMS), přípravu na předcertifikační audit ISMS dle normy ISO 27001, zpracování potřebné dokumentace: strategie/koncepce řízení bezpečnosti informací a IS, studie proveditelnosti, metodika, plány a metriky pro měření bezpečnosti, bezpečnostní politika, bezpečnostní směrnice, bezpečnostní plán, havarijní plán, plán zajištění kontinuity a plán obnovy, splnění zákonných požadavků pro dlouhodobé řízení ISVS, shodu s právními předpisy v oblasti IS. Strategie a koncepce řízení bezpečnosti Plány a metriky bezpečnosti Politiky, směrnice a postupy Vytěžování bezpečnostních dat Studie proveditelnosti Systémy bezpečnostního dohledu a řízení bezpečnosti Systémy pro řízení bezpečnosti Systémy pro řízení zranitelnosti Konkrétní kroky realizace projektu řízení bezpečnosti a zpracování dokumentace jsou zpravidla následující: smluvními stranami odsouhlasen harmonogram projektu, stanoven detailní postup realizace projektu nebo jeho etap, definovány požadavky součinnosti ze strany zákazníka (v rámci osobních konzultací formou interview a vyplňování podkladových dotazníků), určeni respondenti zodpovídající za poskytnutí potřebných informací a údajů, dohodnuto poskytnutí všech relevantních materiálů, které mají vypovídací schopnost o IS/ICT, dohodnut způsob zabezpečení informací poskytovaných zákazníkem zpracovateli elektronickou formou, uskutečněny schůzky s respondenty organizace za účelem získání informací důležitých pro zpracování, analýza a vlastní zpracování získaných informací zástupci zpracovatele, tj. kompletace podkladových informací, vyhodnocení obdržených informací a dalších požadovaných materiálů, vytvoření výsledných dokumentů, jež tvoří dohodnutý výstup z projektu, prezentace výsledků, schvalovací a akceptační proces, předání díla.

3 2. Bezpečnostní audity Hledáte způsob, jak ověřit, že jsou vaše informace v bezpečí? Zajímá Vás, jak například: prověřit celkovou bezpečnost informací ve vašem IS? efektivně realizovat analýzu rizik IS? řídit, vyhodnocovat a odstraňovat bezpečnostní rizika? identifikovat hrozby, odhadnout pravděpodobnost jejich uskutečnění a dopady? ověřit odolnost počítačové sítě před útoky zvenčí i zevnitř? sledovat a eliminovat zranitelná místa systému? realizaci auditu IS dle Vašich požadavků, nebo požadavků vyplývajících např. z právních předpisů, norem, standardů, nadřízených orgánů, realizaci analýzy rizik IS za použití vhodné metodiky, identifikaci hrozeb, zranitelností a rizik, odhad pravděpodobnosti a dopadů na systém a data, stanovení míry jednotlivých rizik, otestování možnosti průniku do počítačové sítě zvenčí nebo zevnitř, skenování systémů, návrhy a doporučení opatření eliminujících bezpečnostní rizika, realizaci výše uvedeného certifikovanými odborníky (CISA: Certified Information Systems Auditor a CRISC: Certified in Risk and Information Systems Control) Audit IS Analýza rizik Analýza dopadů na byznys Audit informačního systému Kalkulace rizik Penetrační nástroje Skenery zranitelností Penetrační testy Testy zranitelnosti Kalkulace rizik (CRAMM apod.) Penetrační nástroje Skenery zranitelností V rámci zaměření bezpečnostního auditu dle požadavků (např. audit shody s právními předpisy, audit procesní, audit IS, předcertifikační audit apod.) jsou realizovány následující obecné kroky: identifikace spravovaných/provozovaných IS, procesů atd., identifikace klíčových IT systémů, služeb a procesů, včetně právních předpisů, na nichž jsou závislé kritické procesy organizace, určení vlastníků IS, služeb, procesů, příp. klíčových uživatelů, analýza získaných údajů z hlediska požadavků zadání auditu, analýza bezpečnostních požadavků, zejména dodržování základních principů informační bezpečnosti, tj. zajištění důvěrnosti, dostupnosti a integrity, identifikace neshod a nedostatků s požadavky, návrh opatření a doporučení jednak v obecné rovině, jednak v konkrétním návrhu řešení (např. doporučení vhodné metodiky, specifických technických či technologických prostředků, použitelných vzorů, šablon a příkladů z praxe). Projekt analýzy rizik IS realizujeme zpravidla prostřednictvím následujících kroků: zjištění požadavků na bezpečnost ICT (organizačních, zákonných, technologických); identifikace stávající dokumentační základny pro řízení bezpečnosti IT; analýza rizik IS (v závislosti na aktivech, hrozbách, zranitelnosti a dopadech): identifikace aktiv, tj. zjištění hmotných a nehmotných hodnot, jakými jsou např. HW-aktiva, SW-aktiva, data, případně služby, budovy, ostatní zařízení a vybavení; definice hrozeb, tj. stavů a situací ohrožujících IS, jako jsou např. živelní katastrofy, havárie, technické poruchy, závady, úmyslné a neúmyslné působení lidského faktoru apod.; identifikace zranitelných míst, tzn. zjištění slabin a bezpečnostních děr posuzovaného systému; zjištění pravděpodobnosti a dopadů, neboli posouzení míry konkrétního rizika, že se uskuteční určitá hrozba, jež využije daného zranitelného místa. Míra rizika je definována v několika úrovních (např. vysoká, střední, nízká, zanedbatelná); identifikace stávajících bezpečnostních opatření; srovnání dostatečnosti bezpečnostních opatření s obvyklými zásadami a normami; návrh vhodných opatření a kontrol včetně priorit k řešení zjištěných neshod v obecné rovině; doporučení prostředků a technologií k zajištění navrhovaných opatření (nabídka konkrétních řešení); na základě podrobného interview s odpovědnými osobami, dotazníkových akcí s uživateli, identifikace aktiv, hrozeb, zranitelných míst, posouzení dopadů, analýzy existující dokumentace, případně doplňujících konzultací, je zpracována výsledná zpráva definující detailní rizika IS a navrhovaná opatření. Penetrační testování probíhá dle požadavků zákazníka v rámci následujících kroků: provedení vnějších penetračních testů - pro ověření ne/ možnosti průniku potenciálního útočníka zvenčí do vnitřní chráněné počítačové sítě, obvykle přes jeden přístupový bod představovaný IP adresou zařízení, jež tvoří vstupní bránu do počítačové sítě organizace. provedení vnitřních testů zranitelnosti - pro ověření ne/ možnosti průniku potenciálního útočníka ke zdrojům systému a datům, k nimž není oprávněn, zevnitř, tj. z pohledu zaměstnance s definovaným přístupem k systému. Kontrola je schopna odhalit správnost či nedostatky v konfiguraci uživatelských účtů i přístupových práv skupin a jednotlivců, zapomenuté účty, ponechaná implicitní nastavení administrátorských přístupů či hesel atd. zpracování výstupní zprávy, která obsahuje popis provedení uváděných testů a shrnuje jejich výsledky ve formě zjištěných zranitelností, nedostatků a následných doporučení ke snížení konkrétního rizika. V rámci auditu zaměřeného na bezpečnostní dokumentaci jsou realizovány následující činnosti: identifikace dokumentace k IT (IS/ISVS), analýza obsahu, aktuálnosti, dostatečnosti a správnosti, srozumitelnosti a přehlednosti dokumentace, analýza souladu dokumentace s legislativou, vnějšími a vnitřními požadavky, identifikace neshod, obecný návrh opatření a doporučení týkajících se aktualizace dokumentů, tvorby či dopracování specifických, příp. povinně předkládaných dokumentů např. v rámci atestací, certifikací apod., konkrétní doporučení rozsahu a obsahu potřebné dokumentace, případně návrh vzorových šablon dokumentů s vyžadovanými náležitostmi.

4 3. Plánování kontinuity a obnovy Hledáte způsob, jak řešit mimořádné události? Zajímá Vás, jak lze například: zajistit krizové řízení v oblasti informační bezpečnosti? zabezpečit kontinuitu provozu/byznysu v případě mimořádných událostí? zabránit vzniku škody či ztráty (finanční, materiální, knowhow, dobrého jména) v důsledku mimořádných událostí? řešit havárie, poruchy, výpadky funkčnosti systému, dodávek energií a služeb? zajistit rychlou a efektivní obnovu provozuschopnosti systému a zabránit zbytečným nebo nadměrným nákladům? prevenci omezení nebo přerušení provozu vlivem havárií a mimořádných událostí, účinné havarijní plánování (Disaster Recovery Planing), efektivní řešení havárií, poruch a nefunkčnosti systému, minimalizaci škod v důsledku mimořádných událostí, zálohování dat, rychlou obnovu provozu systému. Havarijní plány a postupy Plány kontinuity a obnovy byznysu Krizové řízení bezpečnosti Testování plánů Systémy pro zálohování a obnovu Nástroje pro řízení krizové situace Realizace projektu řízení mimořádných událostí a havarijního plánování zahrnuje zpravidla následující kroky: analýza IS, rozsah, charakter, umístění, způsoby používání, identifikace potenciálních hrozeb a zranitelností (analýza rizik IS), definice uvažovaných typů mimořádných událostí, analýza stávající dokumentace pro řešení havárií a mimořádných událostí, analýza požadavků (právních předpisů, nadřízených orgánů, interních), identifikace neshod, obecný návrh opatření a doporučení týkajících se aktualizace existujících dokumentů, nástrojů a technologií pro hlášení, detekci, sledování a vyhodnocování mimořádných událostí, zálohování a obnovu dat, zajištění záložních zdrojů napájení apod., tvorba/aktualizace plánů zajištění kontinuity, havarijních plánů a plánů obnovy, příp. návrh vzorových dokumentů s vyžadovanými náležitostmi.

5 4. Bezpečnost v životním cyklu IT Hledáte způsob, jak zajistit bezpečnost v celém životním cyklu IT infrastruktury? Zajímá Vás, jak lze například: zajistit bezpečnost při vývoji systému? řídit identity (Identity Management)? řídit přístupová práva (Access Management)? zvyšovat bezpečnostní povědomí uživatelů systému na všech úrovních? řešení všech bezpečnostních aspektů při vývoji systému, řízení změn systému, řízení identit, řízení přístupu, bezpečnostní školení a vzdělávání všech uživatelů systému na všech úrovních se specifickým zaměřením dle cílové skupiny (management, administrace, běžný uživatel). Bezpečnostní konzultace při vývoji Konzultace řízení identit Analýza přístupových práv Školení, trénování Řízení identit Nástroje řízení oprávnění (DRM, WRM apod.) Budování informační bezpečnosti je kontinuální proces plánování, zabezpečování, kontroly a nápravy definovaný v procesním rámci ITIL jako koloběh činností Plan- Do- Check-Act (PDCA). Životní cyklus IT tedy zahrnuje zpravidla následující kroky: stanovení cílů a potřeb v oblasti informační bezpečnosti, analýza rizik IS, návrh vhodných opatření, tvorba systému řízení a infrastruktury informační bezpečnosti, zpracování dokumentace, potřebné pro efektivní řízení bezpečnosti, posouzení, schválení a implementace přijatých opatření, ustanovení a implementace funkce bezpečnostního manažera/správce, audit systému, vyhodnocování nápravných a preventivních opatření, kontrola jejich účinnosti. Realizace námi nabízených služeb respektuje zásady projektového řízení a probíhá dle Vašich potřeb v samostatně řešitelných etapách: základ tvoří návrh harmonogramu projektu, v jehož úvodní fázi je navržen tým zástupců obou stran určených pro řešení otázek smluvních, obchodních a technických, dále jsou dohodnuty zásady komunikace, stanoveny milníky a termíny jejich dokončení, způsob, forma a výstupní formát předaného díla a požadavky součinnosti. Konkrétní kroky realizace projektu jsou zpravidla následující: smluvními stranami odsouhlasen harmonogram projektu, stanoven detailní postup realizace projektu nebo jeho etap, definovány požadavky součinnosti ze strany zákazníka, určeni respondenti zodpovídající za poskytnutí potřebných informací a údajů sloužících jako podklady pro zpracování projektu či etapy v dohodnutých termínech, dohodnut způsob zabezpečení informací poskytovaných zpracovateli elektronickou formou, uskutečněny schůzky na půdě organizace za účelem získání informací, důležitých pro zpracování, dohodnuto poskytnutí všech relevantních materiálů, které mají vypovídací schopnost o stavu informační bezpečnosti uvnitř organizace, stávající dokumentace a směrnic týkajících se bezpečnosti, vlastní zpracování získaných informací zástupci zpracovatele, tj. kompletace podkladových informací, vyhodnocení obdržených informací a dalších požadovaných materiálů, vytvoření dokumentů, jež tvoří výsledný výstup z projektu, vypracování závěrečné dokumentace, prezentace výsledků, akceptační proces, předání. Školení a vzdělávání v oblasti informační bezpečnosti zahrnuje obvykle následující kroky: stanovení určení a rozsahu požadovaného školení: jednorázové školení, opakované kurzy, průběžné vzdělávání, trénink pro management, školení pro uživatele, speciální kurzy pro správce systému, stanovení frekvence, četnosti, délky a termínů školení, stanovení lokality (místa) konání školení a požadavků na vybavení (u zákazníka, ve školicích prostorách dodavatele, technické požadavky), definice požadavků na obsah školení, příprava a odsouhlasení programu školení/vzdělávání, harmonogram realizace kurzů.

6 5. Ochrana dat Hledáte způsob, jak zajistit implementaci vhodných technických a technologických opatření? Zajímá Vás, jak lze například: optimalizovat komplexní bezpečnostní infrastrukturu Vašich informačních a komunikačních technologií (ICT)? navrhnout vhodná bezpečnostní opatření pouze v nezbytné míře a potřebném rozsahu? chránit informace v elektronické podobě kdekoliv v systému? šifrovat data vhodným způsobem? chránit informace v tištěné podobě? ochránit elektronický poštovní systém před nevyžádanou poštou (spamy)? zajistit ovou komunikaci? využívat elektronický podpis? ochránit počítačovou síť před nežádoucím přístupem zvenčí i zevnitř? zajistit bezpečné přihlašování? zabezpečit systém před škodlivými kódy a programy (počítačový virus, červ, trojský kůň, spyware)? zajistit kontrolu fyzického přístupu osob k systému a zařízením? zajistit bezpečnost mobilních zařízení (notebooky, mobilní telefony, PDA, USB flash-disky, CD/DVD)? optimalizaci bezpečnostní infrastruktury tak, abyste nevynakládali na ochranu dat a systémů více, než je nezbytné, návrh a doporučení vhodných a účinných ochranných opatření tam, kde se Vám to skutečně vyplatí, ochranu informací v elektronické i listinné podobě, vhodný způsob šifrování citlivých informací, bezpečný tisk citlivých informací, antispamovou ochranu elektronické pošty, ochranu poštovních zpráv ( ů s citlivým obsahem), možnost využití PKI (Public Key Infrastructure), tj. certifikátů k elektronickému podpisu a šifrování citlivých dat nejen v elektronické poště, k integritě dat a bezpečné autentizaci a zajištění nepopiratelnosti, ochranu počítačové sítě před nežádoucím přístupem zvenčí i zevnitř, včetně prevence a detekce útoků, ochranu počítačové sítě, serverů a stanic před škodlivými kódy a programy (počítačový virus, červ, trojský kůň, spyware), možnost kontroly fyzického přístupu osob k systémům a zařízením, bezpečnost mobilních zařízení (notebooky, mobilní telefony, PDA, USB flash- disky, CD/DVD), bezpečnou likvidaci dat v elektronické podobě. Design a implementace systémů Konzultace ochrany tiskových služeb Optimalizace bezpečnostní infrastruktury Ochrana zneužití dat Antiviry, antispamy a ostatní anti-x FW, IDS/IPS, pasti Šifrování dat Kontrola přístupu (osob a zařízení) Bezpečnost mobilních zařízení Realizace projektu implementace nástrojů a prostředků ochrany dat zahrnuje zpravidla následující kroky: analýza IS, rozsah, charakter, umístění, způsoby používání, přenosu, ukládání a zálohování dat, identifikace potenciálních hrozeb a zranitelností (analýza rizik IS), analýza stávajících prostředků ochrany dat (antivirová, antispamová, antispywarová ochrana, firewally, systémy detekce a prevence průniku, bezpečný tisk dokumentů, šifrovací SW, elektronický podpis, systémy autentizace/ autorizace uživatelů atd.), analýza požadavků zákazníka na ochranu dat v závislosti na jejich citlivosti, návrh opatření a doporučení týkajících se implementace vhodných nástrojů a technologií k eliminaci zjištěných rizik, zpracování konkrétní nabídky na implementaci vybraných nástrojů a technologií, harmonogram realizace projektu.

7 6. Služby provozu a podpory Hledáte způsob, jak zajistit bezpečnostní dohled nad návrhem infrastruktury a implementací třetích stran? Zajímá Vás, jak lze například: zajistit vhodnou formu testování a distribuce opravných balíčků a záplat v systému (Patch Management)? zajistit bezpečnostní oponenturu nebo dohled nad návrhem infrastruktury, implementací bezpečnosti, dodávkami a zajištěním podpory třetími stranami? optimálně zabezpečit provoz, údržbu a rozvoj IT služeb? zajistit vybrané prvky informační bezpečnosti externě? bezpečnou, případně vhodně automatizovanou distribuci opravných balíčků a záplat (Patch Management), včetně předchozího testování, bezpečnostní dohled, bezpečnost při provozu, údržbě i rozvoji systému a IT služeb, bezpečnost při poskytování IT služeb externím dodavatelem (např. outsourcing, hostované služby apod.). Bezpečnostní dohled nad návrhem infrastruktury a implementací třetích stran Patch Management plány a postupy Testování Bezpečnostní oponentury Prevence a rozvoj Zodolnění aktiv Patchovací nástroje Hostovaný aplikační FW Realizace nabízených služeb probíhá zpravidla v následujících krocích, přičemž vzhledem k různorodosti nabízených služeb jsou vždy zohledněny jak požadavky a potřeby zákazníka, tak specifikum té které požadované služby: úvodní odborná konzultace k identifikaci potřeb ve zvolené oblasti služeb, orientační analýza stávající situace u zákazníka, doporučení/návrh vhodného způsobu řešení, specifikace objemu, obsahu, dalších parametrů a podmínek poskytovaných služeb, zpracování konkrétní nabídky, návrh smlouvy o poskytování služeb za dohodnutých podmínek.

8 7. O co se opíráme Certifikace AutoCont je držitelem certifikátu ISO 9001:2000 AutoCont je držitelem certifikátu ISO/IEC 20000:2005 s aplikovanou metodologií ITIL AutoCont je držitelem certifikátu ISO/IEC 27001:2005 AutoCont má bezpečnostní prověrku NBÚ na stupeň důvěrné Řešitelé a konzultanti AutoCont mají bezpečnostní prověrky NBÚ na stupeň důvěrné Řešitelé a konzultanti AutoCont jsou držiteli certifikátu CISA a CRISC Právní předpisy, např.: Zákon č. 101/2000 Sb., o ochraně osobních údajů; Zákon č. 106/1999 Sb., o svobodném přístupu k informacím; Vyhláška č. 442/2006 Sb., kterou se stanoví struktura informací zveřejňovaných o povinném subjektu způsobem umožňujícím dálkový přístup; Zákon č. 111/2009 Sb., o základních registrech; Zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů; Zákon č. 127/2005 Sb., o elektronických komunikacích; Zákon č. 227/2000 Sb., o elektronickém podpisu; Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů; Vyhláška 496/2004 Sb., o elektronických podatelnách; Zákon č. 365/2000 Sb., o informačních systémech veřejné správy (ISVS); Zákon č. 81/2006 Sb., kterým se mění zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů, a další související zákony; Vyhláška č. 52/2007 Sb., o postupech atestačních středisek při posuzování způsobilosti k realizaci vazeb informačních systémů veřejné správy prostřednictvím referenčního rozhraní; Vyhláška č. 53/2007 Sb., o technických a funkčních náležitostech uskutečňování vazeb mezi informačními systémy veřejné správy prostřednictvím referenčního rozhraní (vyhláška o referenčním rozhraní); Vyhláška č. 469/2006 Sb., o formě a technických náležitostech předávání údajů do informačního systému o datových prvcích a o postupech Ministerstva informatiky a jiných orgánů veřejné správy při vedení, zápisu a vyhlašování datových prvků v informačním systému o datových prvcích (vyhláška o informačním systému o datových prvcích); Vyhláška č. 528/2006 Sb., o formě a technických náležitostech předávání údajů do informačního systému, který obsahuje základní informace o dostupnosti a obsahu zpřístupněných informačních systémů veřejné správy (vyhláška o informačním systému o informačních systémech veřejné správy); Vyhláška č. 529/2006 Sb., o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy (vyhláška o dlouhodobém řízení informačních systémů veřejné správy); Vyhláška č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy; Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti; Zákon č. 499/2004 Sb., o archivnictví a spisové službě; Vyhláška č. 645/2004 Sb., kterou se provádějí některá ustanovení zákona o archivnictví a spisové službě; Vyhláška č. 191/2009 Sb., o podrobnostech výkonu spisové služby; Zákon č. 500/2004 Sb., správní řád. Normy ČSN ISO/IEC Management služeb informačních technologií ČSN ISO/IEC TR Informační technologie - Směrnice pro řízení informační bezpečnosti ČSN ISO/IEC Informační technologie - Soubor postupů pro řízení informační bezpečnosti ČSN ISO/IEC Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Požadavky ČSN ISO/IEC Informační technologie - Bezpečnostní techniky - Soubor postupů pro řízení informační bezpečnosti ČSN ISO/IEC Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Management rizik ČSN ISO/IEC Informační technologie - Bezpečnostní techniky - Kritéria pro hodnocení bezpečnosti ČSN EN ISO Systém managementu jakosti - Požadavky ČSN Úprava písemností psaných strojem nebo zpracovaných textovými editory.

9 8. Vybrané reference ČEPS, a.s. - Bezpečnost koncových stanic, studie proveditelnosti Kancelář veřejného ochránce práv - Analýza rizik IS se zaměřením na ochranu osobních údajů dle požadavků zákona č. 101/2000 Sb. Ústavní soud České republiky - Audit počítačové sítě (včetně penetračních testů), analýza rizik ICT, zpracování bezpečnostní dokumentace dle ČSN ISO/IEC 17799, ČSN ISO/IEC TR Automotive Lighting, s.r.o. - Zpracování bezpečnostní dokumentace, bezpečnostních směrnic a havarijních plánů dle ČSN ISO/IEC 17799, ČSN ISO/IEC TR VUT V Brně, Koleje a menzy v Brně - Analýza rizik IS, zpracování kompletní dokumentace dle ČSN ISO/IEC 17799, ČSN ISO/IEC TR Ústřední kontrolní a zkušební ústav zemědělský - Analýza rizik IS s kombinovaným přístupem, penetrační testy, bezpečnostní audit sítě, plán implementace informační bezpečnosti, implementace, kompletní bezpečnostní dokumentace a školení uživatelů dle ČSN ISO/IEC 17799, ČSN ISO/IEC TR 13335, ČSN BS ABnote Czech s.r.o. (PressCard) - Bezpečnostní projekt Synot - Bezpečnostní analýza Pražská energetika, a.s. - Penetrační test VZP ČR - Implementace a provozní podpora klientského antivirového řešení CA ITM KOOPERATIVA poisťovňa, a.s. - Implementace klientského antivirového řešení CA ITM Státní úřad pro jadernou bezpečnost - Migrace CheckPoint firewallu a Implementace CheckPoint Connectra ŠKODA AUTO a.s. - Implementace a provozní podpora Symantec Mobile Security a Implementace Websense URL Filteringu Synot - Implementace Antivirového řešení MS Forefront Client Security Ministerstvo vnitra ČR - Zabezpečený přístup k Internetu AVG Technologies CZ, s.r.o. - PGP WDE MVCE - Symantec Control Compliance Suite ČEPS, a.s. - MS PKI 2003, 2008 OTP Banka, a.s. - MS PKI 2003 ASSA ABLOY Czech & Slovakia s.r.o. (dříve FAB) - McAfee Host DLP INDOŠ Telefónica O Czech Republic, a.s. 2 RWE Magistrát města Hradec Králové KORADO, a.s. - Provozní podpora CheckPoint firewallů AutoCont CZ a.s. Divize IT infrastruktura Security Líbalova 1/ Praha 4 - Chodov Milan Chromý tel.: mob.: security@autocont.cz IT security profesionál 1. volby