Bezpečnost cloud computingu

Rozměr: px
Začít zobrazení ze stránky:

Download "Bezpečnost cloud computingu"

Transkript

1 Bezpečnost cloud computingu Jak bezpečně využívat výhody cloud computingu 1

2

3 Obsah Úvod 2. Požadavky na bezpečnost cloud computingu oproti klasickým prostředím 2.1 Bezpečnostní rizika se posouvají 2.2 Oblasti možných problémů 3. Opatření pro bezpečný cloud 3.1 Tři modely cloudu 3.2 Vliv cloudového modelu na bezpečnost 3.3 Dostupnost dat pomocí zabezpečení proti výpadkům 3.4 Místo pro uchování dat 4. Realizace cloud computingu 4.1 Definování požadavků 4.2 Výběr správného poskytovatele 4.3 Migrace 5. Právní požadavky a další aspekty shody 6. Závěr 7. Vysvětlivky 8. Seznam externích zdrojů 9. Obrázky 3

4 1. Úvod Platforma a model cloud computingu se považuje za nový trend, který představuje budoucnost ICT. Podněcuje jej vývoj směrem k pokročilé formě spolupráce, využívání IT zdrojů a větší industrializaci, v oblasti ICT. Podstatou rychlého růstu cloud computingu je vysoká úroveň přizpůsobivosti, která uživatelům a poskytovatelům umožňuje vyčleňování ICT služeb. Snižují se náklady, zvyšuje dostupnost a kladně je ovlivněna kvalita a úroveň bezpečnosti. S růstem industrializace ICT se přizpůsobivost a flexibilita zvyšuje. Chce-li se formulovat definice, lze Cloud Computing popsat jako dynamickou formu poskytování ICT služeb na základě výkonných systémů a síťových struktur s nejvyššími datovými přenosovými výkony. Charakteristické jsou oddělené hardwarové a softwarové zdroje a používání redundantních a společně využívaných platforem způsobem, jenž zajišťuje vysokou přizpůsobivost. Cloud Computing lze pokládat jako evoluci koncepcí Software jako služba (Software-as-a-Service poskytování softwaru po internetu) nebo síťový computing (Grid Computing - společné používání centralizovaných vysoce výkonných zdrojů). Tyto koncepce jsou dále rozvíjeny mezitím vyzrálými klíčovými technologiemi, například virtualizací a širokopásmovým datovým přístupem. Privátním a obchodním uživatelům Cloud Computing kupříkladu umožňuje využívat dynamicky internetem dle jejich aktuálních požadavků software (např. obchodní aplikace a bezpečnost elektronické pošty), či služby infrastruktury (kupř. úložných zdrojů). Cloud Computing se celkově vzato často rovná skladbě jednotlivých stavebních kamenů ICT do jedné integrované kompletní nabídky. Poskytnuté služby se typicky hradí podle spotřeby (Pay-per-Use). Zvládání rizik využívání výhod Z hlediska dodavatele spočívá flexibilita a podpora zákazníků v centralizovaném soustředění nejrůznějších služeb jako elektronické pošty, databázových aplikací či bezpečnostních řešení pro velký počet uživatelů. Takto vzniklý úsporný potenciál lze přenášet na zákazníky. Uživatelé si cení především jednoduchosti a hospodárnosti cloud computingu: aniž by museli sami vynakládat vysoké investice, lze využívat komplexních systémů. Podniky za tímto účelem s poskytovatelem smluvně určují optimální specifikace pro své obchodní modely. Jsou-li realizována přiměřená bezpečnostní opatření, pak lze tyto výhody obchodně využívat. 4

5 Vývoj výdajů na Cloud Computing v příštích dvou letech % % 26 % 26 % Odchylka od 100 % zaokrouhlením n= % % 4 % 0 První investice Výrazný růst (přes 50 %) Růst (11% až 50 %) Mírný růst (do 10 %) Stabilní Mírný pokles (do 10 %) 1% Výrazný pokles (přes 50 %) Obr. 1. [Quelle: IDC, Cloud Computing und Services Status quo und Trends in Deutschland 2009] S každým modelem poskytování ICT služeb jsou spojena rizika zvláště pokud dochází k vyčleňování dat a aplikací. Nelze však zevšeobecňovat, zda jsou tato rizika únosná či ne. Závisí to na individuálních bezpečnostních požadavcích daného zákazníka. V cloud Computingu systémy a platformy společně používá více uživatelů. Původ, charakter a zaměření rizik ovlivňuje obchodní model a způsob jak jsou produkovány a poskytovány služby ICT. Uživatelé, kteří chtějí ICT služby odebírat z cloudu, by proto měli disponovat spolehlivou nabídkou metod kontroly rizik a prosazování bezpečnosti. Praxe ukazuje, že se odběr ICT služeb z cloudu může na úrovni bezpečnosti projevit velice kladně. Mnoho uživatelů se nehodlá pravidelně ve vlastní režii zabývat množstvím úkolů souvisejících s bezpečností, nebo se obává nákladů na jejich kvalitu. Cloud služby tomuto postoji velmi dobře vyhovují, protože zavedení poskytovatelé služeb ICT mají větší zkušenosti a zaměstnávají výborně vyškolené odborníky. Služby ICT jsou koneckonců klíčovým prvkem jejich podnikání a jejich bezpečné, spolehlivé a kvalitní poskytování existenční základnou. 5

6 2. Požadavky na bezpečnost cloud computingu oproti klasickým prostředím Zvažuje-li podnik využívání ICT služeb z cloudu, je nutno pečlivě uvážit jeho bezpečnostní požadavky. Přitom má smysl porovnat rizika klasických IT prostředí s riziky cloud computingu. Skutečnost menšího stupně kontroly prostředí ICT se často automaticky zaměňuje s vyšším rizikem pro bezpečnost dat. Srovnání bezpečnostních scénářů ukazuje, že je tato domněnka špatným rádcem. Je též nutno brát v úvahu vliv ohrožení. Riziko z obchodního hlediska vzniká teprve, když jsou ohrožena slabá místa a mohou tak způsobit škodu (Business Impact). Poté má velký význam řízení rizik a identifikace slabých míst. Zodpovědní uživatelé a kompetentní poskytovatele se při tom mohou vzájemně podporovat. Řízení (správa) slabých míst Ke stanovení rizika pro IT či obchod je nejprve třeba identifikovat ohrožení ve smyslu příležitostí a vlivů příčin. Co se může v modelu IT služeb cloud computing v zásadě či konkrétně přihodit? Ve druhém kroku je třeba zjistit, zda existují slabá místa například nekvalitní či nedokonalé ověřování identity před přístupem ke zdrojům ICT a datům nebo nedostatečná opatření datové bezpečnosti. Integrace bezpečnostních postupů je věcí poskytovatele služeb. Slabá místa nelze zjistit, aniž by byla posouzena technika a její použití, a bezpečnostní riziko může být vyhodnoceno, jen když uživatel vyčíslí potenciální škodu a její dopad na obchod.! Bezpečnost je otázkou požadavků. Mnoho středně velkých a některé velké podniky jednají bez potřebné profesionality. Byť byly definovány postupy a upraveny odpovědnosti, dochází v každodenní praxi při prosazování bezpečnostních předpisů k trvalému porušování těchto předpisů. Firmy již často nejsou schopny odpovídajícím způsobem plnit rostoucí požadavky v technickém ohledu, ani pokud jde o organizační postupy. V takové situaci přináší přesun zdrojů IT do cloudu jednoznačné bezpečnostní výhody, neboť pro profesionálního poskytovatele je zajišťování bezpečnosti IT hlavním posláním jeho činnosti. Na základě svých zkušeností může pomocí výkonnější infrastruktury a úrovně kvalifikace svých zaměstnanců lépe chránit vysoce výkonné výpočetní středisko před útoky z vnějšku a poskytovat aplikace bez výpadků. 6

7 2.1 Bezpečnostní rizika se posouvají Srovnání potenciálních rizik u cloud computingu a při klasických formách poskytováni služeb ICT. Klasický model Poskytovatel nemá přístup k datům. Zdroje rizik Výpadky díky přetížení Problémy s utajením Ztráta/krádež hardwaru Problém s dostupností/porucha serverů/ztráta dat Cloud Dynamické přizpůsobování potřebného výkonu. Možnost zabezpečení dat pomocí šifrování. Centrální úložiště dat + tenký klient. Oddělené, redundantní systémy. Místo uložení dat je známé. Problémy se shodou kvůli oddělenému uložení dat Úložiště lze v závislosti na poskytovateli smluvně stanovit. Při porušení SLA nelze přesně určit viníka. Zastaralé verze softwaru (chyby v bezpečnosti) Otázky záruk Virová hrozba Automatické a trvalé aktualizace. Jsou při komplexních nabídkách jasně stanoveny. Vysoce efektivní a výkonná antivirová ochrana. Nebezpečí existuje Možnosti řešení Nebezpečí neexistují Cloud Obr. 2. Používání cloud computingu mění bezpečnostní situaci dat a aplikací podniku. Některé zdroje ohrožení klasických IT prostředí odpadají, zato musí být zaměřena pozornost na jiná nebezpečí. Výpadky kvůli přetížení V běžném serverovém prostředí může docházet ke ztrátám výkonu nebo výpadkům kvůli neočekávaným zátěžovým či výkonovým špičkám. Podstatnou výhodou cloud computingu je, že lze zdroje dynamicky a pružně přizpůsobovat, a že tak nedochází k přetížení. Utajení Používá-li firma ve vlastním datovem centru vlastní systémy, může dbát na ochranu dat sám. K datům nemá přístup žádný poskytovatel. V cloudu jej poskytovatel má, avšak lze jej šifrováním dat spolehlivě vyloučit. 7

8 Ztráta nebo krádež hardware V klasickém prostředí mimo neoprávněných přístupů k podnikovým datům existuje jiný, velmi reálný zdroj ztrát podnikového duchovního vlastnictví: zaměstnanci nosí koncové přístroje či USB s důvěrnými či kritickými daty sebou. Jsou-li ztraceny či ukradeny a dostanou se do nepovolaných rukou, může nastat enormní škoda. Kolik uživatelů má data ve svých systémech skutečně zašifrována či zajištěna? Cloud computing může toto nebezpečí ztráty dat odstranit centralizovaným uložením dat a používáním tenkých klientů. Problémy s dostupností kvůli výpadkům serverů Dojde-li v klasickém prostředí IT k výpadkům hardwaru, dochází, pokud není systém redundantně uspořádán, k velkým škodám. Z hlediska nákladů je náprava poměrně obtížná. Cloud computing charakterizuje vysoká dostupnost díky nejrůznějším opatřením, které si lze díky přizpůsobivosti dovolit. Výpadky jsou odchytávány. Problémy se shodou v důsledku odděleného uložení dat V cloudu není na rozdíl od běžných prostředí IT známo kdy se data a aplikace nacházejí na jakém serveru. Mnoho poskytovatelů navíc najímá subdodavatele. Právní problémy při tom mohou nastávat zvláště při zpracování osobních dat (viz též kapitolu 5 Právní požadavky a další aspekty shody ). Existují však též poskytovatelé, kteří mohou uložení dat smluvně omezit například na právní oblast České republiky nebo Evropské unie. Zastaralý software Jestliže firma své IT prostředí provozuje ve vlastní režii, stará se o svůj software sám. V každém softwaru existují chyby a vznikají tak mezery v bezpečnosti, které lze, jakmile jsou známy, odstranit aktualizacemi. Tato potřebná péče o systém je složitá, může narušovat pracovní postupy a vést mimoto k dalším chybám. U cloud computingu za to odpovídá poskytovatel: nahrává centrálně aktualizace a tím zajišťuje stabilitu a spolehlivost systému. Otázky záruk Ke sporným otázkám může docházet i u cloud computingu. Příkladně porušením smluv o úrovních služeb v důsledku technických problémů v síti či při provozu IT. Viníka lze často jen těžko zjistit. Jinak tomu je, pokud je poskytovatel cloudu odpovědný za síť a odpovídá za kompletní (end-to-end) řešení. Virová hrozba V běžných prostředích IT se zpravidla používají antivirové programy. V důsledku malého výpočetního výkonu a často nedostatečné aktuálností virových skenerů je rozpoznání nového škodlivého softwaru obtížné. U cloud computingu lze centralizovat i tento úkol a tím jej provádět efektivněji a aktuálněji. Všichni zákazníci poskytovatele se automaticky těší stejné ochraně. Útoky hackerů Teoreticky napadnutelné jsou všechny systémy, aplikace a data z jakéhokoli prostředí. V klasických IT prostředích odpovídá za ochranu sám uživatel a musí plánovat, realizovat, kontrolovat a aktualizovat opatření jako Firewall, Intrusion Detector, skenování virů či izolace serveru od veřejné sítě. V cloudu přebírá tyto úkoly poskytovatel. Změna poskytovatele Kvůli přechodu na cloud computing nebo při změně poskytovatele je třeba přemístit celé aplikační prostředí. Znamená migraci velkého množství dat a celých pracovních prostředí. Aby zaměstnanci mohli dále pracovat bez přerušení, musí být po přechodné období případně souběžně k dispozici staré a nové prostředí a soubory dat musejí být správně migrovány. K zajištění dostupnosti a bezpodmínečnému vyloučení ztráty dat je zapotřebí zkušenosti. 8

9 2.2 Oblasti možných problémů Současné posuzování výhod a nevýhod cloud computingu se týká i právních otázek. Není-li známo, na kterém serveru se nacházejí data a aplikace, nelze kupříkladu dostát všem požadavkům zákona o ochraně dat. Především pojišťovny, poskytovatelé finančních služeb a instituce či úřady, které nakládají se sociálními daty, se proto musejí obracet na poskytovatele, kteří mohou smluvně garantovat relevantní bezpečnost a informace (viz kapitola 5 Právní požadavky a další aspekty shody ). Oddělování a ochrana dat I když nejde o zákaznická data výše uvedených oborů, spatřují podnikoví zákazníci v cloud computingu různá organizační, technická a právní rizika, jimž přikládají různě vysokou váhu. Pro podniky a úřady je zásadní, aby jejich data a transakce byly přísně oddělovány od ostatních a neměl k nim přístup nikdo cizí, kdo by tato data mohl ovlivnit. Obávají se například ztráty kontroly nad podnikovými daty, nebezpečného či neúplného vymazání dat na serverech. Problém také může být v úrovni uživatelských práv nebo otevřených uživatelských rozhraní. O právní jistotě se hovoří zvláště, když jsou data uložena v zahraničí mimo dosah Evropské unie a jejího zákonodárství. To však neznamená, že šíření a využívání cloud computingu obecně omezují požadavky ochrany a bezpečnosti dat. Znamená to spíše, že musejí být definovány specifické bezpečnostní požadavky, a že jimi musí být měřena nabídka služeb a možnosti poskytovatelů. Tato skutečnost vyžaduje podrobné zhodnocení cloudového modelu (viz kapitola 3).! Profesionální poskytovatelé mohou smluvně garantovat důležité záruky a informace. Pokud jde o místo uložení dat, podniky mohou svého poskytovatele zvolit tak, aby datová centra byla například v Evropě. Platí to pro podniky, které expandují do zahraničí, ale i pro lokální firmy, které hledají bezpečné místo pro uchovávání svých dat. Identity Management Zvláštní výzvou u cloud computingu je správa přístupových práv. Jsou-li aplikace instalovány někde v cloudu, vyžaduje správa uživatelů a oprávnění jiná řešení než u běžných IT systémů. Profesionální poskytovatelé mohou implementovat takovéto přesahové bezpečnostní systémy centrálně a zachovávat přitom ekonomické výhody cloudu. Přístupem, zajišťujícím vyšší bezpečnost, je používání hardwarových identifikačních nástrojů typu hardwarových klíčů místo statických hesel. Příkladem jsou konvenční čipové karty nebo nástroje integrované v USB. Takovéto nástroje jsou bez ohledu na provedení vybaveny mikroprocesorem, který dovede zacházet s elektronickými klíči, čímž je předem vyloučeno mnoho útoků hackerů. Jsou-li případně navíc chráněny osobním identifikačním číslem (PIN), má uživatel bezpečný přístup k aplikacím a datům. Průběžný závěr Cloud computing není méně bezpečný než běžné modely IT služeb. Spíše dochází k posunu rizik, neboť se mění původ, charakter a výraznost možných hrozeb. Odpovídajícím způsobem jsou přizpůsobována organizační a technická bezpečnostní opatření, která podléhají rovněž stálým změnám. Rozhodují však bezpečnostní požadavky uživatele, které odvozuje ze své činnosti a předmětu podnikání. K bezpečnostním problémům dochází teprve tehdy, když je poskytovatelé neplní. 9

10 3. Opatření pro bezpečný cloud S každým novým trendem v informačních technologiích stojí uživatelé před úkolem zvažovat možnosti a rizika a znovu prověřovat bezpečnost a přínosy. Pokud jde o cloud computing, je důvěra naprosto rozhodujícím faktorem. Má-li být vytvořena důvěra v tak abstraktní řešení jakým je cloud, sehrávají klíčovou úlohu přístupy a konkrétní odborníci. Důvěra v systém roste, pokud jsou důvěryhodné kontrolní mechanismy. Poskytovatelé k tomu mohou přispívat množstvím opatření: třeba prokazatelnou bezpečností, certifikáty a atesty, aktivním důkazem, že jsou dodržovány standardy shody, definovanými serverovými stanovišti. Důvěru vytvářejí rovněž jasné procesy s integrovanými kontrolami a dostatečný reporting, pravidelné audity a přizpůsobené záruční úmluvy a smlouvy o úrovních služeb. Uživatelé při rozhodování pro cloud computing přikládají velký význam třem aspektům: za prvé dostupnosti svých dat, za druhé právnímu stavu v souvislosti s místem uložení dat a za třetí specifickým bezpečnostním aspektům, které jsou spojeny se třemi druhy modelu služby cloud computing. 3.1 Tři modely cloudu Tři modely využívání cloud computingu Modely poskytování cloudu Firma Veřejný cloud: Zdroje a služby internetu Hybridní cloud: To nejlepší z obou prostředí Soukromý cloud: Zdroje a služby z bezpečných zdrojů Obr. 3. Cloud computing není nijak závazně definován, avšak mezi veřejným a soukromým cloudem, ale i hybridním cloudem jako kombinací obou, existují jasně rozdílné přístupy. Každý model jinak olivňuje bezpečnost poskytování služeb. Veřejný cloud U ICT služeb z veřejného cloudu jde o vysoce standardizovaná řešení, která jsou poskytována jako jeden produkt a jsou zpravidla hrazena dle používání. Příklady jsou služby typu Mail, Office nebo Storage. Jsou veřejně a volně přístupné a uživatelé je odebírají přes internet. Stupeň virtualizace technicky vzato kolísá, tu a tam jsou používány dokonce dedikované (jednoúčelové) systémy. Na základě zaměření těchto nabídek však platí, že veřejný cloud většinou nemůže plnit požadavky obchodu a není v žádném případě vhodný pro kritická data. 10

11 ! Každý model cloudu má jiný bezpečnostní charakter. V hybridním modelu jsou výhody ostatních modelů spojeny. Privátní (soukromý) cloud O privátním cloudu se hovoří v případě, kdy lze sloučit výpočetní kapacity v rámci jedné firmy a pružně je přiřadit požadavkům vnitropodnikových uživatelů. Většinou se však má na mysli poskytování jednoúčelového, privátního cloudu, externím poskytovatelem služeb. Je zaměřen na plnění specifických požadavků trhu firemních zákazníků a poskytuje ICT služby dynamicky dle potřeb. Specializovaní poskytovatelé se síťovou kompetencí mohou poskytovat soukromý cloud jako kompletní nabídku end-to-end z jedné ruky. Nabízejí přitom celé spektrum potřebných ICT systémů z mobilních a fixních koncových přístrojů od připojení a síťových služeb po integraci ICT do specifických obchodní procesů zákazníka. Potřebný výkon garantují pomocí smluvně definovaných dohod o úrovních služeb. Zákazníkovi se dostává maximální bezpečnosti. Hybridní cloud V současnosti ukazuje mnohé na to, že nejběžnější formou cloud computingu v podnikové sféře bude odběr zdrojů ICT z kombinace veřejného a privátního cloudu, do hybridního cloudu (Hybrid Cloud). Poskytovatelé skládají kompletní nabídku služeb ze soukromého cloudu a veřejných služeb. Tyto jsou integrovány především proto, pokud je zapotřebí určitých funkcionalit, nebo proto, že rostou výhody ohledně vynakládaných nákladů. Tato kombinace může přispět dokonce k bezpečnosti: veřejně přístupná záznamová služba například umožňuje snadné používání a výměnu šifrovaných nebo podepsaných ů mezi dvěma zajištěnými podnikovými doménami. Službou veřejného cloudu tedy lze propojit zajištěné privátní cloudy a při tom zahrnout již integrované bezpečnostní technologie.! Při rozhodování pro ICT služby z cloudu je zapotřebí klasifikace dat. Kritická data by měla zůstávat ve firmě, nebo v zajištěném privátním cloudu. 3.2 Vliv cloudového modelu na bezpečnost Vzhledem k různorodosti cloudových modelů musejí podniky na základě svých bezpečnostních potřeb a obchodních požadavků rozhodovat, co chtějí využívat. Proto je při rozhodování o realizaci ICT služeb z cloudu vždy zapotřebí klasifikace dat, protože obzvláště kritická data by měla zůstávat ve firmě nebo v zajištěném privátním cloudu. O tom, jaké informace je třeba považovat za kritické z obchodního hlediska, se rozhoduje v rámci podnikatelského řízení rizik. Úlohu při tom hrají důležité faktory jako podnikové portfolio, úkoly ICT v této souvislosti, význam dotčených pracovních postupů, celková ochota podniku riskovat a samozřejmě i konkrétní citlivost dat. Na tomto základě lze vyslovit několik všeobecných doporučení. Firmy by měly předávat poskytovateli jen takové aplikace, které jsou jen malou měrou provázány s interními procesy. Vhodné jsou například klasické dávkové práce, jež lze provádět bez další akce uživatele. Patří k nim ové služby či aplikace k zajišťování dat. Dobrým východiskem k používání prvních ICT služeb z cloudu je též mnoho webových aplikací, informačních služeb a systémů pro elektronickou spolupráci (Collaboration). Při tomto postupu se pracuje s nejmenším rizikem. 11

12 3.3 Dostupnost dat pomocí zabezpečení proti výpadkům Podstatné rozdíly ohledně požadavků a jejich plnění existují s ohledem na dostupnost. Veřejné cloudy, vyvinuté zejména pro masový trh se většinou nehodí pro obchodní aplikace. Poskytovatel přizpůsobil ochranná opatření proti manipulacím a pro bezpečnost dat ve smyslu dostupnosti přizpůsobil potenciálu škod, který je typický pro koncového spotřebitele. Co však jednotlivého uživatele zlobí, může pro podnik znamenat fatální problém, přinejmenším může vést k vysokým finančním ztrátám, k poškození pověsti a tržní hodnoty nebo k odhalení obchodních tajemství. Privátní cloud je naproti tomu určen pro požadavky obchodu. Dostupnost je zajištěna různými systémy a opatřeními: kontrolně koncipovanými jednotlivými systémy po zrcadlení celých datových center, záložními kopiemi (Backup) s možností skutečného obnovení stavu systému po definované době výpadku (Recovery). Poskytovatel služeb garantuje potřebnou dostupnost, plní závazky ohledně uchovávání dat bezpečnými systémy archivace a mimoto nabízí kompletní službu end-to-end. 3.4 Místo pro uchovávání dat Cloud computing zahrnuje různé obchodní modely decentralizace a vyčleňování služeb ICT. To, že ve veřejném cloudu a zčásti i v hybridních modelech již nelze zjistit, kdy se která data a aplikace nalézají na kterém místě a kdy a kým jsou jaké ICT služby poskytovány, je problematické: Jak je zajištěna bezpečnost? Jak provádět forenzní kontroly? Jaká data smějí být při dodržování zákona o ochraně dat vůbec zpracovávána? A právním řádem které země se řídí poskytování služby a objasnění sporných případů? Nejjednodušší řešení tohoto dilema je odebírat cloudové služby od poskytovatelů, kteří mohou kdykoli bezpečně prokázat, že se data nacházejí například na serverech, třeba v Evropské unii a pouze tam se zpracovávají. Takovéto omezení vytváří právní jistotu. Poskytovatel dále upevňuje důvěru svých zákazníků tím, když může deklarovat vlastní infrastrukturu a nemusí poskytováním služby pověřovat žádné třetí dodavatele.! Poskytovatelé cloudu by měli dokázat umístění své infrastruktury smluvně garantovat. Podniky by měly v daném případě dbát, aby jejich poskytovatelé cloudu umožňovali kontrolu a průběžný dohled na smluvně zakotvené zpracovávání dat tak, jak to předepisuje legislativa daného státu. Rozdíly v právním systému jsou zpravidla zásadnější. Jednotlivé země vybavují služby či jiné úřady rozsáhlými pravomocemi ke shromažďování a zpracování dat. V neposlední řadě je velmi rozdílně zvýrazňována bezpečnostní kultura a nakládání s duševním vlastnictvím. Uživatelé by se při projednávání těchto otázek měli velmi úzce poradit se svým poskytovatelem ICT nebo s kompetentními poradci. 12

13 4. Realizace cloud computingu Ekonomické výhody cloud computingu jsou nesporné. Bylo-li o něm rozhodnuto, jde o praktickou realizaci. Podnik si musí důkladně rozebrat poskytovatele služby a jeho nabídky, jeho technické znalosti a důvěryhodnost. Nejvhodnější je při realizaci nasadit cestovní plán. Aby bylo možno zvolit správného dodavatele, je nejprve třeba definovat specifické bezpečnostní požadavky. Následuje migrace prostředí ICT nebo jeho částí do cloudu. Kroky k realizaci Cloud Computing ve firmě. Definice požadavků Výběr dodavatele Migrace Obr Definování požadavků V cloudu jsou podniková data a aplikace u poskytovatele. Za bezpečnost již neodpovídá uživatel, nýbrž dodavatel. Aby mohl zhodnotit úroveň bezpečnosti cloudu musí mít podnik nejprve jasno o svých vlastních požadavcích na bezpečnost. Všeobecně silně souvisejí se strategií a obchodní činností podniku a úlohou určitých aplikací a dat v podnikatelských postupech. Jakmile jsou definovány požadavky, může jimi podnik měřit nabídky poskytovatelů. Realizovatelná úroveň bezpečnosti však jen na tom, co je technicky proveditelné. Aby se s budoucím poskytovatelem mohli domlouvat na stejné úrovni, měli by odborníci na ICT znát aktuální stav techniky. Zvláštnosti cloud computingu staví do popředí známé i celou řadu nových bezpečnostních znaků. Nejprve je třeba pojmenovat stavební a fyzická bezpečnostní opatření v datovém centru. Potom přichází řada na technická opatření IT bezpečnosti pro systémy, platformy a aplikace, které zde budou umístěné. Tato opatření musejí být navíc interně bezpečně provázána a musí být zajištěna jejich pevná návaznost navenek. Aby se vyloučil neoprávněný přístup třetích osob k firemním datům, je třeba zajistit spolehlivé oddělení dat a aplikací různých zákazníků. Závisí to na použitých metodách a technologiích virtualizace nebo na dalších řešeních. 13

14 ! Uživatelé by měli být obeznámeni se stavem bezpečnosti ICT, aby mohli jednat s poskytovateli a hodnotit jejich opatření. ICT architektura má strategickou, funkční a právní relevantnost. S tím také souvisí umístění a a modely služeb. Navíc je třeba hodnotit personální zdroje a jejich kvalifikaci, mimoto například procesy pro služby a bezpečnosti ICT v datovém centru poskytovatele. Podniky by se měly všemožně informovat o všech dostupných možnostech plnění individuálních zákaznických bezpečnostních požadavků, ale i o postupech Business Continuity Managementu a obnově dat (Disaster Recovery). Konečně je třeba jak nabízející nakládá s dohledem a správou bezpečnostních událostí. Zvláštností cloud computingu je, že sám uživatel je mimo cloud. Proto musí být zajištěna ochrana dat při přesunu nejen uvnitř cloudu, ale i mezi poskytovatelem a uživatelem. V této souvislosti je třeba zahrnout i modely spolupráce a přístupů jakož i správu úloh a práv a používaných digitálních identit (správa identity a přístupů s technikou, organizací a procesy). Některé bezpečnostní mechanismy jsou vzhledem k jejich významu i možnostem podceňovány. Jde například o šifrování dat: zajišťuje nejen bezpečnou komunikaci s veřejnými sítěmi, ale může umožňovat virtualizaci, respektive společné používání systémů správy databází (DBMS) různými uživateli. Zcela obecně lze šifrováním chránit před nahlížením, a to i poskytovatelem služeb. V databázi tak lze například zašifrovat údaje o příjmech tak, aby do nich nemohl nahlížet administrátor systému. Je-li třeba utajit jen určitá data, lze šifrovat i pole. K bezpečnému zašifrování užitných dat je zapotřebí speciálních metod, zatímco všechny vnitřní operace databáze není třeba šifrovat. Zašifrování a odšifrování probíhá pro aplikaci a uživatele transparentně. Ke kryptografickému klíči potřebnému k rozšifrování má přístup pouze uživatel.! Bezpečnost je věcí důvěry. 4.2 Výběr správného poskytovatele S jednoznačně definovanými požadavky má uživatel jasnou představu o kritériích, podle nichž může hodnotit poskytovatele a rozhodnout se pro něj. Vše se točí kolem splnění bezpečnostních požadavků, výkonnosti, spolehlivosti a důvěryhodnosti poskytovatele. 14

15 Pro hodnocení poskytovatele lze vyzvednout šest kritérií, která mají zvláštní vztah k bezpečnosti: Aspekty důvěryhodnosti poskytovatele. Schopnosti, zralost Portfolio, technika, analytici Snášenlivost, synergie Obchodní modely, procesy Spolehlivost Reference, výměna zkušeností Důvěra Vypočitatelnost Certifikace, velikost AGB Pověst Vyjádření zákazníků, analytici Oslovitelnost Dostupnost, komunikace Obr. 5. Nejprve je nutno zmínit schopnosti poskytovatele a zralost, např. jeho procesů. Lze je posuzovat na základě jeho nabídkového portfolia, používané a jím zvládnuté techniky a vyjádření a hodnocení pozorovatelů trhu a analytiků. Druhým kritériem je spolehlivost poskytovatele. O ní vypovídají reference a přímá výměna zkušeností s jinými zákazníky. Obdobně to platí pro pověst, o níž si mohou udělat firmy obrázek prostřednictvím referencí a odborných informací v oborových médiích. Do hodnocení je třeba pojmout i snášenlivost nabídky s vlastním obchodním modelem a možnosti dosažení skutečných výhod. Pomáhají i úvahy a hodnocení nabízených modelů služeb ICT. O vypočitatelnosti poskytovatele ve smyslu plnění povinností svědčí například certifikace. Významnou veličinou je i velikost poskytovatele. Na konec by se měla posuzovat oslovitelnost a komunikační chování poskytovatele. I při vyčlenění služeb ICT je uživatel často v živém styku s poskytovatelem. Oba se musí dorozumět v rozhodujících fázích uzavírání smlouvy a problémech. Služby významně přispívají při k vývoji vzájemné spolupráce. Poskytování cloudových služeb a jejich podmínky se trvale mění.! Hlavní otázkou je, zda se rámcové podmínky, vlastnosti a atributy služeb poskytovatele a jeho produkty kryjí s požadavky zákazníka. Chce-li zákazník zhodnotit rizika týkající se poskytovatele a na tomto základě se rozhodnout, zda je jeho volba správná, má těchto šest kritérií téměř rovnocenný význam. V zásadě je zapotřebí auditu ze strany zákazníka, zatímco se poskytovatel musí snažit dát jasně najevo, že je schopen požadavky splnit a odlišit se tak od svých konkurentů. 15

16 4.3 Migrace Rozhodnutí o přenesení služeb ICT na poskytovatele má velký strategický rozměr, který daleko přesahuje prosté rozhodnutí o bezpečnosti a způsobu migrace. Je zapotřebí zjistit potenciály optimalizace a navzájem oddělit procesy, které mají být vyčleněny. Poskytovatel je zmocněn, proces migrace začíná.! Bezpečnost musí být plánována uceleně. Podniky v zásadě prodělávají pět fází, které jsou úzce spojeny s řízením rizik. Pět fází migračního procesu. Vytváření strategie Definice požadavků Analýza trhu Jednání a uzavření smlouvy Provoz Obr. 6. Vytváření strategie Do strategických úvah je třeba například zahrnout globální a národní specifika. Uživatelé si tak musejí případně položit otázku, zda vůbec smějí sloučit dříve izolované kmeny například osobních dat a zda proti tomu nehovoří právní předpisy. Hrají přitom úlohu nejen druh dat a oboru podnikání, ale i scénáře možného ohrožení národního rázu. Definice požadavku Návazně musí být zjištěna potřeba ochrany a inventarizovány požadavky ohledně shody a všechny tyto aspekty musí být hodnoceny. V této fázi je třeba odděleně formulovat i požadavky na poskytovatele služby a na výkon. Aby měl jasno o potenciálních škodách, uživatel se zabývá i firemními hodnotami. Analýza trhu Po vytvoření profilu požadavků, který uživatel navrhl podle svých bezpečnostních potřeb, dochází k vytvoření a vyhodnocení profilu nabízejícího a k definici služby, většinou s použitím soutěžitelů a tendrů. Uživatelé často přizvou poradce nebo analytiky. Bezpečnostní aspekty ovlivňují volbu modelu cloudu. V této fázi je třeba pojmenovat a zohlednit zvláštní technické a jiné bezpečnostní požadavky a dodržení zákonných, regulativních nebo specifických odvětvových požadavků. 16

17 ! Zkušený poskytovatel pomáhá při celkové integraci služeb ICT a podporuje řízení rizik svého zákazníka. Jednání a uzavření smlouvy Bezpečnostní aspekty, resp. opatření, jsou též předmětem jednání mezi uživatelem a poskytovatelem. Podnik by měl mít předem jasno, pokud jde o váhy, neboť je zpravidla třeba přistupovat na kompromisy mezi větším počtem cílových veličin. Při nejasných prioritách se může stát, že se patřičně nepřihlíží k bezpečnostním aspektům. Navíc je třeba zohlednit a upravit bezpečnostní situaci v období přechodu (Transition). Tato fáze je často zvláště citlivá, neboť nelze zcela využívat bezpečnostních opatření produkčního prostředí a kvůli časovému tlaku se nedostává zdrojů. Provoz Pro provozní fázi je třeba vytvořit model spolupráce a upravit poskytování zdrojů (především personálních). Mimoto musejí být vyjasněny podrobnosti jako druh a způsob komunikace mezi smluvními partnery a koncipován management služeb. Dalšími úkoly jsou kontrola kvality a dodržování smluv o úrovních služeb (SLA) jakož i úprava eskalačních postupů a sankcí. Praktickými aspekty provozní fáze jsou školící a vzdělávací opatření pro zaměstnance a budoucí opatření pro Incident Management. Mnohé z těchto aspektů zprvu ovlivňují bezpečnost jen zprostředkovaně. Chybějící zdroje či nevyjasněné cesty komunikace však v případě závady ztěžují nebo brání provedení protiopatření. 17

18 5. Právní požadavky a další aspekty shody Obchodní model cloud computingu vyžaduje nejen jiná bezpečnostní opatření než běžná prostředí IT, ale konfrontuje uživatelé také se zvláštními právními požadavky. Zákonodárství se již zabývalo jednotlivými tématy vyčleňování a decentralizace ICT služeb, kupříkladu smluvním zajištěním stálé dostupnosti výkonů prostřednictvím smluv o úrovních služeb či časově omezeného umožnění přístupových a uživatelských oprávnění nájemními licencemi. K existujícímu zákonodárství lze sáhnout, i pokud jde o omezené možnosti přenést osobní data k externímu poskytovateli služeb. Zvláštnost cloud computingu spočívající v tom, že není obvykle známo, kdy se jaká data vyskytují na kterém serveru, což vede k novým právním otázkám zvláště pokud jde o plnění národních zákonů vyplývajících ze smluv se zákazníky, dodavateli a partnery, vlastních směrnic a jiných závazků, na které uživatel explicitně nebo implicitně přistoupil. Firmy jsou v zásadě vystaveny zákonným (požadavkům ochrany dat a informačním povinnostem) a regulačním povinnostem (předpisy pro bilancování a důkazní povinnosti), v jejichž souvislosti musejí dbát o shodu. Například německý Zákon o ochraně dat zásadně nepovoluje žádné předávání osobních dat v mimoevropských zemích, proto musí být zajištěno, že poskytovatel používá pouze serverů v rámci Evropské unie. Toto regulační omezení současně nastoluje otázku, jaká data mohou být podle německého zákonodárství v modelu cloudu vůbec zpracovávána. Podniky ze zdravotnictví a pojišťovnictví jsou tím s ohledem na porušení soukromého tajemství před stejnou zákonnou překážkou jako poskytovatelé finančních služeb. Vyčleňování podnikových dat do celosvětových sítí a serverových prostředí omezuje i daňové právo. Vznikají tak požadavky, aby byl finančním úřadům umožněn okamžitý přístup k datům. Daňový poplatník musí navíc finanční úřad informovat o umístění systémů pro zpracování dat. U serverů mimo Evropskou unii obojí zpravidla nelze dostatečně zajistit.! Důvěra v zajištěné služby Smluvně lze upravit mnoho faktorů, ale hlavní úlohu sehrává důvěryhodný vztah zákazníka a poskytovatele. Poskytovatel by měl bezpodmínečně dát najevo, kdo dohodnuté služby poskytuje. Použití subdodavatelů by mělo být známo zákazníkovi. Poskytovatel pravých řešení end-to-end může předcházet problémům a sledovat celou strukturu cloudového řešení. Zákazníci jsou tak chránění a ušetřeni nepříjemných překvapení. Poskytovatelé by měli aktivně řešit problematiku shody a sami nabízet řešení. O aspektech shody se musí diskutovat co nejdříve. Vedle zákonných a regulačních požadavků je třeba přihlížet k závazkům ze smluv s obchodními partnery a k interním předpisům. Pokud jde o shodu při poskytování cloud computingu, pomáhá, když již podnik získal zkušenosti s klasickým outsourcingem. Avšak možnosti kontroly a řízení uživatelem narážejí v cloudu koneckonců rychle na své hranice. Zkušený poskytovatel se zabývá problematikou shody aktivně a sám nabízí řešení. Pro uživatele je rovněž výhodné zapojit se do kontroly bezpečnosti, využívat také audity, certifikační autority a profesionální poradce. Poskytovatelé podávají uživateli důkazy ve formě certifikací. Zbavuje je to nákladných kontrol a profituje i poskytovatel když spolupracuje s důvěryhodnými partnery. Zapojování auditorských a certifikačních institucí je již delší dobu zavedeno při používání systémů platebního styku a pokládá se za samozřejmé. Postupně se prosazuje i pro jiné služby ICT. Splňuje-li cloudová služba shodu nebo ne nelze paušálně zodpovědět. Závisí to na individuální situaci firmy. Protože se v případě rizik IT jedná o obchodní rizika, je nepostradatelné celkové posouzení a srovnání s podnikatelskými požadavky. Rostoucí dělba práce i na poli ICT je nezadržitelným trendem s mnoha výhodami. Přiměřená bezpečnostní opatření a technologie přispívají k tomu, aby byly tyto výhody trvalé. 18

19 6. Závěr Cloud computing má pro firmy zvláštní strategický rozměr. Model, umožňující pružný odběr služeb ICT s dynamickým charakterem od jednoho poskytovatele, aniž by bylo zapotřebí vlastních investic do složitých systémů a infrastruktury, skýtá vysokou míru efektivnosti. Navíc dochází k průběžné modernizaci stávajícího prostředí ICT, protože poskytovatelé už z důvodů konkurenceschopnosti pracují s nejmodernějším prostředím ICT. Zajištění nepřerušovaného provozu a bezpečnosti všech dat a aplikací podniku má v každém prostředí nejvyšší prioritu. Oproti klasickým prostředím ICT je u cloud computingu třeba zohledňovat odlišně situované aspekty bezpečnosti. Výpadkům v důsledku přetížení či problémům s dostupností je s pomocí dynamického modelu v cloudu zabráněno. Hrozby jako ztráta nebo krádež (přenosných) počítačů jsou vzhledem k centrálnímu uchovávání (uložení) dat méně kritické. Pozornost je naopak třeba věnovat faktorům jako spolehlivému oddělení dat a aplikací různých podniků a místu zpracovávání dat. Individuální bezpečnostní požadavky zákazníků však závisejí na tom, jak by případné bezpečnostní výpadky ovlivnily obchodní činnost (Business Impact). Velkou úlohu při tom hrají klasifikace dat a aplikací a integrované řízení rizik. Poté následuje výběr poskytovatele a migrace. Pro provoz veřejného, soukromého a hybridního cloudu jsou v současnosti k dispozici tři modely. Scénáře jejich použití souvisí s různými požadavky na výkonnost a bezpečnost. Nabízejí zdroje a služby buď z veřejného internetu, nebo z fakticky a smluvně zajištěného prostředí ICT poskytovatele. U nabídky hybridního cloudu jde o kombinaci obou. Rozhodování o jednom z modelů by měly předcházet mimo jiné klasifikace dat a analýzy rizik. Obzvláště kritická data by měla zůstávat uvnitř firmy, nebo by se měla zpracovávat v privátním cloudu. Z právních důvodů hraje zvláštní úlohu místo ukládání a zpracovávání dat. Často není zjevné, jaká data a aplikace a kdy jsou na jakém serveru a ve které zemi je umístěn. Zde může docházet k problémům ohledně aplikovatelného zákonodárství nebo ke konfliktům, například se zákonem o ochraně dat. V každé fázi definice sourcingové strategie až po provoz ICT u poskytovatele služeb, je třeba přihlížet k bezpečnostním aspektům spolu s dodatečným úkolem efektivního řízení a kontroly ve smyslu IT-Governance. Přenesení odpovědnosti na specializované poskytovatele firmě ulehčuje situaci, pomáhá snižovat náklady a zvyšovat kvalitu. To je pak zásadní přínos pro udržitelný úspěch podniku. Ze sumy těchto doporučení vyplývá doporučení zákazníkům, aby při výběru poskytovatele cloudu stanovovali vysoké kvalitativní požadavky. Vedle technických znalostí a výkonnosti by měly zahrnovat zvláště důvěryhodnost, spolehlivost a schopnost plnit všechny požadavky podniku, i pokud jde o právní aspekty. 19

20 7. Vysvětlivky Výraz Význam Audits Business Continuity Kontrola provedených opatření nezávislými odborníky. Koncepce, plánování a opatření k zachování provozního managementu (ICT). Zahrnuje analýzu možných scénářů, správu zdrojů, jakož i nouzové a krizové řízení včetně obnovy řádného provozu (Disater Recovery). Business Impact Označení pro důsledky a rozsah chyby nebo incidentu na obchodní činnost, a na celý podnik. Disaster Recovery Due-Diligence E-Collaboration Hardware -Token ICT-Landscape Incident Management Označuje možnost po vzniku škody nebo katastrofě (zemětřesení, teroristickém útoku apod.) znovu zahájit obchodní činnost či v nejlepším případě v ní bezodkladně pokračovat. Zde je myšlena kontrola spolehlivosti poskytovatele cloudu. Úlohu při tom hrají faktory jako pověst poskytovatele i podnikové výsledky a výroční zprávy. Elektronicky podporovaná spolupráce. Například USB nebo čipové karty s mikroprocesorem, jež slouží k bezpečné identifikaci v systémech ICT a používají se místo hesel nebo PIN, resp. jsou používány jako jejich doplněk. Výraz pro celý počítačový a komunikační hardware a software, jichž se používá ke zvládání všech úkolů a procesů podporovaných ICT. ICT Landscape zahrnuje klienty, servery, aplikace, routery, switche a spojení Incident Management označuje odstraňování poruch služeb, resp. všeobecně řešení požadavku. Migration Reporting Roadmap Označuje vyčlenění obchodních procesů do cloudu. Zde se myslí hlášení o stavu systému, poruchách a jiných relevantních událostech. Dobrým reportingem se rozumí především rychlá a přesná hlášení. V tomto případě je myšlen způsob přístupu k úspěšnému přechodu (migraci) do cloudu. Thin Clients Trust Označuje koncový přístroj, který se omezuje jen na interakci uživatele (příjem a výdej) a odebírá výpočetní výkon a často i celé aplikace ze sítě. Takových klientů se používá ke snížení bezpečnostních rizik uživatelů cloudu. Důvěra, která se projevuje poskytovateli Cloud Computing. Rozsah důvěry (Trust) závisí na různých faktorech (např. jeho pověsti nebo konkrétních schopnostech). 20

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o. Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav

Více

CA Business Service Insight

CA Business Service Insight SPECIFIKACE PRODUKTU: CA Business Service Insight CA Business Service Insight agility made possible Díky produktu CA Business Service Insight budete vědět, které služby jsou v rámci vaší společnosti využívány,

Více

VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ

VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ Infinity, a.s. U Panasonicu 375 Pardubice 530 06 Tel.: (+420) 467 005 333 www.infinity.cz PROČ SE ZABÝVAT VÝBĚREM CLOUDU 2 IT služba Jakákoliv služba poskytovaná

Více

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295 Zákon o kybernetické bezpečnosti základní přehled Luděk Novák ludekn@email.cz, 603 248 295 Obsah Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti

Více

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Není cloud jako cloud, rozhodujte se podle bezpečnosti Není cloud jako cloud, rozhodujte se podle bezpečnosti Marcel Jánský Manažer útvaru produktů a podpory prodeje 26. 2. 2013 České Radiokomunikace Vysílací služby Profesionální telekomunikační operátor Poskytovatel

Více

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA ISO 9001:2009 a ISO 27001:2005 dobrá praxe Ing. Martin Havel, MBA Obsah 1. Podstata řešení 2. Cíle 3. Průběh implementace 4. Přínos 5. Výsledky 6. Doporučení 2 Podstata řešení Vytvoření jednotného systému

Více

Základy řízení bezpečnosti

Základy řízení bezpečnosti Základy řízení bezpečnosti Bezpečnost ve společnosti MND a.s. zahrnuje: - Bezpečnost a ochranu zdraví - Bezpečnost provozu, činností - Ochranu životního prostředí - Ochranu majetku - Ochranu dobrého jména

Více

Outsourcing v podmínkách Statutárního města Ostravy

Outsourcing v podmínkách Statutárního města Ostravy Outsourcing v podmínkách Statutárního města Ostravy Říjen 2009 Ing. Stanislav Richtar Ředitel společnosti 1 OBSAH PREZENTACE 1. Outsourcing - obecně 2. Výchozí stav projektu 3. Model poskytovaných služeb

Více

Služby datového centra

Služby datového centra Služby datového centra Společnost DataSpring je poskytovatelem služeb ICT infrastruktury a provozu IT řešení, veškeré služby provozuje ve vlastních datových centrech v Praze (Lucerna) a v Lužicích u Hodonína.

Více

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER SM PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER BOZP

Více

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc. Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007 Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

S T R A T E G I C K Ý M A N A G E M E N T

S T R A T E G I C K Ý M A N A G E M E N T S T R A T E G I C K Ý M A N A G E M E N T 3 LS, akad.rok 2014/2015 Strategický management - VŽ 1 Proces strategického managementu LS, akad.rok 2014/2015 Strategický management - VŽ 2 Strategický management

Více

Ochrana před následky kybernetických rizik

Ochrana před následky kybernetických rizik ztráta zisku ztráta důvěry poškození dobrého jména ztráta dat Ochrana před následky kybernetických rizik Co jsou kybernetická rizika? Kybernetická rizika jsou součástí našeho života ve světě plném informací

Více

PROVOZOVÁNÍ PRIVATE CLOUD VE VEŘEJNÉ SPRÁVĚ

PROVOZOVÁNÍ PRIVATE CLOUD VE VEŘEJNÉ SPRÁVĚ PROVOZOVÁNÍ PRIVATE CLOUD VE VEŘEJNÉ SPRÁVĚ Juraj Žoldák Vítkovice IT Solutions, Michal Osif Microsoft Services 2.4.2012 ISSS Hradec Králové http://itsolutions.vitkovice.cz Cíle a stav IT systémů ve veřejné

Více

Procesy, procesní řízení organizace. Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje

Procesy, procesní řízení organizace. Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje Procesy, procesní řízení organizace Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje Co nového přináší ISO 9001:2008? Vnímání jednotlivých procesů organizace jako prostředku a nástroje

Více

Migrace kompletní IT infrastruktury do prostředí Microsoft Azure

Migrace kompletní IT infrastruktury do prostředí Microsoft Azure Případová studie Migrace kompletní IT infrastruktury do prostředí Microsoft Azure Millennium je první společnost na Slovensku, která zcela zmigrovala svou IT infrastrukturu a profituje z flexibility a

Více

Tomáš HEBELKA, MSc. Skepse vůči cloudu. 21. června 2011 VI. Konference ČIMIB, Hotel Continental, Brno

Tomáš HEBELKA, MSc. Skepse vůči cloudu. 21. června 2011 VI. Konference ČIMIB, Hotel Continental, Brno Tomáš HEBELKA, MSc Skepse vůči cloudu 21. června 2011 VI. Konference ČIMIB, Hotel Continental, Brno Co je to cloud? Cloud computing je na Internetu založený model vývoje a používání počítačových technologií.

Více

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman Cloud pro utajované informace OIB BO MV 2012, Karel Šiman Utajované informace (UI) Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti Vyhláška č. 523/2005 Sb., o bezpečnosti

Více

Úvodní přednáška. Význam a historie PIS

Úvodní přednáška. Význam a historie PIS Úvodní přednáška Význam a historie PIS Systémy na podporu rozhodování Manažerský informační systém Manažerské rozhodování Srovnávání, vyhodnocování, kontrola INFORMACE ROZHODOVÁNÍ organizace Rozhodovacích

Více

ISO 9001 : 2015. Certifikační praxe po velké revizi

ISO 9001 : 2015. Certifikační praxe po velké revizi ISO 9001 : 2015 Certifikační praxe po velké revizi Audit Audit z lat. auditus, slyšení Vzhledem k rozsahu prověřování se audit obvykle zabývá jen vzorky a jeho výsledek tedy neznamená naprostou jistotu,

Více

Zapojení zaměstnanců a zaměstnavatelů do řešení otázek Společenské odpovědnosti firem ve stavebnictví

Zapojení zaměstnanců a zaměstnavatelů do řešení otázek Společenské odpovědnosti firem ve stavebnictví Zapojení zaměstnanců a zaměstnavatelů do řešení otázek Společenské odpovědnosti firem ve stavebnictví Projekt CZ.1.04/1.1.01/02.00013 Posilování bipartitního dialogu v odvětvích Realizátor projektu: Konfederace

Více

Faktory ovlivňující řízení podnikové informatiky

Faktory ovlivňující řízení podnikové informatiky Faktory ovlivňující řízení podnikové informatiky Jiří Voříšek katedra informačních technologií Vysoká škola ekonomická v Praze vorisek@vse.cz Proč toto téma? s růstem významu IT pro podnik růst významu

Více

Příloha č. 1 Servisní smlouvy. Katalog služeb. S2_P1_Katalog služeb

Příloha č. 1 Servisní smlouvy. Katalog služeb. S2_P1_Katalog služeb Příloha č. 1 Servisní smlouvy Katalog služeb S2_P1_Katalog služeb 1 Obsah 1 OBSAH... 2 2 DEFINICE SLUŽEB... 3 3 SPECIFIKACE SLUŽEB... 6 3.1 SLUŽBA PS01_PROVOZ A SPRÁVA... 6 3.2 SLUŽBA PS02_ZÁLOHA A OBNOVA...

Více

Bezepečnost IS v organizaci

Bezepečnost IS v organizaci Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost

Více

Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Obchodní faktory a jejich dopad na IT AKCESCHOPNOST Jednejte rychle, pohotově a flexibilně 66 % vlastníků firem považuje akceschopnost za svou prioritu

Více

Jak být online a ušetřit? Ing. Ondřej Helar

Jak být online a ušetřit? Ing. Ondřej Helar Jak být online a ušetřit? Ing. Ondřej Helar Obsah Co znamená být online ve škole? Rizika online přístupu Skryté náklady na straně školy Jak snížit rizika a náklady? Koncepce SaaS (Software as a Service)

Více

Zabezpečení dat v cloudu. Ing. Miroslav Ludvík, Ph.D.

Zabezpečení dat v cloudu. Ing. Miroslav Ludvík, Ph.D. Zabezpečení dat v cloudu Ing. Miroslav Ludvík, Ph.D. Co je to cloud computing? Business model IT as a servis Co je to Cloud? Dodávka formou služby IT jako služba s definovaným rozhraním a kvalitou. Škálovatelný

Více

ENVIRONMENTÁLNÍ BEZPEČNOST

ENVIRONMENTÁLNÍ BEZPEČNOST ENVIRONMENTÁLNÍ BEZPEČNOST INTEGROVANÁ BEZPEČNOST ORGANIZACE Ing. ALENA BUMBOVÁ, Ph.D. Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/15.0070)

Více

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu Jaroslav Šmíd Tel.: 420 257 283 333 e-mail: J.Smid@nbu.cz 30.5.2013 1 30.5.2013 1 Internet hybná síla globální ekonomiky

Více

Auditorské služby. Committed to your success

Auditorské služby. Committed to your success Auditorské služby Committed to your success Auditorské služby Expertní znalosti, individuální přístup a dlouhodobá péče jsou klíčem k nezávislému a profesionálnímu ověření vašich ekonomických informací.

Více

Registr živnostenského podnikání předchůdce cloudových řešení

Registr živnostenského podnikání předchůdce cloudových řešení Registr živnostenského podnikání předchůdce cloudových řešení Ing. Miloslav Marčan, Ministerstvo průmyslu a obchodu ČR Ing. Martin Záklasník, PhD., Sales Director T-Systems Czech Republic Deutsche Telekom

Více

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o. plachy@sefira.cz

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o. plachy@sefira.cz Vývoj moderních technologií při vyhledávání Patrik Plachý SEFIRA spol. s.r.o. plachy@sefira.cz INFORUM 2007: 13. konference o profesionálních informačních zdrojích Praha, 22. - 24.5. 2007 Abstrakt Vzhledem

Více

Konsolidace nemocničních informačních systémů v prostředí cloud infrastruktury

Konsolidace nemocničních informačních systémů v prostředí cloud infrastruktury 18. října 2011 ehealth Days Konsolidace nemocničních informačních systémů v prostředí cloud infrastruktury Petr Siblík Rostoucí nároky na ICT Správa a bezpečnost IT Komplexnost IT Mobilita pacientů Požadavky

Více

Směrnice pro nakládání s osobními údaji. Městský úřad Vamberk

Směrnice pro nakládání s osobními údaji. Městský úřad Vamberk Směrnice pro nakládání s osobními údaji Městský úřad Vamberk Copyright Pro IT, a. s., 2010 Obsah 1. Úvodní ustanovení... 3 2. Citlivé údaje... 4 3. Pověřené osoby... 5 4. Bezpečnost informací... 6 4.1.

Více

Technologický seminář Simac Technik ČR, a.s. Praha, 21.4. 2010

Technologický seminář Simac Technik ČR, a.s. Praha, 21.4. 2010 Technologický seminář Simac Technik ČR, a.s. Praha, 21.4. 2010 Petr Kolda Petr.kolda@simac.cz 1 Program 9.00 Představení společnosti Simac TECHINIK ČR a.s. 9.15 Unified Fabric konsolidace sítí v datových

Více

Big Data a oficiální statistika. Unicorn College Open 24. dubna 2015 Doc. Ing. Marie Bohatá, CSc.

Big Data a oficiální statistika. Unicorn College Open 24. dubna 2015 Doc. Ing. Marie Bohatá, CSc. Big Data a oficiální statistika Unicorn College Open 24. dubna 2015 Doc. Ing. Marie Bohatá, CSc. Obsah příspěvku Charakteristiky Big Data Výzvy a úskalí z perspektivy statistiky Výzvy z perspektivy computing

Více

DMS - řízená dokumentace, archiv a co dále? ICT ve zdravotnictví 2014

DMS - řízená dokumentace, archiv a co dále? ICT ve zdravotnictví 2014 DMS - řízená dokumentace, archiv a co dále? ICT ve zdravotnictví 2014 Praha 17.09.2014 Jiří Voves Proč otazník v názvu přednášky? Nové technologie Nové přístrojové vybavení Nové postupy Nová data Data

Více

PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ

PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ PRAVIDLA UŽÍVÁNÍ POČÍTAČOVÉ SÍTĚ na Střední škole automobilní, mechanizace a podnikání, Krnov, příspěvková organizace Úvodní ustanovení Střední škola automobilní, mechanizace a podnikání, Krnov, příspěvková

Více

Optimalizaci aplikací. Ing. Martin Pavlica

Optimalizaci aplikací. Ing. Martin Pavlica Optimalizaci aplikací Ing. Martin Pavlica Vize: Aplikace v dnešním světě IT Ze všech částí IT jsou aplikace nejblíže businessu V elektronizovaném světě významným způsobem podporují business, ten se na

Více

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o.

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o. Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o. Obsah příspěvku Hledání odpovědí hlavně na otázky: Co v současnosti běžně děláme pro ochranu dat

Více

JAK NA PAPERLESS. Petr Dolejší Senior Solution Consultant

JAK NA PAPERLESS. Petr Dolejší Senior Solution Consultant JAK NA PAPERLESS Petr Dolejší Senior Solution Consultant PAPERLESS CO TO VLASTNĚ JE Wikipedia - Paperless představuje fungování, kde je odstraněno nebo výrazně omezeno používání papíru. Toho se dosáhne

Více

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti

Více

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti Ing. Daniel Kardoš, Ph.D 4.11.2014 ČSN ISO/IEC 27001:2006 ČSN ISO/IEC 27001:2014 Poznámka 0 Úvod 1 Předmět normy 2 Normativní odkazy 3 Termíny

Více

Výhody a rizika outsourcingu formou cloud computingu

Výhody a rizika outsourcingu formou cloud computingu Výhody a rizika outsourcingu formou cloud computingu Jiří Voříšek katedra informačních technologií Vysoká škola ekonomická v Praze vorisek@vse.cz 1 Výchozí model MMDIS pro identifikaci možností outsourcingu

Více

Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015.

Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015. Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015. 1. Struktura Nová norma obsahuje 10 hlavních ustanovení: 1. OBLAST PLATNOSTI Kdy/proč by organizace měla použít tuto normu? 2. NORMATIVNÍ DOKUMENTY Prázdný

Více

Zabezpečení v síti IP

Zabezpečení v síti IP Zabezpečení v síti IP Problematika zabezpečení je dnes v počítačových sítích jednou z nejdůležitějších oblastí. Uvážíme-li kolik citlivých informací je dnes v počítačích uloženo pak je požadavek na co

Více

ÚVOD DO PROBLEMATIKY PROJEKTŮ, KATEGORIE

ÚVOD DO PROBLEMATIKY PROJEKTŮ, KATEGORIE PROJEKTOVÉ ŘÍZENÍ STAVEB ÚVOD DO PROBLEMATIKY PROJEKTŮ, KATEGORIE Vysoká škola technická a ekonomická v Českých PROJEKTŮ Budějovicích Institute of Technology And Business In České Budějovice Tento učební

Více

Projektové řízení jako základ řízení organizace

Projektové řízení jako základ řízení organizace Projektové řízení jako základ řízení organizace Aleš Chudý, ředitel divize IW ales.chudy@microsoft.com Technický seminář Bratislava 6.10.2008 Obsah Potřeby byznysu a IT Řešení EPM Microsoft EPM Optimalizační

Více

Realizace klientsky orientovaných služeb veřejné správy

Realizace klientsky orientovaných služeb veřejné správy Realizace klientsky orientovaných služeb veřejné správy Agenda Představení společnosti Capgemini Aktuální stav implementace služeb veřejné správy Přínosy rozvoje služeb veřejné správy Trendy dalšího vývoje

Více

Výroční zpráva o opatřeních přijatých k provádění Programu rovného zacházení provozovatele distribuční soustavy za rok 2014. RWE GasNet, s.r.o.

Výroční zpráva o opatřeních přijatých k provádění Programu rovného zacházení provozovatele distribuční soustavy za rok 2014. RWE GasNet, s.r.o. Výroční zpráva o opatřeních přijatých k provádění Programu rovného zacházení provozovatele distribuční soustavy za rok 2014 RWE GasNet, s.r.o. Klíšská 940, 401 17 Ústí nad Labem 12.03.2015 1 Výroční zprávu

Více

Aktuální stav ISDS. e-government 20:10, Mikulov. Česká pošta, s.p. 6.9.2011

Aktuální stav ISDS. e-government 20:10, Mikulov. Česká pošta, s.p. 6.9.2011 Aktuální stav ISDS e-government 20:10, Mikulov Česká pošta, s.p. 6.9.2011 Informační systém datových Aktuální data k 31. 8. 2011 442 124 aktivních datových schránek v druhé polovině 2012 očekáváme 500

Více

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM Petr Dolejší Senior Solution Consultant OCHRANA KLÍČŮ A ZOKB Hlavní termín kryptografické prostředky Vyhláška 316/2014Sb. o kybernetické bezpečnosti zmiňuje: v 17 nástroj

Více

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických

Více

CA Protection Suites. - Michal Opatřil - Consultant - michal.opatril@ca.com

CA Protection Suites. - Michal Opatřil - Consultant - michal.opatril@ca.com CA Protection Suites - Michal Opatřil - Consultant - michal.opatril@ca.com Co je třeba řešit u SMB - Bezpečnostní hrozby přibývají jak co do počtu tak i bezpečnosti - Spyware a adware - Viry, červy, trójské

Více

GIS Libereckého kraje

GIS Libereckého kraje Funkční rámec Zpracoval: Odbor informatiky květen 2004 Obsah 1. ÚVOD...3 1.1. Vztah GIS a IS... 3 2. ANALÝZA SOUČASNÉHO STAVU...3 2.1. Technické zázemí... 3 2.2. Personální zázemí... 3 2.3. Datová základna...

Více

Mobile Device Management Mobilita v bankovním prostředí. Jan Andraščík, Petra Fritzová, 30. 4. 2014

Mobile Device Management Mobilita v bankovním prostředí. Jan Andraščík, Petra Fritzová, 30. 4. 2014 Mobile Device Management Mobilita v bankovním prostředí Jan Andraščík, Petra Fritzová, 30. 4. 2014 Obsah Průzkum názorů ICT ředitelů BYOD trendy Návrh bezpečnostního konceptu MDM Postup, přínosy pro klienta

Více

MEZINÁRODNÍ STANDARDY PRO PROFESNÍ PRAXI INTERNÍHO AUDITU

MEZINÁRODNÍ STANDARDY PRO PROFESNÍ PRAXI INTERNÍHO AUDITU MEZINÁRODNÍ STANDARDY PRO PROFESNÍ PRAXI INTERNÍHO AUDITU Základní standardy 1000 Účel, pravomoci a odpovědnosti Účel, pravomoci a odpovědnosti interního auditu musí být formálně stanoveny ve statutu interního

Více

PRÁVNÍ ASPEKTY CLOUD COMPUTINGU. Nová technologie nová regulace? Business & Information Forum 2011

PRÁVNÍ ASPEKTY CLOUD COMPUTINGU. Nová technologie nová regulace? Business & Information Forum 2011 Business & Information Forum 2011 7. června 2011 Nová technologie nová regulace? Mgr. Jana Pattynová, LL.M jana.pattynova@pierstone.com Je stávající regulace dostatečná? Limitovaná výslovná regulace bude

Více

Problémové domény a jejich charakteristiky

Problémové domény a jejich charakteristiky Milan Mišovič (ČVUT FIT) Pokročilé informační systémy MI-PIS, 2011, Přednáška 02 1/16 Problémové domény a jejich charakteristiky Prof. RNDr. Milan Mišovič, CSc. Katedra softwarového inženýrství Fakulta

Více

Manažerská ekonomika

Manažerská ekonomika PODNIKOVÝ MANAGEMENT (zkouška č. 12) Cíl předmětu Získat znalosti zákonitostí úspěšného řízení organizace a přehled o současné teorii a praxi managementu. Seznámit se s moderními manažerskými metodami

Více

ABC s.r.o. Výtisk číslo: PŘÍRUČKA ENVIRONMENTU. Zpracoval: Ověřil: Schválil: Č.revize: Počet příloh: Účinnost od:

ABC s.r.o. Výtisk číslo: PŘÍRUČKA ENVIRONMENTU. Zpracoval: Ověřil: Schválil: Č.revize: Počet příloh: Účinnost od: ABC s.r.o. PŘÍRUČKA EMS Výtisk číslo: Zpracoval: Ověřil: Schválil: Tento dokument je duševním vlastnictvím společnosti ABC s.r.o. Rozmnožování a předávání třetí straně bez souhlasu jejího jednatele není

Více

Jakou cenu má IT pro vaši společnost Seminář Jak pomáhat českým firmám a institucím při přechodu do cloudu? VŠE, 12. 12. 2013

Jakou cenu má IT pro vaši společnost Seminář Jak pomáhat českým firmám a institucím při přechodu do cloudu? VŠE, 12. 12. 2013 Jakou cenu má IT pro vaši společnost Seminář Jak pomáhat českým firmám a institucím při přechodu do cloudu? VŠE, 12. 12. 2013 Martin Souček Manažer pro datová centra České radiokomunikace, a.s. IT vstupuje

Více

Právní aspekty externích cloudových řešení

Právní aspekty externích cloudových řešení Právní aspekty externích cloudových řešení Bezpečnostní seminář Cloud a jeho bezpečnost Mgr. Ing. Martin Lukáš 19. září 2012 PROBLEMATIKA CLOUDU Dochází k přesunu chráněných dat po internetu, možnost jejich

Více

MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK

MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK Dodržují vaši obchodníci a prodejní zástupci vaše obchodní podmínky? Uplatňují vaše etické principy všichni zaměstnanci vůči svým zákazníkům? Dostávají vaši zákazníci

Více

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@email.cz

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@email.cz ZÁKON O KYBERNETICKÉ BEZPEČNOSTI JUDr. Mgr. Barbora Vlachová judr.vlachova@email.cz PRÁVNÍ ZAKOTVENÍ KYBERNETICKÉ BEZPEČNOSTI zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů

Více

Jak financovat ICT projekty z EU fondů. Martin Dolný 6.-7.4.2009

Jak financovat ICT projekty z EU fondů. Martin Dolný 6.-7.4.2009 Jak financovat ICT projekty z EU fondů Martin Dolný 6.-7.4.2009 Současná situace v čerpání EU fondů Pomalé čerpání Menší zájem, obava z komplikovanosti systému Krize Redefinice dotačních priorit Zneužívání

Více

Zdravotnické laboratoře. MUDr. Marcela Šimečková

Zdravotnické laboratoře. MUDr. Marcela Šimečková Zdravotnické laboratoře MUDr. Marcela Šimečková Český institut pro akreditaci o.p.s. 14.2.2006 Obsah sdělení Zásady uvedené v ISO/TR 22869- připravené technickou komisí ISO/TC 212 Procesní uspořádání normy

Více

RISK je náš byznys. www.riskexperts.at

RISK je náš byznys. www.riskexperts.at RISK je náš byznys 1 Bezpečnost je základní potřebou Bezpečnost nemůže být jakkoli považována za izolovaný požadavek. Pochopení potenciálních rizik je základem pro zajištění bezpečnosti a zabezpečení.

Více

Firemní data mimo firmu: z pohledu zákoníku práce. JUDr. Josef Donát, LLM, ROWAN LEGAL ISSS 2014, Hradec Králové

Firemní data mimo firmu: z pohledu zákoníku práce. JUDr. Josef Donát, LLM, ROWAN LEGAL ISSS 2014, Hradec Králové Firemní data mimo firmu: z pohledu zákoníku práce, ROWAN LEGAL ISSS 2014, Hradec Králové Právní požadavky na bezpečnost mobilních/vlastních zařízení Bezpečnostní rizika: Únik citlivých informací Neoprávněný

Více

Zabezpečené vzdálené přístupy k aplikacím případová studie. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Zabezpečené vzdálené přístupy k aplikacím případová studie. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert případová studie Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert Sektor veřejné správy Zpracovává řadu agend potřebných pro život občanů IT představuje strategický pilíř, o který se opírá

Více

Ratingem se rozumí ohodnocení. (úvěrovým) závazkům.

Ratingem se rozumí ohodnocení. (úvěrovým) závazkům. Ratingový proces a ratingový systém Česká spořitelny Ratingem se rozumí ohodnocení příjemce úvěru z hlediska jeho schopnosti dostát včas svým (úvěrovým) závazkům. Jaký je rozdíl mezi externím a interním

Více

Obecné pokyny k vyřizování stížností pojišťovnami

Obecné pokyny k vyřizování stížností pojišťovnami EIOPA-BoS-12/069 CS Obecné pokyny k vyřizování stížností pojišťovnami 1/7 1. Obecné pokyny Úvod 1. Podle článku 16 nařízení o orgánu EIOPA (European Insurance and Occupational Pensions Authority, Evropského

Více

SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 2009/136/ES

SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 2009/136/ES 18.12.2009 Úřední věstník Evropské unie L 337/11 SMĚRNICE SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 2009/136/ES ze dne 25. listopadu 2009, kterou se mění směrnice 2002/22/ES o univerzální službě a právech

Více

Systémy řízení EMS/QMS/SMS

Systémy řízení EMS/QMS/SMS Systémy řízení EMS/QMS/SMS Ústí nad Labem 10/2014 Ing. Jaromír Vachta Systém řízení EMS Systém environmentálního managementu Systém řízení podle ČSN EN ISO 14001:2004 Podstata EMS - detailní informace

Více

INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti

INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti Obsah: 1) Adresa společnosti 2) Historie firmy 3) Rozsah systému kvality 4) Systém managementu kvality 5) Povinnosti

Více

2. setkání interních auditorů ze zdravotních pojišťoven

2. setkání interních auditorů ze zdravotních pojišťoven 2. setkání interních auditorů ze zdravotních pojišťoven Současné výzvy IT interního auditu 20. června 2014 Obsah Kontakt: Strana KPMG průzkum stavu interního auditu IT 2 Klíčové výzvy interního auditu

Více

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

BEZPEČNOSTNÍ POLITIKA INFORMACÍ BEZPEČNOSTNÍ POLITIKA INFORMACÍ společnosti ČEZ Energetické služby, s.r.o. Stránka 1 z 8 Obsah: 1. Úvodní ustanovení... 3 2. Cíle a zásady bezpečnosti informací... 3 3. Organizace bezpečnosti... 4 4. Klasifikace

Více

Symantec Protection Suite Small Business Edition Jednoduché, účinné a cenově dostupné řešení navržené pro malé firmy

Symantec Protection Suite Small Business Edition Jednoduché, účinné a cenově dostupné řešení navržené pro malé firmy Jednoduché, účinné a cenově dostupné řešení navržené pro malé firmy Přehled Sada Symantec Protection Suite Small Business Edition představuje jednoduché a cenově dostupné řešení zabezpečení a zálohování.

Více

Zaměříme se na sanaci jako jeden z důvodů restrukturalizace podniku

Zaměříme se na sanaci jako jeden z důvodů restrukturalizace podniku Zaměříme se na sanaci jako jeden z důvodů restrukturalizace podniku Zefektivnění podniku Zajištění vyšší hodnoty pro vlastníky Důvody restrukturalizace podniku Sanace podniku Řešení podnikové krize při

Více

Otázky: Regulační a institucionální rámec pro trh EU s doručováním balíků

Otázky: Regulační a institucionální rámec pro trh EU s doručováním balíků Otázky: Regulační a institucionální rámec pro trh EU s doručováním balíků 1) Pro účely této zelené knihy je pojem balík vymezen v nejširším smyslu a rozumí se jím veškeré zásilky s hmotností do 30 kg včetně.

Více

PROBLEMATIKA ZAJIŠŤOVÁNÍ FYZICKÉ BEZPEČNOSTI NEMOCNIC, SOUČÁST PREVENCE KRIMINALITY VE MĚSTĚ A KRAJI

PROBLEMATIKA ZAJIŠŤOVÁNÍ FYZICKÉ BEZPEČNOSTI NEMOCNIC, SOUČÁST PREVENCE KRIMINALITY VE MĚSTĚ A KRAJI Upravené pojetí příspěvku vzhledem k rozsahu a závažnosti problematiky Ing. Petr Hartmann PROBLEMATIKA ZAJIŠŤOVÁNÍ FYZICKÉ BEZPEČNOSTI NEMOCNIC, SOUČÁST PREVENCE KRIMINALITY VE MĚSTĚ A KRAJI Jestliže si

Více

Vnitřní kontrolní systém a jeho audit

Vnitřní kontrolní systém a jeho audit Vnitřní kontrolní systém a jeho audit 7. SETKÁNÍ AUDITORŮ PRŮMYSLU 11. 5. 2012 Vlastimil Červený, CIA, CISA Agenda Požadavky na VŘKS dle metodik a standardů Definice VŘKS dle rámce COSO Role interního

Více

Telelogic Focal Point využití pro řízení a optimalizaci projektového portfolia Verze 1.0

Telelogic Focal Point využití pro řízení a optimalizaci projektového portfolia Verze 1.0 DISTRIBUTOR White Paper Verze 1.0 Ing. Jiří Gryc 26.4.2007 Tento dokument ve stručnosti představuje možnost využití špičkového Telelogic Focal Point pro řízení a optimalizaci projektového portfolia. Další

Více

Program opatření k vyloučení diskriminačního chování a pravidel provozovatele distribuční soustavy pro zpřístupňování informací neznevýhodňujícím

Program opatření k vyloučení diskriminačního chování a pravidel provozovatele distribuční soustavy pro zpřístupňování informací neznevýhodňujícím k vyloučení diskriminačního chování a pravidel provozovatele distribuční soustavy pro zpřístupňování informací neznevýhodňujícím způsobem () Obsah 1. Úvod... 2 1.1. Účel programu opatření... 2 1.2. Právní

Více

Zařízení pro kontrolu výrobků

Zařízení pro kontrolu výrobků Zařízení pro kontrolu výrobků Školení Obsluha Manažeři zabezpečování jakosti Technici údržby Školení Využívejte svá zařízení naplno Školení ke kontrolním přístrojům Školení uživatelů Jistota a know-how

Více

Právní aspekty cloud computingu. Mgr. Ing. Jaroslav Zahradníček, advokát Kocián Šolc Balaštík, advokátní kancelář, s.r.o. 23. 1.

Právní aspekty cloud computingu. Mgr. Ing. Jaroslav Zahradníček, advokát Kocián Šolc Balaštík, advokátní kancelář, s.r.o. 23. 1. Právní aspekty cloud computingu Mgr. Ing. Jaroslav Zahradníček, advokát Kocián Šolc Balaštík, advokátní kancelář, s.r.o. 23. 1. 2015 Právní aspekty cloud computingu Obsah prezentace 1. Cloud a právo 2.

Více

Úvod - Podniková informační bezpečnost PS1-2

Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 2 Literatura Kovacich G.L.:

Více

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva? Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva? Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.com Kybernetická bezpečnost III Kdo jsme Kooperační odvětvové

Více

Nástroje IT manažera

Nástroje IT manažera Obsah Nástroje IT manažera Školení uživatelů Ochrana osobních údajů Bezpečnostní politika Software a právo Legální software Management jakosti Výběr a řízení dodavatelů Pracovněprávní minimum manažerů

Více

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004 CobiT Control Objectives for Information and related Technology Teplá u Mariánských Lázní, 6. října 2004 Agenda Základy CobiT Pojem CobiT Domény CobiT Hodnocení a metriky dle CobiT IT Governance Řízení

Více

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY JUDr. Josef Donát, LLM, ROWAN LEGAL, advokátní kancelář s.r.o. Řízení informa-ky v soukromém a veřejném sektoru, 23.1. 2015, Praha KYBERNETICKÁ

Více

E.ON Distribuce, a.s. Zpráva o plnění programu opatření v roce 2007

E.ON Distribuce, a.s. Zpráva o plnění programu opatření v roce 2007 Zpráva o přijatých opatřeních a plnění programu opatření k vyloučení diskriminačního chování, pravidel pro zpřístupňování informací neznevýhodňujícím způsobem a opatření k zajištění organizačního a informačního

Více

Etický kodex. Asociace pro kapitálový trh (AKAT) Část A pro společnosti působící v oblasti investičního managementu

Etický kodex. Asociace pro kapitálový trh (AKAT) Část A pro společnosti působící v oblasti investičního managementu Etický kodex Asociace pro kapitálový trh (AKAT) Část A pro společnosti působící v oblasti investičního managementu Základní principy a doporučené postupy 1/21 I. ÚVOD, CÍLE, ROZSAH A PLATNOST Etický kodex

Více

Alternativní řešení pro ochranu dat, správu infrastruktury a zabezpečení přístupu. Simac Technik ČR, a.s.

Alternativní řešení pro ochranu dat, správu infrastruktury a zabezpečení přístupu. Simac Technik ČR, a.s. Alternativní řešení pro ochranu dat, správu infrastruktury a zabezpečení přístupu Simac Technik ČR, a.s. Praha, 26.10. 2012 Jan Kolář Vedoucí Technického Oddělení Jan.kolar@simac.cz Úvod 9:00 Úvod, novinky

Více

DOTAČNÍ MOŽNOSTI ZOPPI Hotel Vitality Vendryně 23. 11. 2011 Obsah Aktuální výzvy OPPI Plánované výzvy OPPI EPC (Energy Performance Contracting) ICT a strategické služby Aktuální výzvy OPPI rozvoj informační

Více