Počítačová bezpečnost - úvod. eliska.ochodkova@vsb.cz
|
|
- Karolína Moravcová
- před 9 lety
- Počet zobrazení:
Transkript
1 Počítačová bezpečnost - úvod eliska.ochodkova@vsb.cz
2 Bezpečnost ICT Aspekty počítačové bezpečnosti (lépe bezpečnost ICT) jsou velmi široké, od hrozeb a zranitelných míst až po způsoby ochrany atd. Informace jsou strategickým zdrojem ICT svěřujeme svoje know-how, soukromí, citlivé informace,, na ICT je závislá řada obchodních procesů, požadavky na ochranu informací v rámci ICT jsou dány přímo ze zákona, např.: Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění účinném od 1. ledna 2015 Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu) Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti). Počítačová bezpečnost 2014/15, 1. přednáška
3 V minulosti Po dlouhou dobu byla bezpečnost většinou ignorována Počítačový průmysl "přežíval", snažil se překonat technologické a ekonomické překážky. V důsledku toho bylo učiněno mnoho bezpečnostních kompromisů. Existovala sice spousta teorie a dokonce i příklady systémů s velmi dobrou bezpečností, ale byly neúspěšné nebo byly ignorovány např. jazyk ADA, 80. léta USA, výkonný bezpečný a snadno použitelný, (Ada has the only compilers that are validated by the U.S. Government and other agencies throughout the world, including the International Organization of Standards (ISO). Each compiler is tested on thousands of programs before it receives validation.) nebo Počítačová bezpečnost 2014/15, 1. přednáška
4 Počátek tisíciletí Počítače jsou všudypřítomné, jsou velmi výkonné a velmi levné Internet Počítače jsou propojeny a vzájemně závislé Tato závislost zvětšuje dopad případných chyb, útoků Od počátku tisíciletí došlo k prudkému nárůstu zájmu o bezpečnost IT Mallware (viry, červi, atd.) způsobil přes $28 miliard ekonomické ztráty v roce 2003, v r.2007 to bylo více než $75 miliard. Počítačová bezpečnost 2014/15, 1. přednáška
5 Počátek tisíciletí Trh práce pro bezpečnostní specialisty se rozšiřuje. Počet full-time profesionálů v oblasti bezpečnosti IT se zvyšoval téměř o 14% ročně po celém světě, v r bylo cca 21 milionů." Frekvence útoků se zvyšuje se, roste jejich závažnost a propracovanost DoS Náklady $12 miliard v r podle CSI / FBI průzkumu 32% zjištěných respondentů přiznalo DoS útoky zaměřené na své systémy Tisíce útoků týdně v roce 2001 Napadeny Yahoo, Amazon, ebay, Microsoft, White House, Počítačová bezpečnost 2014/15, 1. přednáška
6 Počátek tisíciletí Viry a červi rychlejší a mocnější Melissa, Nimda, Code Red, Code Red II, Slammer Code Red (2001): během 13 hodin infikováno >360K počítačů - $2.4 miliardy ztráty Slammer (2003): během 10 minut infikováno > 75K počítačů - $1 miliarda ztráty Spam, phishing, BOTNETS! Dobře navržený červ může za 1s napadnout 1mil zranitelných počítačů na Internetu, viz The Top Speed of Flash Worms. Počítačová bezpečnost 2014/15, 1. přednáška
7 Šíření Sapphire/Slammer Počítačová bezpečnost 2014/15, 1. přednáška
8 Analogie s biologií Počítače jsou dnes velmi homogenní. Dominuje jen hrstka OS a v podstatě dva typy architektury V biologii - homogenní populace jsou v ohrožení. Jedno onemocnění nebo virus je může vyhladit přes noc, protože všichni sdílejí stejné slabosti. Onemocnění potřebuje pouze přenašeče, aby mohlo cestovat mezi hostiteli. Počítače jsou jako organismy, internet je přenašečem. Počítačová bezpečnost 2014/15, 1. přednáška
9 Most Important Internet Security Events & Threats of 2014 Apple icloud photos breach Sony Pictures Massive Hack 6 million accounts breached Počítačová bezpečnost 2014/15, 1. přednáška
10 Most Important Internet Security Events & Threats of 2014 Software vulnerabilities The most commonly used vulnerable 3 rd party software in 2012 / 2013 / 2014 are: Oracle Java Runtime environment Adobe Flash Player / Plugin Adobe Acrobat Reader Apple Quicktime 10
11 Most Important Internet Security Events & Threats of 2014 Heartbleed bug (knihovny OpenSSL): 56 % firem stále používá knihovny OpenSSL starší než 50 měsíců a jsou tak stále ohroženy chybou Heartbleed. Zdroj: tisková zpráva společnosti Cisco 9/02/2015 Shellshock, Malware Zeus Gameover (trojan (botnetová síť)) CryptoLocker (ransomware) Počítačová bezpečnost 2014/15, 1. přednáška
12 Definice bezpečnosti Bezpečnost je ( well-being ) stav systému, kdy je možnost úspěšné dosud nezjištěné krádeže, falšování, narušení informací a služeb udržována na nízké nebo přípustné úrovni. Pod pojmem bezpečnost IT obvykle rozumíme ochranu odpovídajících systémů a informací, které jsou v nich uchovávány, zpracovávány a přenášeny. Součástí takto obecně chápané bezpečnosti ICT je také fyzická bezpečnost (ochrana před přírodními hrozbami a fyzickými útočníky) a personální bezpečnost (ochrana před vnitřními útočníky, ). Počítačová bezpečnost 2014/15, 1. přednáška
13 (Počítačový) systém (Počítačový) systém, ve kterém jsou zpracovávána, uchovávána, přenášena data, která jsou nositeli informací, obsahuje následující tzv. aktiva: hardware síťové prvky, procesor, paměti, terminály, atd., software - aplikační programy, operační systém atd., data - data uložená v databázi, výsledky, výstupní sestavy, vstupní data atd. (občas se uvádí také lidé, vykonávající úkoly pomocí hw / sw / dat.) Počítačová bezpečnost 2014/15, 1. přednáška
14 Účastníci (role) Alice a Bob jsou legitimní (good guys) subjekty (osoby, procesy, počítače, ), označení poprvé použil Ron Rivest 1978 Eve, Mallory, Oscar, Trudy nelegitimní subjekt (bad guy), obecně útočník Odesílatel (sender) je entita (někdo nebo něco), která legitimně zasílá zprávu (budeme je označovat Alice, A). Příjemce (reciever) je entita (někdo nebo něco), která zprávu legitimně přijímá (budeme je označovat Bob, B), Útočník (intruder, eavesdropper, adversary, opponent atd.) je entita, která není ani odesílatelem ani příjemcem zprávy, a která se pokouší prorazit bezpečnostní mechanismus zabezpečující komunikaci mezi A a B (ozn. E, M apod.). Počítačová bezpečnost 2014/15, 1. přednáška
15 Účastníci (role) Počítačová bezpečnost 2014/15, 1. přednáška
16 Bezpečnostní funkce (služby) CIA CIA == Confidentiality, Integrity, Availability Confidentiality - důvěrnost (utajení) - k aktivům mají přístup pouze autorizované subjekty (občas označována jako secrecy, privacy). Integrity integrita aktiva smí modifikovat jen autorizované subjekty. Availability - dostupnost (také accessibility) - aktiva (data nebo služby) jsou autorizovaným subjektům dostupná, nedojde tedy k odmítnutí služby, kdy subjekt nedostane to na co má právo. Počítačová bezpečnost 2014/15, 1. přednáška
17 Příklad (1) Alice provozuje Alice s Online Bank (AOB) Jaké jsou Aliciny požadavky na bezpečnost? Pokud Bob je zákazníkem AOB, jaké jsou jeho o bezpečnostní požadavky? V čem jsou požadavky Alice a Boba stejné? V čem se liší? A jak se na to dívá Oscar? Počítačová bezpečnost 2014/15, 1. přednáška
18 Příklad (2) C - AOB musí např. zabránit Oscarovi zjistit zůstatek na Bobově účtu I - Oscar nesmí mít možnost změnit Bobův zůstatek na účtu. Také Bob nesmí být schopen nesprávně měnit zůstatek na vlastním účtu A - AOB musí poskytovat informace vždy, když je to potřeba. A Alice musí být schopna provést transakci - pokud ne, může s podnikáním skončit. Počítačová bezpečnost 2014/15, 1. přednáška
19 Příklad (3) Jak pozná Bobův počítač, že Bob je opravdu Bob a ne Oscar? Bob se autentizuje heslem, heslo musí být ověřeno Řešeno pomocí bezpečnostních kryptografických mechanismů Bezpečnostní problémy s hesly Existuje nějaká alternativa k heslům? Počítačová bezpečnost 2014/15, 1. přednáška
20 Příklad (4) Když se Bob naloguje do AOB, jak AOB pozná, že Bob je opravdu Bob? Opět je Bobovo heslo ověřeno, ale na rozdíl od předchozího případu, přidávají se problémy se zabezpečením sítě. Kriticky důležité jsou protokoly Jednoduché autentizační protokoly Real-world protokoly (SSH, SSL, IPSec, Kerberos, WPA, ) Počítačová bezpečnost 2014/15, 1. přednáška
21 Příklad (5) Jakmile Bob je ověřen AOB, pak AOB musí omezit Bobovy akce Bob si nemůže zobrazit informace o účtu dalšího subjektu Bob nemůže instalovat nový software, atd. Prosazování těchto omezení zajistí autorizace Řízení přístupu zahrnuje jak autentizaci a autorizaci Autentizace (hesla, biometriky, ) Autorizace (Access Control Lists/Capabilities, Multilevel security (MLS), firewally, IDS) Počítačová bezpečnost 2014/15, 1. přednáška
22 Software Kryptografické algoritmy, protokoly a kontrola přístupu jsou realizovány softwarově Jaké jsou bezpečnostní problémy softwaru? Reálný svět software je složitý Chyby v softwaru vedou k bezpečnostním chybám Jak může Oscar zaútočit na software? Jak redukovat chyby ve vývoji softwaru? Kritické chyby v softwaru Buffer overflow, Malware - Prevence a detekce, budoucnost malware? Počítačová bezpečnost 2014/15, 1. přednáška
23 Software Software reverse engineering (SRE) Jak hackeři "rozpitvají" software Správa digitálních práv (DRM) Software a testování Open source, closed source, Operační systémy Základní bezpečnostní problémy OS Požadavky Trusted OS NGSCB: Microsoft Trusted OS pro PC Počítačová bezpečnost 2014/15, 1. přednáška
24 Útok Bezpečnostním incidentem rozumíme: buďto úmyslné využití zranitelného místa ke způsobení škod/ztrát na tzv. aktivech, nebo neúmyslné uskutečnění akce, jejímž výsledkem je škoda na aktivech. Útok (attack) vyžaduje aktivního protivníka, má implicitní pojetí záměru, úmyslu. Zhroucení serveru, které způsobí ztrátu dostupnosti, nemusí nutně být úmyslný útok. Dopad (impact) důsledek incidentu, rozsah škod Počítačová bezpečnost 2014/15, 1. přednáška
25 Zranitelnost Zranitelné místo (vulnerability) je slabina systému využitelná ke způsobení škod nebo ztrát útokem. Vyskytuje se: ve fyzickém uspořádání, v organizačních schématech, v administrativních opatřeních, v personální politice, správě nebo managementu organizace, v logických a technických opatřeních, lidský faktor. Příčiny chyby v analýze, návrhu, implementaci, složitost software, existence skrytých (postranních) kanálů Počítačová bezpečnost 2014/15, 1. přednáška
26 Hrozba Hrozba (threat) potenciální možnost (soubor okolností) využití zranitelného místa k útoku (ke způsobení škody, ke zničení aktiv, ) Charakteristiky hrozeb zdroj (vnější, vnitřní), motivace (finanční zisk, průmyslová špionáž, ), frekvence mg.com/images/ /samplepages/ pdf Počítačová bezpečnost 2014/15, 1. přednáška
27 Riziko Riziko (risk) existence hrozby představuje riziko - pravděpodobnost využití zranitelného místa Riziko je funkcí pravděpodobnosti výskytu nechtěného incidentu a způsobené škody Posouzení rizik zahrnuje následující kroky: 1. charakterizace systému 2. identifikace hrozeb 3. identifikace zranitelností 4. analýza kontrol (kontrolních mechanismů) 5. určení pravděpodobnosti (využití zranitelnosti) 6. analýza dopadu 7. stanovení rizika 8. kontrolní doporučení 9. dokumentace výsledků Počítačová bezpečnost 2014/15, 1. přednáška
28 Bezpečnostní incident Bezpečnostní incident tedy představuje narušení bezpečnosti ICT a pravidel definovaných k jeho ochraně (bezpečnostní politiky). Může tedy jít např. o: vydávání se za jinou oprávněnou osobu a zneužívání jejích privilegií, neoprávněné zvýšení svých privilegií přístupu k informacím, pokažení funkcionality softwaru doplněním skrytých funkcí, zařazení se jako skrytého mezičlánku v konverzaci jiných subjektů, požár, potopa, Denial of Service (DoS odepření služby), Distributed Denial of Service (DDoS distribuované odepření služby např. červ CodeRed). Počítačová bezpečnost 2014/15, 1. přednáška
29 Bezpečnostní politika (1) Všeobecná bezpečnostní politika organizace - souhrn zásad a předpisů definujících způsob zabezpečení organizace od fyzické ostrahy, přes ochranu profesních zájmů až po ochranu soukromí a lidských práv. Bezpečnostní politika IT organizace se zabývá výběrem bezpečnostních zásad a předpisů, které obecně definují bezpečné používání informačních zdrojů v rámci organizace nezávisle na konkrétně použitých informačních technologiích. Je to prohlášení o tom, co je, a není dovoleno. Počítačová bezpečnost 2014/15, 1. přednáška
30 Bezpečnostní politika (2) Systémová bezpečnostní politika IT určuje detaily konkrétních norem a předpisů, které definují způsob správy, ochrany a distribuce informací v rámci organizace. Specifikuje bezpečnostní opatření a způsob jejich implementace. Určuje způsob použití těchto opatření, přičemž jsou respektovány použité IT. Počítačová bezpečnost 2014/15, 1. přednáška
31 Normy - organizační Standardy (normy) de facto a de jure de jure ISO/IEC 27000, ISO/IEC 27001, ISO/IEC BS 7799, ISO/IEC Information technology - Code of practice for information security management ČSN ISO/IEC Informační technologie - Směrnice pro řízení bezpečnosti IT Zákony de facto W3C standardy RFC, např. RFC 2196 ITIL, COBIT Žádná organizační norma neříká, jak konkrétně má vypadat náš bezpečnostní mechanismus, jaké konkrétně např. zálohovací knihovny si máme pořídit,... Naopak říkají, že si např. máme rozmyslet co, proč a jak chceme zálohovat,. Obecně zejména normy de facto říkají co se má udělat, ale neříkají jak, nespecifikují nebo nevyžadují konkrétní technologie Počítačová bezpečnost 2014/15, 1. přednáška
32 Bezpečnostní funkce (1) Bezpečnostní funkce (cíle, služby) - služby podporující a zvyšující bezpečnost datových procesů a přenosů v daném subjektu. Bezpečnostní funkce jsou obvykle k dispozici uživatelům jako sada bezpečnostních služeb prostřednictvím API nebo integrovaných rozhraní: důvěrnost (confidentiality, utajení) - k aktivům mají přístup pouze autorizované subjekty, integrita (integrity) aktiva smí modifikovat jen autorizované subjekty, autenticita (autentication) - původ informací je ověřitelný. Autentizací se rozumí proces ověřování pravosti identity entity (tj. uživatele, procesu, systémů, informačních struktur apod.), Počítačová bezpečnost 2014/15, 1. přednáška
33 Bezpečnostní funkce (2) nepopiratelnost odpovědnosti (non-repudiation) - nelze popřít účast na transakci, dostupnost (accessibility, availability) - aktiva (data nebo služby) jsou autorizovaným subjektům dostupná, nedojde tedy k odmítnutí služby, kdy subjekt nedostane to na co má právo, prokazatelnost odpovědnosti (accountability) - záruka, že lze učinit subjekty zodpovědné za své aktivity, ozn. také účtovatelnost, spolehlivost (reliability) - konzistence zamýšleného a výsledného chování. Počítačová bezpečnost 2014/15, 1. přednáška
34 Další pojmy Důvěryhodná (trustworthy) entita je ta, o které se věří (je o tom podán důkaz), že je implementovaná tak, že splňuje svou specifikaci. Můžeme se na ni spolehnout, chová-li se tak, jak očekáváme, že se bude chovat. Autorizace (authorization) entity pro jistou činnost rozumíme určení, že je z hlediska této činnosti důvěryhodná. Udělení autorizace si vynucuje, aby se pracovalo s autentickými entitami. kontrola přístupu k datům (access control) Počítačová bezpečnost 2014/15, 1. přednáška
35 AAA AAA - authentication, authorization and accounting. Např. RADIUS protocol, RFC Autentizace (ověření identity uživatele autentizační autoritou, v tomto případě serverem RADIUS s použitím protokolu EAP). Autorizace přidělení přístupových práv uživateli, který úspěšně absolvoval proces autentizace, respektive nepřidělení těchto práv uživateli, který autentizačním požadavkům nevyhověl. Accounting - sběr provozních informací o autorizovaném uživateli, typicky se jedná o údaje o přeneseném množství dat, trvání připojení k síti a identifikaci přístupového bodu, ze kterého bylo k síti přistupováno. Počítačová bezpečnost 2014/15, 1. přednáška
36 Bezpečnostní mechanismy Bezpečnostní mechanismy implementují (zajišťují) bezpeč. funkce. Jsou to mechanismy navržené tak, aby detekovaly útoky, zabraňovaly jim, ev. pomohly zotavení se z útoků: je jich mnoho, mohou mít charakter fyzického opatření (UPS, ), administrativní akce (školení, ), může jimi být technické zařízení nebo logický nástroj (algoritmus), pro mnoho z nich jsou základem kryptografické techniky (návrh, používání a jejich management). Počítačová bezpečnost 2014/15, 1. přednáška
37 Bezpečnostní mechanismy (X.800) Konkrétní bezp. mechanismy (mohou být začleněny do příslušné vrstvy protokolu s cílem poskytnout některé z OSI bezpečnostních služeb): Encipherment Digital signatures Access controls Data integrity Authentication exchange Traffic padding (insertion of bits into gaps in a data stream to frustrate traffic analysis attempts) Routing control (enables selection of particular physically secure routes for certain data and allows routing changes, especially when a breach of security is suspected) Notarization (use of a trusted third party to assure certain properties of a data exchange) Počítačová bezpečnost 2014/15, 1. přednáška
38 Bezpečnostní mechanismy (X.800) Pervasive security mechanisms (mechanismy, které nejsou specifické pro konkrétní OSI bezpečnostní služby nebo vrstvy): Trusted functionality (That which is perceived to be correct with respect to some criteria (e.g., as established by a security policy)) Security labels (The marking bound to a resource (which may be a data unit) that names or designates the security attributes of that resource)) Event detection (Detection of security-relevant events) Security audit trails (Data collected and potentially used to facilitate a security audit, which is an independent review and examination of system records and activities) Security recovery (Deals with requests from mechanisms, such as event handling and management functions, and takes recovery actions) Počítačová bezpečnost 2014/15, 1. přednáška
39 Útoky (1) Útok (bezp. incident) úmyslná nebo neúmyslná akce s vedoucí ke škodě na aktivech. normální tok informace: A B - útok přerušením (interruption): jedná se o útok na dostupnost (zničení hardware, přerušení komunikační linky, znepřístupnění souborů, porucha hardware, ) A B Počítačová bezpečnost 2014/15, 1. přednáška
40 Útoky (2) zachycení zprávy, odposlech (interception): útok na utajení; neautorizovaný subjekt E (útočníkem může být program, počítač, člověk) odposlouchává, nedovoleně kopíruje data, A B E Počítačová bezpečnost 2014/15, 1. přednáška
41 Útoky (3) - modifikace (modification) je útok na integritu dat; neautorizovaný subjekt E změní hodnoty dat, funkčnost programu, obsah zprávy posílané po síti, A B E Počítačová bezpečnost 2014/15, 1. přednáška
42 Útoky (4) přidání hodnoty, padělání (fabrication) je útok na autenticitu, integritu; neautorizovaný subjekt E vloží nějaký padělek do systému (vložení podvržené zprávy, přidání záznamů k souboru, ). A B E Počítačová bezpečnost 2014/15, 1. přednáška
43 Útoky (5) Pasivní útoky (odposlechem, monitorováním): zveřejnění obsahu zprávy (chceme tedy zabránit útočníkovi aby se dověděl o obsahu přenosu), sledování provozu (traffic analysis) útočník může sledovat polohu a identitu komunikujících subjektů, frekvenci a délku vyměňovaných zpráv, což umožní odhadnout povahu komunikace. Ochrana: prevence (detekce odposlechu je obtížná). Aktivní útoky (přerušením, změnou a přidáním hodnoty): maškaráda (masquerade) (entita se vydává za jinou), zachycení (replay), modifikace zprávy, odepření služby (denial of service). Absolutní prevence útoků zajistitelná není. Typická ochrana (hlavně před aktivními formami útoků) je založena na detekci útoků a na následné obnově činnosti. Počítačová bezpečnost 2014/15, 1. přednáška
44 Pár úvah na konec (na konec úvodu) Perfektní bezpečnost je sice teoreticky možná, není však prakticky využitelná. Na každý nejlepší bezpečnostní mechanismus lze útočit hrubou silou. Každý použitý bezpečnostní mechanismus musí být akceptovatelný uživatelskou komunitou. Bezpečnost není stav, ale PROCES. Bezpečnost netkví v nakoupené technice, ale v jejím správném používání. Počítačová bezpečnost 2014/15, 1. přednáška
45 Pár úvah na konec Systém je tak bezpečný, jak je bezpečný jeho nejslabší článek. A lidé jsou nejslabší článek. Bruce Schneier, Secrets and Lies, 2000 Only amateurs attack machines; professionals target people. And any solutions will have to target the people problem Bruce Schneier, Crypto-gram, 15 Oct 2000 Many systems fail because their designers protect the wrong things or protect the right things in the wrong way. Ross Anderson, Security Engineering, 2008 Počítačová bezpečnost 2014/15, 1. přednáška
46 Pár úvah na konec Without usable systems, the security and privacy simply disappears as people defeat the processes in order to get their work done The more secure you make something, the less secure it becomes. Why? Because when security gets in the way, sensible, wellmeaning, dedicated people develop hacks and workarounds that defeat the security. Hence the prevalence of doors propped open by bricks and wastebaskets, of passwords pasted on the fronts of monitors or hidden under the keyboard or in the drawer, of home keys hidden under the mat or above the doorframe or under fake rocks that can be purchased for this purpose... The strongest locks in the world do not deter the clever social engineer. Don Norman, When Security Gets in the Way, 2010 Počítačová bezpečnost 2014/15, 1. přednáška
47 The 12 Networking Truths RFC 1925 Truth #1: It Has to Work. Truth #2: No matter how hard you push and no matter what the priority, you can't increase the speed of light. Truth #3: With sufficient thrust, pigs fly just fine. Truth #4: Some things in life can never be fully appreciated nor understood unless experienced firsthand. Some things in networking can never be fully understood by someone who neither builds commercial networking equipment nor runs an operational network. Truth #5: It is always possible to agglutinate multiple separate problems into a single complex interdependent solution. In most cases this is a bad idea. Truth #6: It is easier to move a problem around (for example, by moving the problem to a different part of the overall network architecture) than it is to solve it. Truth #7: Good, Fast, Cheap: Pick any two (you can't have all three). Truth #8: It is more complicated than you think. Truth #9: For all resources, whatever it is, you need more. (9a) (corollary) Every networking problem always takes longer to solve than it seems like it should. Truth #10: One size never fits all. Truth #11: Every old idea will be proposed again with a different name and a different presentation, regardless of whether it works. Truth #12: In protocol design, perfection has been reached not when there is nothing left to add, but when there is nothing left to take away. Počítačová bezpečnost 2014/15, 1. přednáška
Jako příklady typicky ch hrozeb pro IT lze uvést: Útok
Bezpečnost - úvod Zranitelné místo Slabinu IS využitelnou ke způsobení škod nebo ztrát útokem na IS nazýváme zranitelné místo. Existence zranitelných míst je důsledek chyb, selhání v analýze, v návrhu
Informatika / bezpečnost
Informatika / bezpečnost Bezpečnost, šifry, elektronický podpis ZS 2015 KIT.PEF.CZU Bezpečnost IS pojmy aktiva IS hardware software data citlivá data hlavně ta chceme chránit autorizace subjekt má právo
Informační bezpečnost. Dana Pochmanová, Boris Šimák
Informační bezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 Agenda Bezpečnost informací IT rizika Klíčové role IT bezpečnosti v organizaci Bezpečný vývoj IS Normy a standardy v oblasti IT bezpečnosti
doc. Ing. Róbert Lórencz, CSc.
Bezpečnost 10. Informační bezpečnost 1 doc. Ing. Róbert Lórencz, CSc. České vysoké učení technické v Praze Fakulta informačních technologií Katedra počítačových systémů Příprava studijních programů Informatika
3. přednáška 24.2.2016. Legislativa v telekomunikacích
3. přednáška 24.2.2016 Legislativa v telekomunikacích Obsah přednášky 24.2.2016 ZoEP (http://www.ica.cz/userfiles/files/zakon_227_2000.pdf) http://www.earchiv.cz/b12/b0209001.php3 a další pokračování tohoto
Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?
Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva? Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.com Kybernetická bezpečnost III Kdo jsme Kooperační odvětvové
Tento materiál byl vytvořen v rámci projektu Operačního programu Vzdělávání pro konkurenceschopnost.
Tento materiál byl vytvořen v rámci projektu Operačního programu Vzdělávání pro konkurenceschopnost. Projekt MŠMT ČR Číslo projektu Název projektu školy Klíčová aktivita III/2 EU PENÍZE ŠKOLÁM CZ.1.07/1.4.00/21.2146
Bezpečnostní aspekty informačních a komunikačních systémů KS2
VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy
Bezpečnost IS. Základní bezpečnostní cíle
Bezpečnost IS Informační bezpečnost ochrana informace a uchování bezpečnostních atributů informace Důvěrnost, Integrita, Dostupnost, Autentičnost, Spolehlivost? Informace představují majetek s určitou
Bezepečnost IS v organizaci
Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost
Provozování integrovaného podnikového systému. Jaroslav Šmarda
Provozování integrovaného podnikového systému Jaroslav Šmarda Provozování IPS Implementace IS Formy využívání aplikací Software jako služba Zabezpečení IS Spolehlivost IS Servisně orientovaná architektura
Aplikovaná informatika
1 Aplikovaná informatika ZÁKLADY BEZPEČNOSTI IS ZEMÁNEK, Z. - PLUSKAL, D. Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/15.0070)
SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC
SOCA & Zákon o kybernetické bezpečnosti od teorie k praxi Ivan Svoboda & SOCA AFCEA CERT/SOC 31. 3. 2015 Týká se vás ZKB? Nebojte se zeptat Provedeme vás ANO NE ANO NE ANO ANO NE NE zdroj: Ne pro zákon,
ANECT, SOCA a bezpečnost aplikací
ANECT, SOCA a bezpečnost aplikací Ivan Svoboda IDG Cyber Security 2015 Agenda 01 Rizika a problémy při řešení kybernetické bezpečnosti Jak Vám může ANECT pomoci služby SOCA Konkrétní příklady z praxe 21.10.2015
Bezpečnostní politika společnosti synlab czech s.r.o.
Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav
ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti
Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti ehealth Day 2016 16.2.2016 Ing. Stanislav Bíža, Senior IT Architekt, CISA stanislav.biza@cz.ibm.com 12016 IBM Corporation Požadavky
2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)
Systém řízení informační bezpečností: Úvod RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
Potřebujete mít vaše IS ve shodě s legislativou? Bc. Stanislava Birnerová
Potřebujete mít vaše IS ve shodě s legislativou? Bc. Stanislava Birnerová Direct Account Manager sbirnerova@novell.com Komplexnost, Nátlak, Nulová tolerance Nařízení Business Continuity Interní hrozby
Úvod - Podniková informační bezpečnost PS1-2
VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 2 Literatura Kovacich G.L.:
Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.
Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.com Kdo jsme Kooperační odvětvové uskupení 19 firem se specializací
Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.
Protokol TELNET Schéma funkčních modulů komunikace protokolem TELNET Telnet klient Telnet server login shell terminal driver Jádro TCP/IP TCP/IP Jádro Pseudo terminal driver Uživatel u terminálu TCP spojení
Střední průmyslová škola strojnická Olomouc, tř.17. listopadu 49
Střední průmyslová škola strojnická Olomouc, tř.17. listopadu 49 Výukový materiál zpracovaný v rámci projektu Výuka moderně Registrační číslo projektu: CZ.1.07/1.5.00/34.0205 Šablona: III/2 Anglický jazyk
Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.
Modelování hrozeb Hana Vystavělová AEC, spol. s r.o. Agenda Možné způsoby identifikace rizik Úskalí analýzy rizik Modelování hrozeb metodiky Modelování hrozeb ukázky Výhody a přínosy modelování hrozeb
Hacking Team - exploity a zranitelnosti v programech. Petr Hanáček Fakulta informačních technologií, VUT v Brně
Hacking Team - exploity a zranitelnosti v programech Petr Hanáček Fakulta informačních technologií, VUT v Brně 17. února 2016 Hacking Team Hacking Team Co jsme o nich věděli Hacking Team Hacking Team je
Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB
Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti
Czech Republic. EDUCAnet. Střední odborná škola Pardubice, s.r.o.
Czech Republic EDUCAnet Střední odborná škola Pardubice, s.r.o. ACCESS TO MODERN TECHNOLOGIES Do modern technologies influence our behavior? Of course in positive and negative way as well Modern technologies
Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha
Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb
ADMINISTRACE POČÍTAČOVÝCH SÍTÍ. OPC Server
ADMINISTRACE POČÍTAČOVÝCH SÍTÍ OPC Server Funkce a využití v průmyslové automatizaci Jiří NOSEK 2011 Co je OPC Server? OPC = Open Process Control (původně OLE for Process Control) sada specifikací průmyslového
GDPR compliance v Cloudu. Jiří Černý CELA
GDPR compliance v Cloudu Jiří Černý CELA Jaké klíčové změny přináší GDPR? Soukromí jednotlivce Posílení práv jednotlivce: Přístup ke svým osobním údajům Oprava chyb Výmaz osobních údajů Omezení zpracování
Technická komise ISO/JTC1/SC 27 Technická normalizační komise ÚNMZ TNK 20
ČSN ISO/IEC 7064 Information technology -- Security techniques -- Check character systems Zpracování dat. Systémy kontrolních znaků ČSN BS 7799-2 Information Security Management Systems -- Specification
KYBERNETICKÁ A INFORMAČNÍ VÁLKA
KYBERNETICKÁ A INFORMAČNÍ VÁLKA Téma č. 8 ÚTOKY NA INFORMAČNÍ SYSTÉMY mjr. Ing. Petr STODOLA, Ph.D. Univerzita obrany Fakulta ekonomiky a managementu Katedra vojenského managementu a taktiky Operační program:
Kryptografie a počítačová bezpečnost
Kryptografie a počítačová bezpečnost Eliška Ochodková Katedra informatiky FEI eliska.ochodkova@vsb.cz Úvod od informačních technologií 2007/08 1 Obsah přednášky Úvod do problematiky bezpečnosti IT základní
Vzorové analýzy rizik zpracování v cloudu. Zdeněk Jiříček National Technology Officer Microsoft ČR
Vzorové analýzy rizik zpracování v cloudu Zdeněk Jiříček National Technology Officer Microsoft ČR Článek 32 Zabezpečení zpracování (os. údajů) (1) S přihlédnutím ke stavu techniky... povaze... rozsahu...
Není cloud jako cloud, rozhodujte se podle bezpečnosti
Není cloud jako cloud, rozhodujte se podle bezpečnosti Marcel Jánský Manažer útvaru produktů a podpory prodeje 26. 2. 2013 České Radiokomunikace Vysílací služby Profesionální telekomunikační operátor Poskytovatel
Demilitarizovaná zóna (DMZ)
Demilitarizovaná zóna (DMZ) Bezpečnostní seminář ČP AFCEA Aktuální trendy v zabezpečení DMZ Dalibor Sommer/ březen 2013 Agenda HP Enterprise Security Strategy Aktuální bezpečnostní hrozby SDN a jeho využití
V Brně dne a
Aktiva v ISMS V Brně dne 26.09. a 3.10.2013 Pojmy ISMS - (Information Security Managemet System) - systém řízení bezpečnosti č informací Aktivum - (Asset) - cokoli v organizaci, co má nějakou cenu (hmotná
Komentáře CISO týkající se ochrany dat
Komentáře CISO týkající se ochrany dat 2 ! 300 mld. autentizací přes Azure AD měsíčně 1 mld. updatů a kontrol zařízení s Windows 200 mld. emailů testovaných proti malwaru 18 mld. scanovaných webových
Stav podnikové bezpečnosti, 2010. Globální zpráva Jakub Jiříček, Symantec ČR a SR
Stav podnikové bezpečnosti, 2010 Globální zpráva Jakub Jiříček, Symantec ČR a SR Agenda 1 Metodologie studie 2 Klíčová zjištění 3 Obecná doporučení 4 Symantec a podniková řešení 5 Konkrétní řešení pro
Bezpečnost sítí. Bezpečnostní služby v sítích kategorie:
Bezpečnostní služby v sítích kategorie: utajení a důvěrnost dat ochrana před neautorizovaným únikem informací (šífrování) autentizace ověření totožnosti druhé komunikující strany (hesla, biometrie..) integrita
Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295
Zákon o kybernetické bezpečnosti základní přehled Luděk Novák ludekn@email.cz, 603 248 295 Obsah Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti
12. Bezpečnost počítačových sítí
12. Bezpečnost počítačových sítí Typy útoků: - odposlech při přenosu - falšování identity (Man in the Middle, namapování MAC, ) - automatizované programové útoky (viry, trojské koně, ) - buffer overflow,
Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP TCP/IP.
Protokol TELNET Schéma funkčních modulů komunikace protokolem TELNET Telnet klient Telnet server login shell terminal driver Operační systém TCP/IP TCP spojení TCP/IP Pseudo terminal driver Operační systém
Typy bezpečnostních incidentů
Typy bezpečnostních incidentů Aleš Padrta CESNET, z. s. p. o. Praha 12.12. 2008 Obsah Úvodní slovo Co je to bezpečnostní incident Klasifikace bezpečnostních incidentů Pojmy související s bezpečnostními
Jak efektivně ochránit Informix?
Jak efektivně ochránit Informix? Jan Musil jan_musil@cz.ibm.com Informix CEE Technical Sales Information Management Jsou Vaše data chráněna proti zneužití? 2 Ano, pokud... 3 Nepoužitelné Steve Mandel,
ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013
ISMS Případová studie Autentizace ve WiFi sítích V Brně dne 5. a 12. prosince 2013 Pojmy Podnikové WiFi sítě Autentizace uživatelů dle standardu 802.1X Hlavní výhodou nasazení tohoto standardu je pohodlná
Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.
Návrh zákona o kybernetické bezpečnosti Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Předmět úpravy VKB Obsah a strukturu bezpečnostní dokumentace
Penetrační testy OSSTMM. Jaromír Vaněk e-mail: vanekj5@fel.cvut.cz ICQ: 342-453-214 Jabber: kredits@jabber.cz
Penetrační testy OSSTMM Jaromír Vaněk e-mail: vanekj5@fel.cvut.cz ICQ: 342-453-214 Jabber: kredits@jabber.cz Bezpečnostní audit vs. penetrační testy Bezpečnostní audit zhodnocení současného stavu vůči
Řízení privilegovaný účtů
Řízení privilegovaný účtů Privilege Account Management CyberSecurity roadshow 2-6-2016 Atos - For internal use Řízení privilegovaných účtů Obsah prezentace Úvod Legislativní rámec Balabit partner ATOS
Technické aspekty zákona o kybernetické bezpečnosti
D Ů V Ě Ř U J T E S I L N Ý M Technické aspekty zákona o kybernetické bezpečnosti Michal Zedníček Key Account Manager CCSSS, ID No.: CSCO11467376 michal.zednicek@alef.com ALEF NULA, a.s. Petr Vácha Team
CISCO CCNA I. 8. Rizika síťového narušení
CISCO CCNA I. 8. Rizika síťového narušení Základní pojmy Rizika Devastace sítě Ztráta dat a důležitých informací Ztráta kontroly nad sítí Následnéčasové ztráty Krádež dat Ztráta identity (bankovní operace
Jak zorganizovat penetrační testy a nespálit se. Jiří Vábek Komerční banka, a.s.
Jak zorganizovat penetrační testy a nespálit se Jiří Vábek Komerční banka, a.s. Obsah Úvodem (o čem to bude) Co, proč a jak chceme Výběr dodavatele Organizační zajištění Výsledky a jejich zpracování Co
Typ aktiv Aktivum Hrozba Zranitelnost Riziko
Zbytková rizika Typ aktiv Aktivum Hrozba Zranitelnost Částečná úroveň rizika Snížení hrozby Snížení zranit. Zbytkové Namapovaná opatření Riziko C I A T MAX Hodnota MAX Hodnota riziko ISO? specif.? Datová
Typ aktiv Aktivum Hrozba Zranitelnost Riziko
Zbytková rizika Typ aktiv Aktivum Hrozba Zranitelnost Částečná úroveň rizika Snížení hrozby Snížení zranit. Zbytkové Namapovaná opatření Riziko C I A T MAX Hodnota MAX Hodnota riziko ISO? specif.? Datová
Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013
Normy ISO/IEC 27033 Bezpečnost síťové infrastruktury NISS V Brně dne 7. listopadu 2013 Soubor norem řady ISO/IEC 27033 ISO/IEC 27033 - Informační technologie Bezpečnostní techniky Síťová bezpečnost Jde
Y36PSI Bezpečnost v počítačových sítích. Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41
Y36PSI Bezpečnost v počítačových sítích Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41 Osnova základní pojmy typy šifer autentizace integrita distribuce klíčů firewally typy útoků zabezpečení aplikací Jan Kubr
Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115
Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115 Číslo projektu: Číslo šablony: 27 Název materiálu: Ročník: Identifikace materiálu: Jméno autora: Předmět: Tématický celek: Anotace: CZ.1.07/1.5.00/34.0410
Implementace systému ISMS
Implementace systému ISMS Krok 1 Stanovení rozsahu a hranic ISMS Rozsah ISMS Krok 2 Definice politiky ISMS Politika ISMS Krok 3 Definice přístupu k hodnocení rizik Dokumentovaný přístup k hodnocení rizik
Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL
Bezpečnostní opatření pro některé z oblastí kritické infrastruktury 26. 3. 2019 Plzeň Vladimír ROHEL Žijeme v době, kdy: Roste naše závislost na IT IT pronikají do oblastí, kde dříve nebyly Svět se stále
Monitorování datových sítí: Dnes
Monitorování datových sítí: Dnes FlowMon Friday, 29.5.2015 Petr Špringl springl@invea.com Obsah Monitorování datových toků = Flow monitoring Flow monitoring a bezpečnost sítě = Network Behavior Analysis
FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com
FlowMon 8.0 Představení novinek v řešení FlowMon Petr Špringl, Jan Pazdera {springl pazdera}@invea.com Přehled řešení FlowMon FlowMon Monitorování datových toků Bezpečnost (NBA) Záznam komunikace v plném
Škola: Střední škola obchodní, České Budějovice, Husova 9. Inovace a zkvalitnění výuky prostřednictvím ICT
Škola: Střední škola obchodní, České Budějovice, Husova 9 Projekt MŠMT ČR: EU PENÍZE ŠKOLÁM Číslo projektu: CZ.1.07/1.5.00/34.0536 Název projektu školy: Výuka s ICT na SŠ obchodní České Budějovice Šablona
ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok
ISO 9000, 20000, 27000 Informační management VIKMA07 Mgr. Jan Matula, PhD. jan.matula@fpf.slu.cz III. blok ITSM & Security management standard ISO 9000-1 ISO 9000:2015 Quality management systems Fundamentals
Důvěryhodná dlouhodobá a garantovaná archivace (požadavky z pohledu legislativy).
Důvěryhodná dlouhodobá a garantovaná archivace (požadavky z pohledu legislativy). Ján Ilavský, Solutions Architect Atos IT Solutions and Services, s.r.o. Vznik Atos Roční tržby ve výši 8,7 miliard za 2011
Typ aktiv Aktivum Hrozba Zranitelnost Riziko
Zbytková rizika Typ aktiv Aktivum Hrozba Zranitelnost Částečná úroveň rizika Snížení hrozby Snížení zranit. Zbytkové Namapovaná opatření Riziko C I A T MAX Hodnota MAX Hodnota riziko ISO? specif.? Datová
ČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.240.15 2003 Bankovnictví - Bezpečný přenos souborů (drobné obchody) ČSN ISO 15668 97 9120 Listopad Banking - Secure file transfer (retail) Banque - Transfert de fichier de
Bezpečnostní normy a standardy KS - 6
VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 2 Osnova historický
Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010
Třídící znak 2 2 1 1 0 5 6 0 ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010 k výkonu činnosti organizátora regulovaného trhu, provozovatele vypořádacího systému a centrálního depozitáře cenných
Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše
Bezpečnost sítí, Firewally, Wifi Ing. Pavel Píše Útoky na síť Z Internetu Ze strany interní sítě Základní typy síťových útoků Útoky na bezpečnost sítě Útoky na propustnost sítě (šířka pásma, záplavové
POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry
POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU DMZ z pohledu akademické sféry Doc. RNDr. Josef POŽÁR, CSc. - děkan 19. 3. 2013 OBSAH Úvod Firewall a DMZ Modelové topologie DMZ Nejčastější
IBM Security. Trusteer Apex. Michal Martínek 23.9.2015. 2014 IBM Corporation. 2014 1 IBM Corporation
Trusteer Apex Michal Martínek 23.9.2015 2014 1 IBM Corporation Proč útočit na koncová zařízení? Anti Virus Zaměstnanec Jednoduché Firewall IPS Antivirus Śifrování Jednoduché Malware Ukradené přihlašovací
Adware ENISA. Aktivní kybernetická obrana. Aktivum. Analýza hrozeb. Analýza počítačového viru. Antispamový filtr. Antivirový program
Adware ENISA Aktivní kybernetická obrana Aktivum Analýza hrozeb Analýza počítačového viru Antispamový filtr Antivirový program Asymetrická kryptografie Autenticita Autentizace (dat, identity, klíče, zprávy)
Výukový materiál zpracovaný v rámci operačního programu Vzdělávání pro konkurenceschopnost
Výukový materiál zpracovaný v rámci operačního programu Vzdělávání pro konkurenceschopnost Registrační číslo: CZ.1.07/1. 5.00/34.0084 Šablona: II/2 Inovace a zkvalitnění výuky cizích jazyků na středních
Víte, kdo pracuje s vašimi dokumenty? Stanislava Birnerová
Víte, kdo pracuje s vašimi dokumenty? Stanislava Birnerová Direct Account Manager sbirnerova@novell.com Agenda Proč elektronické originály? Kdo pracuje s elektronickými originály? Proč Novell? 2 Rok 2010
Management informační bezpečnosti
Management informační bezpečnosti Definice V Brně dne 3. října 2013 Definice Common Criterta ITIL COBIT CRAMM Přiměřená ábezpečnostč Management informační bezpečnosti 2 Common Criteria Common Criteria
Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb.
Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb. Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení a o certifikaci
aktuality, novinky Ing. Martin Řehořek
CzechPOINT@office aktuality, novinky Ing. Martin Řehořek Novell Professional Services ČR, s.r.o. mrehorek@novell.com Agenda CzechPOINT@office Aktuality z provozu KzMU statistiky Mám zájem o konverzi Kde
CzechPOINT@office a konverze na úřadech Martin Řehořek
CzechPOINT@office a konverze na úřadech Martin Řehořek Novell Professional Services ČR, s.r.o. mrehorek@novell.com Agenda CzechPOINT@office Lokální administrátor Autorizovaná konverze na žádost Autorizovaná
Směry rozvoje v oblasti ochrany informací KS - 7
VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Směry rozvoje v oblasti ochrany informací KS - 7 VŠFS; Aplikovaná informatika; SW systémy 2005/2006
Střední průmyslová škola strojnická Olomouc, tř.17. listopadu 49
Střední průmyslová škola strojnická Olomouc, tř.17. listopadu 49 Výukový materiál zpracovaný v rámci projektu Výuka moderně Registrační číslo projektu: CZ.1.07/1.5.00/34.0205 Šablona: III/2 Anglický jazyk
GUIDELINES FOR CONNECTION TO FTP SERVER TO TRANSFER PRINTING DATA
GUIDELINES FOR CONNECTION TO FTP SERVER TO TRANSFER PRINTING DATA What is an FTP client and how to use it? FTP (File transport protocol) - A protocol used to transfer your printing data files to the MAFRAPRINT
Caroline Glendinning Jenni Brooks Kate Gridley. Social Policy Research Unit University of York
Caroline Glendinning Jenni Brooks Kate Gridley Social Policy Research Unit University of York Growing numbers of people with complex and severe disabilities Henwood and Hudson (2009) for CSCI: are the
nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu
nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu 22 let zkušeností komplexní řešení & dlouhodobý provoz nepřetržité dohledové centrum procesy, role & kompetence zkušení, certifikovaní odborníci
ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001
ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005
MFF UK Praha, 29. duben 2008
MFF UK Praha, 29. duben 2008 Standardy a normy (informace o předmětu) http://crypto-world.info/mff/mff_04.pdf P.Vondruška Slide2 Úvod 1. RFC (Request For Comment) 2. Standardy PKCS (Public-Key Cryptographic
Řešení ochrany databázových dat
Řešení ochrany databázových dat Projekt Raiffeisenbank CZ Aleš Tumpach CISA April 25, 2016 Pokud dojde k bezpečnostnímu incidentu, informace v databázi jsou nejčastějším cílem útoku WHY? % of Records Breached
ČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.020; 35.040 2008 Systém managementu bezpečnosti informací - Směrnice pro management rizik bezpečnosti informací ČSN 36 9790 Červen idt BS 7799-3:2006 Information Security Management
PV157 Autentizace a řízení přístupu
PV157 Autentizace a řízení přístupu Zdeněk Říha Vašek Matyáš Konzultační hodiny FI MU: B415 St 17:00 18:00 část semestru mimo CZ Microsoft Research Cambridge Email: zriha / matyas @fi.muni.cz Průběh kurzu
Metodický list č.1. Vladimír Smejkal: Internet @, Grada, 1999, ISBN 80-7169-765-6 (a další vydání)
Metodický list č.1 Úvod Literatura Definice pojmů Klasifikace možných útoků, útočníků, způsobů ochrany Přehled norem a modelů Po zvládnutí tématického celku bude student mít základní přehled o problematice
V Brně dne 10. a
Analýza rizik V Brně dne 10. a 17.10.2013 Ohodnocení aktiv 1. identifikace aktiv včetně jeho vlastníka 2. nástroje k ohodnocení aktiv SW prostředky k hodnocení aktiv (např. CRAMM metodika CCTA Risk Analysis
EXTRAKT z české technické normy
EXTRAKT z české technické normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním 35.240.60 materiálem o normě. Dopravní telematika Dopravní telematika Elektronický výběr poplatků Směrnice
Bezpečnost platebních systémů založených na čipových kartách. Martin Henzl Vysoké učení technické v Brně
Bezpečnost platebních systémů založených na čipových kartách Martin Henzl Vysoké učení technické v Brně Platební systémy EMV Europay, MasterCard, VISA Chip and PIN Standard definující komunikaci mezi terminálem
Použití analyzátoru paketů bezdrátových sítí Wireshark
Použití analyzátoru paketů bezdrátových sítí Wireshark Ladislav Sirový Ing. Ladislav Beránek, Csc. Školní rok: 2008-2009 Abstrakt Analýza sítí se zabývá sledováním a vyhodnocováním provozu počítačových
Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti
Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti Ing. Jiří Slabý, Ph.D. Business Solution Architect IBM 1 2014 IBM Corporation Zákon je zákon Národní bezpečnostní úřad vypracoval k návrhu
SAML a XACML jako nová cesta pro Identity management. SAML and XACML as a New Way of Identity Management
SAML a XACML jako nová cesta pro Identity management SAML and XACML as a New Way of Identity Management Dagmar BRECHLEROVÁ Oddělení medicínské informatiky, Ústav informatiky AVČR, v.v.i. brechlerova@euromise.cz
IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA
IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA 20. 12. 2013 ÚVOD S penetrací IT do fungování společnosti roste důraz na zabezpečení důvěrnosti a opravdovosti (autenticity) informací a potvrzení (autorizaci) přístupu
CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004
CobiT Control Objectives for Information and related Technology Teplá u Mariánských Lázní, 6. října 2004 Agenda Základy CobiT Pojem CobiT Domény CobiT Hodnocení a metriky dle CobiT IT Governance Řízení
Návrh a implementace bezpečnosti v podnikových aplikacích. Pavel Horal
Návrh a implementace bezpečnosti v podnikových aplikacích Pavel Horal Obsah přednášky úvod do problematiky aplikace, bezpečnost, základní pojmy informační bezpečnost, řízení
Řízení kybernetické a informační bezpečnosti
Řízení kybernetické a informační bezpečnosti Martin Hanzal předseda sekce Kybernetická a informační bezpečnost AOBP CEVRO Institut, 22. dubna 2014 Sekce Kybernetická a informační bezpečnost Je nevládní,
Síťová bezpečnost Ing. Richard Ryšavý
Síťová bezpečnost 2015 Ing. Richard Ryšavý Dell Security Annual Threat Report 2014 1.7 trillion IPS attacks blocked 4.2 billion malware attacks blocked V roce 2014 bylo detekováno 37 milionů unikátních
Normy a standardy ISMS, legislativa v ČR
Normy a standardy ISMS, legislativa v ČR RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,