Bezpečnostní projekty realizované ve společnosti OTE, a.s. - případová studie. OTE, a. s. AEC, spol. s r. o.

Podobné dokumenty
Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Zpráva z auditu. Kasárenská Hodonín CZ 0124/11. Typ auditu. Recertifikační audit Vedoucí Auditor. Jan Fabiánek.

Aktuální otázky kolem výkaznictví Technologická vlastní spotřeba

GDPR a veřejná správa

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Proces R3 Interní audity

Nařízení REMIT a jeho implementace

Security. v českých firmách

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Systémová analýza a opatření v rámci GDPR

Bezpečnostní politika společnosti synlab czech s.r.o.

TÜV SÜD Czech s.r.o. Systém energetického managementu dle ČSN EN 16001

Zkušenosti s implementací ZoKB a problémy, které nás pálí. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

Úvod. Projektový záměr

Současné problémy bezpečnosti ve firmách

Novinky v Rejstříku obchodování s povolenkami

Zadání. Audity a dokumentace SDP

SŽDC M20/MP001 METODICKÝ POKYN PRO ŘÍZENÍ DOKUMENTACE ŘÍDÍCÍCH TECHNICKÝCH AKTŮ SŽDC M20

Agenda DPO po implementaci GDPR Československá obchodní banka, a.s Interní

SKUPINA 6. Jitka KAZIMÍROVÁ. Lektor: Allianz pojišťovna. Téma: Zkušenosti s outsourcingem IT auditu

Evaluační plán. REGIONÁLNÍ OPERAČNÍ PROGRAM NUTS II SEVEROVÝCHOD pro rok Datum zveřejnění:

Security. v českých firmách

Hardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s.

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

PRINCIPY ENERGETICKÉHO MANAGEMENTU

Příloha č. 2. Obchodních podmínek OTE, a.s. pro plynárenství. Revize červenec 2016Březen 2019

ŽÁDOST O CERTIFIKACI č. zákazníka:

Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

metodou EPC/EC Ing. Jaroslav Maroušek, CSc.

Technologický upgrade Vnitrodenního trhu s plynem (VDT)

Zpráva pro uživatele CA

Pohled odběratele na liberalizovaný trh s energiemi

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

WS PŘÍKLADY DOBRÉ PRAXE

Přehled současných legislativních požadavků; sankce; praktické zkušenosti; budoucí vývoj

Europe Easy Energy pro ISP Marek Dvořák. Plzeň

Zpráva pro uživatele CA

Nadpis presentace. Řízení IT v malých. útvarech aneb Light verze IT governance

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

ISO/IEC certifikace v ČR. Miroslav Sedláček

Zpráva pro uživatele CA

Kybernetická bezpečnost resortu MV

Příloha č. 2. Obchodních podmínek OTE, a.s. pro plynárenství. Revize 3 únor 2012

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Proč potřebujete certifikaci v oblasti eidas? Ing. Jarmil Mikulík, náměstek pro zkušebnictví, vedoucí projektu eidas

PROCES ŘEŠENÍ PROBLEMATIKY GDPR

Shoda s GDPR do 4-6 měsíců! Sen či utopie?

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti

IT podpora obchodu s elektřinou v ČEZ, a. s. Příspěvek pro konferenci AEM IT systémy - nervový systém energetiky květen 2006

Popis certifikačního postupu SM - ISO 9001, SM - ISO 14001, SM - ISO/TS 29001, SM - OHSAS a SM - ISO 50001

ÚVOD DO ENERGETICKÉHO MANAGEMENTU

Energetické služby se zárukou a náležitosti smluvního vztahu

Efektivní využívání energie

VÝZNAM ENERGETICKÉHO MANAGEMENTU PRO MĚSTA A OBCE

KATALOG SLUŽEB NÁSLEDNÉ PODPORY

Vážení zákazníci, odběratelé, obchodní přátelé, občané, akcionáři, kolegové

Zpráva pro uživatele CA

EPC energetické služby se zaručeným výsledkem

Není cloud jako cloud, rozhodujte se podle bezpečnosti

srpen 2008 Ing. Jan Káda

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

Platná od Bezpečnostní politika. Deklarace

Politika bezpečnosti informací

AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007

egc tým Bezpečnost Hodnocení dopadů a zařazování do bezp. úrovní Závazná bezpečnostní opatření pro dodavatele

Metodický pokyn č. 4

Obchod s elektřinou v ČR

Efektivní řízení rizik webových a portálových aplikací

Státní pokladna. Centrum sdílených služeb

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Náhled společnosti Atos na elektronizaci veřejné správy E-government Mikulov 2013

Česká Telekomunikační Infrastruktura a.s

Penetrační testy. Pohled na vaši síť očima hackera. Ing. Jan Pawlik IT Security Specialist

Rizika na liberalizovaném trhu s elektřinou

Platforma Efektivní meziobecní spolupráce část Administrativní podpora malých obcí. Praha

Aktuální otázky provozu datových skladů PAVEL HNÍK

Zabezpečené vzdálené přístupy k aplikacím případová studie. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Nařízení REMIT a jeho implementace

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Výpočet elektřiny pro domácnosti od Skupiny ČEZ

Pracovní setkání na téma Energetické úspory metodou EPC u budov v majetku státu. Zaháňský salonek Valdštejnského paláce

Zavádění a realizace systému EMAS na MŽP. Tisková konference EMAS MŽP, Praha,

Kontrolní list Systém řízení výroby

1. ÚČEL ROZSAH PLATNOSTI POJMY A ZKRATKY POPIS... 3

Proces P3 Správa informačních systémů

Zkušenosti z naplňování ZKB: Audit shody se ZKB. Ing. Martin Konečný,

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

Technická specifikace předmětu plnění:

Audity ISŘ. Je-li tento dokument vytištěn, stává se neřízeným. MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou SJ-GŘ Lenka Šloserová v. r.

Transkript:

Bezpečnostní projekty realizované ve společnosti OTE, a.s. - případová studie Vojtěch Szaló, Jan Poduška OTE, a. s. AEC, spol. s r. o.

Kroky k informační bezpečnosti OTE identifikovalo potřebu zvýšení úrovně informační bezpečnosti podpora vedení Výběr partnera Orientace v prostředí společnosti Realizace prvotních kroků Nastavení dlouhodobé spolupráce Reakce na požadavky Evropské komise Realizace navazujících kroků Možná úskalí spolupráce, vnímání zákazníka

Založení naší společnosti OTE byl založen z energetického zákona v roce 2001 a své poslání naplňuje od roku 2002. Jediným akcionářem společnosti je stát. Společnost svou činnost vykonává na základě licence přidělené ERÚ na základě energetického zákona

Poslání společnosti OTE OTE slouží jako platforma pro obchodování s elektřinou a plynem v liberalizovaném prostředí. Hlavní činnosti: organizování krátkodobého trhu s elektřinou a plynem vyhodnocování odchylek a zajišťování jejich zúčtování a vypořádání mezi subjekty

dále Další činnosti OTE zpracování a zveřejňování měsíční a roční zprávy o trhu s elektřinou a plynem v ČR zpracování podkladů pro návrh Pravidel trhu s elektřinou a Pravidel trhu s plynem zpracování zprávy o budoucí očekávané spotřebě elektřiny a plynu a o způsobu zabezpečení rovnováhy mezi nabídkou a poptávkou elektřiny a plynu.

Rejstřík emisních povolenek správa veřejně přístupného rejstříku obchodování s povolenkami na emise skleníkových plynů podle zákona č. 695/2004 Sb. o podmínkách obchodování s povolenkami na emise skleníkových plynů.

Způsob zajištění činností Počet zaměstnanců 34 plus 3členné představenstvo Obchodní i kancelářský systém jsou plně outsoursingované. Smluvní vztah s Logica

Jak vznikla spolupráce s dodavatelem Nutná potřeba zvýšení bezpečnosti IT Potřebný stálý dozor, avšak instalace manažera IT bezpečnosti z vlastních řad by bylo neúčelné. Společnost AEC pro nás představovala neznámou firmu, tím byla zajištěna nestrannost.

Orientace v prostředí společnosti Analýza současného stavu oblasti definované řadou norem ISO/IEC 27 000 Zdroje informací: Revize interní dokumentace klienta Interview s vybranými zaměstnanci Anonymní dotazníky Technické testy Revize smluv klienta (třetí strany, NDA, zaměstnanci) Revize fyzické bezpečnosti Výstup: identifikované zranitelnosti, vypracovaná sada doporučení

Prvotní kroky Na základě závěrů Analýzy současného stavu Penetrační testy vhodný doplněk Analýzy současného stavu Bezpečnostní politika a návazná bezpečnostní dokumentace Testování uživatelů metodami sociálního inženýrství Školení uživatelů elearningový portál

Dlouhodobá spolupráce Služby externího bezpečnostního správce: Příprava a realizace školení informační bezpečnosti Příprava a realizace pravidelných technických testů Analýza logů a dalších auditních záznamů Pravidelná aktualizace dokumentace a ověření shody s praxí Analýza a zpracování bezpečnostních incidentů Kontrola dodržování bezpečnostních pravidel zaměstnanci Pravidelné přezkoumání rizik Roční zpráva pro management Operativa: Posouzení návrhu Wi-fi sítě, VPN, ověření nastavení uživatelských notebooků,

Navazující kroky Komplexní audity stěžejních IS Penetrační testy interní, externí, web. aplikací Audity používaných technologií servery, síťové prvky Modelování hrozeb Ad hoc poradenství Připravenost rychle reagovat na nenadálé události

Impulsy: Reakce na nenadálé události Významný bezpečnostní incident, zásadní změna legislativy, přírodní katastrofa, Limitující faktory: Omezený čas na reakci výběrové řízení čas ještě prodlouží Důkazní materiál zapůjčený policií ČR partner zná prostředí, souvislosti

Možná úskalí z pohledu zákazníka Zodpovědně přistoupit k Analýze současného stavu nezakrývat skutečnost Interní IT vs. Outsourcované IT outsourcované nemusí mít zájem nechat si koukat pod prsty Negativní vnímání zaměstnanců bezpečnost vs. uživatelský komfort Sledování bezpečnostních trendů

Hlavní přínosy spolupráce pro nás Zajištění bezpečnostního manažera IT externě. Možnost vyžádání ad hoc vyjádření (instalace wifi, VPN, atd.) Zvýšení uvědomělosti v oblasti IT bezpečnosti u zaměstnanců i u představenstva. Skutečně ze života: provázanost školení se zjištěními skutečnostmi na bázi sociálního inženýrství.

Děkujeme za pozornost. Vojtěch Szaló, Jan Poduška vszalo@ote-cr.cz jan.poduska@aec.cz 16. února 2011? PROSTOR PRO OTÁZKY