Zabezpečení cloudové infrastruktury



Podobné dokumenty
Všeobecné požadavky na systém analýzy nebezpe í a stanovení kritických kontrolních bod (HACCP) a podmínky pro jeho certifikaci

ČÁST TŘETÍ ŘÍDICÍ A KONTROLNÍ SYSTÉM HLAVA I POŽADAVKY NA ŘÍDICÍ A KONTROLNÍ SYSTÉM

Sbírka zákonů ČR Předpis č. 473/2012 Sb.

3.6 Elektronizace odvětví: sociální služby, pojištění, dávky, sociálně- právní ochrana dětí

O b s a h : 12. Úřední sdělení České národní banky ze dne 1. října 2001 k využívání outsourcingu bankami

STANDARD 3. JEDNÁNÍ SE ZÁJEMCEM (ŽADATELEM) O SOCIÁLNÍ SLUŽBU

HODNOTÍCÍ STANDARDY pro hodnocení kvality a bezpečí poskytovatele lůžkové zdravotní péče

ORGANIZAČNÍ ŘÁD ŠKOLY

Návrh individuálního národního projektu. Podpora procesů uznávání UNIV 2 systém

Program rovného zacházení provozovatele distribuční soustavy Pražská plynárenská Distribuce, a.s., člen koncernu Pražská plynárenská, a.s.

Analýza stavu implementace a řízení projektů SA

INFORMAČNÍ SYSTÉM O AREÁLU

Standardy a definice pojmů bezpečnosti informací

Hodnoty a Etický Kodex Skupiny Pirelli

ZVLÁŠTNÍ PODMÍNKY PRO PRIVATE CLOUD (PCC) Verze ze dne

Česká zemědělská univerzita v Praze Fakulta provozně ekonomická. Obor veřejná správa a regionální rozvoj. Diplomová práce

MĚSTO BROUMOV třída Masarykova 239, Broumov

Odůvodnění veřejné zakázky dle 156 zákona. Odůvodnění účelnosti veřejné zakázky dle 156 odst. 1 písm. a) zákona; 2 Vyhlášky 232/2012 Sb.

9. Jednání, vyhodnocování a individuální plán ochrany dítěte Kritérium standardu 9a) - informuje klienta o postupech

Příspěvky poskytované zaměstnavatelům na zaměstnávání osob se zdravotním postižením Dle zákona č. 435/2004 Sb., o zaměstnanosti, v platném znění.

MĚSTO BENEŠOV. Rada města Benešov. Vnitřní předpis č. 16/2016. Směrnice k zadávání veřejných zakázek malého rozsahu. Čl. 1. Předmět úpravy a působnost

Kritéria zelených veřejných zakázek v EU pro zdravotnětechnické armatury

18. VNITŘNÍ ŘÁD ŠKOLNÍ DRUŽINY

PŘÍLOHA 5 SMLOUVY O PŘÍSTUPU KE KONCOVÝM ÚSEKŮM. Bezpečnost, ochrana majetku a osob

VNITŘNÍ ŘÁD ŠKOLNÍ DRUŽINY

Rámcový rezortní interní protikorupční program

Pravidla. používání Národního elektronického nástroje při realizaci zadávacích postupů prostřednictvím národního elektronického nástroje

Všeobecné podmínky provozu sběrných míst kolektivního systému Eltma

účetních informací státu při přenosu účetního záznamu,

SBÍRKA ZÁKONŮ. Ročník 2016 ČESKÁ REPUBLIKA. Částka 10 Rozeslána dne 28. ledna 2016 Cena Kč 210, O B S A H :

-1- N á v r h ČÁST PRVNÍ OBECNÁ USTANOVENÍ. 1 Předmět úpravy

Sbírka zákonů ČR Předpis č. 27/2016 Sb.

27/2016 Sb. VYHLÁŠKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ ČÁST DRUHÁ

Metodická pomůcka pro hodnotitele

Česká školní inspekce Královéhradecký inspektorát INSPEKČNÍ ZPRÁVA. Čj. ČŠIH-906/15-H. Krupkova 1411, Kostelec nad Orlicí

VLÁDA ČESKÉ REPUBLIKY. Příloha k usnesení vlády ze dne 13. února 2013 č Stanovisko

Česká školní inspekce Středočeský inspektorát INSPEKČNÍ ZPRÁVA. Čj.: ČŠIS-128/11-S. Mateřská škola Červený Újezd, okres Praha-západ

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 505 EXTERNÍ KONFIRMACE OBSAH

ISA 402 ZVAŽOVANÉ SKUTEČNOSTI TÝKAJÍCÍ SE SUBJEKTŮ VYUŽÍVAJÍCÍCH SLUŽEB SERVISNÍCH ORGANIZACÍ

VZDĚLÁVACÍ PROGRAM PRO SOCIÁLNÍ PRACOVNÍKY

PRACOVNÍ SKUPINA PRO OCHRANU ÚDAJŮ ZŘÍZENÁ PODLE ČLÁNKU 29

Čl. 1. Úvodní ustanovení. Čl. 2

Změny dispozic objektu observatoře ČHMÚ v Košeticích

Odůvodnění veřejné zakázky. Přemístění odbavení cestujících do nového terminálu Jana Kašpara výběr generálního dodavatele stavby

Město Horní Bříza. Čl. 1 Úvodní ustanovení

ODŮVODNĚNÍ VEŘEJNÉ ZAKÁZKY Dostavba splaškové kanalizace - Prostřední Bečva a Horní Bečva, zhotovitel, dle vyhlášky č. 232/2012 Sb.

OBEC HORNÍ MĚSTO Spisový řád

Česká školní inspekce Středočeský inspektorát INSPEKČNÍ ZPRÁVA. Č. j. ČŠIS-2460/10-S. Želivského 805, Kolín IV

KA01 ŘÍZENÍ ŠKOLY OBECNÉ PRÁVNÍ PŘEDPISY V PRAXI ŠKOLSTVÍ. PaedDr. Jan Mikáč. 1 poznámka

Využití EduBase ve výuce 10

PŘÍRUČKA K PŘEDKLÁDÁNÍ PRŮBĚŽNÝCH ZPRÁV, ZPRÁV O ČERPÁNÍ ROZPOČTU A ZÁVĚREČNÝCH ZPRÁV PROJEKTŮ PODPOŘENÝCH Z PROGRAMU BETA

Zodpovědné podniky Dotazník pro zvýšení informovanosti

Směrnice č. 2/2014 INTERNÍ PROTIKORUPČNÍ PROGRAM DRÁŽNÍHO ÚŘADU. *crdux007p1zx* Aktualizace květen 2016

Příloha č. 54. Specifikace hromadné aktualizace SMS-KLAS

rové poradenství Text k modulu Kariérov Autor: PhDr. Zdena Michalová,, Ph.D

227/2000 Sb. ZÁKON ČÁST PRVNÍ ELEKTRONICKÝ PODPIS

Česká republika Ministerstvo práce a sociálních věcí Na Poříčním právu 1, Praha 2. vyzývá

Č.j.: VP/ S 67/ V Brně dne 28. června 2001

Vymezení poloz ek způ sobily ch ná kládů meziná rodní ch projektů ná principů LA pro rok 2017

Národní mnohostranné fórum České republiky pro elektronickou fakturaci

Pravidla poskytování pečovatelské služby (PS) (pro zájemce a uživatele PS)

ICT plán školy 2015/2016

Popis realizace poskytování sociální služby

LIFTMONT CZ, s.r.o. Profil společnosti.

POPIS REALIZACE POSKYTOVÁNÍ SOCIÁLNÍCH SLUŽEB Sociální rehabilitace Třinec

. 4 NÁRODNÍ CENA KVALITY

VNITŘNÍ ŘÁD ŠKOLNÍ DRUŽINY

Domov pro seniory sv. Pavla, Kozlerova 791/II. Rokycany

Popis realizace sociální služby Keramická dílna Eliáš. Poslání. Hlavními cíli naší dílny jsou

Domov pro seniory Horní Stropnice

PROGRAM PRO POSKYTOVÁNÍ DOTACÍ Z ROZPOČTU KARLOVARSKÉHO KRAJE ODBORU KULTURY, PAMÁTKOVÉ PÉČE, LÁZEŇSTVÍ A CESTOVNÍHO RUCHU

Zásady přidělování obecních bytů (včetně bytových náhrad) Městské části Praha 5

POZVÁNKA NA MIMOŘÁDNOU VALNOU HROMADU

Č.j.: 13877/ Popis vzájemného vztahu mezi realizovanou veřejnou zakázkou a plánovaným cílem.

Informace veřejného sektoru zdroj surovin pro informace a znalosti ve firmě

SMĚRNICE PRO ORGANIZACI A ZABEZPEČENÍ BEZPEČNOSTI A OCHRANY ZDRAVÍ PŘI PRÁCI A POŽÁRNÍ OCHRANY

Manažerské shrnutí ex-ante evaluace OP Zaměstnanost

Informace o naší organizaci

Ukázka knihy z internetového knihkupectví

Zaměstnání a podnikání, hrubá a čistá mzda.

Pravidla. pro uskutečňování Programu podpory českého kulturního dědictví v zahraničí v oblasti lektorátů a Krajanského vzdělávacího programu

Standardy kvality. Číslo registrace Není těžké milovat člověka zdravého a krásného, avšak jen velká láska se dovede sklonit k postiženým.

Společná deklarace o práci na dálku vypracovaná evropskými sociálními partnery v pojišťovnictví

KLÍČE KE KVALITĚ (METODIKA II)

Ústavní sociální služby pro osoby s postižením v Moravskoslezském kraji

ZNAK ČERVENÉHO KŘÍŽE, JEHO OCHRANA A UŽÍVÁNÍ

Informace pro provozovatele směnárenské činnosti

Nabídka vzdělávacích seminářů

Prohlášení o aplikaci zásad správy a řízení společnosti ČEZ, a. s., obsažených v Nejlepší praxi pro společnosti obchodované na Varšavské burze 2016

Metodické doporučení MPSV č. 2/2010 pro postup orgánů sociálně-právní ochrany dětí při případové konferenci

EXTRAKT z české technické normy

Návrh. VYHLÁŠKA č...sb., ze dne ,

N á v r h VYHLÁŠKA. ze dne 2007, o zdokonalování odborné způsobilosti k řízení motorových vozidel

AKTUALIZACE DLOUHODOBÉHO ZÁMĚRU AMU NA ROK 2016

PRAVIDLA pro umisťování mobilních zařízení na veřejných prostranstvích města Písku

PRAVIDLA PRO PŘIDĚLOVÁNÍ BYTŮ V MAJETKU MĚSTA ODOLENA VODA

Kroky k rovnému odměňování

ODŮVODNĚNÍ VEŘEJNÉ ZAKÁZKY

DODATEK Č. 2 KE SMLOUVĚ O DÍLO MKDS STŘÍBRO Č. 20/HIO/2011

Transkript:

Zabezpečení cloudové infrastruktury SOUHRNNÝ POPIS STRATEGIE Společnost Microsoft si dobře uvědomuje, že zabezpečení a ochrana osobních údajů jsou nezbytnými předpoklady pro získání zákaznické důvěry v cloud computing a maximálního využití jeho potenciálu. Tento popis strategie diskutuje otázky související s vytvořením důvěryhodného prostředí pro cloudové služby, zabývá se opatřeními společnosti Microsoft v oblasti zabezpečení a ochrany osobních údajů před možnými riziky a popisuje technologickou platformu, díky které naše cloudová infrastruktura může plnit naše závazky a pomáhá našim zákazníkům naplňovat jejich potřeby v oblasti předpisů.

Problematika zabezpečení cloudu Cloud computing přináší výzvy i příležitosti pro IT oddělení, která chtějí využívat výhod příznivé nákladovosti a provozní flexibility modelu online služeb. Rostoucí vzájemná provázanost veřejných a privátních služeb, komplexní globální legislativní povinnosti a stále vyšší dokonalost útoků vedou k požadavkům, aby hostingová prostředí implementovala robustní zásady a procesy ochrany citlivých informací a umožňovala trvalé plnění předpisů. Již více než 15 let společnost Microsoft nabízí řešení následujících problémů při poskytování online služeb: Rostoucí vzájemná provázanost Organizace a jejich zákazníci budou na sobě při využívání cloudu stále více závislí. S těmito novými závislostmi přicházejí také vzájemná očekávání, že platformní služby a hostované aplikace budou dostatečně zabezpečené a dostupné. Společnost Microsoft nabízí důvěryhodnou infrastrukturu, tedy jakousi základnu, na které mohou subjekty z veřejného i privátního sektoru stavět důvěryhodná řešení pro své uživatele. Společnost Microsoft aktivně spolupracuje s těmito skupinami a vývojářskými komunitami, aby podpořila implementaci procesů řízení rizik orientovaných na zabezpečení. Komplexní globální legislativní požadavky Regulatorní, statutární i oborové předpisy a normy představují vysoce složitou oblast, protože každá země má vlastní zákony, podle kterých se řídí poskytování a používání online prostředí. Společnost Microsoft musí být schopna plnit velké množství legislativních povinností, protože provozuje datová centra v různých zemích a nabízí online služby zákazníkům na celém světě. Kromě toho má své vlastní jedinečné požadavky také řada oborů lidské činnosti. Společnost Microsoft proto vytvořila platformu, která zajišťuje efektivní plnění nejrůznějších legislativních povinností bez zbytečné zátěže pro samotné podnikání. Dynamičtější hostitelská prostředí Pro provozování efektivního zabezpečení je nezbytným předpokladem schopnost držet krok s růstem a předvídat budoucí potřeby. Nejnovější vlna změn přinesla rychlý přechod k virtualizaci a rostoucí využívání strategie Software-plus-služby společnosti Microsoft, která kombinuje výkon a možnosti počítačů, mobilních zařízení, online služeb a podnikového softwaru. Nástup cloudových platforem pak umožňuje vývoj zákaznických aplikací nezávislými výrobci a jejich následné hostování v cloudu společnosti Microsoft. Microsoft udržuje silná interní partnerství mezi týmy poskytujícími zabezpečení, produkty a služby a vytváří tak důvěryhodné cloudové prostředí odolávající neustálým změnám. Zvyšující se dokonalost útoků Zatímco obyčejní útočníci se stále spoléhají na nejrůznější techniky včetně domain squattingu či útoků přes prostředníka, objevují se také propracovanější útoky s cílem získat osobní údaje či blokovat přístup k citlivým obchodním datům, na které se pak váže organizovaný černý trh se zcizenými informacemi. Společnost Microsoft těsně spolupracuje s orgány činnými v trestním řízení, oborovými partnery a výzkumnými skupinami, aby lépe chápala a dokázala reagovat na neustále dokonalejší a rozvíjející se rizika. Sada principů Microsoft Security Development Lifecycle pak implementuje opatření k zabezpečení a ochraně osobních údajů již v raných fázích a po celou dobu vývojového procesu. Proces řízení rizik Kromě důsledného plnění požadavků našeho systému správy zabezpečení informací také provádíme pravidelné roční vyhodnocení procesu řízení rizik, který podrobně zkoumá vyvíjející se rizika v prostředí i v celém odvětví. Disponujeme specializovaným týmem odborníků, kteří studují potenciální rizika, kalkulují potenciální ohrožení provozu a určují možné ohrožení společnosti Microsoft. Tým řízení rizik vyhodnocuje efektivitu implementovaných opatření na základě těchto faktorů: Identifikace ohrožení a slabých míst v prostředí Kalkulace rizika Informování o rizicích napříč cloudovým prostředím společnosti Microsoft Reakce na rizika na základě vyhodnocení jejich možného dopadu a souvisejícího negativního vlivu na chod systému Testování efektivity nápravných opatření a zbytkových rizik Řízení rizik na trvalé bázi Tento proces nám umožňuje soustředit naše úsilí na vysoce hodnotné cíle a následně aplikovat odpovídající opatření s cílem chránit naše zákazníky i sami sebe. Organizace a jejich zákazníci budou na sobě při využívání cloudu stále více závislí. 2

Důkladná ochrana Komplexní ochrana je osvědčený postup a zároveň představuje přístup, který jsme zaujali napříč všemi našimi online službami a infrastrukturou. Aplikace vícevrstvých kontrolních opatření vyžaduje implementaci ochranných mechanismů, vytvoření strategií omezujících dopad rizik a zajištění bezprostřední reakceschopnosti na útoky. Využití většího počtu bezpečnostních měřítek o různé síle (v závislosti na citlivosti chráněného aktiva) vede ke zvýšení kapacity pro předcházení průniků či omezení dopadu bezpečnostních incidentů. Při nasazení nové služby do našich datacenter pečlivě vyhodnocujeme a zabýváme se každou součástí daného softwarového řešení od fyzických opatření zabraňujících neoprávněnému přístupu k zařízení přes šifrování dat přenášených sítí, uzamčení hostitelských serverů a neustálou aktualizaci antimalwarové ochrany po zajištění, aby i aplikace samotné obsahovaly odpovídající ochranné mechanismy. Udržování dostatečně široké základny kontrolních opatření a strategie důkladné ochrany zajišťuje, že pokud by jakákoli oblast selhala, existují dostatečné ochranné prvky, které toto selhání kompenzují a v jakékoli situaci umožní udržení zabezpečení a ochrany osobních údajů. Zabezpečení jako základ Zabezpečení aplikací představuje klíčový element přístupu společnosti Microsoft k zabezpečení svého prostředí pro cloud computing. Důkladné bezpečnostní postupy implementované vývojářskými týmy společnosti Microsoft byly v roce 2004 formalizovány do procesu nazvaného Security Development Lifecycle (SDL). Proces SDL představuje vývojářskou metodologii plně integrovanou do cyklu vývoje aplikace od návrhu po reakci na případné ohrožení. Jednotlivé fáze procesu SDL zdůrazňují vzdělání a školení a také určují, že každá fáze vývoje softwaru musí zahrnovat odpovídající specifické aktivity a procesy. Počínaje fází konkretizace požadavků proces SDL zahrnuje celou řadu specifických aktiv, které je třeba zvážit při vývoji aplikací, jež mají být hostovány v cloudu společnosti Microsoft. Jedním z klíčových kroků je model ohrožení a analýza možných cílů útoků, kdy vyhodnocujeme potenciální rizika a jaké aspekty služby mohou být ohroženy útokem, a následně minimalizujeme možné cíle útoků prostřednictvím omezení počtu běžících služeb či zablokováním funkcí, které nejsou nezbytné pro chod daného řešení. Pozdější fáze vývoje poté zajišťují, aby tato kontrolní opatření byla plně otestována a byla schopna minimalizovat dopad případných rizik a zákazníci tak mohli mít důvěru v kvalitní zabezpečení používané služby. Reakce na bezpečnostní incidenty Důležitou součástí bezpečnostních funkcí od společnosti Microsoft jsou naše procesy podpory a reakce. Tým Security Incident Management (SIM) nepřetržitě reaguje na jakékoli problémy, jakmile k nim dojde. Procesy fungování týmu SIM se řídí specifikacemi ISO/IEC 18044 a NIST SP800 61. Proces reakce týmu SIM na bezpečnostní incidenty je tvořen šesti fázemi: Příprava Členové týmu SIM jsou neustále zaškolováni, aby byli vždy připraveni reagovat na nejnovější bezpečnostní incidenty. Identifikace Zjištění příčiny incidentu, záměrného i náhodného, často znamená jeho vystopování přes několik vrstev prostředí cloud computing společnosti Microsoft. Tým SIM spolupracuje se členy ostatních interních týmů v rámci společnosti Microsoft na diagnostice původu každého bezpečnostního incidentu. Kontrola Jakmile je nalezena příčina incidentu, tým SIM spolupracuje se všemi ostatními nezbytnými týmy, aby byl incident pod kontrolou. Specifický postup závisí na obchodním dopadu daného incidentu. Omezení Tým SIM koordinuje úsilí příslušných týmů pro produkty a služby, aby bylo omezeno riziko možného opakování daného incidentu. OBRÁZEK 1: KOMPLEXNÍ OCHRANA FYZICKÝ PŘÍSTUP SÍŤ SPRÁVA IDENTIT A PŘÍSTUPU ZABEZPEČENÍ HOSTITELE APLIKACE DATA Obnovení Ve spolupráci s ostatními relevantními skupinami tým SIM asistuje při procesu obnovení fungování postižené služby. 3

Poučení Po vyřešení bezpečnostního incidentu se členové týmu SIM scházejí se všemi zainteresovanými stranami k vyhodnocení situace, která nastala, a zaznamenání zjištění a poučení vyplývajících z procesu reakce na daný incident. Druhou oblastí reakce je komunikace s orgány činnými v trestním řízení. Součástí programu Global Criminal Compliance (GCC) je vytváření zásad a poskytování školení pro proces reakce definovaný společností Microsoft. Program GCC také reaguje na legitimní právní žádosti o informace. V rámci programu GCC v mnoha zemích vystupují právní zástupci, kteří ověřují a v případě potřeby překládají žádosti. Jedním z důvodů, proč je mnoha mezinárodními úřady program GCC považován za nejlepší reakční program, je skutečnost, že nabízí portál, který v několika jazycích poskytuje orgánům činným v trestním řízení pomoc s podáním právní žádosti o součinnost společnosti Microsoft při vyšetřování. Ucelená funkční základna pro zajištění dodržování předpisů Prostředí online služeb společnosti Microsoft musí splňovat mnohé zákonné či oborové bezpečnostní požadavky nad rámec vlastních specifikací definovaných přímo společností Microsoft. Ruku v ruce s trvalým růstem a změnami v online podnikání společnosti Microsoft a představováním nových online služeb v cloudu společnosti Microsoft je možné očekávat další požadavky, které mohou zahrnovat různé oborové či národní standardy zabezpečení dat. Tým Operational Compliance sdružuje aktivity provozních, produktových a servisních skupin a spolu s interními i externími auditory zajišťuje, že společnost Microsoft dodržuje všechny relevantní standardy a legislativní požadavky. Jedním z úspěchů vyplývajících z implementace tohoto programu je, že cloudová infrastruktura společnosti Microsoft dosáhla atestů SAS70 70 Type I a Type II, certifikace ISO/IEC 27001:2005 a standardu FISMA NIST SP800-53 Revision 3. Obrázek 4 (na poslední stránce) shrnuje nejdůležitější certifikace a atesty, kterých společnost Microsoft dosáhla k prosinci 2010. Součástí funkční základny pro zajištění dodržování předpisů je proces založený na standardu ISO 27001. Tento proces je tvořen fázemi plánování, realizace, kontroly a reakce. Microsoft pravidelně monitoruje změny ve statutárních a regulatorních požadavcích a příslušně upravuje svou základu pro zajištění dodržování předpisů a časový plán auditování. I když infrastruktura společnosti Microsoft získala celou řadu oborových certifikací a atestů, v konečném důsledku jsou za dodržování zásad, postupů a předpisů zodpovědní samotní zákazníci. Společnost Microsoft není zodpovědná za poskytování těchto certifikací zákazníkům a jejich dodržování či nedodržování, pomáhá však zákazníkům v jejich plnění. Ruku v ruce s trvalým růstem a změnami v online podnikání společnosti Microsoft a představováním nových online služeb v našem cloudu je možné očekávat další požadavky, které mohou zahrnovat různé oborové či národní standardy zabezpečení dat. OBRÁZEK 2: PROCES MICROSOFT SECURITY DEVELOPMENT LIFECYCLE ŠKOLENÍ POŽADAVKY NÁVRH IMPLEMENTACE OVĚŘENÍ VYDÁNÍ REAKCE + Základní školení + Analýza rizik zabezpečení a ochrany osobních údajů + Definice kvalitativních měřítek + Model ohrožení + Analýza možných cílů útoků + Určení nástrojů + Vynucené zakázání funkcí + Statická analýza + Dynamické/fuzz testování + Ověření modelů ohrožení/možných cílů útoků + Reakční plán + Závěrečná kontrola zabezpečení + Archivace vydané verze + Realizace reakce 4

OBRÁZEK 3: ZÁKLADNA PRO ŘÍZENÍ DATACENTER SPOLEČNOSTI MICROSOFT 01. Obecné informace 02. Zabezpečení informací 03. Organizace zabezpečení informací 04. Správa aktiv 05. Zabezpečení lidských zdrojů 06. Fyzické zabezpečení a zabezpečení prostředí 07. Správa komunikací a provozu 08. Řízení přístupu 09. Pořizování, vývoj a údržba informačních systémů 10. Správa informačních bezpečnostních incidentů 11. Správa kontinuity chodu podniku 12. Řízení rizik 13. Dodržování předpisů 14. Ochrana osobních údajů DOMÉNY STRUKTURA Doména Subdoména Cíl řízení Související standard (externí požadavek na dodržování předpisů) Vzorová kontrolní aktivita Vzorová testovací aktivita Kontrolní základna Zákazníci vyhodnocující cloudové služby společnosti Microsoft se často ptají, jak je ve skutečnosti strukturována naše funkční základna pro zajištění dodržování předpisů. Definovali jsme několik domén či oblastí, které jsou informovány podle standardu ISA/IEC 27001:2005 a dalších specifických oborových specifikací, jako je například Payment Card Industry Data Security Standard (Standard zabezpečení dat o platebních kartách) a standard FISMA NIST SP800 53 Revision 3. Struktura kontrolní základny závisí na tom, jak namapujeme tyto domény na konkrétní aktivity, které s nimi souvisejí. Můžeme například vzít každou z těchto domén, určit kontrolní aktivity a vlastníky těchto aktivit a poskytnout specifické informace demonstrující, že plníme tyto aktivity a cíle kontrolních domén. Tato struktura a proces umožňuje nezávislým auditorům pracovat s přehledným plánem od kontrolních domén směrem k aktivitám a průkazným informacím. Kromě toho nám tato základna umožňuje sledovat jednotlivé požadavky a sdělovat zákazníkům a interním týmům, jak plníme jednotlivé specifické požadavky. Můžeme se například podívat na kontrolovanou doménu a strukturu kontrolovaných aktivit a zaměřit se na konkrétní požadavky zákazníků v oblasti zdravotní péče. Případně také můžeme vysledovat konkrétní cíl kontroly, jako například školení, a namapovat jej zpět na konkrétní potřebu. Příkladem může být třeba požadavek na školení na základě standardu ISO/IEC 27001:2005 a zákona Sarbanes-Oxley. Důležité faktory zabezpečení a ochrany osobních údajů při výběru poskytovatele online služeb Nejpřísnější kontrolní opatření společnosti Microsoft v oblasti zabezpečení, ochrany osobních údajů a zajištění plnění předpisů pomáhají zákazníkům získat jistotu a důvěru v námi poskytované online služby. Při vyhodnocování možností a výběru online služeb je důležité, aby do výběrových kritérií byla zahrnuta také schopnost poskytovatele těchto služeb zajistit chráněné, důvěryhodné prostředí. Následující kontrolní seznam může pomoci při vyhodnocování schopností potenciálního poskytovatele online služeb v oblastech zabezpečení, ochrany osobních údajů a dodržování předpisů: Požadujte, aby poskytovatel disponoval nezávislými certifikacemi a audity, jako je například ISO/IEC 27001:2005. Zvažte schopnost poskytovatele reagovat na měnící se požadavky na zabezpečení a plnění předpisů. Seznamte se se specifickými národními a oborovými předpisy, které je nutné plnit. Ujistěte se, že dobře chápete role a zodpovědnosti za zabezpečení a plnění předpisů z hlediska poskytovaných služeb. Přesvědčte se, zda je možné v případě potřeby přenést data a služby zpět do vašeho vlastního prostředí. Požadujte transparentnost zásad zabezpečení a provozu. 5

Společnost Microsoft si je jista, že nabízí důvěryhodné cloudové prostředí, které umožňuje veřejným i soukromým organizacím využívat flexibility a ekonomických výhod modelu online služeb a současně zachovat robustní zabezpečení a ochranu osobních údajů, jakou vyžaduje jejich podnikání. Další informace o bezpečné cloudové infrastruktuře společnosti Microsoft naleznete na webu na adrese www.globalfoundationservices.com. OBRÁZEK 4: CERTIFIKACE A ATESTY DATACENTER SPOLEČNOSTI MICROSOFT K PROSINCI 2010 ISO 27001 SAS 70 Type II HIPAA/HITECH Různé oblastní, národní a mezinárodní zákony na ochranu osobních údajů (95/46/EC či Evropská směrnice na ochranu dat, kalifornský zákon SB1386 atd.) CI Data Security Standard FISMA Certification & Accreditation 2011 Microsoft Corporation. Všechna práva vyhrazena. Tento dokument slouží pouze k informativním účelům. SPOLEČNOST MICROSOFT NEPOSKYTUJE NA INFORMACE UVEDENÉ V TOMTO PŘEHLEDU ŽÁDNÉ VÝSLOVNĚ UVEDENÉ ANI IMPLICITNĚ PŘEDPOKLÁDANÉ ZÁRUKY. Microsoft je registrovaná ochranná známka společnosti Microsoft Corporation ve Spojených státech amerických a v dalších zemích. Uvedené názvy dalších produktů nebo společností mohou být ochrannými známkami vlastníků těchto známek.

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář