Cloud a povinné osoby ze ZKB. Zdeněk Jiříček, Microsoft s.r.o. Aleš Špidla, PwC Czech s.r.o.



Podobné dokumenty
Vzorové analýzy rizik zpracování v cloudu. Zdeněk Jiříček National Technology Officer Microsoft ČR

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

Zajištění kybernetické bezpečnosti cloudových služeb. Zdeněk Jiříček National Technology Officer Microsoft Česká republika

Microsoft a nařízení GDPR. Ladka Poláková Partner Sales Executive Cloud

Novinky v oblasti ochrany aktiv Zdeněk Jiříček National Technology Officer Microsoft Česká republika

Komentáře CISO týkající se ochrany dat

GDPR compliance v Cloudu. Jiří Černý CELA

Jak řešit zpracování osobních údajů v cloudu dle GDPR a nešlápnout vedle. Zdeněk Jiříček National Technology Officer Microsoft ČR

Efektivní provoz koncových stanic

Zabezpečení infrastruktury

Jak ůže stát e trál ě za ezpečit sdíle é služ pro veřej ou správu? Vá lav Koudele & )de ěk Jiříček - Microsoft

System Center Operations Manager

Můžeme mít důvěru v cloudové služby? Zdeněk Jiříček National Technology Officer Microsoft Česká republika

Windows na co se soustředit

Jak Vám partnerské programy pomohou v rozvoji podnikání. Víte, že můžete získat software v hodnotě tisíců USD za zlomek ceny?

Rizika výběru cloudového poskytovatele, využití Cloud Control Matrix

Management System. Information Security Management System - Governance. Testy a audity

Sdílíme, a co vy? Ing. Eliška Pečenková Plzeňský kraj. Ing. Václav Koudele Microsoft

Windows - bezplatné služby pro školy. Jakub Vlček Specialist Microsoft Corporation

Vývojář vs. správce IT

Lukáš Kubis. MSP pro VŠB-TU Ostrava

Dnešní program. Jak síť využít. Přínosy sítě. Nasazení sítě. Proč síť

Novinky v licencovaní a edíciách a ako to súvisí s System Center 2012

Skype for Business 2015

XNA Game Studio 3.1. Tomáš Herceg Microsoft Most Valuable Professional Microsoft Student Partner

300B user authentications each month 1B Windows devices updated. 200B s analyzed for spam and malware. 18B web pages scanned by Bing each month

Cloud nový směr v poskytování IT služeb

Marketingová podpora pro partnery Microsoft

Využití identity managementu v prostředí veřejné správy

Jakub Čermák Microsoft Student Partner

Praha, City Next město nové. generace. Václav Koudele. Strategy architect for public sector. Real Impact for Better Government

Ako hybridný cloud pomáha v praxi poskytovať spoľahlivé a bezpečné služby


Protecting Data in Microsoft Online Services. Studie zpracovaná na základě poptávky Microsoft s.r.o. Zakázka: MICR Verze: 2.

Optimalizace infrastruktury cesta ke kontrole IT. Pavel Salava Specialist Team Unit Lead Microsoft, s.r.o

Jakub Čermák Microsoft Student Partner

Cloudové inovace a bezpečné služby ve veřejné správě

egc snadno a rychle Ing. Zdeněk Jiříček, Ing. Václav Koudele

Jakub Čermák Microsoft Student Partner

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Digitální. transformace. Lubica Kršková, Partner Sales Executive - Disti. René Klčo, Cloud Sales Specialist. Microsoft

Dopady GDPR na design IT Martin Dobiáš, Digital Advisory Services

5 kroků, jak zvýšit bezpečnost uživatelů i dat ve vaší škole

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

Veritas Information Governance získejte zpět kontrolu nad vašimi daty

Sdílené ICT služby a G-cloud v české veřejné správě. Ing. Zdeněk Jiříček, Ing. Václav Koudele

Řešení Technologických center

... abych mohl pracovat tak, jak mi to vyhovuje

GDPR Tipy a triky v cloudu. Zdeněk Jiříček National Technology Officer Microsoft CZ & SK

Digital Dao, Jeffrey Carr

Regulace, cloud a egovernment mohou jít ruku v ruce. Zdeněk Jiříček, National Technology Officer Microsoft CZ/SK

Michal Verner, DAQUAS

Uchopitelná cesta k řešení GDPR

Petr Vlk KPCS CZ. WUG Days října 2016

Jak může pomoci poskytovatel cloudových služeb

Jakým otázkám dnes čelí CIO? Otakar Školoud Chief Information Officer, ALTRON GROUP

Potřebujete mít vaše IS ve shodě s legislativou? Bc. Stanislava Birnerová

Zuzana Sobotková, DAQUAS Petr Vlk, KPCS CZ

Jak na Cloud. Roman Šuk, Microsoft Monika Kavanová, Sales2Win

Stav podnikové bezpečnosti, Globální zpráva Jakub Jiříček, Symantec ČR a SR

Licencování a přehled Cloud Suites

Petr Vlk KPCS CZ. WUG Days října 2016

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Jak urychlit soulad s GDPR využitím cloudových služeb

Jak udržet citlivé informace v bezpečí i v době cloudu a mobility. Jakub Jiříček, CISSP Praha, 27. listopadu 2012

Jak cloudové technologie mohou usnadnit život DPO?

SafeNet ProtectV integration in Cloud environment Adastra Use Case

SharePoint 2010 produktové portfolio a licencování

ANALÝZA RIZIK CLOUDOVÉHO ŘEŠENÍ Z POHLEDU UŽIVATELE. Václav Žid

Distribuované pracovní týmy. Mobilní styl práce. Využití infrastruktury. Struktura IT nákladů

Případové studie a kulatý stůl. Dalibor Kačmář, Microsoft

egc tým Bezpečnost Hodnocení dopadů a zařazování do bezp. úrovní Závazná bezpečnostní opatření pro dodavatele

Tomáš. Kutěj. Technical Solution Specialist Office platform

CLOUD COMPUTING PRO MALÉ A STŘEDNÍ FIRMY

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

Na co se ptát poskytovatele cloudových služeb?

Firemní strategie pro správu mobilních zařízení, bezpečný přístup a ochranu informací. Praha 15. dubna 2015

Seminář Office 365. Tomáš Mirošník a Pavel Trnka COMPUTER HELP, spol. s r.o.

Petr Vlk KPCS CZ. WUG Days října 2016

Cloud Slovník pojmů. J. Vrzal, verze 0.9

IBM SmartCloud Enterprise Igor Hegner ITS Sales

Cloud. Nebo zatím jen mlha? Workshop Day 2011 WG06 Jaromír Šlesinger, CA Technologies Bratislava, 13. október 2011

HP-USS: IT tak, jak potřebujete Karel Kotrba ředitel Enterprise Services HP ČR

Název prezentace 1. Poskytovatel garantovaných služeb NDC včetně kybernetické bezpečnosti ve státní správě

Produktové portfolio


Windows Server Licencování a Ceny Všechny Edice. Petr Špetlík Cloud & Server PTA

Tomáš Kutěj System Engineer Microsoft

Zajištění bezpečnosti privilegovaných účtů

IBM Security. Trusteer Apex. Michal Martínek IBM Corporation IBM Corporation

Aktuality 26. září 2012

Šifrování. Tancuj tak, jako když se nikdo nedívá. Šifruj tak, jako když se dívají všichni! Martin Kotyk IT Security Consultnant

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh nabídky na pronájem IT infrastruktury

Kybernetická bezpečnost MV

AD RMS - přehledně MS. Jan Pilař KPCS CZ MCP MVP MCTS pilar@kpcs.cz

AD RMS - přehledně MS. Jan Pilař KPCS CZ MCP MVP MCTS pilar@kpcs.cz

Hybridní licencování Microsoft. Martin Albrecht & Jana Chrenová

Zabezpečení organizace v pohybu

Transkript:

Cloud a povinné osoby ze ZKB Zdeněk Jiříček, Microsoft s.r.o. Aleš Špidla, PwC Czech s.r.o. 1

2

Stavba cloudových služeb Microsoftu Služby pro firemní zákazníky Software as a Service (SaaS) Služby pro spotřebitele Hostingové služby partnerů Platform as a Service (PaaS) Infrastructure as a Service (IaaS) Microsoft Global Foundation Services Datacenters Operations Global Network Security 3

Podmínky ochrany osobních údajů a zabezpečení (O365 bez Yammer, Azure Core, CRMOL, Intune) Závazek užití dat pouze pro poskytování služeb Závazek neposkytnutí dat třetím stranám kromě vyjmenovaných situací a procesů Oznámení incidentu Použití dodavatelů Umístění pro uchování dat a jurisdikce smlouvy - EU, zpracování dat možné WW Ochrana osobních ůdajů vrácení / smazání dat, pracovníci, subdodavatelé Vyjmenovaná bezpečnostní opatření (v rozsahu ISO 27001) Závazek pokračovat v certifikacích ISO 27001 a auditech SOC 1 & 2 Příloha 3: Standardní smluvní doložky přesně dle Rozhodnutí Komise 2010/87/EU Povinnosti vývozce, dovozce dat, odpovědnost, spolupráce s regulátorem, dilčí zpracování, povinnosti po ukončení smlouvy Viz nové Online Services Terms se Stand. smluv. doložkami EU 4

Soulad s regulatorními požadavky Horizontální: Zákon o ochraně osobních údajů č. 101/2000 Sb. Zákon o kybernetické bezpečnosti č. 181/2014 Sb. Vertikální: Veřejná správa: Zákon o ISVS č. 365/2000 Sb. Vyhláška o výkonu činnosti bank atd. č. 163/2014 Sb. Viz nové Online Services Terms se Stand. smluv. doložkami EU 5

Soulad cestou standardizace ISO 27001 (vyhl. č. 316/2014 Sb.) 6

VIS pouze odst. (1) KII dále odst (2) b KII dále odst. (2) a, c Zavedení pravidel pro dodavatele pro potřeby řízení bezpečnosti informací Dokumentace smlouvou, jejíž součástí je ustanovení o bezpečnosti informací Microsoft splňuje Podmínkami pro služby online - OST : oddíl Podmínky ochrany osobních údajů a zabezpečení součást písemné smlouvy Pozn. OST = Online Services Terms Smlouva zahrnuje způsoby a úrovně bezp. opatření a vztah odpovědnosti za jejich zavedení a kontrolu Microsoft: OST obsahuje seznam opatření a závazek cert. ISO 27001 Microsoft dá k dispozici povinné osobě: 1. Svoji Bezpečnostní politiku 2. ISO 27001 certifikát (online výpis) 3. ISO 27001 prohlášení o aplikovatelnosti (výčet opatření) 4. ISO 27001 auditní zprávu, a na vyžádání SOC 1 & 2 audit. zprávy Povinná osoba zapracuje do svojí bezpečnostní politiky Pravidelné hodnocení rizik služeb (příp. i před uzavřením smlouvy); Kontroly zavedených bezp. opatření Zhodnocení řízení rizik nezávislým auditorem, podklady dle Přílohy 2): 1. Metodika hodnocení rizik, funkce, definice proměnných a jejich úrovní 2. Min. seznam hrozeb a zranitelností ( 4) 3. Pravidelnost hodnocení rizik, způsoby schvalování přijatelných rizik 4. Závazek včasného řešení vyšších úrovní výsledných rizik Kontrola účinnosti zavedených bezp. opatření auditními zprávami ISO 27001 a SOC 1 & 2 Type 2 7

Reasonable assurance report on the Microsft s Online Services risk assessment methodology (ISAE 3000) Ověření metodik řízení rizik Office 365 a Azure vůči zák. č. 181/2014 Sb. a vyhl. č. 316/2014 Sb. Report je obecně zaměřen na: 5, odst.2, písm. b zákona - Řízení rizik jako jedno z organizačních opatření 7 vyhlášky- Stanovení bezpečnostních požadavků pro dodavatele 4 vyhlášky - Řízení rizik Předmětem reportu je zejména: Celkový přístup k řízení rizik v cloudu Srovnání metodiky Microsoftu se vzorovou metodikou v Příloze č. 2 vyhlášky - hodnocení rizik, funkce, definice proměnných a jejich úrovní Minimální seznam hrozeb a zranitelností ( 4 odst.4 vyhl. ) Proces hodnocení rizik - pravidelnost a frekvence, způsoby schvalování přijatelných rizik Závazek včasného řešení vyšších úrovní výsledných rizik Podrobné přezkoumání podkladů a porovnání odpovídajících částí s požadavky zákona a vyhlášky Podrobná dokumentace k ISO 27001 Risk Standard Operating Procedures a další 8

Standard - certifikace Office 365 Dynamics CRM Microsoft Azure Windows Intune Yammer GFS (Global Foundation Services infrastruktura datových center) ISO 27001:2013 (+ ISO 27018) Ano Ano Ano Ano Ano Ano (jen ISO 27001) Standardní smluvní doložky EU, ověřen soulad ) Ano Ano Ano Ano Ne Ano EU Safe Harbor Ano Ano Ano Ano Ano Ano PCI DSS (Payment Card Industry Data Sec. Standard) Level 1 v3.0 N/A N/A Ano N/A N/A Ano SOC 1 Type 2 (Service Organization Controls - SSAE 16/ISAE 3402) Ano Ano Ano Ano Ne Ano SOC 2 Type 2 (AT Section 101) Ano Ne Ano Ano Ne Ano UK G-Cloud v6 Ano Ano Ano Yes Ne N/A FedRAMP (US) (Moderate) Ano Ne Ano Ne Ne Ano FERPA (US Education) Ano Ano Ano N/A Ano N/A HIPAA/BAA (US - Healthcare) Ano Ano Ano Ano Ne Ano CJIS (US - Criminal Justice) Ano Ano Ano Ne Ne N/A 9

Ochrana dat v cloudu 10

Protokol SSL/TLS Nově: Perfect Forward Secrecy (PFS) Exchange online podporuje S/MIME, PGP Asymetr. šifra 2048 bit Perfect Forward Secrecy Exchange Online trunk: TLS by default Disky: Bitlocker AES 256 likvidace (NIST 800-88) SP Online, OneDrive Pro: Per-file encryption Azure Key Vault Rights Management Services (RMS) RMS sharing app / SDK S/MIME (e-mail)

Azure možnosti šifrování dat at rest Virtual Machines: Data drives full disk encryption using BitLocker Boot drives BitLocker and partner solutions SQL Server Transparent Data and Column Level Encryption (TDE, CLE) Files & folders - EFS in Windows Server Storage: Bitlocker encryption of drives using Azure Import/Export service StorSimple with AES-256 encryption Applications: Client Side encryption through.net Crypto API RMS Service and SDK for file encryption by your applications 12

Pro zákaznické aplikace Zabezpečený přístup ke klíčům pro šifrování obsahu a pro el. podpis. Aplikace vyvinuté Azure Storage SDK (poslední verze) mohou šifrovat data automaticky, master key je v Key Vault. SQL Server Generování a správa klíčů pro SQL Server TDE, CLE, a Backup Lze pro Azure Virtual Machines i pro SQL Server on-premises See http://azure.microsoft.com/en-us/services/key-vault/ VM s: Azure Disk Encryption Bitlocker pro Windows Server Virtual Hard Drive (VHD) Linux DM-Crypt pro Linux VM s Master key pro CloudLink Secure VM, SafeNet atd. Key Vault 13

SharePoint Online; OneDrive for Biz (folder level) A B C D Office 365 Announcement Microsoft Office Blog Content DB Key Store A B E E C D 14

Shrnutí Povinná osoba: vždy provést analýzu rizik a hodnocení informačních aktiv Microsoft: bezpečnostní opatření a certifikace jsou součástí smluvních podmínek Microsoft: řízení rizik ověřeno PwC (ISAE 3000) Využití cloudu dle zajištění informačních aktiv 15

Děkuji za pozornost! Zdeněk Jiříček National Technology Officer zdenekj@microsoft.com 2015 Microsoft Corporation. All rights reserved. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. 16

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář