DSM 2000/6

Hlavní téma: Management rizik a certifikace bezpečnosti.

 VYŠLO: 08.12.2000

Interview
Karel Neuwirt, předseda Úřadu pro ochranu osobních údajů, s námi hovořil na téma ochrany osobních dat i o elektronickém podpisu.

Anatomie rizika
RNDr. Viktor Seige, CSc.
Článek se věnuje tématice managementu rizik - s úvodní částí věnovanou chápání pojmu riziko a dále s úkoly zahrnovanými pod obecný pojem "management rizik", tzn. obvykle rizika rozeznat, kvantifikovat, stanovit priority, navrhnout plán na eliminaci resp. snížení rizik, plán realizovat a rizika dále monitorovat. Nastíněna je i analýza rizik kvantitativními metodami.

Přístupy k analýze informačních rizik organizace I
Ing. David Cón, CISA
Článek se zabývá možnými přístupy k analýze informačních rizik organizace. Analýza rizik by měla být vždy úvodním krokem při budování informační bezpečnosti organizace. Bez důkladného poznání informačních rizik, která společnost ohrožují není možno uspokojivě reagovat vybudováním systému kontrol a tak mohou některá rizika zůstat nepokryta nebo dokonce neidentifikována. Analýza informačních rizik je vhodným, až nutným, úvodním krokem při implementaci bezpečnosti informačních systémů společnosti. Je základem pro správné stanovení požadované úrovně bezpečnosti a definice opatření k zachování bezpečnosti informací.

Analýza bezpečnostních rizik v bankovním systému
Ing. Jiří Ludvík, CISA
Článek se zabývá praktickými aspekty analýzy rizik. Ilustruje klasický postup analýzy - identifikace a určování hodnoty aktiv, identifikace a hodnocení hrozeb, zranitelností a návrh opatření - z pohledu bezpečnostního manažera fiktivní banky postaveného před problém určit bezpečnostní požadavky na budovaný systém elektronického bankovnictví. Ukazuje, že při provádění analýzy rizik je samotný metodický aparát sice nutnou, ale nikoliv postačující podmínkou. Dalšími faktory klíčovými pro úspěch analýzy je zejména komplexní popis všech aspektů systému, interpretace výsledků a skutečné zapojení managementu a pracovníků do klíčových kroků analýzy.

Procesy certifikace technických komponent IT
Ing. Jindřich Pacovský, CSc.
Článek se zabývá praktickými aspekty požadavků na certifikaci informačních systémů. Jsou uvedeny postupy akreditace a certifikace s jejich konkrétními důsledky při vývoji komponent certifikačních center jako infrastruktury pro implementaci elektronického podpisu.

Kritéria hodnocení počítačové bezpečnosti
Ing. Luděk Novák, Ph.D.
Článek popisuje historický vývoj hodnocení bezpečnosti, které hraje důležitou roli při formování bezpečnostních vlastností informačních technologií. Pozornost je soustředěna na normy TCSEC, ITSEC, CTCPEC a FC, u kterých je popsána metoda hodnocení. Největším přínosem je srovnání všech použitých přístupů.

Certifikace kryptografických prostředků a prostředků pro elektronický podpis
Ing. Jaroslav Pinkava, CSc.
Problematika certifikace kryptografických (podpisových) prostředků je z odborného hlediska vysoce náročnou záležitostí. Článek dává určitý přehled obsahového i organizačního řešení problematiky ve světě, zabývá se i současnými trendy při vytváření nových přístupů v této oblasti.

Bezpečnostní požadavky pro kryptografické moduly
Ing. Alena Hönigová
FIPS 140-2 je standard určený pro (americké) federální organizace. Tento standard specifikuje bezpečnostní požadavky, které by měly být pokryty kryptografickým modulem. K zachování důvěrnosti a integrity informací chráněných kryptografickým modulem je nezbytná ochrana tohoto modulu v bezpečnostním systému. Standard popisuje čtyři kvalitativní stupně bezpečnosti, které mají zahrnovat široký okruh potenciálních aplikací a prostředí

Správné řešení není vždy snadné III
Mgr. Milan Kučera
Článek se zabývá projektem datového skladu z pohledu kritických faktorů ovlivňujících negativně chod projektu. Poukazuje na důležitost vhodně definované organizační struktury projektového týmu, předávání know-how na stranu klienta, vztah nákladů na projekt datového skladu v jeho několika iteracích a další zajímavé informace. Poznání z realizace projektů data warehouse jsou promítnuty jako doporučení ke standardní metodice budování data warehouse.

Vnímání informační bezpečnosti uživateli IT
RNDr. Jozef Vyskoč
Na ovlivnění chování uživatelů IS směrem k vyšší bezpečnostní kultuře je možné použít různé manažerské techniky. Pro jejich účinné použití je však výhodnější poznat úroveň vědomostí a vnímání předmětného tématu cílovou skupinou. V příspěvku uvádíme stručnou charakteristiku výsledků našeho průzkumu zaměřeného na získání vzorku poznatků a názorů uživatelů IT na informační bezpečnost a jejich porovnání s názory, které bezpečnostní specialisté očekávají od běžného uživatele IS.

PR – Na návštěvě u servis providerů
Sun Microsystems – Zdeněk Pilz
PR – Bezpečnost v kapse
Bull – Jiří Makalouš
PR – Certifikační autorita I.CA
PVT / I.CA – Zdroj: www.ica.cz