DSM 2013/4

Hlavní téma: Bezpečnost systémů státní správy; bezpečnost platebních systémů.

 VYŠLO: 4.12.2013

ROZHOVOR S MARTINEM SMITHEM
[článek na straně 6]
Petr Hampl
S psychologem specializovaným na otázky informační bezpečnosti jsme hovořili o tom, proč navzdory masivním investicím do technologií dochází tak často k únikům informací, jak motivovat zaměstnance, aby se chovali bezpečně, proč „policejní“ mentalita bezpečnostních manažerů tak často selhává a také jsme se věnovali připravované evropské direktivě o informační bezpečnosti.

ZAMYŠLENÍ JOSEFA SIKYTY
[článek na straně 10]
Profesionál s téměř 20letou zkušeností z oblastí objektové a majetkové bezpečnosti vzpomíná, jak se ze „slaboproudých zařízení“ postupně staly IT periferie, a lituje toho, že útvary informační a fyzické bezpečnosti dosud rozděluje odlišná mentalita i neochota spolupracovat.

ROZHOVOR S JIŘÍM JIRKOU
[článek na straně 11]
Petr Hampl
Hrozí českému IT v budoucnu kolaps způsobený tím, že vysoké školy nedodají dostatek použitelných expertů? Jaké jsou dosavadní výsledky a perspektivy programu Digitální Česko? Je myslitelné, že IT centrálních úřadů převezme společné středisko sdílených služeb? Proč se tolik úřadů řídí při nákupu velkých systémů výhradně cenou a jaké to má důsledky? Na tyto a další otázky odpovídal náměstek ministra průmyslu pro ekonomiku Jiří Jirka.

DOPADY ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI NA POVINNÉ OSOBY
[článek na straně 14]
Vladimír Rohel
Článek informuje o momentálním stavu přípravy zákona o kybernetické bezpečnosti a vysvětluje základní filozofii zákona (technologická neutralita, maximální využití existujících norem, minimalizace státního donucení atd.). V další části pak rozebírá povinnosti, které mohou vzniknout třem typům subjektů: provozovatelům kritických informačních systémů, významných informačních systémů a dalších informačních systémů. Objasňuje také roli vládního CERTu a národního CERTu a možnost vyhlášení stavu kybernetického nebezpečí.

JAK JE TO SE ZÁKONEM O KYBERNETICKÉ BEZPEČNOSTI
[článek na straně 18]
Vladimír Smejkal
Text vysvětluje, jak zákon vzniknul, jaké záměry k jeho vytvoření vedly, a upozorňuje na některé úskalí: Používání odlišné terminologie než další zákony zabývající se stejnou oblastí, přesun definice některých povinností provozovatelů systémů do prováděcí vyhlášky a nedostatečná koordinace s vládním usnesením, kterým budou definovány prvky kritické infrastruktury.

KYBERNETICKÁ BEZPEČNOST A ARCHITEKTURA SYSTÉMŮ
[článek na straně 22]
PR ICZ
Text upozorňuje, že jednotlivá izolovaná bezpečnostní opatření nemusí být dostatečná, a zdůrazňuje nutnost uceleného přístupu, který se projevuje již v architektuře systémů. Navrhuje architekturu, která oddělí back-end informačního systému od části připojené k síti internet. V závěru představuje některé technické možnosti, jak toto oddělení realizovat.

BEZPEČNOSTNÍ TESTY PLATEBNÍCH APLIKACÍ
[článek na straně 24]
Jan Mészáros, Radek Šichtanc
Autoři ukazují, v čem se testování platebních aplikací liší od běžného penetračního testování, a podrobněji se zaměřují na testy tří oblastí: internetového bankovnictví, mobilního bankovnictví a platební brány pro internetové obchody. V závěrečné části se věnují různým obranným nástrojů a mechanismům, které mohou poskytovatelé finančních služeb v reakci na zjištění z testů uplatnit.

VIRTUÁLNÍ ČIPOVÁ KARTA
[článek na straně 30]
Pavel Dobiš (PR Sefira)
Virtualizace čipové karty významně snižuje riziko její ztráty nebo zneužití. Text provádí srovnání klasické čipové a virtuální čipové karty z různých aspektů, popisuje architekturu virtuální čipové karty a vysvětluje možnosti co do generování a správy certifikátů.

PRAKTICKÉ POZNÁMKY K NASAZOVÁNÍ NÁSTROJŮ PRO DETEKCI PRŮNIKU
[článek na straně 32]
Roman Mikeš
První část textu se zabývá nejčastějšími chybami, k jakým při nasazování nástrojů pro detekci a zabránění průniku (IPS/IDS) dochází. Pokračuje postřehy o správném ladění nasazeného IPS/IDS tak, aby bylo zachyceno maximum útoků při minimu falešných poplachů. Dále se autor zaměřuje na zasazení IPS/IDS do celkové bezpečnostní architektury a na společné vyhodnocování informací o dění v sítích z různých zdrojů.

SYSTÉM ŘÍZENÍ BEZPEČNOSTI INFORMACÍ VERZE 2013
[článek na straně 37]
Luděk Novák
Článek se zabývá novými verzemi norem ISO/IEC 27001 a ISO/IEC 27002, které vstoupily v platnost v říjnu. Popisuje hlavní změny proti předchozí verzi z roku 2005 a ukazuje, že nově jsou normy praktičtější, méně byrokratické a že byla zaplněna některá bílá místa (zejména bezpečnost vývoje). V závěru jsou shrnuty podmínky přechodu na novou normu a recertifikace.

KDY A PROČ OUTSOURCOVAT BEZPEČNOSTNÍHO MANAŽERA
[článek na straně 40]
Jaroslav Lom (PR Eset)
Obsadit post bezpečnostního manažera, nebo si ho „pronajmout“ odjinud? Při hledání odpovědi na tuto otázku je nejprve rozebrána role Chief Information Security Officer a definovány nároky na osobu, která ji bude zastávat. Dále se diskutuje o různých variantách sloučení s jinou pozicí a shrnují se hlavní přínosy outsourcingu této činnosti.

NELEGÁLNÍ ODPOSLECH V GSM SÍTÍCH
[článek na straně 42]
Ivan Junek, Michal Kašík
Vzhledem k tomu, že protokoly standardu GSM jsou podrobně popsány a šifry již byly prolomeny, roste riziko neoprávněného odposlechu hovorů a SMS přenášených v mobilních telekomunikačních sítích. Text vysvětluje technické principy aktivních odposlechů, semiaktivních odposlechů (man-in-the-middle) a pasivních odposlechů. Konstatuje, že největší nebezpečí je spojeno se semiaktivními odposlechy, a ukazuje některé možnosti, jak takové odposlechy detekovat a lokalizovat.

Virová stránka
[článek na straně 45]

Normy a publikace
[článek na straně 46]

Právnická rubrika  
[článek na straně 50]

Články na stranách 14−15, 20−25 a 38−44 prošly odborným recenzním řízením redakční rady DSM.