DSM 2015/1

2015 1

Hlavní téma: Zákon o kybernetické bezpečnosti, datová centra, cloud computing a monitoring sítí

VYŠLO: 12.3.2015

Články označené prošly odborným recenzním řízením. Články označené firemním logem jsou komerčními prezentacemi.

Obsah článku zobrazíte kliknutím na jeho název

Petr Hampl - Úvodník DSM

Petr Hampl
Spoluzakladatelka národního CSIRT České republiky hovoří o změnách, které přináší zákon o kybernetické bezpečnosti, o práci týmu rychlé reakce, měnících se hrozbách a mentalitě uživatelů. Poměrně obsáhle se věnuje také tomu, jak stavět podnikový CSIRT a jaké faktory jsou kritické k tomu, aby tým fungoval správně, efektivně a za podpory vedení organizace. Stručně představuje projekt FENIX umožňující snížit dopad záplavových útoků vedených ze zahraničí a zamýšlí se nad tím, jak by měla být vymezena a rozdělena odpovědnost za kybernetickou bezpečnost.

Rozhovor s Michalem Čupou

Petr Hampl
Jeden z nejzkušenějších vrcholových manažerů se v rozhovoru pro DSM zabývá rolí intuice při rozhodování o investicích do technologií a zejména do bezpečnosti informací. Hovoří také o tom, jaká by měla být role CIO při tvorbě a naplňování podnikové strategie a jak je s touto rolí slučitelná koncepce cloud computingu. Závěrečná část rozhovoru je věnována roli CISO, rizikům souvisejícím s chováním uživatelů a hledání optimální pozice, kdy jsou data dostatečně zabezpečena, ale nikoli na úkor efektivity práce uživatelů.

Prováděcí předpisy k zákonu o kybernetické bezpečnosti - část I.

Vladimír Smejkal
V posledních dnech loňského roku byly vydány ve Sbírce předpisů prováděcí předpisy k zákonu č. 181/2014 Sb., o kybernetické bezpečnosti. Text popisuje subjekty a jejich povinnosti vyplývající z prováděcích předpisů k zákonu. Zabývá se vymezením kritické informační infrastruktury a významných informačních systémů. Vymezuje dopadová určující kritéria a přináší řadu tabulek, které přehledně uvádí subjekty a jejich povinnosti vymezené zákonem.

ISO 27018: První mezinárodní standard ochrany osobních údajů pro cloud

Lenka Suchánková
Článek se zabývá normou zveřejněnou v prosinci loňského roku. Shrnuje základní požadavky a vymezuje její vztah k regulačnímu rámci EU. Rozděluje požadavky a zásady do několika kategorií (obecný rámec, lidské zdroje, šifrování apod.) a dále probírá přílohu A obsahující klíčové zásady pro ochranu osobních dat v cloudu. Další část textu se zabývá tím, jakým organizacím je norma určena, jak se projeví v různých odvětvích a kdy lze očekávat první audity podle zmíněné normy.

Zajištění provozní bezpečnosti datového centra Českých Radiokomunikací

Martin Souček
Text popisuje budování datového centra a věnuje se zejména zajištění provozní bezpečnosti. Vymezuje, pro jaké zákazníky je centrum určeno, jaké požadavky na dostupnost z toho vyplývají a co k tomu říká relevantní norma. Dále podrobně popisuje opatření v následujících oblastech: způsob napájení a konektivita, zajištění teploty, ochrana proti požáru a vodě a záložní zdroje energie. Závěrečná část článku se věnuje pravidelným revizím, systematickému postupnému zlepšování a procesům podpory, servisu a dohledu. Pozornost je také věnována normě vydané Uptime Institute LLC pro zajištění různých úrovní bezpečnosti datového centra.

Řešení pro monitoring síťového provozu na portálu Seznam.cz

Tomáš Dědek, Eva Neduchal Podskalská
Případová studie z největší české internetové společnosti popisuje společnost z pohledu síťové infrastruktury, popisuje výchozí situaci, shrnuje hlavní požadavky zákazníka a ukazuje základní alternativy řešení, které se nabízely. Dále představuje zvolené řešení založené na produktech FlowMon společnosti INVEA-TECH a popisuje implementaci ve dvou datových centrech. Závěrečná část je věnována hodnocení a výčtu přínosů.

Forenzní analýza nad SIEM

Jiří Slabý
Ukázkové nasazení (fiktivní případová studie) popisuje vyšetřování úniku informace o kreditní kartě v herní společnosti s využitím modulu pro Forenzní analýzu nad SIEM. Text vysvětluje, jak podobné moduly fungují a krok za krokem rozebírá šetření umožňující zpětně sledovat pohyb informací o kreditních kartách všemi kanály. Součástí článku je i popis konkrétních výstupů z forenzního modulu, včetně tabulek a obrazovek.

Explozívne roly

Ivan Noris, Radovan Semančík
Článok začína popisom problémov tradičných prístupov riadenia prístupu na základe rolí (RBAC), ktoré vedú k explózií počtu rolí. Pokračuje krátkym popisom hybridných RBAC modelov a ich aplikáciou na riešenie týchto problémov. Článok poskytuje relatívne podrobnú prípadovú štúdiu multi-tenantného systému pre samosprávy. V tomto projekte bol na správu identít využitý hybridný RBAC model, čo viedlo k jednoduchému a elegantnému riešeniu.

Data advokátů v cloudu

Václav Stupka
Příspěvek se zabývá dopady nedávného rozhodnutí Městského soudu Praha, které do určité míry zpochybnilo nedotknutelnost klientských informací uchovávaných advokátem v datovém úložišti provozovaném poskytovatelem služby. Text se zabývá povinností mlčenlivosti, úpravou domovních prohlídek a rolí České advokátní komory. Detailněji popisuje situaci, k níž se soud vyjadřoval, a stanovisko soudu. Druhá polovina článku se zabývá důsledky pro využívání cloudu advokáty. Ukazuje zejména, které aspekty popisovaného případu jsou specifické a které představují obecnější vyjádření k celé záležitosti.

IP adresa jako nový osobní údaj?

Pavel Mates, Vladimír Smejkal
Článek se zabývá vymezením toho, co může a nemůže být považováno za osobní údaj, zejména otázce IP adres. V první části se věnuje měnící se definici osobního údaje v souvislosti a nástupem různých nových technologií, zejména Internetu. Pozornost je věnována hlavně tomu, jak postupně přibývá údajů, na základě kterých je možné identifikovat konkrétní osobu. Druhá část článku je věnována internetovým a IP adresám. Autoři se věnují relevantnímu rozsudku Evropského soudního dvora a diskutují, zda je možné jeho zásady aplikovat na IP adresy.

RUBRIKY
- Virová stránka
- Normy a publikace
- Společnosti
- Právní rubrika
- Management summary

Zpátky...