Bezpečnost

Příspěvek se zaobírá problematikou zavádění Business Continuity Planning, jež si klade za cíl zachování kontinuity podnikání i v případě krizových situací. Referát se mimo jiné opírá i o informace a zkušenosti získané v rámci absolvování mezinárodní letní „Business continuity„ školy.

Současná doba se jednoznačně prezentuje neustále narůstajícím počtem vnějších i vnitřních útoků na počítače a počítačové sítě s cílem získání citlivých dat a zneužít ovládnutý počítač pro další útoky. Většina útoků je cílených a zaměřuje se především na státní správu a samosprávu, bezpečnostní složky, finanční sektor, zdravotnictví, průmyslové podniky a radiotelekomunikace. Vzhledem k této situaci je už prostě nezbytně nutné urychleně ochránit počítače, počítačové sítě a především data v nich uložená proti různým typům útoků a hlavně proti neoprávněnému přístupu. Vybrané technologie musí splnit kromě vysoké bezpečnosti i další požadavky včetně provozní odolnosti a možnosti řešení krizových situací, které mohou nastat. Existují už moderní technologie a produkty, které splňují tyto vysoké požadavky. V základu se jedná o kombinaci implementace řešení na bázi hardwaru, softwaru, služeb a vypracování potřebných procesů.

Současný výskyt a dopad nových globálních hrozeb žádá nové přístupy k procesům, sloužícím potlačení, eliminaci a odstranění těchto hrozeb během jejich funkčních a průvodních životních cyklů. Tyto procesy jsou mnoha typů: preventivní, pohotovostní, připravenostní, tréninkové, modelové, simulační, analytické, odhadovací, hodnotící, manažerské, prováděcí, průpravné, zásahové, výkonné, forenzní a jiné. Tato situace signalizuje problém priority nikdy nekončícího krizového managementu a bezpečnostního výzkumu, jež musí vyvinout, implementovat a užívat přesnější a předpověditelnější kvantitativní a kvalitativní racionální ukazatele chování krizových domén, účastníků a aktérů. Takové chování potřebuje nové schopnosti řídících/regulačních/hodnotících procesů, systémů, osob a organizací, jež ve své práci a činnostech úspěšně a efektivně využívají krizový/ nouzový/ katastrofický management. Nové chování vztažných entit v lidských společenstvech potřebuje nové přístupy při hodnocení, analyzování a zhodnocení hrozeb, rizik, ohrožení, nebezpečí a risku. To je úkol autora tohoto článku i v programu bezpečnostního výzkumu Evropské komise - EC FP 7 projekt “CAST” [2]. Modelování a simulace hodnocení rizika v životních cyklech teroristických hrozeb přinese nové vhledy na problém a bude předvedena a dramatizována v živé PowerPoint prezentaci, které bude promítnuta v Praze.

ISDS představuje nový způsob komunikace, kde stále více nabývá na významu to, abychom jako uživatelé dokázali svá citlivá osobní data chránit. Datové schránky si zaslouží obdobnou ochranu, na jakou jste již dnes zvyklí třeba v internetovém bankovnictví. Tím správným nástrojem pro vás je "Bezpečný klíč", který je kombinací digitálních certifikátů PostSignum a bezpečného úložiště v podobě USB tokenu.

V tomto příspěvku se zaměřím na problematiku kvality dat datových skladů (DS), z pohledu jejího procesního zabezpečení, která je nutným předpokladem předcházení rizik manažerského rozhodování.Na kvalitu dat v DS má vliv jednak způsob jejich kontroly již ve fázi pořizování, tak proces ETL (Extraction Transformation Load) dat do DS. V neposlední řadě pak i jejich identifikace při tvorbě DS. Na závěr bude uvedeno procesní doporučení jak kvalitu dat v DS zabezpečit, včetně auditu DWH.

O potřebě identifikace a ohodnocení krizových rizik pro zpracování krizových plánů nemůže být sporu, analýza rizik je předepsána platnou legislativou. Jak to ale prakticky nejlépe provést? Jak nezůstat u intuice a přitom se nezamotat do problému a neutopit v detailech, parametrech a číselných hodnotách, jejichž interpretace v reálné praxi je sporná? Jak se zorientovat v desítkách různých metodik a produktů pro analýzy rizik, z nichž valná většina je pro daný účel nevhodná? Autor nabízí nenáročné, avšak účinné řešení na bázi metodiky FRAP v aplikaci na informační systémy, které tvoří prvky kritické infrastruktury.

Anotace

S využitím internetu se neustále zvyšuje i zranitelnost firemních sítí, a to vinou dvou nejběžnějších faktorů v podobě poruch softwaru a chyb v konfiguraci. Jste si jisti, že jsou všechny Vaše pracovní stanice a servery vybaveny poslední aktualizací bezpečnostních programů, že jsou stále nastaveny v souladu s místní firemní bezpečnostní politikou a že Vaši uživatelé nepoužívají neschválené aplikace? A co Vaše off-line virtuální obrazy? A to nejdůležitější – jste schopni dokázat, že je vše v pořádku? Co se stane při auditu?
Cílem „patch managementu“ (správa bezpečnostních záplat) je najít rovnováhu mezi rizikem narušení bezpečnosti, náklady a rizikem přerušení činností spojeným s častými a rychlými změnami softwarových aplikací či systémových konfigurací. „Patch management“ společně s integrovanými antivirovými a antispywarovými programy poskytují účinnou a spolehlivou ochranu před vysoce komplexními viry, trojskými koni a malwary, které se v současné době objevují.
Účelem místních bezpečnostních zásad je správa konfigurace kritických bezpečnostních nastavení, identifikace slabých míst, dodržování požadavků vyplývajících z nově vznikajících právních předpisů, snížení nákladů a rizika narušení.
V tomto článku se budeme zabývat tzv. „vulnerability managementem“ (řízení rizik bezpečnosti informačních systémů), jenž napomáhá podnikům a společnostem při dodržování zákonných požadavků, automatizaci procesů, snižování nákladů a minimalizaci rizika narušení.

Příspěvek se zabývá auditem havarijního plánování a havarijních plánů (DRP), důvody a postupy.
Stejně jako „DRP“ může mít význam plánu, plánování nebo reakce na situaci, může „audit DRP“ znamenat shromažďování a vyhodnocování důkazů o dokumentu plánu (vč. postupu, jak se k němu dopracovat), nebo o jeho použití. Zjednodušeně řečeno: buď audit dokumentu, nebo audit činnosti, dokumentem popsané. Pochopitelně nejlepším auditem obojího je i zde praxe, o níž si všichni svorně myslíme, že k ní nedojde.
DRP jako dokument jsme rozebírali v předchozích ročnících konference. Jeho audit se zaměřuje na existenci (rozsah a obsah) a funkcionalitu (použitelnost) v krizových situacích. DRP jako činnost je auditována obvykle formou řízených diskusí („naslepo“), nebo cvičných situací. Po reálných situacích nehovoříme o auditu, ale o hodnocení zásahu.
V příspěvku se pobírá postup co – podle čeho (scénář) – jak – předpokládané výsledky – skutečné výsledky – auditorský závěr.
Diskutují se jednotlivé kroky auditu, vychází se z normové situace i nejlepší praxe.

Bezpečnost občanů Jižního Města v duchu projektu „Bezpečné Jižní Město“ představuje jednu z hlavních pilířů městské části Praha 11. V důsledku tohoto nelehkého úkolu reagují jednotlivé bezpečnostní složky na aktuální bezpečnostní situace v území. Důležitým prvkem veškerých těchto aktivit je na straně jedné proaktivní typ řízení jako nezbytný prvek minimalizující možná rizika. Na straně druhé lze poukázat již na konkrétní projekty směrem ke všem občanům. Jedním z těchto projektů k podpoře bezpečnostní situace jako takové je i představovaná „Bezpečnostní mapa území městské části Praha 11“. Jedná se o vizuální podobu rizikových míst na území městské části Praha 11. Své podoby se tak ve spolupráci s mnoha zainteresovanými subjekty včetně občanů dočkaly nejrizikovější lokality s důrazem na bezpečnost jako celek.

Vizuální podoba bezpečnostní mapy Praha 11 je řešena pomocí geografického informačního systému MISYS, který pracuje se vzájemně provázanými grafickými a popisnými informacemi. Podkladovou vrstvu tvoří různé grafické podklady (např. katastrální mapa, technická mapa, ortofotomapa, územní plán aj.) pro území celého hlavního města Prahy. Samotné prvky bezpečnostní mapy jsou kresleny v poznámkovém výkresu. Ten umožňuje nad libovolnou kombinací vektorových i rastrových grafických podkladů jednoduchou formou zakreslit základní grafické elementy, kterými jsou body, označené symboly, texty, linie a plochy.

Součástí obsahu bezpečnostní mapy Prahy 11 jsou základní informace o jednotlivých oblastech kriminality či jiných bezpečnostních rizik. Jednotlivé listy podkladové mapy představují konkrétní základové vrstvy zaměřené na určité zájmové oblasti jako je doprava, kriminalita, přehled bezpečnostních složek, kamerové systémy, sociální problematika, praktické informace pro občany atd. Tyto jednotlivé zájmové oblasti dále obsahují již konkretizující specifické podoblasti zaměřené již na určitou odpovídající bezpečnostní a problémovou oblast (nebezpečné komunikace, nebezpečné přechody, černé skládky, problémové bytové a nebytové objekty, výskyt osob bez domova, rizika požárů, vandalismus atd.).

Projekt bezpečnostní mapy byl již ve stručnosti představen na tiskové konferenci v prostorách Magistrátu hlavního města Prahy pod názvem „Bezpečné Jižní Město“. V tuto chvíli představuje MČ Praha 11 jedinou městskou částí, která se tímto projektem do takové hloubky a v takové kvalitě zabývá.

Virtualizace, konsolidace a „cloud computing“ – to jsou moderní trendy, přinášející úspory a flexibilitu v provozu IT. Ale jak v takovém „neohraničeném“ prostředí zajistíte bezpečnost informací, přístupu k nim, „compliance“? A jak vůbec zjistíte, kde se vlastně Vaše citlivá data skutečně nacházejí?
RSA Security přináší řešení v oblasti šifrování, bezpečné autentizace, ochrany identit, security monitoringu (SIEM) i vyhledání a ochrany citlivých informací (DLP, Data Loss Prevention).

Na poli budování systémů řízení informační bezpečnosti (ISMS) je hojně využíváno mezinárodních standardů řady ISO/IEC 27000 jako nejlepší vžité praxe. Nikdo nepochybuje o kvalitě a účinnosti takto vybudovaných a řízených systémů pro informační bezpečnost. I když standardy ISO/IEC 27000 pokrývají všechny potřeby informační bezpečnosti, současný management a praktici řízení rizik stále hledají nové možnosti, jak dále ISMS zabezpečit a zefektivnit.
Toho je možné dosáhnout adopcí specifických částí z dalších mezinárodních standardů. Tato práce se zabývá společnou implementací ISO/IEC 27000, ISO/IEC 20000 (Řízení služeb v IT) a EN ISO 9001 (Systémy managementy kvality). Budou identifikovány a na praktických příkladech demonstrovány oblasti z obou dalších norem, jejichž adopce do ISMS přispěje, jak již bylo řečeno, k jeho vyšší efektivitě a bezpečnosti.

Uživatelé patří mezi elementy, které vnášejí do informačního systému řadu významných hrozeb a zranitelností. V praxi se denně setkáváme s vážnými incidenty, které mít na organizaci nemalý negativní dopad, ať již přímo finančně vyčíslitelný nebo "pouze" na její dobré jméno.

V přednášce se pokusíme nastínit typické profily uživatelů s důrazem na specifické rysy jejich chování. Následně se zamyslíme nad reálnými možnostmi zvládání vyplývajících rizik prostřednictvím vhodně zvolených bezpečnostních opatření implementovaných v prostředí organizace.