Cloud computing a bezpečnost - PDF

Description
VI. konference ČIMIB Cloud computing a bezpečnost 21. června 2011 Hotel Continental, Brno Aktuálne právne normy SR a ČR Ing. Peter Valkovič, CME PRIVATBANKA a.s. Nastavenie podmienok poskytovania sluţieb

Please download to get full document.

View again

of 15
All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
Information
Category:

Documents

Publish on:

Views: 298 | Pages: 15

Extension: PDF | Download: 0

Share
Transcript
VI. konference ČIMIB Cloud computing a bezpečnost 21. června 2011 Hotel Continental, Brno Aktuálne právne normy SR a ČR Ing. Peter Valkovič, CME PRIVATBANKA a.s. Nastavenie podmienok poskytovania sluţieb CC je ako majstrovstvo namiešať z desiatok komponentov nie len dobrý kokteil, to dnes uţ nemôţe stačiť, ale prosto povedané vynikajúci kokteil. A preto potrebujeme super správny recept. A tento recept ja fakticky perfektne pripravená Zmluva o CC opretá o reálne platné právne normy (ako komponenty) a špeciálne dochutená best practices. Základné piliere zdravého sedliackeho ropzumu dnes nestačia. Dôveruj ale preveruj - Dvakrát meraj a raz strihaj. Kto druhému jamu kope sám do nej padá. Miešame teda kokteil s cieľom WIN-WIN Aktuálne právne normy SR a ČR Najčastejšou príčinou narušenia dôvernosti, integrity a predevšetkým dostupnosti údajov, celom svojom ţivotnom cykle, ktoré sú teda v cloude uloţené a sluţieb, ktoré cloud nad týmito údajmi poskytuje, sú najmä: personálna bezpečnosť - chyby samotných zamestnancov, ktorí nedodrţujú bezpečnostné predpisy, chovajú sa nezodpovedne, chyby samotných aplikácií, bez dôsledného testovania na známe zraniteľnosti sú presunuté do cloudu, tieto spravidla neboli vyvíjané pre prácu v CC, fyzická aj personálna bezpečnosť poskytovateľov CC - zlyhanie bezpečnosti u poskytovateľa (Failure in Provider Security) útok iného uţívateľa (Attacks by Other Customers) informačná bezpečnosť vo vnútri CC (jeden nepodarený server napadnutý malware), zabezpečenia oneskorenia sieťových paketov cez internet, Ochrana osobných údajov, Dostatok výpočtových zdrojov aj pri paralelnom behu veľmi náročných výpočtov, Zabezpečenie vysokej dostupnosti zdrojov aspoň z dvoch geograficky oddelených a dostatočne vzdialených lokalít, Súlad so SOX (Sarbanes-Oxley) a iných štandardov, best practices, Hrozba monokultúry unifikovaných OS (typicky Microsoft) mohutné dávka opravných balíčkov môţu poloţiť sluţby CC, Hrozba unifikovaného hardware, Korektné licencovanie software v CC prostredí (garancie vyţadovať zmluvne od dodávateľa SW) Zabezpečiť výhodné financovanie software, Zabezpečiť detailnú špecifikáciu pojmov BCM kritické systémy, kritické funkcie, časové horizonty RPO, RTO, MTO, mnimálna úroveň akceptovaných sluţieb, Prevádzka sluţieb 24x7x365, alebo 8x5, 12x5 zákon č. 513/1991 Zb., OBCHODNÝ ZÁKONNÍK, EULA (End User License Agreement) zákon č.618/2003 Z.z. Autorský zákon - v SR (sa riadi legislatívou štátu, kde je CC a DC dislokovaný Írsko, Kanada, Anglicko, Sibír, Washington) Usmernenie NBS č.6/2004 Z.z. o outsourcingu bankami zákon č.428/2002 Z.z. o ochrane osobných údajov, údaje identifikujúce fyzické osoby, súlad musí zabezpečiť poskytovateľ CC a zákazník, zákon č.215/2004 Z.z. o ochrane utajovaných skutočností, zákon č.301/1995 Z.z. o rodnom čísle, zákon č.483/2001 Z.z. o bankách, zákon č. 22/2004 Z. z. o elektronickom obchode, Usmernenie NBS č.39/2004 Úseku bankového dohľadu NBS (7/2004) k overeniu bezpečnosti informačného systému banky a pobočky zahraničnej banky, Fyzická bezpečnosť DC CC stavebný zákon Ekologická bezpečnosť DC CC - VYHLÁŠKA MŢP SR č.315/2010 Z.z. o nakladaní s elektrozariadeniami a s elektroodpadom, Zákon č.610/2003 Z.z. o elektronických komunikáciách, Výnos MF SR č / o štandardoch pre informačné systémy verejnej správy Metodický pokyn 87/2008 k výnosu Ministerstva financií Slovenskej republiky č. MF/013261/ o štandardoch pre informačné systémy verejnej správy Zákon č. 275/2006 Z. z. o informačných systémoch verejnej správy, posledná novela č.570/2009 Z.z. Základné normy v pôsobnosti Národného bezpečnostného úradu sú Nariadenie vlády č.216/2004 Z.z. ktorým sa ustanovujú oblasti utajovaných skutočností, niektoré vyhlášky NBÚ upravujúce ochranu utajovaných skutočností, Vyhláška NBÚ č.325/2004 Z.z. o priemyselnej bezpečnosti, Vyhláška NBÚ č.331/2004 Z.z. o personálnej bezpečnosti a o skúške bezpečnostného zamestnanca, Vyhláška NBÚ č.336/2004 Z.z. o fyzickej bezpečnosti a objektovej bezpečnosti, Vyhláška NBÚ č.337/2004 Z.z. ktorou sa upravujú podrobnosti o certifikácii mechanických zábranných prostriedkov a technických zabezpečovacích prostriedkov a o ich pouţívaní, Vyhláška NBÚ č.338/2004 Z.z. o administratívnej bezpečnosti, Vyhláška NBÚ č.339/2004 Z.z. o bezpečnosti technických prostriedkov a Vyhláška NBÚ č.340/2004 Z.z. ktorou sa ustanovujú podrobnosti o šifrovej ochrane informácií. Pre ČR sú to najmä: Zákon č.101/2000 Sb. o ochrane osobných údajov Zákon č.21/1992 Sb., o bankách, (bankové tajomstvo) Vyhláška ČNB č.123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních a úvěrních druţstev a obchodníků s cennými papíry, ÚŘEDNÍ SDĚLENÍ ČNB k outsourcingu bankami Zákon č.277/2009 Sb. o pojišťovnictví Zákon č.127/2005 Sb. o elektronických komunikáciách Iné normy a Best Practices Sarbanes-Oxley (SOX) Sarbanes Oxley Act, škandál okolo fy Enron bol dôsledkom vzniku zákona vydaného Kongresom Spojených štátov amerických v roku 2002 a má veľmi významnú platnost u organizácií, ktoré síce podliehajú legislatíve Spojených štátov, ale musia sa ním i v našom prostredí (rozumej ČR+ SR) riadiť rad globálne pôsobiacich spoločností. Security Guidance for Critical Areas of Focus in Cloud Computing (2009) Assessing the Security Risks of Cloud Computing (2008) Gartner Hype Cycle for Cloud Computing (2009) Gartner Sada noriem ISO/IEC Information Security Management Systems ISMS celosvetovo najrozšírenejší štandard, model na zostavenie, implementáciu, prevádzku, monitorovanie, revíziu a zlepšovanie ISMS (kreuje sa od roku 2005), Niektoré zdroje Guidelines on Outsourcing (CEBS); 2006; Outsourcing in Financial Services; Joint Forum (JF); 2005; Sound Practices for the Management and Supervision of Operational Risk; (BCBS); 2003; ce Základné články dobrej Zmluvy o CC Základné ustanovenia Pojmy Predmet plnenia Miesto plnenia Platnosť zmluvy a termíny plnenia Spôsob plnenia Cena plnenia Platobné podmienky Práva a povinnosti zmluvných strán Riešenie sporov Zmluvné pokuty Záverečné ustanovenia Prílohy Dobrá zmluva detailne stanovuje všetky pojmy, práva a povinnosti, časové a vecné rámce, hodnoty pre BCP/DRP, spôsob riešenia sporov. Draft zmluvy je moţné poţiadať u autora. Dobrá zmluva obsahovo môţe mať aj viac ako 50 strán. Teraz sa rozídeme do svojich alchymistických dielní a začneme miešať vlastné receptúry... Ďakujem za pozornosť, podnety prijímam:
Related Search
We Need Your Support
Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

Thanks to everyone for your continued support.

No, Thanks