DSM 1

Image
Hlavní téma: Nástroje antivirové ochrany, autentizace, nová verze bezpečnostní normy pro platební karty.
VYŠLO: 11.3.2014

ROZHOVOR S VÍTĚZSLAVEM BOGAČEM
[článek na str.6]
Petr Hampl
S CIO společnosti ČEZ o výzvách, které stojí před podnikovou informatikou, outsourcingu, komoditních službách, zdůvodňování investic do bezpečnosti i tom, kterým změnám bezpečnostní obavy brání. A také o zákonu o kybernetické bezpečnosti i o tom, jaké account manažery mají rádi informatici ČEZu.  

ZAMYŠLENÍ IVANA PILNÉHO
[článek na str.10]
Orgány veřejné správy provozují v současné době 5,5 tisíc informačních systémů. Mnohé byly realizovány na základě zpackaných tendrů, chybných zadání a byly zprovozněny bez pilotního provozu. Výsledkem jsou promarněné miliardy a často i negativní dopady na občany.  

ROZHOVOR S JUVALEM BEN MOŠEM
[článek na str.11]
Petr Hampl
Expert na forenzní zkoumání mobilních telefonů připomíná, že útočníci se mohou dostat do jakéhokoli mobilního zařízení, ale tvrdí, že přesto není třeba mít z nových sledovacích technologií obavu. Zločinci se k nim údajně hned tak nedostanou.

TESTOVÁNÍ NÁSTROJŮ ANTIVIROVÉ OCHRANY
[článek na str.12]
Petr Šnajdr
Autor se v úvodu zabývá obecnějšími problémy testování produktů a služeb IT bezpečnosti, dále diskutuje o shromažďování vzorků škodlivých kódů, na nichž by měly být antiviry testovány, k jakým chybám při tom nejčastěji dochází a co přesně z testů vyplývá. Další část se podrobněji věnuje schopnosti detekce antivirových programů a možnostem, jak sestavit pořadí testovaných produktů. Závěrečná část je věnována testování systémové náročnosti produktů.

AUTENTIZACE 2022
[článek na str.18]
Václav Matyáš
Článek se po úvodní rekapitulaci fundamentálních pojmů v oblasti autentizace uživatelů věnuje rozboru některých zásadních probíhajících a očekávaných změn v oblasti autentizace uživatelů. Dále následuje pokus o rozbor zásadních faktorů s potenciálem budoucího vlivu na to, jakým způsobem bude prováděna autentizace nejen uživatelů, ale i částí systémů reagujících s uživateli.

ZMĚNY V NOVÉ VERZI PCI DSS 3.0. – část I.
[článek na str.22]
Jakub Morávek
Aktuální verze normy Payment Card Industry Data Security Standard vstoupila v platnost na konci loňského roku. Článek vysvětluje, na koho se norma vztahuje, a dále podrobně rozebírá tříletý životní cyklus normy a její aktualizace. Poté postupuje po jednotlivých kapitolách a probírá změny proti minulé verzi – úvodní ustanovení o aplikaci normy, konfigurace firewallů, ochrana uchovávaných dat, šifrování přenosu dat, ochrana proti mallwaru, vývoj systémů a aplikací a omezení přístupu k informacím.

VYUŽITÍ ZAHRANIČNÍCH NOREM PŘI PŘÍPRAVĚ CLOUDOVÝCH ŘEŠENÍ V ORGANIZACÍCH VEŘEJNÉ SPRÁVY
[článek na str.28]
Václav Žid
Jak postupují centrální úřady při hodnocení rizik spojených s přechodem do cloudu? Autor konstatuje, že situaci komplikuje neexistence norem a dalších závazných dokumentů. Je nicméně možné využít zahraničních norem, zejména těch, které jsou určeny pro americké federální úřady. Článek informuje o zdrojích ENISA, programu Cloud First a FedRAMP (řízení rizik). V další části se zaměřuje na popis referenčního modelu a doporučeného způsobu hodnocení rizik.

EVROPSKÁ DIREKTIVA O ELEKTRONICKÝCH PODPISECH A ELEKTRONICKÉ KOMUNIKACI
[článek na str.32]
Martin Vondrouš
Nová direktiva má poskytnout konsistentní legislativní rámec a přispět k využívání elektronických prostředků mezi subjekty z různých států EU. Článek shrnuje stav dosavadní legislativy a zabývá se jednotlivými oblastmi, které návrh směrnice pokrývá – požadavky na elektronické podpisy, požadavky na archivaci, kvalifikované certifikační autority, systémy elektronické identifikace, kvalifikované doručování a ověřování certifikátů webových stránek.

SQL INJECTION – KOMPROMITACE DAT − část I.
[článek na str.36]
Lukáš Antal, Maroš Barabas, Petr Hanáček
Text vysvětluje, jakým způsobem jsou nejčastěji prováděny útoky na webové systémy napojené na databáze. Objasňuje obecný princip SQL injekce a věnuje se čtyřem konkrétním postupům: Zřetězené dotazy, UNION dotazy, Blind SQL Injection a Time based Blind SQL Injection. 

SPRÁVA IDENTIT V SYSTÉMU CZECH POINT S VAZBOU NA ZÁKLADNÍ REGISTRY
[článek na str.40]
Martin Šlancar
Případová studie popisuje procesy a technologickou architekturu decentralizovaného přidělování identit, které umožňuje spravovat 100 tisíc uživatelů systému Czech POINT z 8 tisíc organizací. Dále popisuje Jednotný identitní prostor, zabývá se zadáními vzniklými v souvislosti se zavedením základních registrů a způsobem řešení těchto zadání. Závěrečná část je věnována probíhající synchronizaci dat mezi údaji o uživatelích v jednotném identitním prostoru a údaji o týchž osobách v základních registrech.

Všechny uvedené články, vyjma rozhovorů, prošly odborným recenzním řízením redakční rady DSM.


Vytisknout