DSM 3

Image
Hlavní téma: Výkonnostní metriky informační bezpečnosti a praktické zkušenosti manažerů.
VYŠLO: 24.9.2014

ROZHOVOR SE ZDEŇKEM ADAMCEM
[článek na str. 6]
Petr Hampl
Náměstek ministra zemědělství hovoří o dalších záměrech rozvoje informatiky rezortu včetně možného sdílení zdrojů a dat s dalšími rezorty, např. s životním prostředím. Druhá část rozhovoru je věnována informační bezpečnosti – zásadám pro budování bezpečnostní koncepce, spolupráci mezi útvary informační a fyzické bezpečnosti, schvalování investic a praktickým zkušenostem ze skupiny PPF a Volksbank, kde Zdeněk Adamec dříve působil.

ROZHOVOR S KYRRE SLETSJøE
[článek na str. 10]
Petr Hampl
Význam odposlechů je často podceňován, zejména v malých a středních firmách. Ceny poměrně pokročilých technických zařízení klesly tak, že jsou k dispozici i malým kriminálním skupinám, tvrdí norský expert, který se řadu let zabýval bojem proti terorismu. Proto doporučuje důsledně rozlišovat, jaké informace mohou být předávány telefonem, i za cenu snížení efektivity komunikace. Věnuje se rovněž opatřením, jaká jsou finančně a organizačně dostupná i pro malé firmy a mohou významně snížit rizika.

VÝKONNOSTNÍ METRIKY VE STRATEGIÍCH KYBERNETICKÉ BEZPEČNOSTI
[článek na str. 13]
Václav Žid
První část textu vymezuje hlavní hráče, kteří se zabývají nebo by se měli zabývat zajištěním relativně bezpečného kyberprostoru. Jsou to vlády, které vytváří rámec, a manažeři IT odpovědní za chování jednotlivých organizací a uživatelů. Dále se zabývá posuzováním investic do informační bezpečnosti v organizaci a možnostmi měření přínosu takových investic. Srovnává strategii kybernetické bezpečnosti USA a EU a diskutuje o otázce, zda má být budování informační bezpečnosti ve firmě založeno na metrikách a proč. V závěru jsou probírány různé relevantní dokumenty a jsou formulována doporučení, na kterých stavět při vytváření metrik pro konkrétní organizaci.

NEJČASTĚJŠÍ PROBLÉMY PŘI POUŽITÍ SSL CERTIFIKÁTŮ
[článek na str. 20]
Jindřich Zechmeister
Článek rozebírá nejčastější chyby, jakých se dopouštějí administrátoři při použití bezpečnostních SSL certifikátů. Podrobněji jsou rozebírány následující oblasti: žádost o certifikát a jeho generování, specifika práce v prostředí IIS, řetězení důvěry certifikátů, provoz více domén na jednom serveru, smíšený obsah na webových stránkách, chybějící domény v certifikátu, nedostatečná ochrana vůči zranitelnosti Heartbleed a chybný výběr šifrovacího a podpisového algoritmu. V závěrečné části se pak diskutuje o pro a proti přechodu na protokol SH-2.

KOMPROMITACE DATA POMOCÍ SQL SQL INJECTION – ČÁST III.
[článek na str. 25]
Lukáš Antal, Maroš Barabas, Petr Hanáček
Závěrečná část seriálu se zabývá rizikem kompromitace serveru na úrovni operačního systému. Popisuje dvě konkrétní metody takové kompromitace, kterými jsou MSSQL a funkce xp_cmdshell a MySQL a User Defined Functions. Dále popisuje některé konkrétní možnosti obrany proti takovým útokům nebo alespoň zmírnění následků: využití principu nejnižších privilegií, validaci vstupů na nasazení firewallů třídy WAF (Web Application Firewall).

SYSTEMATICKÝ PŘÍSTUP K ZAJIŠTĚNÍ BEZPEČNOSTI KRITICKÉHO INFORMAČNÍHO SYSTÉMU
[článek na str. 30]
Marek Solařík
Případová studie z prostředí velkého provozovatele kritické infrastruktury s celostátní působností popisuje, jak bylo řešeno zadání zajistit bezpečnost významného systému, který se již nacházel ve finální fázi implementace. Text podrobněji popisuje výchozí situaci, implementaci systematického přístupu, analýzu síťového provozu, návrh bezpečnostních směrnic, nastavení technických zařízení, audit a testování. To vše v rámci PDCA (Plan-Do-Check-Act) cyklu.

VLASTNORUČNÍ DIGITÁLNÍ PODPIS A JEHO IMPLEMENTACE V O2 – ČÁST I.
[článek na str. 36]
Aleš Bernášek
Případová studie popisuje projekt zavedení biometrického podpisu v celé prodejní síti O2. První díl se zabývá vymezením cílů projektu, provedením analýzy dopadů, získáním podpory v rámci organizace, vytvořením funkčních požadavků a organizací výběrového řízení na dodavatele technologie. Dále se popisuje vývoj řešení, jeho technologické principy i právní argumentaci, na které je využívání biometrického podpisu založeno.

ŽÁDANÁ INFORMAČNÍ BEZPEČNOSTI – UTOPIE NEBO REALITA?
[článek na str. 40]
Richard Michálek
Úvodní část textu se zabývá tím, jaké obvykle bývají cíle manažera informační bezpečnosti v organizaci a jaké konkrétní požadavky z toho vyplývají. Dále se řeší možnosti, jak získat podporu u vedení organizace a dosáhnout přidělení finančních prostředků. Uvádí praktické rady pro komunikaci s manažery, kteří o informační bezpečnosti příliš nevědí. Dalšími diskutovanými tématy jsou přidělení odpovědnosti za rizika a možnosti manažera dosáhnout reálného dodržování bezpečnostních směrnic. V závěru jsou zdůrazněny nutnost pozitivního přístupu manažera informační bezpečnosti a význam jeho schopnosti dlouhodobého zaměření na jasné cíle.

RECENZE KNIHY ADVANCED PERSISTENT THREATS: HOW TO MANAGE THE RISK OF YOUR BUSINESS
[článek na str. 40]
Luděk Novák

Všechny uvedené články, vyjma rozhovorů, prošly odborným recenzním řízením redakční rady DSM.


Vytisknout