Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

INFROMAČNÍ BEZPEČNOST A CLOUD COMPUTING Prof. Ing. Jan Čapek, CSc., Ústav systémového inženýrství a informatiky, Fakulta ekonomicko-správní Univerzita.

ZveřejnilAneta Bednářová

Podobné prezentace

Prezentace na téma: "INFROMAČNÍ BEZPEČNOST A CLOUD COMPUTING Prof. Ing. Jan Čapek, CSc., Ústav systémového inženýrství a informatiky, Fakulta ekonomicko-správní Univerzita."— Transkript prezentace:

1 INFROMAČNÍ BEZPEČNOST A CLOUD COMPUTING Prof. Ing. Jan Čapek, CSc., Ústav systémového inženýrství a informatiky, Fakulta ekonomicko-správní Univerzita Pardubice 1 Liberecké informatické fórum 2011 10. a 11. listopadu 2011

2 Informační bezpečnost  Informační bezpečnost představuje komplexní přístup k ochraně informací jako celku.  Jedná se tedy o ochranu informací ve všech jejich formách a po celý jejich životní cyklus – tj.  během jejich vzniku,  zpracování,  ukládání,  přenosu a likvidace. 2

3 Informační bezpečnost  Management firem je s informační bezpečností spojen dvěma vazbami. 1. Marketingová vazba. 2. Vazba neoddělitelnosti informací od řízení i od firemních procesů samotných. 3

4 Informační bezpečnost  Podnikové informace jsou, jak známo, vlasním zdrojem, podobně jako pracovníci nebo peníze.  Nezajištěnost vlastních zdrojů ohrožuje produkci a tím vede k růstu rizik pro společnost samu a k lavinovitému šíření hrozeb do okolního komerčního prostředí. 4

5 Informační bezpečnost  Informační bezpečnost se v neposlední řadě řídí pravidly uznávanými odbornou veřejností, které nazýváme normy nebo standardy.  ISO/IEC 27000, principy a slovník;  ISO/IEC 27001, požadavky na ISMS (resp. BS 7799-2:2004);  ISO/IEC 27002, návody pro zavádění;  ISO/IEC 27003, analýzy rizik (souvisí s ISO 13335-3);  ISO/IEC 27004, metriky a měření;  ISO/IEC 27005, řízení rizik;  ISO/IEC 27006, kontinuita podnikání a obnova po havárii. 5

6 Analýza rizik  Analýza rizik (AR) je klíčovým krokem ve výstavbě informačního bezpečnostního systému  AR odpovídá na otázky:  Co nastane, když nebudou informace chráněny?  Jak může být bezpečnost informací porušena?  Jaká je pravděpodobnost, že to nastane? 6

7 Analýza rizik  Analýza rizik při informační bezpečnosti 7 Hrozby Bezpečnostní mechanismy Bezpečnostní funkce Hodnoty Rizika Aktiva (informace) Zranitelná místa indikují mají ohrožují plní se zvyšují chrání před těží z zvyšují

8 Cloud computing  Cloud computing je metoda přístupu k využití výpočetní techniky, která je založena na poskytování sdílených výpočetních prostředků a jejich využívání formou služby.  Existují nejrůznější modely služeb a možnosti jejich poskytování, ale všem typům cloud computingu je společná schopnost poskytovat prostředky na vyžádání, elasticky, samoobslužně a prostřednictvím přístupu z rozsáhlé sítě a také schopnost měřit spotřebované služby v rámci sdíleného fondu prostředků. 8

9 Cloud computing – cloud services  Služby cloudu můžeme dělit na:  Infrastrukturní služby poskytované v prostředí pro cloud computing, které zajišťují splnění požadavků ustanovených v dohodě o úrovni poskytovaných služeb (např. výkon, dostupnost, uchování dat, zabezpečení, kapacita)  Služby, které umožňují funkčnost prostředí pro cloud computing (např. speciální účtovací software, který zajišťuje, aby v cloudových výpočetních prostředích různé velikosti a s různou úrovní poskytovaných služeb bylo možné vyúčtovat poskytnuté služby)  9

10 Cloud computing – cloud services  Konzultační služby, které pomáhají organizacím při transformaci a přechodu na cloud computing  Aplikační služby poskytované v prostředí pro cloud computing, které nabízejí vývojářům aplikací standardizované aplikační funkce (např. rutiny pro ověřování, vyhledávání, zavádění politik 10

11 Cloud computing  Rimal at all ukazuje, že cloud lze chápat jako superslužbu, tj. poskytování „všeho“ jako službu.  Dále ukazuje, že koncept cloudu jako služby není nový, ale jde o evoluční vývoj různých dřívějších iniciativ, které v době svého vzniku, předběhly vývoj. 11

12 Cloud computing  Připomeňme zde že, pronájem strojového času je znám od vzniku počítačů, systémy klient – server jsou také dlouho známy, virtualizace byly možné již za dob mainframů, atd.  Rimal at all (2011) Rimal B.,P.,Jukan A., Kastros D. and Goeleven Y., Architectural Requirements for Cloud Computing Systems: An Enterprise Cloud Approach. Journal of Grid Computing Volume 9 No 1/ 2011 pp 3-26 ISSN1570-7873 (Print) 1572-9184 (Online) 12

13 13

14 Bezpečnost informací v cloudu  Podle nedávného globálního průzkumu (uskutečněného v květnu 2011) mezi 1200 odpovědnými osobami z USA, Velké Británie, Německa, Indie, Kanady a Japonska (z firem s vice než 500 zaměstnaci) provedeného společností Trend Micro, byla odhalena nejistota a obavy kolem jejich cesty ke cloudu.  TrendMicro [cit. 2011-09-28] www.trendmicro.com/cloud 14

15 Bezpečnost informací v cloudu 15 Má Vaše organizace zkušenosti se selháním bezpečnosti dat v posledních 12 měsících?

16 16 Q: How much do you agree or disagree with the following statements about cloud vendors / cloud computing services? Sdílené ukládání dat je zranitelné bez šifrování Obava se zabezpečením je hlavní důvod, který brzdí přijetí cloud technologie Bude-li garantovaná Dohoda o úrovni poskytovaných služeb (SLA), povede to k využívání služeb Cloud computing Pokud bychom věděli více o tom, jak zajistit naše data v prostředí internetu, zvýšilo by to naše použití cloud služeb Snadné šifrování je důvodem zvážit použití vícecloud služeb / dodavatelů cloud

17 17 Kolem 10% podniků má cloud zavedený, kolem 20 % je v procesu implementace, kolem 20 % má pilotní instalaci, kolem30 % o cloudu uvažuje a zbývajících 10 % o cloudu neuvažuje.

18 18 Šifrování je klíčové opatření při odevzdání dat cloudu

19 Závěr  V prostředí cloudu neexistují klasické hranice mezi tím, co je uvnitř firmy, a tím, co je vně.  Mnoho služeb doposud fungujících v rámci instituce je přesunuto (outsourcováno) jiným subjektům a čím dál větší část obchodních procesů se tak odehrává v prostředí internetu. A to je, jak známo, z pohledu bezpečnosti mnohem složitější, než interní podniková síť. 19

20 Závěr  I když se do datových úložišť ukládají zašifrované informace, tak ty se před zpracováním musí odšifrovat, protože se v šifrované podobě nemohou dále zpracovávat, to může být jeden ze zdrojů úniku.  Dalším důvodem tohoto stavu je, že poskytovatel služby nemůže příjemci služby zabezpečit fyzickou kontrolu nad jeho daty, které si ukládá v cloudovém úložišti. 20

21 Závěr  Z hlediska informační bezpečnosti však není ještě vše vyřešeno. I když je již založena nezisková organizace Cloud Security Alliance (CSA), která se snaží do cloud computingu zavést všeobecně závazné normy, kterými by se museli poskytovatelé řídit, výsledky jsou zatím malé.  CSA je tvořena výrobci bezpečnostních řešení, nezávislými experty a poskytovateli cloudových služeb.  http://www.cleverandsmart.cz/cloud-computing- bezpecnost-v-cloudu-a-rizika/ 21

22 22

Stáhnout ppt "INFROMAČNÍ BEZPEČNOST A CLOUD COMPUTING Prof. Ing. Jan Čapek, CSc., Ústav systémového inženýrství a informatiky, Fakulta ekonomicko-správní Univerzita."

Podobné prezentace

Ochrana proti úniku citlivých informací z DMS systémů

Ochrana proti úniku citlivých informací z DMS systémů
Stránka 1, © Vema, a. s.. Stránka 2, © Vema, a. s. Podnikové aplikace  Integrovaný podnikový systém (Integrated Business System):  komplex aplikací.

Stránka 1, © Vema, a. s.. Stránka 2, © Vema, a. s. Podnikové aplikace  Integrovaný podnikový systém (Integrated Business System):  komplex aplikací.
Integrovaný systém kvality v dalším profesním vzdělávání KVALITA V DALŠÍM VZDĚLÁVÁNÍ Liberec, 13.11.2008.

Integrovaný systém kvality v dalším profesním vzdělávání KVALITA V DALŠÍM VZDĚLÁVÁNÍ Liberec,
Projektové řízení Modul č.1.

Projektové řízení Modul č.1.
S YTÉMOVÁ INTEGRACE Ing. Jiří Šilhán. S YSTÉMOVÁ INTEGRACE Jedná se o přístup, který přispívá k integraci nesourodých výpočetních systémů. Vyplývá ze.

S YTÉMOVÁ INTEGRACE Ing. Jiří Šilhán. S YSTÉMOVÁ INTEGRACE Jedná se o přístup, který přispívá k integraci nesourodých výpočetních systémů. Vyplývá ze.
Podnikové informační systémy úvod

Podnikové informační systémy úvod
Doc. Dr. Ing. Miloš Kvarčák Návrhy na dlouhodobý záměr FBI

Doc. Dr. Ing. Miloš Kvarčák Návrhy na dlouhodobý záměr FBI
Tomáš Baďura ARI.  Mnoho velkých společností dávno začalo prosazovat přesun výpočetního výkonu IT do velkých datových center.  Decentralizované systémy.

Tomáš Baďura ARI.  Mnoho velkých společností dávno začalo prosazovat přesun výpočetního výkonu IT do velkých datových center.  Decentralizované systémy.
Přínosy virtualizace a privátního cloudu

Přínosy virtualizace a privátního cloudu
Projekt Informační a vzdělávací portál Libereckého kraje I CZ.1.07/1.1.00/08.0077 I Technologie portálu Pavel Krayzel CELN o.s.

Projekt Informační a vzdělávací portál Libereckého kraje I CZ.1.07/1.1.00/ I Technologie portálu Pavel Krayzel CELN o.s.
Priorita č. 3 Aktivní zapojení výzkumné a vývojové základny do rozvoje podnikání.

Priorita č. 3 Aktivní zapojení výzkumné a vývojové základny do rozvoje podnikání.
NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001

NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001
Případová studie: UNIC-Services Ltd. Firma UNIC-Services  Založena roku 1993 IT pracovníkem, jménem Saara Remes-Ulkunniemi  Firma nabízí vzdělávací.

Případová studie: UNIC-Services Ltd. Firma UNIC-Services  Založena roku 1993 IT pracovníkem, jménem Saara Remes-Ulkunniemi  Firma nabízí vzdělávací.
Facility management ČSN EN

Facility management ČSN EN
Efektivní informační bezpečnost

Efektivní informační bezpečnost
Daniel Kardoš Ing. Daniel Kardoš

Daniel Kardoš Ing. Daniel Kardoš
1 www.pvt.cz E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.

1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
Management kontinuity činností organizace

Management kontinuity činností organizace
Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR

Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR
Outsourcing jako strategický nástroj řízení nejen v komerční sféře

Outsourcing jako strategický nástroj řízení nejen v komerční sféře

Podobné prezentace

Reklamy Google