Nabídka
Nabídka informační bezpečnosti - bezpečnostní „menu” ITI Security
OBSAH Management bezpečnosti Bezpečnostní audity Plánování kontinuity a obnovy Bezpečnost v životním cyklu IT Ochrana dat Služby provozu a podpory O co se opíráme Vybrané reference
Nabídka informační bezpečnosti je určena zákazníkům, kteří si kladou následující otázky: Máme přesné informace o tom, jak uživatelé nakládají s našimi informacemi, zpracovávanými v našem informačním systému? Existuje prokazatelná odpovědnost za nakládání s informacemi v našem informačním systému? Vynakládáme opravdu přiměřené finanční prostředky na bezpečnost a provozuschopnost našeho informačního systému? Jsou adekvátně chráněna naše citlivá data, jako např. obchodní informace nebo osobní údaje? Je náš informační systém adekvátně zabezpečen před úmyslným poškozením či útokem? Existují krizové plány pro případ havárie našeho informačního systému? Víme, co nás vlastně ohrožuje? Informační bezpečnost obecně zahrnuje v zásadě čtyři základní oblasti, které se promítají do naší nabídky: organizačně administrativní bezpečnost, personální bezpečnost, fyzická (objektová) bezpečnost, počítačová a komunikační (nebo také technická/technologická) bezpečnost. Bezpečnostní projekty z naší nabídky se orientují na odhalování nedostatků, hrozeb, zranitelných míst a rizik, ať už ohrožují samotný informační systém, nebo jím zpracovávaná data. Důvody jsou zřejmé, neboť činnost organizací je stále více závislá na provozuschopnosti informačních systémů tvořených nejen technikou a technologiemi, ale také prostředím, obsluhujícím personálem a s tím vším souvisejícími procesy.
www.autocont.cz
Klíčovými požadavky na bezpečnost jsou důvěrnost, dostupnost a integrita informací. Informační a komunikační technologie ve Vaší organizaci jsou primárně určeny k tomu, aby byly prostředkem, nikoliv překážkou při práci uživatelů. Proto je pro Vás důležité stanovit přijatelné zásady jejich správného a bezpečného používání. Najít tu správnou rovnováhu mezi kvantitou implementovaných bezpečnostních prvků a použitelností takto zabezpečeného systému je cílem bezpečnostní politiky založené na výsledcích bezpečnostního auditu/analýzy rizik Vašeho systému. Jinými slovy, investice do bezpečnosti by se Vám měly vyplatit, protože mimo jiné: nepřijdete o své cenné informace, nedojde ke zneužití citlivých dat konkurencí, nebudete vystaveni postihům za nedodržení zákonů, nestanete se snadným cílem hackerských útoků, bezpečný, důvěryhodný a funkční informační systém pozitivně ovlivní Vaše ekonomické ukazatele, nepřijdete o čas, který můžete věnovat svému byznysu, nepřijdete o provozuschopnost a kontinuitu. Portfolio naší nabídky najdete podrobně rozpracované s detailními popisy v celkem šesti samostatných kapitolách. V závěru dokumentu najdete užitečné informace o zákonech, normách a certifikacích, o které se opíráme, a pochopitelně také vybrané reference ze všech oblastí naší působnosti.
1. Management bezpečnosti Vy poptáváte
TECHNOLOGIE
Hledáte způsob, jak účinně řídit bezpečnost informací?
Systémy bezpečnostního dohledu a řízení bezpečnosti
Zajímá Vás, jak například: vyhovět zákonným požadavkům na bezpečnost informací? vybudovat systém řízení bezpečnosti informací (tzv. ISMS dle normy ISO 27001)? zpracovat strategické/koncepční dokumenty? vytvořit bezpečnostní politiku, bezpečnostní nebo havarijní plány? dosáhnout požadované certifikace systému? splnit zákonné požadavky na dlouhodobé řízení IS veřejné správy (ISVS)?
My nabízíme Nabízíme služby a technologie, které Vám zajistí: zpracování návrhu komplexního projektu řízení bezpečnosti
informací nebo vybraných částí, vybudování systému řízení bezpečnosti informací (tzv.
ISMS), přípravu na předcertifikační audit ISMS dle normy ISO
27001, zpracování potřebné dokumentace:
‒ strategie/koncepce řízení bezpečnosti informací a IS, ‒ studie proveditelnosti, ‒ metodika, plány a metriky pro měření bezpečnosti, ‒ bezpečnostní politika, ‒ bezpečnostní směrnice, ‒ bezpečnostní plán, ‒ havarijní plán, plán zajištění kontinuity a plán obnovy, splnění zákonných požadavků pro dlouhodobé řízení ISVS, shodu s právními předpisy v oblasti IS.
SLUŽBY Strategie a koncepce řízení bezpečnosti Plány a metriky bezpečnosti Politiky, směrnice a postupy Vytěžování bezpečnostních dat Studie proveditelnosti
www.autocont.cz
Systémy pro řízení bezpečnosti Systémy pro řízení zranitelnosti
Používaná metodika/postupy Konkrétní kroky realizace projektu řízení bezpečnosti a zpracování dokumentace jsou zpravidla následující: smluvními stranami odsouhlasen harmonogram projektu, stanoven detailní postup realizace projektu nebo jeho etap, definovány požadavky součinnosti ze strany zákazníka (v rámci osobních konzultací formou ”interview“ a vyplňování podkladových dotazníků), určeni respondenti zodpovídající za poskytnutí potřebných informací a údajů, dohodnuto poskytnutí všech relevantních materiálů, které mají vypovídací schopnost o IS/ICT, dohodnut způsob zabezpečení informací poskytovaných zákazníkem zpracovateli elektronickou formou, uskutečněny schůzky s respondenty organizace za účelem získání informací důležitých pro zpracování, analýza a vlastní zpracování získaných informací zástupci zpracovatele, tj. kompletace podkladových informací, vyhodnocení obdržených informací a dalších požadovaných materiálů, vytvoření výsledných dokumentů, jež tvoří dohodnutý výstup z projektu, prezentace výsledků, schvalovací a akceptační proces, předání díla.
2. Bezpečnostní audity Vy poptáváte Hledáte způsob, jak ověřit, že jsou vaše informace v bezpečí? Zajímá Vás, jak například: prověřit celkovou bezpečnost informací ve vašem IS? efektivně realizovat analýzu rizik IS? řídit, vyhodnocovat a odstraňovat bezpečnostní rizika? identifikovat hrozby, odhadnout pravděpodobnost jejich
uskutečnění a dopady? ověřit odolnost počítačové sítě před útoky zvenčí i zevnitř? sledovat a eliminovat zranitelná místa systému?
My nabízíme Nabízíme služby a technologie, které zajistí: realizaci auditu IS dle Vašich požadavků, nebo požadavků
vyplývajících např. z právních předpisů, norem, standardů, nadřízených orgánů, realizaci analýzy rizik IS za použití vhodné metodiky, identifikaci hrozeb, zranitelností a rizik, odhad pravděpodobnosti a dopadů na systém a data, stanovení míry jednotlivých rizik, otestování možnosti průniku do počítačové sítě zvenčí nebo zevnitř, skenování systémů, návrhy a doporučení opatření eliminujících bezpečnostní rizika, realizaci výše uvedeného certifikovanými odborníky (CISA: Certified Information Systems Auditor a CRISC: Certified in Risk and Information Systems Control)
SLUŽBY Audit IS Analýza rizik Analýza dopadů na byznys Audit informačního systému
‒ Kalkulace rizik ‒ Penetrační nástroje ‒ Skenery zranitelností Penetrační testy Testy zranitelnosti
TECHNOLOGIE Kalkulace rizik (CRAMM apod.) Penetrační nástroje Skenery zranitelností
Používaná metodika/postupy V rámci zaměření bezpečnostního auditu dle požadavků (např. audit shody s právními předpisy, audit procesní, audit IS, předcertifikační audit apod.) jsou realizovány následující obecné kroky: identifikace spravovaných/provozovaných IS, procesů atd., identifikace klíčových IT systémů, služeb a procesů, včetně právních předpisů, na nichž jsou závislé kritické procesy organizace, určení vlastníků IS, služeb, procesů, příp. klíčových uživatelů, analýza získaných údajů z hlediska požadavků zadání auditu, analýza bezpečnostních požadavků, zejména dodržování základních principů informační bezpečnosti, tj. zajištění důvěrnosti, dostupnosti a integrity, identifikace neshod a nedostatků s požadavky, návrh opatření a doporučení jednak v obecné rovině, jednak v konkrétním návrhu řešení (např. doporučení vhodné metodiky, specifických technických či technologických prostředků, použitelných vzorů, šablon a příkladů z praxe).
www.autocont.cz
Projekt analýzy rizik IS realizujeme zpravidla prostřednictvím následujících kroků: zjištění požadavků na bezpečnost ICT (organizačních, zákonných, technologických); identifikace stávající dokumentační základny pro řízení bezpečnosti IT; analýza rizik IS (v závislosti na aktivech, hrozbách, zranitelnosti a dopadech): ‒ identifikace aktiv, tj. zjištění hmotných a nehmotných hodnot, jakými jsou např. HW-aktiva, SW-aktiva, data, případně služby, budovy, ostatní zařízení a vybavení; ‒ definice hrozeb, tj. stavů a situací ohrožujících IS, jako jsou např. živelní katastrofy, havárie, technické poruchy, závady, úmyslné a neúmyslné působení lidského faktoru apod.; ‒ identifikace zranitelných míst, tzn. zjištění slabin a bezpečnostních děr posuzovaného systému; ‒ zjištění pravděpodobnosti a dopadů, neboli posouzení míry konkrétního rizika, že se uskuteční určitá hrozba, jež využije daného zranitelného místa. Míra rizika je definována v několika úrovních (např. vysoká, střední, nízká, zanedbatelná); identifikace stávajících bezpečnostních opatření; srovnání dostatečnosti bezpečnostních opatření
s obvyklými zásadami a normami; návrh vhodných opatření a kontrol včetně priorit k řešení
zjištěných neshod v obecné rovině; doporučení prostředků a technologií k zajištění
navrhovaných opatření (nabídka konkrétních řešení); na základě podrobného interview s odpovědnými
osobami, dotazníkových akcí s uživateli, identifikace aktiv, hrozeb, zranitelných míst, posouzení dopadů, analýzy existující dokumentace, případně doplňujících konzultací, je zpracována výsledná zpráva definující detailní rizika IS a navrhovaná opatření. Penetrační testování probíhá dle požadavků zákazníka v rámci následujících kroků: provedení vnějších penetračních testů - pro ověření ne/ možnosti průniku potenciálního útočníka zvenčí do vnitřní chráněné počítačové sítě, obvykle přes jeden přístupový bod představovaný IP adresou zařízení, jež tvoří vstupní bránu do počítačové sítě organizace. provedení vnitřních testů zranitelnosti - pro ověření ne/ možnosti průniku potenciálního útočníka ke zdrojům systému a datům, k nimž není oprávněn, zevnitř, tj. z pohledu zaměstnance s definovaným přístupem k systému. Kontrola je schopna odhalit správnost či nedostatky v konfiguraci uživatelských účtů i přístupových práv skupin a jednotlivců, ”zapomenuté“ účty, ponechaná implicitní nastavení administrátorských přístupů či hesel atd. zpracování výstupní zprávy, která obsahuje popis provedení uváděných testů a shrnuje jejich výsledky ve formě zjištěných zranitelností, nedostatků a následných doporučení ke snížení konkrétního rizika. V rámci auditu zaměřeného na bezpečnostní dokumentaci jsou realizovány následující činnosti: identifikace dokumentace k IT (IS/ISVS), analýza obsahu, aktuálnosti, dostatečnosti a správnosti, srozumitelnosti a přehlednosti dokumentace, analýza souladu dokumentace s legislativou, vnějšími a vnitřními požadavky, identifikace neshod, obecný návrh opatření a doporučení týkajících se aktualizace dokumentů, tvorby či dopracování specifických, příp. povinně předkládaných dokumentů např. v rámci atestací, certifikací apod., konkrétní doporučení rozsahu a obsahu potřebné dokumentace, případně návrh vzorových šablon dokumentů s vyžadovanými náležitostmi.
3. Plánování kontinuity a obnovy Vy poptáváte
SLUŽBY
Hledáte způsob, jak řešit mimořádné události?
Havarijní plány a postupy
Zajímá Vás, jak lze například: zajistit krizové řízení v oblasti informační bezpečnosti? zabezpečit kontinuitu provozu/byznysu v případě mimořádných událostí? ‒ zabránit vzniku škody či ztráty (finanční, materiální, knowhow, dobrého jména) v důsledku mimořádných událostí? ‒ řešit havárie, poruchy, výpadky funkčnosti systému, dodávek energií a služeb? ‒ zajistit rychlou a efektivní obnovu provozuschopnosti systému a zabránit zbytečným nebo nadměrným nákladům?
My nabízíme Nabízíme služby a technologie, které zajistí: prevenci omezení nebo přerušení provozu vlivem havárií
a mimořádných událostí, účinné havarijní plánování (Disaster Recovery Planing), efektivní řešení havárií, poruch a nefunkčnosti systému, minimalizaci škod v důsledku mimořádných událostí, zálohování dat, rychlou obnovu provozu systému.
www.autocont.cz
Plány kontinuity a obnovy byznysu Krizové řízení bezpečnosti Testování plánů
TECHNOLOGIE Systémy pro zálohování a obnovu Nástroje pro řízení krizové situace
Používaná metodika/postupy Realizace projektu řízení mimořádných událostí a havarijního plánování zahrnuje zpravidla následující kroky: analýza IS, rozsah, charakter, umístění, způsoby používání, identifikace potenciálních hrozeb a zranitelností (analýza rizik IS), definice uvažovaných typů mimořádných událostí, analýza stávající dokumentace pro řešení havárií a mimořádných událostí, analýza požadavků (právních předpisů, nadřízených orgánů, interních), identifikace neshod, obecný návrh opatření a doporučení týkajících se aktualizace existujících dokumentů, nástrojů a technologií pro hlášení, detekci, sledování a vyhodnocování mimořádných událostí, zálohování a obnovu dat, zajištění záložních zdrojů napájení apod., tvorba/aktualizace plánů zajištění kontinuity, havarijních plánů a plánů obnovy, příp. návrh vzorových dokumentů s vyžadovanými náležitostmi.
4. Bezpečnost v životním cyklu IT Vy poptáváte Hledáte způsob, jak zajistit bezpečnost v celém životním cyklu IT infrastruktury? Zajímá Vás, jak lze například: zajistit bezpečnost při vývoji systému? řídit identity (Identity Management)? řídit přístupová práva (Access Management)? zvyšovat bezpečnostní povědomí uživatelů systému na
všech úrovních?
My nabízíme Nabízíme služby a technologie, které zajistí: řešení všech bezpečnostních aspektů při vývoji systému, řízení změn systému, řízení identit, řízení přístupu, bezpečnostní školení a vzdělávání všech uživatelů systému na všech úrovních se specifickým zaměřením dle cílové skupiny (management, administrace, běžný uživatel).
SLUŽBY
Realizace námi nabízených služeb respektuje zásady projektového řízení a probíhá dle Vašich potřeb v samostatně řešitelných etapách: základ tvoří návrh harmonogramu projektu, v jehož úvodní fázi je navržen tým zástupců obou stran určených pro řešení otázek smluvních, obchodních a technických, dále jsou dohodnuty zásady komunikace, stanoveny milníky a termíny jejich dokončení, způsob, forma a výstupní formát předaného díla a požadavky součinnosti. Konkrétní kroky realizace projektu jsou zpravidla následující: smluvními stranami odsouhlasen harmonogram projektu, stanoven detailní postup realizace projektu nebo jeho etap, definovány požadavky součinnosti ze strany zákazníka, určeni respondenti zodpovídající za poskytnutí potřebných
Bezpečnostní konzultace při vývoji Konzultace řízení identit Analýza přístupových práv
Školení, trénování
TECHNOLOGIE
informací a údajů sloužících jako podklady pro zpracování projektu či etapy v dohodnutých termínech, dohodnut způsob zabezpečení informací poskytovaných zpracovateli elektronickou formou, uskutečněny schůzky na půdě organizace za účelem získání informací, důležitých pro zpracování, dohodnuto poskytnutí všech relevantních materiálů, které mají vypovídací schopnost o stavu informační bezpečnosti uvnitř organizace, stávající dokumentace a směrnic týkajících se bezpečnosti, vlastní zpracování získaných informací zástupci zpracovatele, tj. kompletace podkladových informací, vyhodnocení obdržených informací a dalších požadovaných materiálů, vytvoření dokumentů, jež tvoří výsledný výstup z projektu, vypracování závěrečné dokumentace, prezentace výsledků, akceptační proces, předání.
Řízení identit
Nástroje řízení oprávnění (DRM, WRM apod.)
Používaná metodika/postupy
Budování informační bezpečnosti je kontinuální proces plánování, zabezpečování, kontroly a nápravy definovaný v procesním rámci ITIL jako koloběh činností ”Plan- DoCheck-Act“ (PDCA). Životní cyklus IT tedy zahrnuje zpravidla následující kroky: stanovení cílů a potřeb v oblasti informační bezpečnosti, analýza rizik IS, návrh vhodných opatření, tvorba systému řízení a infrastruktury informační bezpečnosti, zpracování dokumentace, potřebné pro efektivní řízení bezpečnosti, posouzení, schválení a implementace přijatých opatření, ustanovení a implementace funkce bezpečnostního manažera/správce, audit systému, vyhodnocování nápravných a preventivních opatření, kontrola jejich účinnosti.
Školení a vzdělávání v oblasti informační bezpečnosti zahrnuje obvykle následující kroky: stanovení určení a rozsahu požadovaného školení: ‒ jednorázové školení, opakované kurzy, průběžné vzdělávání,
www.autocont.cz
‒ trénink pro management, školení pro uživatele, speciální kurzy pro správce systému, stanovení frekvence, četnosti, délky a termínů školení, stanovení lokality (místa) konání školení a požadavků na
vybavení (u zákazníka, ve školicích prostorách dodavatele, technické požadavky), definice požadavků na obsah školení, příprava a odsouhlasení programu školení/vzdělávání, harmonogram realizace kurzů.
5. Ochrana dat Vy poptáváte
SLUŽBY
Hledáte způsob, jak zajistit implementaci vhodných technických a technologických opatření?
Design a implementace systémů
Zajímá Vás, jak lze například: optimalizovat komplexní bezpečnostní infrastrukturu Vašich informačních a komunikačních technologií (ICT)? navrhnout vhodná bezpečnostní opatření pouze v nezbytné míře a potřebném rozsahu? chránit informace v elektronické podobě kdekoliv v systému? šifrovat data vhodným způsobem? chránit informace v tištěné podobě? ochránit elektronický poštovní systém před nevyžádanou poštou (spamy)? zajistit e-mailovou komunikaci? využívat elektronický podpis? ochránit počítačovou síť před nežádoucím přístupem zvenčí i zevnitř? zajistit bezpečné přihlašování? zabezpečit systém před škodlivými kódy a programy (počítačový virus, červ, trojský kůň, spyware)? zajistit kontrolu fyzického přístupu osob k systému a zařízením? zajistit bezpečnost mobilních zařízení (notebooky, mobilní telefony, PDA, USB flash-disky, CD/DVD)?
My nabízíme Nabízíme služby a technologie, které zajistí: optimalizaci bezpečnostní infrastruktury tak, abyste
nevynakládali na ochranu dat a systémů více, než je nezbytné, návrh a doporučení vhodných a účinných ochranných opatření tam, kde se Vám to skutečně vyplatí, ochranu informací v elektronické i listinné podobě, vhodný způsob šifrování citlivých informací, bezpečný tisk citlivých informací, antispamovou ochranu elektronické pošty, ochranu poštovních zpráv (e-mailů s citlivým obsahem), možnost využití PKI (Public Key Infrastructure), tj. certifikátů k elektronickému podpisu a šifrování citlivých dat nejen v elektronické poště, k integritě dat a bezpečné autentizaci a zajištění nepopiratelnosti, ochranu počítačové sítě před nežádoucím přístupem zvenčí i zevnitř, včetně prevence a detekce útoků, ochranu počítačové sítě, serverů a stanic před škodlivými kódy a programy (počítačový virus, červ, trojský kůň, spyware), možnost kontroly fyzického přístupu osob k systémům a zařízením, bezpečnost mobilních zařízení (notebooky, mobilní telefony, PDA, USB flash- disky, CD/DVD), bezpečnou likvidaci dat v elektronické podobě.
www.autocont.cz
Konzultace ochrany tiskových služeb Optimalizace bezpečnostní infrastruktury
TECHNOLOGIE Ochrana zneužití dat Antiviry, antispamy a ostatní anti-x FW, IDS/IPS, pasti Šifrování dat Kontrola přístupu (osob a zařízení) Bezpečnost mobilních zařízení
Používaná metodika/postupy Realizace projektu implementace nástrojů a prostředků ochrany dat zahrnuje zpravidla následující kroky: analýza IS, rozsah, charakter, umístění, způsoby používání, přenosu, ukládání a zálohování dat, identifikace potenciálních hrozeb a zranitelností (analýza rizik IS), analýza stávajících prostředků ochrany dat (antivirová, antispamová, antispywarová ochrana, firewally, systémy detekce a prevence průniku, bezpečný tisk dokumentů, šifrovací SW, elektronický podpis, systémy autentizace/ autorizace uživatelů atd.), analýza požadavků zákazníka na ochranu dat v závislosti na jejich citlivosti, návrh opatření a doporučení týkajících se implementace vhodných nástrojů a technologií k eliminaci zjištěných rizik, zpracování konkrétní nabídky na implementaci vybraných nástrojů a technologií, harmonogram realizace projektu.
6. Služby provozu a podpory Vy poptáváte
SLUŽBY
Hledáte způsob, jak zajistit bezpečnostní dohled nad návrhem infrastruktury a implementací třetích stran?
Bezpečnostní dohled nad návrhem infrastruktury
Zajímá Vás, jak lze například: zajistit vhodnou formu testování a distribuce opravných
balíčků a záplat v systému (Patch Management)? zajistit bezpečnostní oponenturu nebo dohled nad návrhem infrastruktury, implementací bezpečnosti, dodávkami a zajištěním podpory třetími stranami? optimálně zabezpečit provoz, údržbu a rozvoj IT služeb? zajistit vybrané prvky informační bezpečnosti externě?
My nabízíme Nabízíme služby a technologie, které zajistí: bezpečnou, případně vhodně automatizovanou distribuci opravných balíčků a záplat (Patch Management), včetně předchozího testování, bezpečnostní dohled, bezpečnost při provozu, údržbě i rozvoji systému a IT služeb, bezpečnost při poskytování IT služeb externím dodavatelem (např. outsourcing, hostované služby apod.).
www.autocont.cz
a implementací třetích stran Patch Management plány a postupy Testování Bezpečnostní oponentury Prevence a rozvoj
TECHNOLOGIE Zodolnění aktiv Patchovací nástroje Hostovaný aplikační FW
Používaná metodika/postupy Realizace nabízených služeb probíhá zpravidla v následujících krocích, přičemž vzhledem k různorodosti nabízených služeb jsou vždy zohledněny jak požadavky a potřeby zákazníka, tak specifikum té které požadované služby: úvodní odborná konzultace k identifikaci potřeb ve zvolené oblasti služeb, orientační analýza stávající situace u zákazníka, doporučení/návrh vhodného způsobu řešení, specifikace objemu, obsahu, dalších parametrů a podmínek poskytovaných služeb, zpracování konkrétní nabídky, návrh smlouvy o poskytování služeb za dohodnutých podmínek.
7. O co se opíráme Certifikace
Vyhláška č. 528/2006 Sb., o formě a technických
AutoCont je držitelem certifikátu ISO 9001:2000 AutoCont je držitelem certifikátu ISO/IEC 20000:2005
s aplikovanou metodologií ITIL AutoCont je držitelem certifikátu ISO/IEC 27001:2005 AutoCont má bezpečnostní prověrku NBÚ na stupeň
”důvěrné“ Řešitelé a konzultanti AutoCont mají bezpečnostní prověrky NBÚ na stupeň ”důvěrné“ Řešitelé a konzultanti AutoCont jsou držiteli certifikátu CISA a CRISC
Právní předpisy, např.: Zákon č. 101/2000 Sb., o ochraně osobních údajů; Zákon č. 106/1999 Sb., o svobodném přístupu k informacím; Vyhláška č. 442/2006 Sb., kterou se stanoví struktura
informací zveřejňovaných o povinném subjektu způsobem umožňujícím dálkový přístup; Zákon č. 111/2009 Sb., o základních registrech; Zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů; Zákon č. 127/2005 Sb., o elektronických komunikacích; Zákon č. 227/2000 Sb., o elektronickém podpisu; Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů; Vyhláška 496/2004 Sb., o elektronických podatelnách; Zákon č. 365/2000 Sb., o informačních systémech veřejné správy (ISVS); Zákon č. 81/2006 Sb., kterým se mění zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů, a další související zákony; Vyhláška č. 52/2007 Sb., o postupech atestačních středisek při posuzování způsobilosti k realizaci vazeb informačních systémů veřejné správy prostřednictvím referenčního rozhraní; Vyhláška č. 53/2007 Sb., o technických a funkčních náležitostech uskutečňování vazeb mezi informačními systémy veřejné správy prostřednictvím referenčního rozhraní (vyhláška o referenčním rozhraní); Vyhláška č. 469/2006 Sb., o formě a technických náležitostech předávání údajů do informačního systému o datových prvcích a o postupech Ministerstva informatiky a jiných orgánů veřejné správy při vedení, zápisu a vyhlašování datových prvků v informačním systému o datových prvcích (vyhláška o informačním systému o datových prvcích);
www.autocont.cz
náležitostech předávání údajů do informačního systému, který obsahuje základní informace o dostupnosti a obsahu zpřístupněných informačních systémů veřejné správy (vyhláška o informačním systému o informačních systémech veřejné správy); Vyhláška č. 529/2006 Sb., o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy (vyhláška o dlouhodobém řízení informačních systémů veřejné správy); Vyhláška č. 530/2006 Sb., o postupech atestačních středisek při posuzování dlouhodobého řízení informačních systémů veřejné správy; Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti; Zákon č. 499/2004 Sb., o archivnictví a spisové službě; Vyhláška č. 645/2004 Sb., kterou se provádějí některá ustanovení zákona o archivnictví a spisové službě; Vyhláška č. 191/2009 Sb., o podrobnostech výkonu spisové služby; Zákon č. 500/2004 Sb., správní řád.
Normy ČSN ISO/IEC 20000 - Management služeb informačních
technologií ČSN ISO/IEC TR 13335 - Informační technologie - Směrnice
pro řízení informační bezpečnosti ČSN ISO/IEC 17799 - Informační technologie - Soubor
postupů pro řízení informační bezpečnosti ČSN ISO/IEC 27001 - Informační technologie - Bezpečnostní
techniky - Systémy managementu bezpečnosti informací Požadavky ČSN ISO/IEC 27002 - Informační technologie - Bezpečnostní techniky - Soubor postupů pro řízení informační bezpečnosti ČSN ISO/IEC 27005 - Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací Management rizik ČSN ISO/IEC 15408 - Informační technologie - Bezpečnostní techniky - Kritéria pro hodnocení bezpečnosti ČSN EN ISO 9001 - Systém managementu jakosti Požadavky ČSN 01 6910 - Úprava písemností psaných strojem nebo zpracovaných textovými editory.
8. Vybrané reference ČEPS, a.s. - Bezpečnost koncových stanic, studie
KOOPERATIVA poisťovňa, a.s. - Implementace klientského
antivirového řešení CA ITM
proveditelnosti Kancelář veřejného ochránce práv - Analýza rizik IS se
zaměřením na ochranu osobních údajů dle požadavků zákona č. 101/2000 Sb. Ústavní soud České republiky - Audit počítačové sítě
(včetně penetračních testů), analýza rizik ICT, zpracování bezpečnostní dokumentace dle ČSN ISO/IEC 17799, ČSN ISO/IEC TR 13335 Automotive Lighting, s.r.o. - Zpracování bezpečnostní
dokumentace, bezpečnostních směrnic a havarijních plánů dle ČSN ISO/IEC 17799, ČSN ISO/IEC TR 13335 VUT V Brně, Koleje a menzy v Brně - Analýza rizik IS,
zpracování kompletní dokumentace dle ČSN ISO/IEC 17799, ČSN ISO/IEC TR 13335 Ústřední kontrolní a zkušební ústav zemědělský - Analýza
rizik IS s kombinovaným přístupem, penetrační testy, bezpečnostní audit sítě, plán implementace informační bezpečnosti, implementace, kompletní bezpečnostní dokumentace a školení uživatelů dle ČSN ISO/IEC 17799, ČSN ISO/IEC TR 13335, ČSN BS 7799-2
Státní úřad pro jadernou bezpečnost - Migrace CheckPoint
firewallu a Implementace CheckPoint Connectra ŠKODA AUTO a.s. - Implementace a provozní podpora
Symantec Mobile Security a Implementace Websense URL Filteringu Synot - Implementace Antivirového řešení MS Forefront
Client Security Ministerstvo vnitra ČR - Zabezpečený přístup k Internetu AVG Technologies CZ, s.r.o. - PGP WDE MVCE - Symantec Control Compliance Suite ČEPS, a.s. - MS PKI 2003, 2008 OTP Banka, a.s. - MS PKI 2003 ASSA ABLOY Czech & Slovakia s.r.o. (dříve FAB) - McAfee
Host DLP INDOŠ Telefónica O2 Czech Republic, a.s.
ABnote Czech s.r.o. (PressCard) - Bezpečnostní projekt
RWE
Synot - Bezpečnostní analýza
Magistrát města Hradec Králové
Pražská energetika, a.s. - Penetrační test
KORADO, a.s. - Provozní podpora CheckPoint firewallů
VZP ČR - Implementace a provozní podpora klientského
antivirového řešení CA ITM
AutoCont CZ a.s. Divize IT infrastruktura Security Líbalova 1/2348 149 00 Praha 4 - Chodov
www.autocont.cz
Milan Chromý tel.: +420 251 022 610 mob.: +420 606 652 273 e-mail:
[email protected]
IT security profesionál 1. volby