Zabezpieczanie infrastruktury chmury firmy Microsoft

Wielkość: px
Rozpocząć pokaz od strony:

Download "Zabezpieczanie infrastruktury chmury firmy Microsoft"

Transkrypt

1 Zabezpieczanie infrastruktury chmury firmy Microsoft Niniejszy dokument przedstawia zespół zabezpieczeń i zgodności usług online z przepisami, wchodzący w skład działu globalnych usług podstawowych i zarządza zabezpieczeniami infrastruktury chmury firmy Microsoft. Wyjaśnia, co dla firmy Microsoft oznacza obecnie przetwarzanie w chmurze, a także, w jaki sposób firma może stworzyć wiarygodną infrastrukturę przetwarzania w chmurze. Data publikacji: maj 2009 r. 1

2 Spis treści Streszczenie... 3 Wyzwania związane z bezpieczeństwem przetwarzania w chmurze... 4 Jak firma Microsoft może sprostać tym wyzwaniom... 5 Co to jest środowisko przetwarzania w chmurze firmy Microsoft?... 6 Zespół zabezpieczeń i zgodności usług online z przepisami... 6 Wiarygodne technologie komputerowe firmy Microsoft... 7 Prywatność... 8 Zabezpieczenia... 9 Program bezpieczeństwa informacji... 9 Procesy zarządzania ryzykiem Zarządzanie ciągłością działalności Zarządzanie zdarzeniami związanymi z bezpieczeństwem Global Criminal Compliance Zgodność z przepisami w zakresie działalności operacyjnej Przyjęcie strategii wielopoziomowej ochrony Bezpieczeństwo Bezpieczeństwo sieci Bezpieczeństwo danych Zarządzanie tożsamością i dostępem Zabezpieczenia aplikacji Zabezpieczenia hostów kontrola i raportowanie Wnioski Materiały dodatkowe

3 Streszczenie W ostatnim czasie przeprowadzono badanie dotyczące coraz popularniejszych pojęć chmura, przetwarzanie w chmurze i środowisko chmury celem poznania oczekiwań klientów wobec dostawców chmury, a także znalezienia sposobu na usystematyzowanie oferty poszczególnych dostawców. Koncepcja, że zakup usług w środowisku chmury może umożliwić osobom podejmującym decyzje techniczne obniżenie kosztów, a firmom skupienie się na podstawowej działalności, stanowi kuszącą propozycję w obecnej sytuacji gospodarczej. Wielu analityków postrzega pojawiające się możliwości w zakresie wyceniania i świadczenia usług online jako niebezpieczne dla warunków rynkowych. Te badania rynkowe i wynikający z nich dialog między potencjalnymi klientami a dostawcami usług są dowodem na pojawienie się potencjalnych barier dla szybkiego przyjęcia usług w chmurze. Najważniejszymi z potencjalnych barier są zastrzeżenia dotyczące bezpieczeństwa, prywatności, niezawodności i kontroli operacyjnej. Firma Microsoft zdaje sobie sprawę z faktu, że decydenci w firmach mają wiele obaw w tym zakresie i chcą dowiedzieć się, jak tego typu problemy są rozwiązywane w środowisku przetwarzania w chmurze firmy Microsoft, a także jak wpłynie to na ich własne decyzje dotyczące ryzyka i działalności operacyjnej. Niniejszy dokument pokazuje, jak skoordynowane i strategiczne wykorzystanie pracowników, procesów, technologii i doświadczenia prowadzi do ciągłych udoskonaleń zabezpieczeń środowiska chmury firmy Microsoft. Zespół zabezpieczeń i zgodności usług online z przepisami (Online Services Security and Compliance, OSSC), wchodzący w skład działu globalnych usług podstawowych (Global Foundation Services, GFS), działa zgodnie z tymi samymi zasadami i procesami, które firma Microsoft tworzyła przez wiele lat podczas zarządzania zagrożeniami bezpieczeństwa w tradycyjnych środowiskach projektowania i pracy. 3

4 Wyzwania związane z bezpieczeństwem przetwarzania w chmurze Przed branżą technologii informatycznych stoją wyzwania towarzyszące możliwościom zapewnianym przez przetwarzanie w chmurze. Od ponad 15 lat firma Microsoft rozwiązuje następujące kwestie związane z świadczeniem usług online: Pojawiające się modele biznesowe chmury tworzą rosnącą współzależność miedzy organizacjami w sektorze publicznym i prywatnym oraz ludźmi, których obsługują takie organizacje i ich klienci będą stawać się coraz bardziej zależni od siebie ze względu na użycie chmury. Z tymi nowymi zależnościami wiążą się wzajemne oczekiwania, że usługi platformy i hostowane aplikacje będą bezpieczne i dostępne. Firma Microsoft udostępnia wiarygodną infrastrukturę, w oparciu o którą organizacje publiczne i prywatne oraz ich partnerzy mogą udostępniać bezpieczne usługi swoim użytkownikom. Firma Microsoft aktywnie współpracuje z takimi organizacjami i szeroko rozumianym środowiskiem programistów na rzecz upowszechniania procesów zarządzania ryzykiem związanych z zabezpieczeniami. Szybsze upowszechnianie się usług chmury, w tym ciągle zmieniających się technologii i modeli biznesowych, powoduje powstanie dynamicznego środowiska hostingu, które samo w sobie stanowi wyzwanie w zakresie bezpieczeństwa dotrzymanie tempa rozwojowi technologii i przewidywanie przyszłych potrzeb ma ogromne znaczenie dla skuteczności programu zabezpieczeń. Ostatnia fala zmian rozpoczęła się od szybkiego przejścia na wirtualizację i coraz powszechniejszego wdrażania strategii Software-plus-Services firmy Microsoft, która łączy wysoką moc i możliwości komputerów, urządzeń mobilnych, usług online i oprogramowania korporacyjnego. Pojawienie się platform chmury umożliwia projektowanie niestandardowych aplikacji przez inne firmy i hostowanie ich w chmurze firmy Microsoft. Za pośrednictwem Programu bezpieczeństwa informacji usług online, który został opisany bardziej szczegółowo w dalszej części niniejszego dokumentu, firma Microsoft utrzymuje silne wewnętrzne związki partnerskie między zespołami ds. bezpieczeństwa, produktów i dostarczania usług, aby zapewnić wiarygodne środowisko chmury firmy Microsoft podczas następowania tych zmian. Próby infiltracji lub zakłócenia usług online stają się coraz bardziej wyrafinowane w miarę rozwoju handlu i działalności w tym obszarze choć oszuści w dalszym ciągu próbują zwrócić na siebie uwagę za pomocą różnych technik, takich jak zajmowanie domen i atak z udziałem osoby pośredniczącej, pojawiły się również bardziej zaawansowane ataki mające za cel uzyskanie tożsamości lub zablokowanie dostępu do poufnych danych biznesowych. Należy również wspomnieć o bardziej zorganizowanym, czarnym rynku skradzionych informacji. Firma Microsoft współpracuje ściśle z organami ścigania, partnerami i współpracownikami branżowymi oraz grupami badawczymi, aby rozumieć pojawiające się zagrożenia i reagować na nie. Ponadto cykl życia opracowywania zabezpieczeń firmy Microsoft, opisany w dalszej części niniejszego dokumentu, uwzględnia kwestie bezpieczeństwa i prywatności na wczesnym etapie i przez cały proces opracowywania zabezpieczeń. Muszą zostać spełnione złożone wymagania dotyczące zgodności z prawem, ponieważ nowe i istniejące usługi są udostępniane globalnie zgodność z przepisami prawnymi oraz normami statutowymi i branżowymi (w pozostałej części niniejszego dokumentu używany jest ogólny termin zgodność z przepisami ) stanowi bardzo złożony obszar, ponieważ każdy kraj może wprowadzać i wprowadza własne przepisy dotyczące udostępniania i korzystania z środowisk online. Firma Microsoft musi przestrzegać bardzo wielu przepisów, ponieważ jej centra danych znajdują się w wielu krajach i oferują usługi online dla klientów na całym świecie. Ponadto wiele branż narzuca własne wymagania. Firma Microsoft wdrożyła strukturę zapewniania zgodności z przepisami (opisaną w dalszej części niniejszego dokumentu), dzięki której możliwe jest wydajne i niekłopotliwe zarządzanie różnymi wymogami w zakresie zgodności z przepisami. 4

5 Jak firma Microsoft może sprostać tym wyzwaniom Od momentu uruchomienia serwisu MSN w 1994 roku firma Microsoft tworzy i udostępnia usługi online. Dział GFS zarządza infrastrukturą chmury i platformą dla usług online firmy Microsoft, co obejmuje zapewnianie dostępności dla setek milionów klientów na całym świecie 24 godziny na dobę, przez 7 dni w tygodniu. W tej infrastrukturze chmury hostowanych jest ponad 200 usług online i portali sieci Web firmy Microsoft, włącznie z dobrze znanymi usługami klienckimi, takimi jak Windows Live Hotmail i Live Search, a także usługami biznesowymi, jak na przykład Microsoft Dynamics CRM Online i Microsoft Business Productivity Online Standard Suite w ramach usługi Microsoft Online Services. Niezależnie od tego, czy dane osobiste klienta indywidualnego są przechowywane na własnych komputerze czy w usłudze online, czy kluczowe dane organizacji są przechowywane lokalnie czy na hostowanym serwerze i przesyłane przez Internet, firma Microsoft zdaje sobie sprawę z faktu, że wszystkie takie środowiska muszą być wiarygodne i niezawodne. Firma Microsoft jest wyjątkowo dobrze predysponowana do oferowania porad i rozwiązań technologicznych, dzięki którym możliwe będzie bezpiecznie korzystanie z usług online. Aby pomóc klientom w uniknięciu strat finansowych i innych skutków oportunistycznych lub ukierunkowanych ataków w Internecie, a także pamiętając o swoim zobowiązaniu w zakresie oferowania wiarygodnych technologii komputerowych, firma Microsoft dokłada starań, aby jej pracownicy, procesy i technologie wykorzystywały bezpieczniejsze i lepiej chroniące prywatność funkcje, produkty i usługi. Firma Microsoft udostępnia wiarygodną chmurę, koncentrując się na trzech obszarach: Wykorzystanie opartego na ryzyku programu bezpieczeństwa informacji, który ocenia zagrożenia bezpieczeństwa i zagrożenia operacyjne oraz określa ich priorytety dla firmy. Obsługa i aktualizacja zestawu zaawansowanych mechanizmów zabezpieczeń, które ograniczają ryzyko. Obsługa struktury zapewniania zgodności z przepisami, która gwarantuje prawidłową konstrukcję i działanie mechanizmów kontrolnych. Niniejszy dokument opisuje sposób, w jaki firma Microsoft chroni dane klientów i operacje biznesowe za pośrednictwem wszechstronnego programu bezpieczeństwa informacji, dojrzałej metodologii zarządzania zasadami i zgodnością z przepisami, regularnych ocen wewnętrznych i zewnętrznych stosowanych praktyk i funkcji, a także zaawansowanych kontroli zabezpieczeń na wszystkich warstwach usług. Te procesy i mechanizmy określają sposób, w jaki firma Microsoft zapewnia zgodność z normami branżowymi oraz wymaganą prawem zgodność z wszystkimi obowiązującymi przepisami, statutami i przepisami przy świadczeniu usług online dla klientów na całym świecie. Choć w niniejszym dokumencie wspomina się o zasadach ochrony prywatności, jego celem nie jest szczegółowe omówienie takich zasad ani pełnienie roli przewodnika w tym zakresie. Informacje o tym, jak firma Microsoft spełnia potrzeby w zakresie ochronie prywatności, zawiera strona poświęcona ochronie prywatności w ramach programu Wiarygodne technologie komputerowe firmy Microsoft. 5

6 Co to jest środowisko przetwarzania w chmurze firmy Microsoft? Środowisko przetwarzania w chmurze firmy Microsoft obejmuje infrastrukturę fizyczną i logiczną, a także hostowane aplikacje i usługi platformy. Dział GFS zapewnia obsługę fizycznej i logicznej infrastruktury chmury firmy Microsoft, włącznie z wieloma usługami platformy. Infrastruktura fizyczna obejmuje centra danych, a także sprzęt i składniki obsługujące usługi i sieci. Infrastruktura logiczna w firmie Microsoft składa się z instancji systemu operacyjnego, trasowanych sieci oraz rozproszonych magazynów danych działających na obiektach wirtualnych lub fizycznych. Usługi platformy obejmują komputerowe środowiska wykonawcze (takie jak programy Internet Information Services,.NET Framework i Microsoft SQL Server ), magazyny tożsamości i katalogowe (takie jak Active Directory i Windows Live ID), usługi DNS oraz inne zaawansowane funkcje wykorzystywane przez usługi online. Usługi platformy chmury firmy Microsoft, takie jak usługi infrastrukturalne, mogą być wirtualne lub rzeczywiste. Aplikacje online, które działają w chmurze firmy Microsoft, to zarówno proste, jak i złożone produkty zaprojektowane dla określonej gamy klientów. Takie usługi online oraz związane z nimi wymagania dotyczące bezpieczeństwa i ochrony prywatności można ogólnie podzielić na następujące grupy: Usługi dla użytkowników indywidualnych i małych firm są to na przykład usługi Windows Live Messenger, Windows Live Hotmail, Live Search, Xbox LIVE i Microsoft Office Live. Usługi dla przedsiębiorstw są to na przykład usługi Microsoft Dynamics CRM Online i Microsoft Business Productivity Online Standard Suite, włącznie z usługami Exchange Online, SharePoint Online i Office Live Meeting. Usługi hostowane innych firm obejmują aplikacje sieci Web i rozwiązania, które są projektowane i obsługiwane przez inne firmy przy użyciu usług platformy udostępnianych w środowisku przetwarzania w chmurze firmy Microsoft. Zespół zabezpieczeń i zgodności usług online z przepisami Zespół OSSC w dziale GFS jest odpowiedzialny za program bezpieczeństwa informacji dla infrastruktury przetwarzania w chmurze firmy Microsoft, w tym za zasady i programy używane do zarządzania zagrożeniami online. Misją zespołu OSSC jest świadczenie bezpiecznych usług online, zapewniających przewagę konkurencyjną firmie Microsoft i jej klientom. Dzięki umieszczeniu tej funkcji na warstwie infrastruktury chmury wszystkie usługi przetwarzania w chmurze firmy Microsoft mogą uzyskać oszczędności wynikające ze skali oraz zredukować poziom złożoności dzięki stosowaniu współużytkowanych rozwiązań zabezpieczających. Dzięki temu standardowemu podejściu każdy zespół ds. usług w firmie Microsoft może skoncentrować się na unikatowych potrzebach klientów w zakresie bezpieczeństwa. Zespół OSSC przewodzi działaniom zmierzającym do zapewnienia bezpiecznego przetwarzania w chmurze firmy Microsoft poprzez program bezpieczeństwa informacji, wykorzystując model operacyjny oparty na zagrożeniach oraz strategię wielopoziomowej ochrony. Obejmuje to regularne przeglądy zarządzania ryzykiem, opracowywanie i obsługę 6

7 struktury zabezpieczeń, jak również ciągłe działania w zakresie przestrzegania przepisów, takie jak projektowanie centrów danych i odpowiadanie na żądania organów porządku publicznego z całego świata. Przez cały cykl życia usług online i każdego elementu infrastruktury zespół stosuje najlepsze procesy, włącznie z wieloma różnymi przeglądami wewnętrznymi i zewnętrznymi. Bliskie relacje robocze z innymi zespołami w firmie Microsoft prowadzą do wszechstronnego podejścia w zakresie zabezpieczania aplikacji w chmurze firmy Microsoft. Obsługa globalnej infrastruktury chmury dla wielu firm wymaga zapewniania zgodności z przepisami oraz zaliczania kontroli prowadzonych przez audytorów zewnętrznych. Wymagania w zakresie kontroli są narzucane przez przepisy, regulaminy wewnętrzne i standardy branżowe. Program zespołu OSSC zapewnia stałą ocenę i wdrażanie takich oczekiwań w zakresie zgodności z przepisami. Dzięki obecności programu bezpieczeństwa informacji firma Microsoft mogła uzyskać najważniejsze certyfikaty, takie jak certyfikaty International Organization for Standardization / International Society of Electrochemistry 27001:2005 (ISO/IEC 27001:2005) oraz atesty Statement of Auditing Standard (SAS) 70 Type I i Type II. Firma przechodzi również regularne kontrole organizacji zewnętrznych. Wiarygodne technologie komputerowe firmy Microsoft Podstawowym czynnikiem umożliwiającym stworzenie skutecznego programu zabezpieczeń jest obecność kultury wysokiego bezpieczeństwa i przestrzeganie jej wartości. Firma Microsoft zdaje sobie sprawę z faktu, że taka kultura musi być narzucana i wspierana przez liderów firmy. Kierownictwo firmy Microsoft od dawna wspiera stosowanie bezpiecznych praktyk przez odpowiednie inwestycje i zachęty. W 2002 roku firma Microsoft stworzyła program Wiarygodne technologie komputerowe, a Bill Gates zobowiązał firmę do dokonania fundamentalnej zmiany w zakresie jej misji i strategii w kluczowych obszarach. Obecnie program Wiarygodne technologie komputerowe stanowi kluczową wartość korporacyjną w firmie Microsoft, wpływając prawie na wszystkie aspekty jej działalności. Podstawą tej inicjatywy są cztery filary: Prywatność, Bezpieczeństwo, Niezawodność i Praktyki biznesowe. Więcej informacji na temat programu Wiarygodne technologie komputerowe można znaleźć na stronie Wiarygodne technologie komputerowe firmy Microsoft. Firma Microsoft rozumie, że sukces w szybko zmieniającej się branży usług online jest zależny od bezpieczeństwa i prywatności danych klientów, a także od dostępności i elastyczności oferowanych przez siebie usług. Firma Microsoft starannie projektuje i testuje aplikacje oraz infrastrukturę zgodnie z uznanymi na całym świecie standardami, aby spełnić te wymogi i zapewnić zgodność z przepisami oraz wewnętrznymi zasadami dotyczącymi bezpieczeństwa i prywatności. Dzięki temu klienci firmy Microsoft odnoszą korzyści wynikające z dokładniejszych procesów testowania i monitorowania, automatycznego dostarczania poprawek, oszczędności związanych z efektem skali oraz stale doskonalonych zabezpieczeń. 7

8 Prywatność Firma Microsoft dąży do ochrony prywatności i bezpieczeństwa klientów, włącznie z zapewnianiem zgodności ze wszystkimi obowiązującymi przepisami dotyczących ochrony prywatności. Firma przestrzega także najostrzejszych praktyk ochrony prywatności, które zostały przedstawione szczegółowo w zasadach zaufania poufności firmy Microsoft. Aby stworzyć zaufane środowisko dla klientów, firma Microsoft projektuje oprogramowanie, usługi i procesy z uwzględnieniem kwestii ochrony prywatności. Zespoły firmy Microsoft na bieżąco dbają o zachowanie zgodności z globalnymi przepisami w zakresie ochrony prywatności, a także z firmowymi praktykami ochrony prywatności, które częściowo wywodzą się z przepisów obowiązujących na całym świecie. Firma Microsoft jest liderem w zakresie przestrzegania przepisów dotyczących ochrony prywatności i wdraża te standardy w skali globalnej. Firma Microsoft dokłada wszelkich starań, aby zapewnić bezpieczeństwo danych osobowych. Zespoły dostarczania usług online korzystają z wielu technologii zabezpieczeń, dzięki którym mogą chronić dane osobowe przed wykorzystaniem lub ujawnieniem przez osoby nieupoważnione. W ramach praktyk projektowania i praktyk operacyjnych zespoły programistów w firmie Microsoft stosują zasady PD3+C zdefiniowane w programie cyklu życia opracowywania zabezpieczeń: Prywatność z założenia firma Microsoft stosuje tę zasadę na wielu poziomach podczas opracowywania, wprowadzania na rynek i obsługi aplikacji. W ten sposób zapewnia, że dane zebrane od klientów są przeznaczone do określonego użytku, a także że klient otrzyma odpowiednie powiadomienie w celu podjęcia świadomej decyzji. Jeśli gromadzone dane są klasyfikowane jako wyjątkowo poufne, mogą zostać zastosowane dodatkowe środki zabezpieczeń, takie jak szyfrowanie podczas przesyłania lub magazynowania. Domyślna ochrona prywatności usługi firmy Microsoft proszą klientów o zgodę przed zgromadzeniem lub przesłaniem poufnych danych. Po otrzymaniu zgody takie dane są chronione przez zabezpieczenia, takie jak listy kontroli dostępu (ACL) w połączeniu z mechanizmami uwierzytelniania tożsamości. Wdrażanie ochrony prywatności firma Microsoft zgodnie z potrzebami ujawnia mechanizmy ochrony prywatności dla organizacji, umożliwiając im ustanowienie odpowiednich zasad prywatności i bezpieczeństwa dla swoich użytkowników. Komunikacja firma Microsoft aktywnie angażuje opinię publiczną poprzez publikowanie zasad ochrony prywatności, oficjalnych dokumentów oraz innej dokumentacji odnoszącej się do prywatności. Więcej informacji na temat zaangażowania firmy Microsoft w ochronę prywatności można znaleźć na stronie poświęconej ochronie prywatności w ramach programu Wiarygodne technologie komputerowe. 8

9 Zabezpieczenia Firma Microsoft stale dostosowuje swoją infrastrukturę chmury w celu wykorzystania pojawiających się technologii, takich jak wirtualizacja. Wynikiem takich postępów jest oddzielenie zasobów informacyjnych od typowej infrastruktury fizycznej w przypadku wielu typów obiektów klientów. Biorąc pod uwagę fakt, że proces opracowywania oprogramowania dla aplikacji hostowanych online jest zwykle sprawniejszy i wiąże się z częstszym wydawaniem kolejnych wersji, zarządzanie ryzykiem w zakresie bezpieczeństwa informacji wymaga odpowiedniej adaptacji w celu zapewnienia wiarygodnych technologii. Kolejne części niniejszego dokumentu zawierają szczegółowe przedstawienie sposobu stosowania podstawowych zasad zabezpieczeń przez zespół OSSC firmy Microsoft, a także działań podejmowanych w całej firmie w celu zarządzania ryzykiem w infrastrukturze chmury firmy Microsoft. Omówione zostanie także znaczenie strategii wielopoziomowej ochrony usług online oraz wpływ środowiska przetwarzania w chmurze na pojawianie się nowych koncepcji w zakresie zabezpieczeń. Program bezpieczeństwa informacji Program bezpieczeństwa informacji firmy Microsoft definiuje sposób działania zespołu OSSC. Program ten uzyskał niezależny certyfikat organizacji British Standards Institute (BSI) Management Systems America w zakresie zgodności z normą ISO/IEC 27001:2005. Certyfikaty ISO/IEC 27001:2005 można znaleźć na stronie wyników wyszukiwania certyfikatów/katalogu klientów. Program bezpieczeństwa informacji grupuje wymagania wobec bezpieczeństwa w trzy główne domeny: administracyjne, techniczne i fizyczne. Kryteria tych domen reprezentują podstawę dla zarządzania ryzykiem. Począwszy od zabezpieczeń i kontroli zidentyfikowanych w domenach i ich podkategoriach, program bezpieczeństwa informacji jest zgodny ze strukturą normy ISO/IEC27001:2005 Plan, wykonanie, kontrola, działanie. 9

10 Zespół OSSC definiuje cztery następujące kroki w tradycyjnej strukturze Plan, wykonanie, kontrola, działanie programu bezpieczeństwa informacji ISO: Planowanie a. Podejmowanie decyzji w oparciu o analizę ryzyka określając priorytety dla głównych działań i przydziału zasobów, zespół OSSC tworzy plan działania dla zabezpieczeń w oparciu o ocenę ryzyka. Cele organizacyjne i indywidualne, które są ujęte w planie, dotyczą aktualizacji zasad, standardów działania i kontroli zabezpieczeń w dziale GFS i wielu grupach zajmujących się produktami. b. Wymagania w zakresie dokumentacji zespół OSSC określa wyraźne oczekiwania w zakresie uzyskiwania atestów i certyfikacji innych organizacji za pośrednictwem udokumentowanej struktury kontroli. Ta struktura przedstawia wymagania w jasny, spójny i przejrzysty sposób. Wykonanie a. Wdrożenie odpowiednich kontroli kontrole oparte na planie działania dla zabezpieczeń są wprowadzane w życie przez zespoły odpowiedzialne za operacje, produkty i dostarczanie usług. b. Wykonanie kontroli zespół OSSC implementuje i wykonuje bezpośrednio wiele kontroli, na przykład w celu zapewnienia zgodności ze światowymi przepisami karnymi, zarządzania zagrożeniami dla infrastruktury oraz fizycznego zabezpieczania centrów danych. Inne środki bezpieczeństwa są stosowane i obsługiwane przez zespoły odpowiedzialne za operacje, produkty i dostarczanie usług. Sprawdzanie Działanie a. Pomiar i poprawa zespół OSSC stale ocenia aktywność kontroli. Istnieje możliwość dodania kolejnych kontroli lub zmodyfikowania już istniejących w celu osiągnięcia celów przedstawionych w zasadach bezpieczeństwa informacji i strukturze kontroli. a. Sprawdzenie efektywności programu zarówno zespoły wewnętrzne, jak i audytorzy zewnętrzni dokonują regularnego przeglądu programu bezpieczeństwa informacji w ramach ciągłych działań służących do oceny efektywności programu. b. Wykonanie niezbędnych korekt zespół OSSC dokonuje oceny programu bezpieczeństwa informacji i jego struktury kontroli pod kątem obowiązujących przepisów, wymagań biznesowych i branżowych oraz standardów w celu identyfikacji obszarów wymagających ulepszenia oraz weryfikacji realizacji celów. W wyniku tego technologia i plany biznesowe firmy Microsoft zostają zaktualizowane w celu uwzględnienia wpływu zmian operacyjnych. Żaden program w dziedzinie bezpieczeństwa nie będzie kompletny bez uwzględnienia konieczności przeszkolenia personelu. Firma Microsoft przygotowuje i przeprowadza szkolenia dotyczące bezpieczeństwa, aby wszystkie grupy zaangażowane w tworzenie, wdrażanie, obsługę i wsparcie usług online hostowanych w infrastrukturze chmury rozumiały swoje obowiązki w zakresie zasad bezpieczeństwa informacji usług online firmy Microsoft. Ten program szkoleniowy dotyczy podstawowych wytycznych, które powinny zostać zastosowane dla poszczególnych warstw strategii wielopoziomowej ochrony firmy Microsoft w celu zabezpieczenia usług online. Firma Microsoft zachęca także klientów biznesowych i innych producentów oprogramowania do stosowania tych samych zasad podczas opracowywania aplikacji i dostarczania usług za pośrednictwem infrastruktury chmury firmy Microsoft. 10

11 Procesy zarządzania ryzykiem Proces analizowania i eliminowania usterek zabezpieczeń w niezależnych systemach online jest bardziej złożony i czasochłonny niż w przypadku tradycyjnych systemów IT. Zarządzanie ryzykiem i związane z nim przeglądy muszą zostać dostosowane do dynamicznego środowiska. W celu zarządzania nowymi niebezpieczeństwami firma Microsoft stosuje sprawdzone procesy oparte na długoletnim doświadczeniu w zakresie dostarczania usług w sieci Web. Aby zarządzać ryzykiem, zespół OSSC współpracuje z zespołami operacyjnymi i właścicielami biznesowymi w wielu grupach odpowiedzialnych za produkty i dostarczanie usług w firmie Microsoft. Program bezpieczeństwa informacji określa wymagania wobec standardowych procesów i dokumentacji w celu ciągłego podejmowania decyzji w oparciu o analizę ryzyka. Analizy ryzyka w ramach programu zarządzania zagrożeniami bezpieczeństwa są wykonywane na wielu różnych poziomach i umożliwiają określenie priorytetów w takich obszarach jak plany wydawania produktów, obsługa zasad i przydział zasobów. Co roku wykonywana jest wszechstronna ocena zagrożeń dla infrastruktury chmury firmy Microsoft, a także dodatkowe przeglądy przez cały rok. Te ciągłe działania koncentrują się na zagrożeniach, które mogą być wyjątkowo niebezpieczne. W ramach tego procesu firma Microsoft określa priorytety i kieruje projektowaniem kontroli bezpieczeństwa i związanych z nią działań. Metodologia programu zarządzania zagrożeniami bezpieczeństwa umożliwia ocenę skuteczności zwalczania zagrożeń poprzez: identyfikację zagrożeń dla środowiska i luk w zabezpieczeniach, kalkulowanie ryzyka, raportowanie ryzyka w całym środowisku chmury firmy Microsoft, reagowanie na zagrożenia w oparciu o ocenę wpływu i powiązany przypadek biznesowy, testowanie skuteczności likwidacji zagrożenia i pozostałego ryzyka, ciągłe zarządzanie ryzykiem. Zarządzanie ciągłością działalności Wiele organizacji, które rozważa stosowanie aplikacji w chmurze, zadaje pytania dotyczące dostępności i elastyczności usług. Hostowanie aplikacji i przechowywanie danych w środowisku chmury zapewnia nowe opcje dostępności i elastyczności usług, a także możliwości w zakresie tworzenia kopii zapasowych i odtwarzania danych. Program ciągłości biznesowej firmy Microsoft wykorzystuje najlepsze praktyki biznesowe w celu tworzenia i adaptacji funkcji w tym obszarze, aby zapewnić obsługę nowych aplikacji w miarę ich udostępniania w środowisku chmury firmy Microsoft. Firma Microsoft stosuje proces ciągłego zarządzania i nadzoru, aby podjęte zostały niezbędne działania w celu oceny wpływu potencjalnych strat, zapewnienia realistycznych strategii i planów odtwarzania, a także zapewnienia ciągłej dostępności produktów i usług. Aby możliwe było utworzenie właściwego planu na wypadek awarii, konieczna jest znajomość wszystkich zasobów (ludzi, sprzętu i systemów) wymaganych w celu wykonania zadania lub procesu. Niedokonanie przeglądu, obsługi i testu planu to jedno z największych zagrożeń związanych z utratą danych w przypadku wystąpienia awarii. Z tego powodu program nie ogranicza się do procedury odtwarzania danych. Firma Microsoft wykorzystuje cykl życia opracowywania planu zarządzania ciągłością działalności do tworzenia i obsługi planów odtwarzania awaryjnego. Odbywa się to poprzez zastosowanie sześciu faz, które przedstawiono na poniższej ilustracji: 11

12 Po dokonaniu analizy zależności firma Microsoft reaguje na kwestie związane z odtwarzaniem usług i danych, identyfikując dwa cele dotyczące odtwarzania zasobów: Cel dotyczący czasu odtwarzania maksymalny czas trwania sytuacji utraty krytycznego procesu, funkcji lub zasobu przed wystąpieniem poważnego wpływu na działalność. Cel dotyczący punktu odtwarzania maksymalna ilość utraconych danych, jaka może wystąpić podczas zdarzenia, zwykle w odniesieniu do okresu od daty ostatniej kopii zapasowej do momentu wystąpienia awarii. Ponieważ proces identyfikowania i klasyfikowania zasobów jest wykonywany ciągle w ramach zarządzania ryzykiem dla infrastruktury przetwarzania w chmurze firmy Microsoft, plan odtwarzania awaryjnego umożliwia szybsze zastosowanie tych celów w celu ustalenia, czy konieczne jest wdrożenie strategii odzyskiwania podczas sytuacji awaryjnej. Firma Microsoft weryfikuje te strategie, przeprowadzając ćwiczenia obejmujące próby generalne, testowanie, szkolenie i obsługę. 12

13 Zarządzanie zdarzeniami związanymi z bezpieczeństwem Procesy kontroli zabezpieczeń i zarządzania ryzykiem stosowane przez firmę Microsoft w celu zabezpieczenia infrastruktury chmury redukują ryzyko powstawania zdarzeń związanych z bezpieczeństwem. Naiwnością byłoby jednak myśleć, że w przyszłości nie wystąpią złośliwe ataki. Zespół zarządzania zdarzeniami związanymi z bezpieczeństwem (Security Incident Management, SIM) w ramach zespołu OSSC reaguje na takie problemy w miarę ich pojawiania się, działając 24 godziny na dobę, przez 7 dni w tygodniu. Misją zespołu SIM jest szybkie i precyzyjne dokonywanie oceny oraz ograniczanie zagrożeń powodowanych przez zdarzenia związane z bezpieczeństwem usług online firmy Microsoft. Jednocześnie zespół przekazuje odpowiednie informacje wyższemu kierownictwu i innym zainteresowanym stronom w firmie Microsoft. Proces reagowania na zagrożenie przez zespół SIM składa się z sześciu faz: Przygotowanie zespół SIM przechodzi ciągłe szkolenia, aby zapewnić gotowość do reakcji na wypadek wystąpienia zdarzenia związanego z bezpieczeństwem. Identyfikacja szukanie przyczyny zdarzenia (zarówno celowego, jak i przypadkowego) często oznacza śledzenie problemu na wielu warstwach środowiska przetwarzania w chmurze firmy Microsoft. SIM współpracuje z innymi działami firmy Microsoft w celu zdiagnozowania określonego zdarzenia związanego z naruszeniem bezpieczeństwa. Ograniczanie po znalezieniu przyczyny grupa SIM działa wraz z innymi powołanymi do tego celu zespołami na rzecz ograniczenia negatywnych skutków zdarzenia. Sposób ograniczania zasięgu zdarzenia zależy od jego wpływu na działalność operacyjną. Redukcja ryzyka grupa SIM koordynuje prace właściwych zespołów odpowiedzialnych za dostarczanie produktów i usług mających na celu redukcję ryzyka ponownego wystąpienia incydentu. Przywracanie grupa SIM we współpracy z odpowiednimi grupami pomaga przywrócić dostępność usług. Analiza wniosków po wyeliminowaniu problemów związanych z naruszeniem bezpieczeństwa zespół SIM wspólnie z innymi zaangażowanymi grupami analizuje i ocenia przebieg zdarzenia wyciągając wnioski wynikających z procesu reagowania na nie. Zespół SIM dzięki współpracy z innymi grupami sprawnie wykrywa problemy i minimalizuje zagrożenia w oferowanych usługach. SIM współpracuje na przykład z zespołami operacyjnymi, w tym z Microsoft Security Response Center (więcej informacji na ten temat można znaleźć na stronie Microsoft Security Response Center). Dzięki tego typu relacjom grupa SIM może szybko uzyskać pełny operacyjny obraz zdarzenia już w momencie jego wystąpienia. Respondenci SIM prowadzą także konsultacje z właścicielami zasobów w celu określenia stopnia zagrożenia w oparciu o cały szereg czynników, w tym o potencjalne zakłócenia pracy czy ryzyko związane z nadszarpnięciem reputacji firmy. Global Criminal Compliance Program Global Criminal Compliance (GCC) wdrożony w zespole OSSC ma na celu określanie reguł działania i prowadzenie szkoleń w zakresie procesu reagowania firmy Microsoft. Program ten obejmuje również reagowanie na prawne nakazy ujawnienia informacji. Radcy prawni z wielu krajów, związani z programem GSS, mogą w każdej chwili sprawdzić zasadność danego żądania, a w razie potrzeby również je przetłumaczyć. Jednym z powodów, dla których 13

14 program GCC jest uważany przez wiele instytucji międzynarodowych za najlepszy program reagowania, jest portal dla organów porządku publicznego oferujący pracownikom tych organów wielojęzyczną pomoc w zakresie metod przedstawiania żądań prawnych pod adresem firmy Microsoft. Jednym z celów szkoleń organizowanych w ramach programu GCC jest edukacja kadr organów porządku publicznego. Dla wszystkich pracowników firmy Microsoft są również prowadzone szkolenia z odpowiedzialności w zakresie przechowywania danych i ochrony prywatności. Opracowywanie procedur i szkolenia wewnętrzne nabierają coraz większego znaczenia, w miarę jak firma Microsoft otwiera kolejne centra danych na całym świecie, rozszerzając zasięg obowiązywania międzynarodowych przepisów prawnych. Program GCC odgrywa zasadniczą rolę w określaniu i wdrażaniu procesów obejmujących zróżnicowane międzynarodowe przepisy prawne, a także w sposobie ich realizowania w odniesieniu do klientów indywidualnych i firmowych korzystających z usług Microsoft Online Services. Zgodność z przepisami w zakresie działalności operacyjnej Poza własnymi specyfikacjami firmy Microsoft środowisko Microsoft Online Services musi również spełniać liczne wymogi bezpieczeństwa narzucane przepisami prawa i specyfiką branżową. W miarę rozwoju i zmiany charakteru internetowych przedsięwzięć firmy Microsoft oraz wprowadzania nowych usług do struktury typu chmura spodziewane jest pojawienie się kolejnych wymogów obejmujących regionalne i krajowe standardy bezpieczeństwa danych. Zespół zgodności operacyjnej współpracuje z zespołami operacji oraz dostarczania produktów i usług, a także z audytorami wewnętrznymi i zewnętrznymi w celu zapewnienia zgodności procedur firmy Microsoft z właściwymi standardami i wymogami prawnymi. Poniżej przedstawiono listę kilku kontroli i weryfikacji, którym regularnie poddawane jest środowisko struktury typu chmura firmy Microsoft: Standard bezpieczeństwa danych kart płatniczych wymaga corocznych przeglądów i kontroli mechanizmów bezpieczeństwa związanych z transakcjami dokonywanymi za pomocą kart kredytowych. Rada oceny mediów struktura związana z rzetelnością generowania i przetwarzania danych o charakterze reklamowym. Sarbanes-Oxley wybrane systemy są poddawane corocznej kontroli w celu weryfikacji zgodności z kluczowymi procesami związanymi z rzetelnością sprawozdań finansowych. Health Insurance Portability and Accountability Act amerykańska ustawa HIPAA określająca wytyczne dotyczące ochrony prywatności, bezpieczeństwa oraz odzyskiwania po awarii w odniesieniu do elektronicznych mechanizmów przechowywania danych związanych ze stanem zdrowia. Wewnętrzny audyt i kontrola ochrony prywatności kontrole realizowane w trakcie roku. Spełnienie wszystkich wymienionych wymogów kontrolnych stało się sporym wyzwaniem dla firmy Microsoft. Po zapoznaniu się z obowiązującymi wymaganiami specjaliści firmy Microsoft doszli do wniosku, iż wiele procesów kontroli i weryfikacji polega na ocenie tych samych mechanizmów i procesów operacyjnych. Grupa OSSC, widząc szansę eliminacji istotnej części powtarzających się działań, ujednolicenia procesów oraz bardziej wszechstronnego, proaktywnego zarządzania wymogami w zakresie zgodności z przepisami, opracowała kompleksowy model spełniania takich wymogów. Sama struktura oraz powiązane z nią procesy są oparte na pięcioetapowej metodologii opisanej na następującej ilustracji: 14

15 Rozpoznanie i integracja wymagań opisuje zakres i rodzaje odpowiednich mechanizmów sterujących. Zgromadzono i przeanalizowano standardowe procedury operacyjne (SOP, ang. Standard Operating Procedures) oraz dokumenty opisujące procesy. Ocena i likwidacja luk lokalizacja i usuwanie luk w procesach i technologicznych mechanizmach kontrolnych. Testowanie efektywności i ocena ryzyka pomiar i raportowanie efektywności mechanizmów kontrolnych. Uzyskanie certyfikatu i atestu współpraca z zewnętrznymi organami certyfikacji i audytorami. Poprawa i optymalizacja w przypadku wykrycia braku zgodności następuje udokumentowanie i dalsza analiza jego zasadniczej przyczyny. Tego typu słabe punkty są monitorowane aż do ich pełnego wyeliminowania. Etap ten obejmuje również dalsze działania na rzecz optymalizacji mechanizmów kontroli w domenach bezpieczeństwa w celu osiągania w przyszłości lepszych wyników audytów i przeglądów certyfikacyjnych. Niektóre z sukcesów płynących z wdrożenia tego programu to uzyskanie przez infrastrukturę chmury firmy Microsoft atestów SAS 70 Type I oraz Type II, a także certyfikatu ISO/IEC 27001:2005. Osiągnięcia te dowodzą zaangażowania firmy Microsoft na rzecz dostarczania niezawodnej infrastruktury obliczeniowej chmury, gdyż: certyfikat ISO/IEC 27001:2005 potwierdza, iż firma Microsoft wdrożyła wewnętrzne mechanizmy kontroli bezpieczeństwa informacji określone w tym standardzie; atest SAS 70 ilustruje wolę firmy Microsoft otwarcia wewnętrznych programów bezpieczeństwa na drobiazgową analizę instytucji zewnętrznych. 15

16 Przyjęcie strategii wielopoziomowej ochrony Strategia wielopoziomowej ochrony jest fundamentem niezawodnej infrastruktury chmury firmy Microsoft. Stosowanie wielu warstw zabezpieczeń obejmuje mechanizmy ochrony, opracowanie strategii redukcji ryzyka oraz możliwość reagowania na ataki w momencie ich wystąpienia. Dzięki zastosowaniu wielu mechanizmów bezpieczeństwa o różnej wydajności zależnie od poufności chronionych zasobów osiągnięto zwiększone możliwości zapobiegania naruszeniom i zmniejszenie zasięgu ich oddziaływania. Narodziny technologii przetwarzania w chmurze nie naruszają naczelnej zasady mówiącej o tym, że wydajność mechanizmów kontroli jest funkcją poufności chronionych zasobów oraz ich wpływu na zarządzanie czynnikami ryzyka związanymi z bezpieczeństwem. Fakt, iż w środowisku przetwarzania w chmurze większość zasobów może zostać zwirtualizowana, oznacza przesunięcie punktów ciężkości w analizie ryzyka i metodach stosowania mechanizmów kontroli bezpieczeństwa w odniesieniu do tradycyjnych warstw wielopoziomowej ochrony (fizycznej, sieci, danych, dostępu do tożsamości, uwierzytelniania i autoryzacji oraz warstwy hosta). Usługi Online Services, w tym usługi infrastruktury i platformy oferowane przez mechanizm GFS, wykorzystują wirtualizację. Dzięki temu klienci korzystający z usług umieszczonych w chmurze firmy Microsoft dysponują zasobami, których nie można łatwo powiązać z konkretnym elementem fizycznym. Dane mogą być przechowywane wirtualnie i rozproszone w wielu miejscach. Ta podstawowa zasada oznacza, że należy na nowo podejść do zagadnienia określenia mechanizmów kontroli bezpieczeństwa i sposobów ich wykorzystania w ramach strategii wielopoziomowej ochrony. Fizyczne i sieciowe środki zabezpieczeń muszą być oczywiście dalej stosowane. Punkt ciężkości zarządzania ryzykiem przenosi się jednak bliżej poziomu obiektu i elementów wykorzystywanych w środowisku chmury, takich jak na przykład statyczne lub dynamiczne kontenery danych, obiekty maszyny wirtualnej czy środowiska wykonawcze, w których prowadzone są obliczenia. Stosowane zróżnicowane mechanizmy kontroli korzystają z wielu tradycyjnych zabezpieczeń fizycznych i sieciowych zapewniających, iż dana jednostka, czy to osoba uzyskująca dostęp do budynku centrum danych, czy proces obliczeniowy żądający dostępu do danych klienta przechowywanych dynamicznie w środowisku chmury firmy Microsoft, jest autentyczna i uwierzytelniona w kontekście żądanego rodzaju dostępu. Mechanizmy zabezpieczeń obejmują również ochronę przed atakami na serwery czy system operacyjny działający w infrastrukturze chmury firmy Microsoft. W tej części omówione zostały wybrane procesy i mechanizmy kontroli wykorzystywane przez firmę Microsoft do zapewnienia bezpieczeństwa centrów danych, sprzętu sieciowego i komunikacyjnego, a także hostowanych usług. Bezpieczeństwo Wykorzystanie systemów technicznych do automatyzacji autoryzacji dostępu i uwierzytelniania w ramach niektórych mechanizmów zabezpieczających to jeden z przykładów zmieniającej się wraz z postępem technologicznym domeny ochrony fizycznej. Innym przykładem zmian jest przejście od stosowania tradycyjnych aplikacji firmowych wdrożonych na sprzęcie i oprogramowaniu obliczeniowym znajdującym się fizycznie w przedsiębiorstwie do wykorzystania strategii oprogramowanie jako usługa oraz Software-plus-Services. Zmiany te wymuszają dodatkowe modyfikacje metod zabezpieczania przez organizacje bezpieczeństwa swoich zasobów. Grupa OSSC zarządza fizycznym aspektem bezpieczeństwa wszystkich centrów danych firmy Microsoft, który ma krytyczne znaczenie dla nieprzerwanego funkcjonowania infrastruktury oraz ochrony danych klientów. Dla każdego obiektu ustanowiono i wdrożono szczegółowe procedury bezpieczeństwa. Firma Microsoft zapewnia wprowadzenie zewnętrznych i wewnętrznych stref z mechanizmami kontroli zwiększającymi się z każdą strefą. 16

17 System zabezpieczeń składa się z kompleksowych rozwiązań technologicznych, takich jak kamery, mechanizmy biometryczne, czytniki kart czy alarmy, a także tradycyjnych środków bezpieczeństwa, takich jak zamki i klucze. Operacyjne mechanizmy kontroli zapewniają zautomatyzowane monitorowanie i wczesne ostrzeganie w przypadku wystąpienia naruszenia lub innego problemu, a także regulują kwestie odpowiedzialności przez udostępnienie gotowej do audytu dokumentacji programu ochrony fizycznej centrum danych. Poniżej przedstawiono dodatkowe przykłady zastosowanych przez firmę Microsoft mechanizmów kontroli bezpieczeństwa fizycznego: Ograniczenie dostępu do personelu centrum danych firma Microsoft wprowadziła wymogi bezpieczeństwa regulujące zasady weryfikacji pracowników i kontrahentów centrów danych. Poza zapisami dotyczącymi kadry obiektu zawartymi w kontraktach zastosowano dodatkową warstwę zabezpieczeń w ramach centrum danych dotyczącą personelu pracującego w obiekcie. Dostęp jest ograniczony przez wprowadzenie reguły najniższych wymaganych uprawnień gwarantującej, że jedynie ściśle wyznaczona kadra jest upoważniona do zarządzania aplikacjami i usługami klientów. Realizacja wymogów dotyczących danych o dużym znaczeniu dla przedsiębiorstwa firma Microsoft opracowała surowsze wymagania minimalne udostępniania w centrach danych usług Online Services dotyczące zasobów określanych jako szczególnie istotne niż w przypadku zasobów o średnim lub niewielkim znaczeniu. Standardowe protokoły zabezpieczeń dotyczące identyfikacji, tokenów dostępu, raportów i nadzoru obiektu ściśle określają rodzaj wymaganego mechanizmu uwierzytelniania. W przypadku dostępu do szczególnie istotnych danych wymagane jest uwierzytelnianie wieloetapowe. Centralizacja zarządzania dostępem do zasobów fizycznych w związku z ciągłym zwiększaniem przez firmę Microsoft liczby centrów danych oferujących usługi Online Services opracowano narzędzie do zarządzania dostępem do zasobów fizycznych, które udostępnia również informacje kontrolne poprzez centralizację przepływu pracy w ramach procesu zgłaszania, zatwierdzania i uzyskiwania dostępu do centrów danych. Narzędzie to działa zgodnie z zasadą nadawania najmniejszych wymaganych uprawnień dostępu i wykorzystuje przepływ pracy kontrolujący zatwierdzanie przez wiele jednostek autoryzujących. Można je konfigurować odpowiednio do warunków panujących w danym obiekcie; oferuje ono sprawniejszy dostęp do szczegółowych informacji historycznych w celach raportowania i zgodności z wymogami audytu. Bezpieczeństwo sieci Firma Microsoft stosuje wielowarstwowe mechanizmy zabezpieczeń właściwe dla urządzeń i połączeń sieciowych w centrach danych. Mechanizmy bezpieczeństwa są na przykład wykorzystywane zarówno na płaszczyźnie kontroli, jak i zarządzania. Zastosowano specjalistyczny sprzęt zapobiegający atakom typu odmowa usługi (DoS) opartym na dużej ilości zapytań, taki jak zapory, urządzenia równoważące obciążenie i przeciwdziałające włamaniom. Zespoły zarządzania siecią stosują warstwowe listy kontroli dostępu (ACL) w odniesieniu do wymagających ich segmentów wirtualnych sieci lokalnych (VLAN) oraz aplikacji. Dzięki odpowiedniemu sprzętowi sieciowemu firma Microsoft korzysta z funkcji bram aplikacyjnych do przeprowadzania pogłębionej inspekcji pakietów i podejmowania takich działań, jak wysyłanie ostrzeżeń o wykryciu lub zablokowaniu podejrzanego ruchu w sieci. Powstała globalna, nadmiarowa, wewnętrzna i zewnętrzna infrastruktura DNS przeznaczona do obsługi środowiska chmury firmy Microsoft. Nadmiarowość zapewnia odporność na uszkodzenia i została osiągnięta przez łączenie serwerów DNS w klastry. Dodatkowe mechanizmy kontrolne zmniejszają zakres rozproszonych ataków typu odmowa usługi oraz ataków opartych na zanieczyszczaniu pamięci podręcznej. Na przykład, listy ACL w serwerach i strefach DNS ograniczają dostęp z uprawnieniami zapisu rekordów DNS jedynie do autoryzowanego personelu. We wszystkich serwerach DNS zastosowano nowe funkcje zabezpieczeń, takie jak losowe identyfikatory zapytań, realizowane przez najnowsze oprogramowanie DNS. Klastry DNS podlegają ciągłemu monitorowaniu w poszukiwaniu nieuprawnionego 17

18 oprogramowania i zmian konfiguracji stref DNS, a także innych zdarzeń zakłócających realizację usług. Usługa DNS wchodzi w skład światowej sieci Internet, a jej sprawne funkcjonowanie wymaga współudziału wielu organizacji. Firma Microsoft jest członkiem wielu z nich, w tym także Konsorcjum Analiz i Badań Operacji DNS (DNS- OARS, ang. DNS Operations Analysis and Research Consortium), w którego pracach udział bierze wielu ekspertów z dziedziny DNS na całym świecie. Bezpieczeństwo danych Firma Microsoft klasyfikuje zasoby w celu określenia wydajności stosowanych w odniesieniu do nich mechanizmów kontroli bezpieczeństwa. Utworzone kategorie uwzględniają względny wpływ szkód finansowych i utraty reputacji w przypadku wystąpienia problemu z bezpieczeństwem danych zasobów. Po sklasyfikowaniu zasobów przyjmowana jest strategia wielopoziomowej ochrony w celu określenia wymaganych środków bezpieczeństwa. Na przykład, dane o umiarkowanym wpływie są objęte wymogiem szyfrowania, jeśli znajdują się na nośnikach wymiennych lub są przenoszone z wykorzystaniem sieci zewnętrznych. Dane o dużym wpływie są dodatkowo objęte wymogiem szyfrowania także w przypadku przechowywania i przenoszenia w systemach oraz sieciach wewnętrznych. Wszystkie produkty firmy Microsoft muszą spełniać standardy kryptograficzne SDL określające dopuszczalne i niedopuszczalne algorytmy kryptograficzne. Na przykład, w przypadku szyfrowania symetrycznego wymagane są klucze dłuższe niż 128 bitów. Do szyfrowania asymetrycznego wymagane są klucze o długości przynajmniej 2048 bitów. Zarządzanie tożsamością i dostępem Firma Microsoft w zarządzaniu dostępem do zasobów kieruje się wytycznymi modeli wymaganego dostępu (ang. need-toknow) oraz najniższych wymaganych uprawnień (ang. least-privilege). Tam gdzie to możliwe, stosuje się oparte na rolach mechanizmy kontroli dostępu do przydzielania dostępu logicznego do określonych funkcji zadania lub obszarów odpowiedzialności zamiast do konkretnych osób. Procedury takie gwarantują, że jeśli uprawnienia nie zostały nadane wprost przez właściciela zasobów w odpowiedzi na zidentyfikowany wymóg biznesowy, domyślnie nastąpi odmowa dostępu. Osoby upoważnione do dostępu do zasobów muszą go uzyskać z zastosowaniem odpowiednich środków. Zasoby bardzo poufne wymagają uwierzytelniania wieloetapowego, na przykład z użyciem takich zabezpieczeń, jak hasło, tokeny sprzętowe, karty inteligentne czy dane biometryczne. Na bieżąco weryfikuje się listę autoryzowanych kont użytkowników, aby dostęp do określonych zasobów był uzasadniony i wymagany do realizacji określonych zadań. Konta niewymagające dostępu do danych zasobów są blokowane. Zabezpieczenia aplikacji Zabezpieczenia aplikacji to kluczowy element strategii ochrony środowiska obliczeniowego chmury firmy Microsoft. Rygorystyczne praktyki bezpieczeństwa stosowane w zespołach programistów w firmie Microsoft zostały w 2004 roku sformalizowane w ramach procesu określanego jako cykl życia opracowywania zabezpieczeń (SDL, ang. Security Development Lifecycle). Proces SDL jest niezależny od metodologii programowania i w pełni zintegrowany z cyklem opracowywania aplikacji od fazy projektu do fazy odpowiedzi. Nie zastępuje metodologii opracowywania oprogramowania, takich jak Waterfall lub Agile. Zróżnicowane fazy procesu SDL akcentują znaczenie szkoleń i edukacji, a także określają stosowanie określonych czynności i procesów w każdej z faz opracowywania oprogramowania. Starsze kierownictwo firmy Microsoft w dalszym ciągu wspiera stosowanie procesu SDL w projektowaniu produktów firmy, w tym także dostarczaniu usług Online Services. Grupa OSSC odgrywa zasadniczą rolę jako gwarant stosowania procesu SDL przy tworzeniu aplikacji przeznaczonych do umieszczenia w infrastrukturze chmury firmy Microsoft. 18

19 Proces SDL opisuje poniższa ilustracja: Poczynając od fazy formułowania wymagań, proces SDL obejmuje pewną liczbę określonych czynności w kontekście opracowywania aplikacji przeznaczonych do umieszczenia w chmurze firmy Microsoft: Wymagania głównym zadaniem w ramach tej fazy jest określenie zasadniczych docelowych warunków bezpieczeństwa oraz zapewnienie maksymalnej ochrony oprogramowania przy najniższym możliwym poziomie zakłócenia użyteczności aplikacji, planów i harmonogramów. Działania te mogą obejmować w przypadku aplikacji hostowanych dyskusję na poziomie operacyjnym skoncentrowaną na definiowaniu sposobów korzystania z połączeń sieciowych oraz przesyłania komunikatów. Projekt krytyczne etapy tej fazy opracowywania w kontekście bezpieczeństwa obejmują dokumentowanie potencjalnej płaszczyzny ataku oraz określenie modelowego zagrożenia. Tak jak w przypadku fazy formułowania wymagań, można zidentyfikować kryteria środowiskowe dla hostowanej aplikacji. Wdrożenie w tej fazie następuje kodowanie i testowanie rozwiązania. Do kluczowych praktyk w trakcie implementacji należy zapobieganie tworzeniu kodu z lukami zabezpieczeń oraz podejmowanie działań eliminujących tego typu zagrożenia, jeśli takie istnieją. Weryfikacja przejście do tej fazy beta następuje w momencie, gdy nowa aplikacja zostaje uznana za funkcjonalnie kompletną. W jej trakcie należy zwracać szczególną uwagę na określenie czynników ryzyka związanych z bezpieczeństwem występujących po wdrożeniu aplikacji w rzeczywistym środowisku produkcyjnym oraz kroków mających na celu wyeliminowanie tych czynników lub zmniejszenie ich zakresu. Wydanie w trakcie tej fazy następuje końcowa ocena zabezpieczeń (FSR, ang. Final Security Review). Jeśli jest taka potrzeba, przed wdrożeniem nowej aplikacji w środowisku chmury firmy Microsoft można również przeprowadzić operacyjną ocenę zabezpieczeń (OSR, ang. Operational Security Review). Odpowiedź w przypadku środowiska chmury firmy Microsoft zespół SIM przejmuje kierowniczą rolę w procesie reagowania na zdarzenia dotyczące bezpieczeństwa oraz ściśle współpracuje z zespołami dostarczania produktów i usług, a także z członkami zespołu Microsoft Security Response Center, w celu weryfikowania, analizy i eliminowania zgłoszonych zagrożeń. Więcej informacji na temat procesu SDL znajduje się na stronie The Microsoft Security Development Lifecycle (SDL). Grupa OSSC zarządza procesem FSR obowiązkowym przeglądem SDL w przypadku usług Microsoft Online Services 19

20 w celu zagwarantowania realizacji właściwych wymogów bezpieczeństwa przed wdrożeniem nowych aplikacji w infrastrukturze chmury firmy Microsoft. FSR ocenia stopień, w jakim zespół spełnia wymogi SDL w procesie opracowywania oprogramowania. W trakcie przeglądu FSR grupa OSSC zarządza następującymi zadaniami: Koordynacja zespołu ds. produktu członkowie zespołu opracowywania produktu muszą wypełnić odpowiednie kwestionariusze i inne dokumenty. Te informacje posłużą grupie OSSC do sprawdzenia, czy proces SDL został poprawnie zastosowany podczas opracowywania produktu. Przegląd modeli zagrożeń firma Microsoft uznaje, że modele zagrożeń mają krytyczne znaczenie w procesie tworzenia bezpiecznego oprogramowania. Grupa OSSC analizuje modele zagrożeń opracowane przez zespoły ds. produktu w celu sprawdzenia ich kompletności i aktualności. Częścią tego przeglądu jest także weryfikacja wdrożenia mechanizmów kontroli zmniejszających zakres występowania wszystkich zidentyfikowanych czynników ryzyka. Przegląd błędów dotyczących bezpieczeństwa następuje przegląd wszelkich błędów zidentyfikowanych w trakcie projektowania, opracowywania i testowania aplikacji w celu likwidacji błędów zagrażających bezpieczeństwu i ochronie danych klientów. Weryfikacja wykorzystania narzędzi zespoły ds. opracowywania i testowania w firmie Microsoft w ramach procesu opracowywania wykorzystują narzędzia zabezpieczania oprogramowania i udokumentowane wzorce kodu. Pozwala to na znaczące podniesienie poziomu bezpieczeństwa poprzez eliminację najczęściej występujących luk w zabezpieczeniach. Grupa OSSC sprawdza, czy zespoły ds. produktu we właściwy sposób korzystały z dostępnych narzędzi, udokumentowanego kodu, wzorców i praktyk. Poza zarządzaniem procesem FSR grupa OSSC zarządza także procesem operacyjnej oceny zabezpieczeń (OSR). Składa się on z przeglądu zastosowanych mechanizmów komunikacji sieciowej, platformy, konfiguracji systemu i możliwości monitorowania w kontekście ich zgodności z ustanowionymi standardami i wytycznymi dotyczącymi bezpieczeństwa. Proces OSR zapewnia wdrożenie w ramach planów operacyjnych odpowiednich mechanizmów kontroli bezpieczeństwa przed wyrażeniem zgody na wdrożenie oprogramowania w infrastrukturze chmury. Zabezpieczenia hostów kontrola i raportowanie Oferowanie niezawodnych, dobrze zarządzanych, bezpiecznych i aktualizowanych usług wymaga zarządzania środowiskiem o coraz większych rozmiarach i stopniu złożoności. Codzienne skanowanie zasobów infrastruktury daje bieżący ogląd luk systemu hosta oraz umożliwia zespołowi OSSC w porozumieniu z grupami dostarczania produktów i usług zarządzanie istniejącymi czynnikami ryzyka bez zbędnych przerw w funkcjonowaniu usług Microsoft Online Services. Testy penetracyjne przeprowadzane przez podmioty wewnętrzne i zewnętrzne dają istotny wgląd w wydajność mechanizmów kontroli bezpieczeństwa infrastruktury chmury firmy Microsoft. Wyniki takich przeglądów i bieżącej weryfikacji wprowadzanych mechanizmów kontroli są podstawą późniejszych działań polegających na skanowaniu, monitorowaniu i eliminowaniu czynników ryzyka. Zautomatyzowane wdrażanie standardowych obrazów zabezpieczonego systemu operacyjnego wraz z aktywnym wykorzystaniem mechanizmów kontroli reguł hosta, takich jak zasady grupy, pozwalają na kontrolowane poszerzanie bazy serwerów w infrastrukturze chmury firmy Microsoft. Procesy przeglądu operacyjnego oraz program zarządzania poprawkami firmy Microsoft umożliwiają po ich wdrożeniu bieżącą minimalizację zakresu czynników ryzyka dotyczących bezpieczeństwa w systemach hosta. 20

SIŁA PROSTOTY. Business Suite

SIŁA PROSTOTY. Business Suite SIŁA PROSTOTY Business Suite REALNE ZAGROŻENIE Internetowe zagrożenia czyhają na wszystkie firmy bez względu na to, czym się zajmują. Jeśli masz dane lub pieniądze, możesz stać się celem ataku. Incydenty

Bardziej szczegółowo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania

Bardziej szczegółowo

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz

Bardziej szczegółowo

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1 Spis treści Wstęp... ix 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1 Składniki systemu Windows SBS 2008... 1 Windows Server 2008 Standard... 2 Exchange Server 2007 Standard...

Bardziej szczegółowo

Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2

Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2 Steve Suehring Egzamin 70-414 Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2 Przekład: Leszek Biolik APN Promise, Warszawa 2014 Spis treści Wstęp................................................................

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja

Bardziej szczegółowo

Zapewnienie dostępu do Chmury

Zapewnienie dostępu do Chmury Zapewnienie dostępu do Chmury O bezpiecznym i sprawnym dostępie do Chmury i danych w Chmurze. Marcin Tynda Business Development Manager Grupa Onet S.A. Warszawa, 24.06.2013 1 Kto jest kim Klient? Kim jest

Bardziej szczegółowo

DLA SEKTORA INFORMATYCZNEGO W POLSCE

DLA SEKTORA INFORMATYCZNEGO W POLSCE DLA SEKTORA INFORMATYCZNEGO W POLSCE SRK IT obejmuje kompetencje najważniejsze i specyficzne dla samego IT są: programowanie i zarządzanie systemami informatycznymi. Z rozwiązań IT korzysta się w każdej

Bardziej szczegółowo

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014 1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)

Bardziej szczegółowo

Problemy niezawodnego przetwarzania w systemach zorientowanych na usługi

Problemy niezawodnego przetwarzania w systemach zorientowanych na usługi Problemy niezawodnego przetwarzania w systemach zorientowanych na usługi Jerzy Brzeziński, Anna Kobusińska, Dariusz Wawrzyniak Instytut Informatyki Politechnika Poznańska Plan prezentacji 1 Architektura

Bardziej szczegółowo

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych

Bardziej szczegółowo

epolska XX lat później Daniel Grabski Paweł Walczak

epolska XX lat później Daniel Grabski Paweł Walczak epolska XX lat później Daniel Grabski Paweł Walczak BIG TRENDY TECHNOLOGICZNE TRANSFORMACJA DOSTĘPU DO LUDZI I INFORMACJI +WYZWANIA W OBSZARZE CYBERBEZPIECZEŃSTWA Mobile Social Cloud Millennials (cyfrowe

Bardziej szczegółowo

Informatyka w kontroli i audycie

Informatyka w kontroli i audycie Informatyka w kontroli i audycie Informatyka w kontroli i audycie Wstęp Terminy zajęć 30.11.2013 - godzina 8:00-9:30 ; 9:45-11:15 15.12.2013 - godzina 8:00-9:30 ; 9:45-11:15 05.04.2014 - godzina 15:45-17:15

Bardziej szczegółowo

Marcin Soczko. Agenda

Marcin Soczko. Agenda System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie

Bardziej szczegółowo

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Bezpieczeństwo dla wszystkich środowisk wirtualnych

Bezpieczeństwo dla wszystkich środowisk wirtualnych Bezpieczeństwo dla wszystkich środowisk wirtualnych SECURITY FOR VIRTUAL AND CLOUD ENVIRONMENTS Ochrona czy wydajność? Liczba maszyn wirtualnych wyprzedziła fizyczne już 2009 roku. Dzisiaj ponad połowa

Bardziej szczegółowo

BAKER TILLY POLAND CONSULTING

BAKER TILLY POLAND CONSULTING BAKER TILLY POLAND CONSULTING Wytyczne KNF dla firm ubezpieczeniowych i towarzystw reasekuracyjnych w obszarze bezpieczeństwa informatycznego An independent member of Baker Tilly International Objaśnienie

Bardziej szczegółowo

Zarządzanie i realizacja projektów systemu Microsoft SharePoint 2010

Zarządzanie i realizacja projektów systemu Microsoft SharePoint 2010 Zarządzanie i realizacja projektów systemu Microsoft SharePoint 2010 Geoff Evelyn Przekład: Natalia Chounlamany APN Promise Warszawa 2011 Spis treści Podziękowania......................................................

Bardziej szczegółowo

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011 Architektura informacji w ochronie zdrowia Warszawa, 29 listopada 2011 Potrzeba Pomiędzy 17 a 19 kwietnia 2011 roku zostały wykradzione dane z 77 milionów kont Sony PlayStation Network. 2 tygodnie 25 milionów

Bardziej szczegółowo

PROJEKT. Domeny.tv jest największym projektem prowadzonym wewnątrz MSERWIS. Serwis istnieje od 2003 roku i jest rozwijany praktycznie codziennie.

PROJEKT. Domeny.tv jest największym projektem prowadzonym wewnątrz MSERWIS. Serwis istnieje od 2003 roku i jest rozwijany praktycznie codziennie. C A S E STUDY PROJEKT Domeny.tv jest największym projektem prowadzonym wewnątrz MSERWIS. Serwis istnieje od 2003 roku i jest rozwijany praktycznie codziennie. Ogrom wyzwań, jaki nas spotyka w ramach pracy

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. Dz.U.2004.100.1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,

Bardziej szczegółowo

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny? Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA Dlaczego DNS jest tak ważny? DNS - System Nazw Domenowych to globalnie rozmieszczona usługa Internetowa. Zapewnia tłumaczenie nazw domen

Bardziej szczegółowo

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem

Bardziej szczegółowo

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania

Bardziej szczegółowo

produkować, promować i sprzedawać produkty, zarządzać i rozliczać przedsięwzięcia, oraz komunikować się wewnątrz organizacji.

produkować, promować i sprzedawać produkty, zarządzać i rozliczać przedsięwzięcia, oraz komunikować się wewnątrz organizacji. Wspieramy w doborze, wdrażaniu oraz utrzymaniu systemów informatycznych. Od wielu lat dostarczamy technologie Microsoft wspierające funkcjonowanie działów IT, jak i całych przedsiębiorstw. Nasze oprogramowanie

Bardziej szczegółowo

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r. ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA w sprawie wyznaczenia administratora bezpieczeństwa informacji oraz zastępców administratora bezpieczeństwa informacji w Urzędzie Gminy w Stegnie. Na podstawie

Bardziej szczegółowo

ISO 27001. bezpieczeństwo informacji w organizacji

ISO 27001. bezpieczeństwo informacji w organizacji ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie

Bardziej szczegółowo

Referat pracy dyplomowej

Referat pracy dyplomowej Referat pracy dyplomowej Temat pracy: Wdrożenie intranetowej platformy zapewniającej organizację danych w dużej firmie na bazie oprogramowania Microsoft SharePoint Autor: Bartosz Lipiec Promotor: dr inż.

Bardziej szczegółowo

System Kontroli Wewnętrznej w Banku BPH S.A.

System Kontroli Wewnętrznej w Banku BPH S.A. System Kontroli Wewnętrznej w Banku BPH S.A. Cel i elementy systemu kontroli wewnętrznej 1. System kontroli wewnętrznej umożliwia sprawowanie nadzoru nad działalnością Banku. System kontroli wewnętrznej

Bardziej szczegółowo

Z roku na rok wzrasta liczba systemów informatycznych, co skutkuje coraz większym uzależnieniem od nich działalności biznesowej przedsiębiorstw.

Z roku na rok wzrasta liczba systemów informatycznych, co skutkuje coraz większym uzależnieniem od nich działalności biznesowej przedsiębiorstw. Single Sign On Z roku na rok wzrasta liczba systemów informatycznych, co skutkuje coraz większym uzależnieniem od nich działalności biznesowej przedsiębiorstw. Jednocześnie systemy te przechowują coraz

Bardziej szczegółowo

Projektowanie i implementacja infrastruktury serwerów

Projektowanie i implementacja infrastruktury serwerów Steve Suehring Egzamin 70-413 Projektowanie i implementacja infrastruktury serwerów Przekład: Leszek Biolik APN Promise, Warszawa 2013 Spis treści Wstęp....ix 1 Planowanie i instalacja infrastruktury serwera....

Bardziej szczegółowo

Leonard G. Lobel Eric D. Boyd. Azure SQL Database Krok po kroku. Microsoft. Przekład: Marek Włodarz. APN Promise, Warszawa 2014

Leonard G. Lobel Eric D. Boyd. Azure SQL Database Krok po kroku. Microsoft. Przekład: Marek Włodarz. APN Promise, Warszawa 2014 Leonard G. Lobel Eric D. Boyd Microsoft TM Azure SQL Database Krok po kroku Przekład: Marek Włodarz APN Promise, Warszawa 2014 Spis treści Wprowadzenie........................................................

Bardziej szczegółowo

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy

Bardziej szczegółowo

Zaawansowane usługi identyfikacji na przykładzie projektu Centralnego Systemu Identyfikacji Uczestników Meczów Piłki Nożnej PWPW S.

Zaawansowane usługi identyfikacji na przykładzie projektu Centralnego Systemu Identyfikacji Uczestników Meczów Piłki Nożnej PWPW S. Zaawansowane usługi identyfikacji na przykładzie projektu Centralnego Systemu Identyfikacji Uczestników Meczów Piłki Nożnej PWPW S.A jako Partner Technologiczny Ekstraklasa S.A. Zagadnienia Wprowadzenie

Bardziej szczegółowo

SYSTEM VILM ZARZĄDZANIE CYKLEM ŻYCIA ŚRODOWISK WIRTUALNYCH. info@prointegra.com.pl tel: +48 (032) 730 00 42

SYSTEM VILM ZARZĄDZANIE CYKLEM ŻYCIA ŚRODOWISK WIRTUALNYCH. info@prointegra.com.pl tel: +48 (032) 730 00 42 SYSTEM VILM ZARZĄDZANIE CYKLEM ŻYCIA ŚRODOWISK WIRTUALNYCH info@prointegra.com.pl tel: +48 (032) 730 00 42 1. WPROWADZENIE... 3 2. KORZYŚCI BIZNESOWE... 4 3. OPIS FUNKCJONALNY VILM... 4 KLUCZOWE FUNKCJE

Bardziej szczegółowo

ZARZĄDZANIE MARKĄ. Doradztwo i outsourcing

ZARZĄDZANIE MARKĄ. Doradztwo i outsourcing ZARZĄDZANIE MARKĄ Doradztwo i outsourcing Pomagamy zwiększać wartość marek i maksymalizować zysk. Prowadzimy projekty w zakresie szeroko rozumianego doskonalenia organizacji i wzmacniania wartości marki:

Bardziej szczegółowo

Instalowanie i konfigurowanie Windows Server 2012 R2

Instalowanie i konfigurowanie Windows Server 2012 R2 Mitch Tulloch Instalowanie i konfigurowanie Windows Server 2012 R2 Poradnik szkoleniowy Przekład: Leszek Biolik APN Promise, Warszawa 2014 Spis treści Wstęp.............................................................

Bardziej szczegółowo

BITDEFENDER GRAVITYZONE

BITDEFENDER GRAVITYZONE BITDEFENDER GRAVITYZONE Wersja 5.1.19-448 Informacje o Wydaniu Bitdefender GravityZone Wersja 5.1.19-448 Informacje o Wydaniu Data publikacji 2015.03.11 Copyright 2015 Bitdefender Uwagi prawne Wszelkie

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...

Bardziej szczegółowo

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro Audyt bezpieczeństwa Definicja Audyt systematyczna i niezależna ocena danej organizacji, systemu, procesu,

Bardziej szczegółowo

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE Zarządzenie nr 1/2015 z dnia 2 stycznia 2015 r. o zmianie zarządzenia w sprawie: wyznaczenia administratora bezpieczeństwa informacji oraz administratora systemów informatycznych w Urzędzie Gminy i Miasta

Bardziej szczegółowo

Niniejszy dokument jest własnością European Security Tranding SAS i nie może być kopiowany w całości lub częściowo bez jej zgody.

Niniejszy dokument jest własnością European Security Tranding SAS i nie może być kopiowany w całości lub częściowo bez jej zgody. Niniejszy dokument jest własnością European Security Tranding SAS i nie może być kopiowany w całości lub częściowo bez jej zgody. Prezentacja - 2013 1. Historia European Security Trading powstało w 1999

Bardziej szczegółowo

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI Headlines Spółka z ograniczoną odpowiedzialnością i spółka spółka komandytowa szanuje i troszczy się o prawo do prywatności

Bardziej szczegółowo

ZINTEGROWANY SYSTEM ZARZĄDZANIA DOKUMENT NADZOROWANY W WERSJI ELEKTRONICZNEJ Wydanie 07 Urząd Miasta Płocka. Księga środowiskowa

ZINTEGROWANY SYSTEM ZARZĄDZANIA DOKUMENT NADZOROWANY W WERSJI ELEKTRONICZNEJ Wydanie 07 Urząd Miasta Płocka. Księga środowiskowa Strona 1 1. Księga Środowiskowa Księga Środowiskowa to podstawowy dokument opisujący strukturę i funkcjonowanie wdrożonego w Urzędzie Systemu Zarządzania Środowiskowego zgodnego z wymaganiami normy PN-EN

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ Załącznik nr 3 do Zarządzenia nr 1/2013 Rektora Collegium Mazovia Innowacyjnej Szkoły Wyższej z dnia 31 stycznia 2013 r. INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ

Bardziej szczegółowo

Przetwarzanie w chmurze

Przetwarzanie w chmurze Przetwarzanie w chmurze Opracował: Zb. Rudnicki 1 Chmura w Internecie 2 1 picasaweb.google.com - Fotografie w chmurze 3 Octave - podobny do Matlaba - także w chmurze (uproszczony) i dostępny w iphone 4

Bardziej szczegółowo

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Bezpieczeństwo danych i systemów informatycznych. Wykład 1 Bezpieczeństwo danych i systemów informatycznych Wykład 1 1. WPROWADZENIE 2 Bezpieczeństwo systemu komputerowego System komputerowy jest bezpieczny, jeśli jego użytkownik może na nim polegać, a zainstalowane

Bardziej szczegółowo

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum Lp. 1 Temat 1. Konfigurowanie urządzeń. Uzyskiwanie dostępu do sieci Internet 2 3 4 5 Symulatory programów konfiguracyjnych urządzeń Konfigurowanie urządzeń Konfigurowanie urządzeń sieci Funkcje zarządzalnych

Bardziej szczegółowo

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o. Usprawnienie procesu zarządzania konfiguracją Marcin Piebiak Solution Architect Linux Polska Sp. z o.o. 1 Typowy model w zarządzaniu IT akceptacja problem problem aktualny stan infrastruktury propozycja

Bardziej szczegółowo

Normalizacja dla bezpieczeństwa informacyjnego

Normalizacja dla bezpieczeństwa informacyjnego Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem

Bardziej szczegółowo

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013r. STRONA 1 USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013 Spis Treści 1 O Nas pointas.com.pl 2 Kadra i Kwalifikacje 3 Audyty i konsulting

Bardziej szczegółowo

Symantec Enterprise Security. Andrzej Kontkiewicz

Symantec Enterprise Security. Andrzej Kontkiewicz Symantec Enterprise Security Andrzej Kontkiewicz Typowe pytania o bezpieczeństwo Jak... 2 Cztery kroki do bezpieczeństwa Jak chronić informację, gdy informację, obrzeże Jak stanowią to ludzie chronić sieci?

Bardziej szczegółowo

Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora. Jakub Syta, CISA, CISSP. 2011 IMMUSEC Sp. z o.o.

Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora. Jakub Syta, CISA, CISSP. 2011 IMMUSEC Sp. z o.o. Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora Jakub Syta, CISA, CISSP Warszawa 28 luty 2011 1 Oberwanie chmury Jak wynika z badania Mimecast Cloud Adoption Survey, 74

Bardziej szczegółowo

Bezpieczeństwo dziś i jutro Security InsideOut

Bezpieczeństwo dziś i jutro Security InsideOut Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle

Bardziej szczegółowo

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian Zarządzanie ryzykiem Klasyfikacja Edukacja Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian Organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego 5.4.

Bardziej szczegółowo

Przedstawiamy produkt KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Przedstawiamy produkt KASPERSKY ENDPOINT SECURITY FOR BUSINESS Przedstawiamy produkt KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Czynniki biznesowe i ich wpływ na środowisko IT SPRAWNOŚĆ Bądź szybki, zwinny i elastyczny 66 proc. właścicieli firm uważa sprawność prowadzenia

Bardziej szczegółowo

Praca w sieci z serwerem

Praca w sieci z serwerem 11 Praca w sieci z serwerem Systemy Windows zostały zaprojektowane do pracy zarówno w sieci równoprawnej, jak i w sieci z serwerem. Sieć klient-serwer oznacza podłączenie pojedynczego użytkownika z pojedynczej

Bardziej szczegółowo

Cele kluczowe W dziedzinie inwestowania w zasoby ludzkie W zakresie wzmacniania sfery zdrowia i bezpieczeństwa

Cele kluczowe W dziedzinie inwestowania w zasoby ludzkie W zakresie wzmacniania sfery zdrowia i bezpieczeństwa Cele kluczowe Idea społecznej odpowiedzialności biznesu jest wpisana w wizję prowadzenia działalności przez Grupę Kapitałową LOTOS. Zagadnienia te mają swoje odzwierciedlenie w strategii biznesowej, a

Bardziej szczegółowo

udokumentowanych poprzez publikacje naukowe lub raporty, z zakresu baz danych

udokumentowanych poprzez publikacje naukowe lub raporty, z zakresu baz danych Rola architektury systemów IT Wymagania udokumentowanych poprzez publikacje naukowe lub raporty, z zakresu metod modelowania architektury systemów IT - UML, systemów zorientowanych na usługi, systemów

Bardziej szczegółowo

SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY. Europejski program bezpieczeństwa lotniczego

SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY. Europejski program bezpieczeństwa lotniczego KOMISJA EUROPEJSKA Bruksela, dnia 7.12.2015 r. COM(2015) 599 final SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY Europejski program bezpieczeństwa lotniczego PL PL 1. KOMUNIKAT KOMISJI Z 2011

Bardziej szczegółowo

OCHRONA SYMANTEC ENTERPRISE SECURITY. Kompleksowe rozwiązania ochrony przed włamaniami opracowane przez firmę Symantec

OCHRONA SYMANTEC ENTERPRISE SECURITY. Kompleksowe rozwiązania ochrony przed włamaniami opracowane przez firmę Symantec OCHRONA SYMANTEC ENTERPRISE SECURITY Kompleksowe rozwiązania ochrony przed włamaniami opracowane przez firmę Symantec Wykrywanie, zapobieganie, reagowanie i zarządzanie Zabezpiecz aplikacje i zasoby przedsiębiorstwa

Bardziej szczegółowo

1. Zakres modernizacji Active Directory

1. Zakres modernizacji Active Directory załącznik nr 1 do umowy 1. Zakres modernizacji Active Directory 1.1 Opracowanie szczegółowego projektu wdrożenia. Określenie fizycznych lokalizacji serwerów oraz liczby lokacji Active Directory Określenie

Bardziej szczegółowo

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Beata Wanic Śląskie Centrum Społeczeństwa Informacyjnego II Śląski Konwent Informatyków i Administracji Samorządowej Szczyrk,

Bardziej szczegółowo

SHAREPOINT SHAREPOINT QM SHAREPOINT DESINGER SHAREPOINT SERWER. Opr. Barbara Gałkowska

SHAREPOINT SHAREPOINT QM SHAREPOINT DESINGER SHAREPOINT SERWER. Opr. Barbara Gałkowska SHAREPOINT SHAREPOINT QM SHAREPOINT DESINGER SHAREPOINT SERWER Opr. Barbara Gałkowska Microsoft SharePoint Microsoft SharePoint znany jest również pod nazwą Microsoft SharePoint Products and Technologies

Bardziej szczegółowo

Transport odpadów a standardy bezpieczeństwa. System Zarządzania Bezpieczeństwem Ruchu drogowego. Joanna Bańkowska Dyrektor Zarządzający BSI

Transport odpadów a standardy bezpieczeństwa. System Zarządzania Bezpieczeństwem Ruchu drogowego. Joanna Bańkowska Dyrektor Zarządzający BSI Transport odpadów a standardy bezpieczeństwa System Zarządzania Bezpieczeństwem Ruchu drogowego Joanna Bańkowska Dyrektor Zarządzający BSI NOWOCZESNY SYSTEM GOSPODARKI ODPADAMI PROBLEM CZY BIZNES? 13.11.2013

Bardziej szczegółowo

Wpływ kompetencji pracowników administracji publicznej na wdrożenie i utrzymanie systemów teleinformatycznych

Wpływ kompetencji pracowników administracji publicznej na wdrożenie i utrzymanie systemów teleinformatycznych 1 Wpływ kompetencji pracowników administracji publicznej na wdrożenie i utrzymanie systemów teleinformatycznych Zespół projektowy: Andrzej Natuniewicz, Bartosz Drozd, Anna Góralska, Andrzej Perkowski,

Bardziej szczegółowo

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa

Bardziej szczegółowo

VIBcare ZDALNE MONITOROWANIE STANU MASZYN. www.ec-systems.pl

VIBcare ZDALNE MONITOROWANIE STANU MASZYN. www.ec-systems.pl VIBcare ZDALNE MONITOROWANIE STANU MASZYN www.ecsystems.pl ZDALNY NADZÓR DIAGNOSTYCZNY EC SYSTEMS WIEDZA I DOŚWIADCZENIE, KTÓRYM MOŻESZ ZAUFAĆ N owe technologie służące monitorowaniu i diagnostyce urządzeń

Bardziej szczegółowo

produkować, promować i sprzedawać produkty, zarządzać i rozliczać przedsięwzięcia, oraz komunikować się wewnątrz organizacji.

produkować, promować i sprzedawać produkty, zarządzać i rozliczać przedsięwzięcia, oraz komunikować się wewnątrz organizacji. Wspieramy w doborze, wdrażaniu oraz utrzymaniu systemów informatycznych. Od wielu lat dostarczamy technologie Microsoft wspierające funkcjonowanie działów IT, jak i całych przedsiębiorstw. Nasze oprogramowanie

Bardziej szczegółowo

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r. ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE w sprawie powołania i określenia zadań Administratora Bezpieczeństwa Informacji, Administratora Systemów Informatycznych oraz Lokalnych Administratorów

Bardziej szczegółowo

CENTRALA ŚWIATOWA 20330 Stevens Creek Blvd. Cupertino, CA 95014 USA +1 408 253 9600

CENTRALA ŚWIATOWA 20330 Stevens Creek Blvd. Cupertino, CA 95014 USA +1 408 253 9600 INFORMACJE O FIRMIE SYMANTEC Firma Symantec jest światowym liderem w dziedzinie zabezpieczeń internetowych, oferującym pełną gamę oprogramowania, urządzeń i usług, opracowanych, by pomóc odbiorcom indywidualnym,

Bardziej szczegółowo

PROCEDURA ADMINISTROWANIA ORAZ USUWANIA AWARII I BŁĘDÓW W CSIZS

PROCEDURA ADMINISTROWANIA ORAZ USUWANIA AWARII I BŁĘDÓW W CSIZS Załącznik nr 3 do umowy nr 10/DI/PN/2016 PROCEDURA ADMINISTROWANIA ORAZ USUWANIA AWARII I BŁĘDÓW W Rozdział 1. ADMINISTROWANIE 1. Wykonawca, w celu zapewnienia ciągłości funkcjonowania, zobowiązuje się

Bardziej szczegółowo

Wybór ZSI. Zakup standardowego systemu. System pisany na zamówienie

Wybór ZSI. Zakup standardowego systemu. System pisany na zamówienie Wybór ZSI Zakup standardowego systemu System pisany na zamówienie Zalety: Standardowy ZSI wbudowane najlepsze praktyki biznesowe możliwość testowania przed zakupem mniej kosztowny utrzymywany przez asystę

Bardziej szczegółowo

KONIECZNE ZMIANY W PRZEPISACH ROZPORZĄDZENIA Z PUNKTU WIDZENIA GIODO

KONIECZNE ZMIANY W PRZEPISACH ROZPORZĄDZENIA Z PUNKTU WIDZENIA GIODO KONIECZNE ZMIANY W PRZEPISACH ROZPORZĄDZENIA Z PUNKTU WIDZENIA GIODO Andrzej Kaczmarek BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH 11. 05. 2009 r. Warszawa Generalny Inspektor Ochrony Danych

Bardziej szczegółowo

HP Service Anywhere Uproszczenie zarządzania usługami IT

HP Service Anywhere Uproszczenie zarządzania usługami IT HP Service Anywhere Uproszczenie zarządzania usługami IT Robert Nowak Architekt rozwiązań HP Software Dlaczego Software as a Service? Najważniejsze powody za SaaS UZUPEŁNIENIE IT 2 Brak zasobów IT Ograniczone

Bardziej szczegółowo

I. Postanowienia ogólne.

I. Postanowienia ogólne. PROCEDURY KONTROLI ZARZĄDCZEJ Załącznik Nr 1 do zarządzenia nr 291/11 Prezydenta Miasta Wałbrzycha z dnia 15.03.2011 r. I. Postanowienia ogólne. 1 Procedura kontroli zarządczej została opracowana na podstawie

Bardziej szczegółowo

Hosting aplikacji on-line

Hosting aplikacji on-line Klient Sp. z o.o. Branża gospodarka i biznes, IT Okres realizacji Od września 2010 do chwili obecnej Rodzaj usługi doradztwo, hosting, hosting danych osobowych, zarządzanie serwerami Doradztwo Hosting

Bardziej szczegółowo

Strategia identyfikacji, pomiaru, monitorowania i kontroli ryzyka w Domu Maklerskim Capital Partners SA

Strategia identyfikacji, pomiaru, monitorowania i kontroli ryzyka w Domu Maklerskim Capital Partners SA Strategia identyfikacji, pomiaru, monitorowania i kontroli ryzyka zatwierdzona przez Zarząd dnia 14 czerwca 2010 roku zmieniona przez Zarząd dnia 28 października 2010r. (Uchwała nr 3/X/2010) Tekst jednolity

Bardziej szczegółowo

Licencjonowanie System Center 2012 R2

Licencjonowanie System Center 2012 R2 Licencjonowanie Opis produktu Microsoft zapewnia rozwiązania służące do zarządzania zasobami centrów przetwarzania danych, prywatnymi chmurami obliczeniowymi i urządzeniami klienckimi. Zarządzanie prywatną

Bardziej szczegółowo

Zarządzanie projektami a zarządzanie ryzykiem

Zarządzanie projektami a zarządzanie ryzykiem Ewa Szczepańska Zarządzanie projektami a zarządzanie ryzykiem Warszawa, dnia 9 kwietnia 2013 r. Agenda Definicje Wytyczne dla zarządzania projektami Wytyczne dla zarządzania ryzykiem Miejsce ryzyka w zarządzaniu

Bardziej szczegółowo

Wykonawcy biorący udział w postępowaniu ZMIANA TREŚCI SIWZ

Wykonawcy biorący udział w postępowaniu ZMIANA TREŚCI SIWZ Nr sprawy: OR.VII.272.50.2011 Łódź, dnia 25 lipca 2011 r. Zamawiający Województwo Łódzkie Prowadzący postępowanie Urząd Marszałkowski w Łodzi Wydział ds. Zamówień Publicznych 90-051 Łódź, al. Piłsudskiego

Bardziej szczegółowo

Bezpieczeostwo chmury szansa czy zagrożenie dla Banków Spółdzielczych?

Bezpieczeostwo chmury szansa czy zagrożenie dla Banków Spółdzielczych? Bezpieczeostwo chmury szansa czy zagrożenie dla Banków Spółdzielczych? Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o. Agenda Cloud Computing definicja Modele biznesowe Zagrożenia

Bardziej szczegółowo

Nie o narzędziach a o rezultatach. czyli skuteczny sposób dokonywania uzgodnień pomiędzy biznesem i IT. Władysławowo, 6 października 2011 r.

Nie o narzędziach a o rezultatach. czyli skuteczny sposób dokonywania uzgodnień pomiędzy biznesem i IT. Władysławowo, 6 października 2011 r. Nie o narzędziach a o rezultatach czyli skuteczny sposób dokonywania uzgodnień pomiędzy biznesem i IT Władysławowo, 6 października 2011 r. Dlaczego taki temat? Ci którzy wykorzystują technologie informacyjne

Bardziej szczegółowo

Wzorcowy załącznik techniczny, do umowy w sprawie przesyłania faktur elektronicznych pomiędzy Firmą A oraz Firmą B

Wzorcowy załącznik techniczny, do umowy w sprawie przesyłania faktur elektronicznych pomiędzy Firmą A oraz Firmą B Załącznik Nr 1 Wzorcowy załącznik techniczny, do umowy w sprawie przesyłania faktur elektronicznych pomiędzy Firmą A oraz Firmą B Wersja 1.0 Na podstawie: Europejskiej Modelowej Umowy o EDI (w skrócie:

Bardziej szczegółowo

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa dr inż. Mariusz Stawowski mariusz.stawowski@clico.pl Agenda Wprowadzenie Specyficzne

Bardziej szczegółowo

ZAPYTANIE OFERTOWE. Zamawiający. Przedmiot zapytania ofertowego. Wrocław, dnia 23.03.2015 r.

ZAPYTANIE OFERTOWE. Zamawiający. Przedmiot zapytania ofertowego. Wrocław, dnia 23.03.2015 r. ZAPYTANIE OFERTOWE Wrocław, dnia 23.03.2015 r. W związku z realizacją przez Nova Telecom spółka z ograniczoną odpowiedzialnością, projektu pn.: Wdrożenie zintegrowanego systemu klasy B2B, umożliwiającego

Bardziej szczegółowo

IV Opis przedmiotu zamówienia:

IV Opis przedmiotu zamówienia: IV Opis przedmiotu zamówienia: Przedmiotem zamówienia jest na zakup eksperckiej usługi informatycznej w ramach której Zamawiający będzie miał zapewniony dostęp, przez okres jednego roku (tj. 12 miesięcy

Bardziej szczegółowo

Wstęp do Microsoft Forefront. Jakub Januszewski Technology Adviser - Security Microsoft

Wstęp do Microsoft Forefront. Jakub Januszewski Technology Adviser - Security Microsoft Wstęp do Microsoft Forefront Jakub Januszewski Technology Adviser - Security Microsoft 1 Agenda Wyzwania bezpieczeństwa Rodzina Forefront dzisiaj Forefront Codename Stirling Pytania Wyzwania bezpieczeństwa

Bardziej szczegółowo

VENDIO SPRZEDAŻ kompleksowa obsługa sprzedaży. dcs.pl Sp. z o.o. vendio.dcs.pl E-mail: info@dcs.pl Warszawa, 16-10-2014

VENDIO SPRZEDAŻ kompleksowa obsługa sprzedaży. dcs.pl Sp. z o.o. vendio.dcs.pl E-mail: info@dcs.pl Warszawa, 16-10-2014 VENDIO SPRZEDAŻ kompleksowa obsługa sprzedaży dcs.pl Sp. z o.o. vendio.dcs.pl E-mail: info@dcs.pl Warszawa, 16-10-2014 Agenda Jak zwiększyć i utrzymać poziom sprzedaży? VENDIO Sprzedaż i zarządzanie firmą

Bardziej szczegółowo

Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich

Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich Załącznik do Uchwały Zarządu Nr 11/XLI/14 z dnia 30 grudnia 2014r. Załącznik do uchwały Rady Nadzorczej Nr 8/IX/14 z dnia 30 grudnia 2014r. Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym

Bardziej szczegółowo

KARTA AUDYTU WEWNĘTRZNEGO

KARTA AUDYTU WEWNĘTRZNEGO Załącznik nr 1 do Zarządzenia nr 13/09 Burmistrza Miasta Hajnówka z dnia 30 stycznia 2009 r. KARTA AUDYTU WEWNĘTRZNEGO 1. Nazwa JSFP Urząd Miasta Hajnówka zwany dalej Jednostką. 2. Adres Jednostki 17-200

Bardziej szczegółowo

Software Updater F-Secure Unikatowe narzędzie, które chroni firmy przed znanymi zagrożeniami

Software Updater F-Secure Unikatowe narzędzie, które chroni firmy przed znanymi zagrożeniami Software Updater F-Secure Unikatowe narzędzie, które chroni firmy przed znanymi zagrożeniami Sens automatycznych aktualizacji oprogramowania Większość współczesnych złośliwych programów infekuje systemy

Bardziej szczegółowo