Obsah workshopu:

• ohrozené (rizikové) skupiny užívateľov,

• existujúce a najčastejšie formy ohrozenia,

• rozdelenie a vysvetlenie tipov malwerov,

• ako sa pohybovať po Internete bezpečne,

• ako bezpečne narábať s vašim počítačom,

• desatoro pravidiel, ktoré vám zaistia bezpečnosť,

• praktické návody a ukážky.

Pozn.: workshop je doplnenou ukážkou školení o bezpečnosti práce s počítačom a internetom, určený je pre bežných používateľov (zamestnancov).

Termín: 31. máj 2012

Čas: od 9:30 do 12:00

Miesto konania: Lazovná 69, Banská Bystrica, 4. poschodie (sídlo spoločnosti SOMI Systems a.s.)

Kontakt: registrácia na lukas.maliniak@somi.sk

Počet účastníkov je obmedzený.

Do poznámky pri prihlásení, napíšte aj názov daného workshopu na ktorý sa prihlasujete.

Obsah workshopu:

• prehľad tradičných možností,

• zhodnotenie z pohľadu bezpečnosti,

• tunelovanie vzdialenej plochy versus VPN,

• porovnanie výhod a nevýhod jednotlivých metód,

• prínos kolaboratívnych metód,

• ukážky VPN, RDP, VNC, Citrix etc..

Termín: 17. máj 2012

Čas: od 9:30 do 12:00

Miesto konania: Lazovná 69, Banská Bystrica, 4. poschodie (sídlo spoločnosti SOMI Systems a.s.)

Kontakt: registrácia na lukas.maliniak@somi.sk

Počet účastníkov je obmedzený.

Do poznámky pri prihlásení, napíšte aj názov daného workshopu na ktorý sa prihlasujete.

1. Samotný softvér si môžete stiahnuť zo stránky: http://www.truecrypt.org/downloads, kde máte možnosť výberu, pre aký operačný systém to potrebujete.
2. Nainštalujte si ho a zo stránky http://www.truecrypt.org/localizations si stiahnite českú lokalizáciu (slovenská nepracuje korektne, i keď ani čeština nie je žiadna výhra). Prekopírujte ju do adresára kde máte nainštalovaný TrueCrypt (c:\Program Files\TrueCrypt\). Spustite program a v položke Setting -> Language nastavte jazyk čeština.
3. Pripojte USB kľúč a zazálohujte všetky údaje, ktoré sú na ňom.
Teraz môžete začať konfigurovať. Zvoľte Vytvořit svazek. Objaví sa vám okno so sprievodcom na vytvorenie zväzku.
4. Zvoľte si Create an encrypted file container. Týmto spôsobom vytvoríte na USB kľúči zašifrovanú časť kľúča, ktorá je prístupná len prostredníctvom programu TrueCrypt po autorizácii heslom. Nezašifrovaná časť kľúča je prístupná prostredníctvom Prieskumníka tak, ako bola aj doteraz, len sa jej veľkosť zmenšila o veľkosť zašifrovanej časti. V ďalšom kroku si vyberte Standardní svazek TrueCrypt a pokračujte ďalej.
5. Vyberte si USB kľúč a zadajte meno súboru, napríklad kontainer. Tento súbor bude uložený na kľúči a bude v ňom zašifrovaná oblasť disku. Je prístupný aj v nezašifrovanej časti kľúča ale s tým, že sa z neho nedajú čítať údaje. Prejdite k ďalšej obrazovke, kde si volíte možnosti a silu šifrovania. Pokiaľ nie ste znalý problematiky, nechajte nastavené pôvodné hodnoty a pokračujte ďalej.
6. V tomto okne si zvolíte veľkosť zašifrovanej oblasti na USB kľúči. Najlepšie je zvoliť si veľkosť v GB, nakoľko aj informácia o celkovej veľkosti na kľúči je v GB. Stlačením tlačidla Další sa dostanete k zadaniu prístupového hesla.
7. Heslo by malo byť kombináciou malých a veľkých písmen, číslic a špeciálnych znakov. Čím bude jeho dĺžka väčšia tým lepšie, pretože práve heslo zabezpečuje silu šifrovania a jeho prípadnú prelomiteľnosť. Pokiaľ ste zadali slabé heslo budete o tom informovaný a máte možnosť buď pokračovať so slabým heslom alebo heslo zadať ešte raz. Dôležité je hlavne to, aby heslo nebolo nejaké bežné slovníkové slovo. Jednoducho zapamätateľné heslo si vytvoríte aj z obyčajného slova za pomoci nejakého jednoduchého kľúča. Napríklad prvé a posledné písmeno vo vašom hesle bude veľké. Písmeno i nahradíte ! alebo písmeno o číslom 0 a na koniec slova dáte nejakú číselnú kombináciu. Je to len na vašej fantázii. Napríklad slovo sifrovanie môžeme zakódovať ako s!fr0van!e. Po zadaní hesla pokračujte ďalej formátovaním USB kľúča.
8. Po ukončení formátovania stlačte Koniec a môžete zašifrovaný USB kľúč začať používať.
9. Kľúč aktivujte v hlavnom okne stlačením tlačidla Vybrať soubor. Vyberte súbor, ktorý sme zadali. Vyberte disk, ku ktorému ho chcete pripojiť a stlačte Pripojiť. Budete vyzvaný zadať heslo, ktoré ste si zvolili pri nastavení šifrovania. Pod týmto písmenom potom nájdete zašifrovaný disk. Pokiaľ chcete ukončiť prácu s týmto diskom, stačte Odpojit vše. Po odpojení nebude šifrovaná časť disku viditeľná. Prístup bude len k nezašifrovanej časti. Aby ste nemuseli na každý počítač, na ktorom chcete pristupovať do zašifrovaného oddielu, je dobré si nainštalovať TrueCrypt na kľúč a spúšťať ho z tohto kľúča. Zvolíte si to v tomto okne pri inštalácii.
TrueCrypt je dosť silný nástroj na to, aby ste mohli pokojne spať aj po strate USB kľúča s tajnými informáciami. Oplatí sa ho nainštalovať si a aj za tu malú oštaru spojenú s pripájaním zašifrovanej oblasti.

Jednou zo základných povinností je získanie všetkých relevantných údajov o informačnom systéme, v ktorom sa budú alebo sa už spracovávajú osobné údaje a posúdenie ich zabezpečenia. Tieto informácie by zodpovednej osobe mali poskytnúť zamestnanci informatiky alebo externej audítorskej firmy prostredníctvom rizikovej analýzy, ktorá je súčasťou bezpečnostného projektu. So zabezpečením dát v informačných systémoch súvisí aj havarijné plánovanie a plány obnovy informačných systémov pri rôznych výpadkoch a haváriách. Pokiaľ zodpovedná osoba nie je informatikom, bude túto činnosť ťažko vykonávať. Ako zodpovedná osoba by mala však mať minimálne prehľad o existencii a aktuálnosti príslušných dokumentov a zabezpečovať súčinnosť s kompetentnými zamestnancami. Tu môže byť okrem oddelenia informatiky nápomocná špecializovaná externá firma.

S ochranou osobných údajov v informačných systémoch bezprostredne súvisí vypracovanie bezpečnostného projektu. Zodpovedná osoba nemusí tento projekt vypracovať, ale musí zabezpečiť jeho interné alebo externé vypracovanie. Túto činnosť je vhodné prenechať externej firme. Nie z dôvodu, že by to interní zamestnanci nezvládli, ale externá firma má na dianie vo firme alebo organizácii iný pohľad a veľakrát vidí veci, ktoré interní zamestnanci už automaticky prehliadajú. Externá firma dokáže aj vhodne usmerniť pri naštartovaní a zavádzaní bezpečnostnej politiky, nakoľko bezpečnostný projekt nie je ukončením činností smerujúcich k zabezpečeniu osobných údajov ale naopak, ich začiatkom. Táto činnosť je potom zavŕšená pravidelným auditom informačnej bezpečnosti a bezpečnostného projektu. Audit sa odporúča vykonať raz za 2-3 roky alebo po zmene IT infraštruktúry či informačného systému.

Ďalšou povinnosťou je zabezpečenie vzdelávania zamestnancov, a to nielen v oblasti ochrany osobných údajov, ale aj v oblasti informačnej bezpečnosti. Vzdelávaním zamestnancov môžeme preniesť zodpovednosť za informačnú bezpečnosť a ochranu osobných a citlivých údajov priamo na nich. Pokiaľ zamestnanci nebudú vedieť ako sa majú bezpečne správať za počítačom a na internete a nebudú mať aspoň základné povedomie o ochrane údajov a svojej identity, tak toto prenesenie zodpovednosti bude len ťažko realizovateľné. Zodpovedná osoba by mala zabezpečiť preškolenie zamestnancov aspoň raz za dva roky. Tu tiež môže byť nápomocná externá firma, ktorá školenie po obsahovej stránke zrealizuje.

Okrem týchto činností, patrí k povinnostiam zodpovednej osoby zabezpečovať styk s Úradom na ochranu osobných údajov, komunikácia s dotknutými osobami t.j. osobami, ktorých osobné údaje sa spracovávajú a administratívna činnosť okolo tejto agendy.

Kto je teda najvhodnejší na post zodpovednej osoby? Ako už bolo na začiatku spomenuté, väčšinou sú to buď zamestnanci personálneho oddelenia alebo zamestnanci informatiky. Najmenej vhodní sú zamestnanci informatiky. Majú síce najviac čo dočinenia so zabezpečením osobných údajov pri ich spracovávaní, ale mnoho krát nevedia, aké osobné údaje sa v informačných systémoch nachádzajú. Z tohto hľadiska sú lepšou voľbou zamestnanci personalistiky, hlavne na vedúcich postoch (ako napríklad riaditeľ pre riadenie ľudských zdrojov alebo prednosta úradu v samospráve). Len človek na riadiacom poste vie zaručiť, že informačná bezpečnosť bude fungovať tak ako má a jeho nariadenia a odporúčania budú akceptované.

Obsah workshopu:

•  aktuálne trendy v doručovaní nevyžiadanej pošty,

•  SPAM/Fishing/Pharming vyjasnenie pojmov,

•  aktuálne trendy z pohľadu reálnych zákazníkov,

•  možnosti obrany v prostredí SMB,

•  ako zvážiť pomer cena/výkon,

•  vízie do budúcnosti.

Termín: 16. február 2012

Čas: od 9:30 do 12:00

Miesto konania: Lazovná 69, Banská Bystrica, 4. poschodie (sídlo spoločnosti SOMI Systems a.s.)

Kontakt: registrácia na lukas.maliniak@somi.sk

Počet účastníkov je obmedzený, preto sa neváhajte prihlásiť hneď teraz cez formulár (viď nižšie).

Ochrana osobných údajov občanov je zabezpečená zákonom 428/2002 Z.z. O ochrane osobných údajov. Zákon priamo hovorí, že organizácia, ktorá spracováva osobné údaje, je povinná ich chrániť pred zneužitím a stratou. Taktiež zamestnanci tejto organizácie sú povinní dodržiavať mlčanlivosť o týchto údajoch, ak s nimi prídu v rámci pracovnoprávnych vzťahov do kontaktu. Napriek tomu, že existuje ochrana týmto zákonom, by sa mal každý aktívne podieľať na ochrane svojich osobných údajov a mal by minimálne dodržiavať desatoro, ktoré na svojich stránkach zverejnil Úrad na ochranu osobných údajov:

1. dokumenty s osobnými údajmi (účty, neplatné kreditné karty,…) nevyhadzujte do smetných košov, ich likvidáciu vykonajte skartovaním alebo inou fyzickou likvidáciou,

2. svoje osobné doklady nedávajte z ruky mimo svoj dohľad, nedávajte ich ako zálohu pri rôznych službách a výpožičkách, poskytnite ich iba osobám, ktorým to zákon vyslovene dovoľuje,

3. na kopírovanie vašich osobných dokladov musí oprávnená osoba organizácie žiadať váš písomný súhlas, s výnimkou tých, ktoré na to majú právo na základe zákona (banky, poisťovne, súdy…),

4. pri používaní internetu si dobre zvážte, či poskytnete svoje osobné údaje (vyplnením
v rôznych dotazníkoch, pri využívaní sociálnych sietí – Facebooku a ďalších, pri nákupoch…), ak nemáte istotu, že ide o zabezpečenú internetovú stránku. Všetko, čo uvediete na internete, sa môže dostať k širokému okruhu ďalších ľudí, ktorí môžu vaše osobné údaje zneužívať rôznym spôsobom (na podvody a inú trestnú činnosť),

5. pri používaní osobného počítača pravidelne aktualizujte antivírusový program,

6. pri otváraní e-mailovej pošty dávajte pozor na neznámych odosielateľov, lebo svojou neopatrnosťou im prípadne umožníte vstup do celej svojej databázy s veľmi citlivými údajmi,

7. pri telefonických rozhovoroch nikomu neposkytujte svoje osobné údaje, bezpečnosť telefonických liniek nie je dokonalá a môžete naraziť na podvodníka, ktorý vás oslovil v mene nejakej organizácie,

8. neuvádzajte svoju adresu bydliska v telefonickej hlasovej schránke,

9. neprezrádzajte osobné údaje, charakteristické informácie o sebe i okolnosti, ktoré by mohli byť zneužiteľné vo váš neprospech – cudzím a nedôveryhodným osobám,

10. všetky písomnosti – napríklad kúpno-predajné zmluvy – vždy veľmi dôkladne prečítajte ešte pred tým, ako svoj súhlas potvrdíte svojim podpisom.

No a hlavne sa treba riadiť zdravým rozumom a riadne zhodnotiť komu a prečo dávate svoje osobné údaje.

Prvým krokom je zadefinovanie si cieľov budovania bezpečnosti  a vypracovanie rizikovej analýzy  existujúceho stavu bezpečnosti. Na základe týchto poznatkov je možné riešenie zistených nedostatkov a efektívne implementovanie nových prvkov v informačnej bezpečnosti.  Ďalšou podmienkou kvalitnej bezpečnostnej politiky je neustále udržiavanie jej štandardov, a to nie len pracovníkmi IT, ale aj všetkými zamestnancami. K tomuto účelu slúžia smernice a pravidelné školenia zamestnancov. Zamestnanci si musia byť vedomí svojej zodpovednosti a musia vedieť ako sa majú správať v prípade narušenia niektorého aspektu informačnej bezpečnosti, t. j. musia byť jasne definované pravidlá bezpečnej prevádzky systému/systémov v papierovej aj elektronickej forme. Tieto požiadavky sa musia týkať všetkých osôb, ktoré vstupujú do informačných systémov organizácie, teda aj rôznych dodávateľov a externých firiem.

V  neposlednom rade informačná bezpečnosť ako taká musí byť niekým riadená a fungovať na základe určených pravidiel, aby bolo možné predísť bezpečnostným incidentom. V každej organizácii musí existovať minimálne jedna osoba, ktorá je zodpovedná za informačnú bezpečnosť – táto osoba má na starosti rozvoj a údržbu informačnej bezpečnosti ako takej. Môžu existovať aj ďalšie osoby, ktoré majú na starosti špecifické oblasti alebo systémy.

Bezpečnostnú politiku sa odporúča vytvoriť vo forme jasne štruktúrovaného a prehľadného dokumentu, prípadne dokumentov. Táto politika by mala byť jasne previazaná s inými bezpečnostnými dokumentmi a smernicami tak, aby spolu tvorili kompaktný celok. Tvorba bezpečnostnej politiky by sa mala riadiť podľa všeobecne záväznej normy podľa ISO/IEC 27001:2005 a ISO/IEC 27002:2005 a mala by vo všeobecnosti obsahovať:

•  definíciu informačnej bezpečnosti, jej cieľov a rozsahu a potvrdenie dôležitosti bezpečnosti,

•  vyhlásenie manažmentu organizácie o podpore bezpečnostnej politiky,

•  stručné vysvetlenie bezpečnostných požiadaviek a princípov vyplývajúcich z noriem a legislatívy,

•  definíciu všeobecných a špecifických zodpovedností v oblasti informačnej bezpečnosti,

•  kritériá pre ohodnocovanie rizík,

•  systém reportovania bezpečnostných incidentov,

•  odkazy na ďalšiu dokumentáciu podporujúcu bezpečnostnú politiku.

Takto zavedená bezpečnostná politika nielen že v plnej miere zodpovedá výnosu Ministerstva financií Slovenskej republiky z 9. júna 2010 č. 312/2010-132 Z. z. o štandardoch pre informačné systémy verejnej správy, ale zabezpečí vám aj maximálnu ochranu osobných a iných citlivých údajov, ktoré vo vašej organizácii spracovávate.

Použité zdroje : Metodický pokyn Ministerstva financií Slovenskej republiky č. MF/23579/2011-165 k výnosu Ministerstva financií Slovenskej republiky z 9. júna 2010 č. 312/2010-132 Z. z. o štandardoch pre informačné systémy verejnej správy

RNDr. Daniel Schikor

produktový riaditeľ

SOMI Systems a.s.

1. Nepotvrdzujte pop-up okná (vyskakovacie okná) či výzvy na stiahnutie softvéru, pokiaľ váš počítač nie je chránený aktualizovaným webovým štítom (antivír). Platí pravidlo – radšej žiadny ako neaktualizovaný antivír. Používajte len pravidelne aktualizovaný softvér.

2. V sociálnej sieti (Facebook, Twiter, …) neuvádzajte, neposielajte ani neprikladajte žiadne súkromné a osobné dáta (napríklad rodné číslo, údaje k bankovému účtu či zdravotné záznamy, …). Sociálne siete nevyžadujú informácie podobného typu na to, aby ste sa mohli stať ich členom. Stále majte na pamäti, že čo raz uverejníte na Internete, to tam bude naveky.

3. Nenechávajte svojich priateľov, spolužiakov, kolegov atď., aby navštevovali sociálne siete z vášho počítača a ani vy ich nenavštevujte z cudzieho. Ďalšie osoby by svojím neopatrným chovaním mohli zaniesť do vášho počítača infekciu, prípadne by vaše prihlasovacie údaje a vaše meno mohli inak zneužiť.

4. Na sociálnych sieťach a chatoch má človek tendenciu dôverovať svojim priateľom a napodobňovať ich chovanie a správanie. Nedôverujte slepo a za každú cenu svojim priateľom.

5. Nikdy neprijímajte ponuky na priateľstvo alebo oň nežiadajte osoby, ktoré sami nepoznáte (napr. pridávanie neznámych kontaktov do priateľov v ICQ).

6. Neotvárajte podozrivé e-maily (od cudzích a neznámych odosielateľov) a ani ich prílohy. Nikdy neinštalujte a ani nesťahujte prílohy a súbory z takýchto            e-mailov.

7. Meňte svoje heslo pravidelne, aspoň raz za polrok. Nemeňte ho, keď ste k tomu vyzvaní. Mohlo by ísť o odkaz tretej strany, ktorá z vás chce heslo vylákať.

8. Nevyužívajte automatického uloženia vašich hesiel (v žiadnom z prehliadačov) a pravidelne mažte históriu, aspoň raz za týždeň.

9. Nikdy nepoužívajte cudzie prenosné pamäťové médiá (USB kľúče, CD, DVD). Ani ich nenechávajte bez dozoru na viditeľných miestach.

10. Používajte zdravý rozum (ak niečo vyzerá až príliš dobre a lákavo, je to spravidla podvod).

Cieľom súťaže Cena ITAPA (Informačné technológie a verejná správa) je oceniť a zviditeľniť projekty, ktoré prinášajú inovačný prístup pri modernizácii verejnej správy. Projekty musia priniesť zníženie administratívnej záťaže, zjednodušenie procesov a predovšetkým ich urýchlenie. V rámci kategórie „Najlepšia prípadová štúdia“ sa hodnotí predovšetkým originálnosť riešenia, zrozumiteľnosť a príťažlivosť textového a vizuálneho spracovania riešenia (projektu, implementovanej technológie), ako aj informačno-komunikačná hodnota prípadovej štúdie.

Témou našej prípadovej štúdie bola realizácia a nasadenie nami vyvinutého systému KERBER Secure Server v prostredí mesta a mestského úradu Veľký Krtíš.

Vyhlasovanie víťazov súťaže ITAPA sa uskutočnilo v utorok 25. októbra 2011 v Bratislave v rámci prestížneho medzinárodného kongresu ITAPA 2011, kde ocenenie prevzal náš generálny riaditeľ.

Celú prípadovú štúdiu nájdete tu:

Ocenená prípadová štúdia

certifikát ITAPA