Bezpečnostní normy -

Zákon o kyber. bezpečnosti

Stále více sdílíme informace online, a musíme je tedy chránit. Trend digitalizace naši účast v digitální realitě ještě umocňuje, i proto je ochrana informací, systémů a infrastruktury jedním ze stěžejních témat dnešní doby.

GDPR

Nařízení (EU) 2016/679 (GDPR) představuje právní rámec ochrany osobních údajů platný na celém území EU, který hájí práva jejích občanů proti neoprávněnému zacházení s jejich daty a osobními údaji. GDPR přebírá všechny dosavadní zásady ochrany a zpracování údajů, na nichž unijní systém ochrany osobních údajů stojí a potvrzuje, že ochrana cestuje přes hranice současně s osobními údaji.

Standardy kybernetické bezpečnosti

Normy kybernetické bezpečnosti.

ISO 27001

ISO/IEC 27001 je mezinárodně platný standard, který definuje požadavky na systém managementu bezpečnosti informací, především pak řízení bezpečnosti důvěry informací pro zaměstnance, procesy, IT systémy a strategii firmy. Tyto normy určuje Mezinárodní organizace pro normalizaci, známá pod zkratkou ISO. Společnost sídlí v Ženevě od roku 1947. Norma ISO 27001 podle nejnovější verze z roku 2013 zaručuje soulad s aktuálními legislativními požadavky (především ochrana osobních údajů). Vybudování systémového přístupu přináší větší bezpečnost a snižuje riziko úniku citlivých informací.

ISO 27002

ISO/IEC 27002:2013 (dříve ISO/IEC 17799:2005) Information technology - Security techniques - Code of practice for information security management
Toto vydání mezinárodní normy obsahuje více než 114 strukturovaných oblastí doporučení rozdělených do 14 kapitol, ve kterých je obsaženo více než 5000 přímých a odvozených bezpečnostních opatření, podporujících dosahování podnikatelských cílů, přičemž odpovědnost za ně je možné jednoduše přiřadit osobám s odpovídajícími funkcemi.

TCSEC

Trusted Computer System Evaluation Criteria (TCSEC) neboli kritéria hodnocení spolehlivosti počítačových systémů je normou ministerstva obrany vlády Spojených států amerických (DoD – Department of Defense), která stanoví základní požadavky pro hodnocení kontroly efektivnosti počítačové bezpečnosti v počítačovém systému.

Common Criteria

Common Criteria for Information Technology Security Evaluation (zkráceně Common Criteria nebo CC) je mezinárodní standard (ISO/IEC 15408) pro certifikaci počítačové bezpečnosti. Aktuálně je ve verzi 3.1.  Common Criteria je framework, ve kterém uživatelé počítačového systému mohou specifikovat jejich bezpečnostní funkcionalitu a jistící požadavky, prodejci potom mohou implementovat a zároveň/nebo se dožadovat bezpečnostních atributů jejich produktů.

BSI

Německá bezpečnostní normy podle jejich národní centrály pro počítačovou bezpečnost.

SIEM

SIEM (Security Information and Event Management) je management bezpečnostních informací a událostí. Současně řeší dříve různorodé kategorie.

Multilevel security

Víceúrovňová bezpečnost (anglicky Multilevel security ) je v informatice použítí systému pro zpracování informací s nekompatibilními klasifikacemi (tj, na různých úrovních zabezpečení), povolit přístup uživatelům s různými bezpečnostními prověrkami a „needs-to-know,““ a zabránit uživatelům získání přístupu k informacím, pro které chybí povolení.

PCI

The Payment Card Industry Data Security Standard (PCI DSS) is an information security standard for organizations that handle branded credit cards from the major card schemes.

FFIEC

The Federal Financial Institutions Examination Council (FFIEC) is a formal U.S. government interagency body composed of five banking regulators that is "empowered to prescribe uniform principles, standards, and report forms to promote uniformity in the supervision of financial institutions".It also oversees real estate appraisal in the United States.Its regulations are contained in title 12 of the Code of Federal Regulations.

HIPAA

Long title An Act To amend the Internal Revenue Code of 1986 to improve portability and continuity of health insurance coverage in the group and individual markets, to combat waste, fraud, and abuse in health insurance and health care delivery, to promote the use of medical savings accounts, to improve access to long-term care services and coverage, to simplify the administration of health insurance, and for other purposes.

NERC

The North American Electric Reliability Corporation (NERC) is a nonprofit corporation based in Atlanta, Georgia, and formed on March 28, 2006, as the successor to the North American Electric Reliability Council (also known as NERC). The original NERC was formed on June 1, 1968, by the electric utility industry to promote the reliability and adequacy of bulk power transmission in the electric utility systems of North America. NERC's mission states that it is to "ensure the reliability of the North American bulk power system."

SOX

The Sarbanes–Oxley Act of 2002 (Pub.L. 107–204, 116 Stat. 745, enacted July 30, 2002), also known as the "Public Company Accounting Reform and Investor Protection Act" (in the Senate) and "Corporate and Auditing Accountability, Responsibility, and Transparency Act" (in the House) and more commonly called Sarbanes–Oxley, Sarbox or SOX, is a United States federal law that set new or expanded requirements for all U.S. public company boards, management and public accounting firms. There are also a number of provisions of the Act that also apply to privately held companies, for example the willful destruction of evidence to impede a Federal investigation.

NIST

The National Institute of Standards and Technology (NIST) is a measurement standards laboratory, and a non-regulatory agency of the United States Department of Commerce. Its mission is to promote innovation and industrial competitiveness. NIST's activities are organized into laboratory programs that include Nanoscale Science and Technology, Engineering, Information Technology, Neutron Research, Material Measurement, and Physical Measurement.

EU/SAFE HARBOR

The International Safe Harbor Privacy Principles or Safe Harbour Privacy Principles were principles developed between 1998 and 2000 in order to prevent private organizations within the European Union or United States which store customer data from accidentally disclosing or losing personal information. They were overturned on October 6, 2015 by the European Court of Justice (ECJ), which enabled some US companies to comply with privacy laws protecting European Union and Swiss citizens.US companies storing customer data could self-certify that they adhered to 7 principles, to comply with the EU Data Protection Directive and with Swiss requirements.

GLBA

The Gramm–Leach–Bliley Act (GLBA), also known as the Financial Services Modernization Act of 1999, (Pub.L. 106–102, 113 Stat. 1338, enacted November 12, 1999) is an act of the 106th United States Congress (1999–2001). It repealed part of the Glass–Steagall Act of 1933, removing barriers in the market among banking companies, securities companies and insurance companies that prohibited any one institution from acting as any combination of an investment bank, a commercial bank, and an insurance company.

NIS2

Po zavedení směrnice o bezpečnosti sítí a informací (NIS) v roce 2016 se Evropská unie rozhodla zaujmout přísnější postoj, rozšířit upravenou směřnici a zapojit do snahy o zvýšení úrovně kybernetické bezpečnosti v Evropě více subjektů. Co očekávat od NIS2? Zde je několik otázek, které vás v souvislosti s novou legislativou mohou napadnout – a odpovědi na ně.

Vyhláška č. 82/2018 Sb.

Nová vyhláška o kybernetické bezpečnosti byla zveřejněna ve Sbírce zákonů pod označením "Vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)".