Zámerom medzinárodnej normy ISO/IEC 27018, ak sa používa spoločne s normou na bezpečnosť informácií ISO/IEC 27001 je ochrana informačných aktív spoločnosti pričom sa zameriava na údaje v cloudových službách. Norma ISO/IEC 27018 je založená na postupoch podľa požiadaviek ISO/IEC 27002 a môže byť implementovaná poskytovateľom verejných služieb cloud computingu vystupujúceho v úlohe spracovateľa PII (Personally Identifiable Information – údaje, ktoré identifikujú osobu).
Cieľom certifikácie je deklarovať:
- Plnenie požiadaviek medzinárodnej normy ISO/IEC 27018.
- Zavedenie systematického prístupu v konkrétnej oblasti bezpečnosti informácií v organizácií.
- Zvýšenie bezpečnosti informácií cloudových úložísk a zamedzenie možným rizikám úniku informácií.
- Umožniť spracovateľovi PII vo verejnom cloude byť transparentným v príslušných záležitostiach, aby zákazníci cloudových služieb mali garancie, že cloudové služby sú dobre spravované v súlade s požiadavkami medzinárodných noriem.
Úžitok pre zákazníka
Zavedenie a certifikácia systému manažérstva cloudových služieb vytvára predpoklady pre zlepšenie podmienok v nasledovných oblastiach:
| Manažérske prínosy |
- Systematický prístup k manažérstvu cloudových služieb v rámci celej organizácie.
- Jasné ciele a pravidlá pre zabezpečenie cloudových služieb organizácie.
- Zavedenie systému neustáleho zlepšovania cloudových služieb.
|
| Informačná bezpečnosť |
- Definovanie rizík informačnej bezpečnosti v cloudovom priestore.
- Preverenie plnenia cieľov informačnej bezpečnosti.
- Preverenie postupov a pravidiel pre zamedzenie úniku informácií z cloudových úložísk.
- Zvýšenie povedomia pracovníkov z pohľadu informačnej bezpečnosti.
|
| Ekonomické prínosy |
- Zamedzenie ekonomických strát spôsobené únikom informácií.
- Ochrana know - how organizácie.
|
| Obchodné a marketingové prínosy |
- Zvyšovanie konkurencieschopnosti.
- Zvýšenie dôveryhodnosti pre zákazníka.
|
Pridaná hodnota pre Vás
- Oboznámenie pracovníkov a vlastníkov procesu o možných bezpečnostných incidentoch, ktoré sa môžu vyskytnúť ako hrozby pre cloudové úložiská.
- Zistenie rizík a slabých miest v oblasti bezpečnosti informácií v cloudovom priestore.
- Zákazníci a vlastníci údajov budú ubezpečení, že implementujete vhodné bezpečnostné opatrenia proti porušeniu PII údajov, čím zvyšujete svoju dôveryhodnosť a konkurenčnú výhodu.
- Zavedenie trvalého zlepšovania v oblasti bezpečnosti informácií.
Certifikát ISO 27018
Certifikačná značka
ISO 27018
Odborné školenia
25. február 2025
Cyber Resilience Act je nové nariadenie EÚ, ktoré prináša tvrdšie pravidlá pre kybernetickú bezpečnosť produktov s digitálnymi prvkami. Týka sa aj Vás?
Slovenská republika stojí pred významnou zmenou v oblasti kybernetickej bezpečnosti. Novela zákona o kybernetickej bezpečnosti, ktorá nadobudla účinnosť 1. januára 2025, priniesla viaceré dôležité zmeny pre firmy aj verejné inštitúcie.
Odborné školenia
12. júl 2024
V dnešnej digitálnej dobe je informačná bezpečnosť kriticky dôležitá pre každú organizáciu. Hrozby sa neustále vyvíjajú a útočníci hľadajú nové spôsoby, ako zneužiť zraniteľnosti. V tomto blogovom príspevku sa pozrieme na tri kľúčové oblasti informačnej bezpečnosti: Phishing, Active Directory a bezpečnosť vývoja aplikácií a softvéru.
Umelá inteligencia (AI) spôsobila revolúciu v mnohých odvetviach, ale jej rýchly rast priniesol aj obavy týkajúce sa etiky, súkromia a bezpečnosti. A práve na riešenie týchto výziev Medzinárodná organizácia pre normalizáciu a Medzinárodná elektrotechnická komisia navrhla normu ISO/IEC 42001.
Normy ISO
07. september 2023
Oba štandardy poskytujú množstvo bezpečnostných kontrol, ktoré pomáhajú organizáciám chrániť svoje informácie. NIST a ISO/IEC 27001 sú kompatibilné a navzájom sa dopĺňajú. NIST poskytuje technické detaily pre implementáciu bezpečnostných kontrol, ktoré sú odporúčané v ISO/IEC 27001.
Zálohovanie je proces vytvárania a ukladania kópie dát alebo informácií z primárneho zdroja na iné médium alebo zariadenie. Jeho hlavným cieľom je zaistenie dostupnosti a obnovy dát v prípade nechcenej straty, poškodenia, vymazania alebo iných nepredvídateľných udalostí.
SDLC je metodológia, ktorá sa používa pri vývoji softvéru s cieľom zvýšiť bezpečnosť a ochranu proti rizikám spojeným s kybernetickými hrozbami. Zameriava sa na implementáciu bezpečnostných postupov a kontrolných mechanizmov už od samotného začiatku vývojového procesu až po nasadenie a údržbu softvérového produktu.
Systém riadenia informačnej bezpečnosti je súbor procesov, postupov a techník, ktoré organizácia používa na riadenie informácií, jej ochranu a zaistenie bezpečnosti informačného systému. Tento systém je založený na ISO/IEC 27001, ktorá poskytuje rámec pre implementáciu a prevádzkovanie ISMS.
Framework je aplikačný rámec, ktorý poskytuje preddefinovaný súbor nástrojov pre vývoj softvéru. Framework uľahčuje vývoj aplikácií tým, že poskytuje hotové riešenia pre časté problémy a usmerňuje vývojárov pri tvorbe aplikácie pomocou vopred definovaných pravidiel.
NIST CSF je súbor nástrojov, ktoré slúžia na posilnenie kybernetickej bezpečnosti organizácií a pomáha im identifikovať, chrániť, detegovať, reagovať a obnovovať sa v prípade kybernetických hrozieb.
Kryptovanie je proces premeny čitateľného textu alebo dát do nečitateľného formátu pomocou matematických algoritmov a kľúčov. Cieľom kryptovania je zabezpečiť dáta tak, aby boli chránené pred neautorizovaným prístupom, čítaním alebo zmenou počas prenosu alebo ukladania.
Odborné školenia
08. december 2022
Kybernetická bezpečnosť je rozsiahly proces a jeho zavedenie je potrebné už aj v najmenšej spoločnosti. Ako vôbec začať a čo patrí medzi základné pravidlá, ktoré by mala plniť každá organizácia?
Odborné školenia
26. október 2022
25. októbra 2022 vyšla nová verzia ISO/IEC 27001:2022! (aktuálna verzia bola publikovaná v roku 2013). Organizácie, ktoré sa zameriavajú na systematický prístup k riadeniu informačnej bezpečnosti, už iste zaregistrovali túto novinku.
ISO/IEC 27002 je opäť navrhnutá tak, aby poskytovala rámec pre riadenie bezpečnosti informácií (podobne ako, napríklad: NIST CSF).
Odborné školenia
06. september 2022
Slová ako hacker alebo etický hacker sa v spoločnosti skloňujú každým dňom viac a viac. Mnoho ľudí však stále nevie čo hackerstvo znamená a aký je rozdiel medzi hackerom a etickým hackerom. Predtým než si vysvetlíme čo je etické hackerstvo si najskôr musíme povedať základné rozdelenie hackerov.
Pod pojmom phishing rozumieme formu útoku alebo podvodnú techniku, ktorá sa používa v elektronickej komunikácii, kedy sa útočník vydáva za určitú autoritu a snaží sa z daného človeka získať citlivé informácie ako napr. heslá, pin kódy ku kreditným kartám, údaje internetového bankovníctva alebo rovno peniaze.
Malware je počítačový program, ktorého úlohou je napadnutie softwaru, ktorý pre útočníka získa prístup do zariadenia používateľa. Účelom môže byť poškodenie, odcudzenie dát alebo sledovanie užívateľa. Do malwaru spadajú počítačové vírusy, spyware, adware, phishing, trójske kone, rootkitty a pod.
V článku sa dočítate ako sa dotkla revízia ISO/IEC 27002:2022 normy ISO/IEC 27001. Aké nastali hlavné zmeny a čo čaká organizácie, ktoré majú zavedenú normu ISO/IEC 27001 alebo plánujú zavedenie tejto normy.
Rok 2022 bude pre rodinu noriem rady ISO/IEC 27000 kľúčový. Vo februári vyšla revidovaná norma ISO/IEC 27002:2022 a ISO 27001 ju bude nasledovať. Aký je ale rozdiel medzi týmito dvoma normami? Načo sú zamerané a prečo by ich organizácie mali poznať?
TISAX je skratkou pre Trusted Information Security Assessment Exchange a slúži na preukázanie, že dodávateľ (najmä Tier 1 a Tier 2) do automobilového priemyslu spĺňa náročné požiadavky informačnej bezpečnosti. Systém TISAX bol vytvorený Nemeckou Asociáciou automobilového priemyslu VDA.
GDPR (anglická skratka - General Data Protection Regulation) je NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov.
Úlohou GDPR je harmonizovať ochranu základných práv a slobôd fyzických osôb v súvislosti so spracovateľskými činnosťami a zabezpečiť voľný tok osobných údajov medzi členskými štátmi.
