Závazek OCLC k zajištění služeb knihovny
Ochrana dat při sdílení vašich sbírek
OCLC chápe, že důvěrnost, integrita a dostupnost údajů našich členů jsou zásadní pro jejich obchodní činnost i náš vlastní úspěch. K ochraně klíčových informací využíváme několikaúrovňový přístup, který spočívá v neustálém monitorování a zlepšování našich aplikací, systémů a procesů s cílem splnit rostoucí požadavky a překonat výzvy spojené s dynamickými bezpečnostními hrozbami. Na důkaz svého úsilí v oblasti bezpečnosti OCLC splnilo požadavky bezpečnostních norem ISO 27001 a obdrželo příslušné registrace, získalo certifikaci programu Cyber Essentials a registraci CSA STAR.
Informační bezpečnost a řízení podnikových rizik
- Implementace systému řízení informační bezpečnosti v souladu s požadavky normy ISO/IEC 27001:2013
- Profesionální personál s certifikací v oblasti informační bezpečnosti, IT profesionálové a trvale přítomný specialista na zotavení po havárii
Materiální a environmentální řízení
- Nepřetržité zabezpečení zajišťované personálem
- Omezený přístup prostřednictvím bezkontaktních karet
- Počítačové vybavení v oblastech s kontrolovaným přístupem
- Kamerové systémy po celém zařízení a po celém obvodu
- Regulace vlhkosti a teploty
- Zvýšená podlaha pro zajištění nepřetržité cirkulace vzduchu
- Podzemní napájecí přívod
- Záložní napájecí systémy (UPS)
- Redundantní napájecí jednotky (PDU)
- Dieselové generátory s místním zásobníkem dieselového paliva
- Kouřové a požární hlásiče v datových centrech
- Dublinské centrum pro zajištění služeb (DSDC) je chráněno systémem Halon s dostatečnými rezervami pro několik výpadků
- Kolumbovo centrum pro zajištění služeb (CSDC) je chráněno protipožárním systémem DuPont FM-200
- Datová centra jsou dále chráněna vodními sprinklerovými systémy
- DSDC a CSDS jsou vybaveny hasicími přístroji
Řízení logického přístupu
- Uživatelská identifikace a řízení přístupu
- Připojení k datům sponzorů prostřednictvím TLS 1.1 a 1.2 s využitím rozšířených globálních certifikátů od Thawte, které garantují uživatelům zabezpečené připojení z příslušného prohlížeče k naší službě
- Individuální uživatelské relace se při každé transakci identifikují a znovu ověřují pomocí XML šifrované deklarace identity SAML 2.0
- Závisí na specifických využívaných službách
Řízení provozního zabezpečení
- Připojení k internetu přes redundantní, různě směrované odkazy od několika poskytovatelů internetu obsluhovaných z více přístupových bodů poskytovatelů telekomunikačních služeb
- Blokování nevyužívaných protokolů bránami firewall v celém obvodu a hraničními směrovači
- Segregace provozu mezi aplikací a databází s využitím bran firewall
- Nástroje pro vyrovnávání zátěže zajišťují servery proxy pro interní provoz
- OCLC využívá řadu metod k prevenci, zjištění a odstranění škodlivého softwaru
- Pravidelné provádění nezávislých hodnocení zabezpečení třetími stranami
- Veškerá data se v jednotlivých datových centrech zálohují na pásky
- Zálohy se kopírují přes zabezpečená spojení do zabezpečeného archivu pásek
- Pásky se přepravují mimo pracoviště a po stažení z oběhu se bezpečným způsobem likvidují
- Personál OCLC pro zajištění informační bezpečnosti monitoruje oznámení z různých zdrojů a poplachy z interních systémů za účelem identifikace a řízení hrozeb
Vývoj a údržba systémů
- OCLC před vydáním testuje, zda kód neobsahuje zranitelná místa v zabezpečení a pravidelně monitoruje zranitelná místa v síti i v systémech
- Hodnocení zranitelnosti sítě
- Vybrané penetrační testování a revize kódu
- Revize a testování rámce bezpečnostní kontroly
Kontinuita firemních procesů a zotavení po havárii
- OCLC služba provádí replikaci dat v reálném čase na disky v jednotlivých datových centrech a replikaci dat téměř v reálném čase mezi produkčním datovým centrem a v místě zotavení po havárii
- Citlivá data se přenášejí přes vyhrazené kanály
- Testy zotavení po havárii slouží k ověření očekávané doby zotavení a integrity zákaznických dat
Reakce na incidenty, oznámení a náprava
- Proces řízení incidentů pro události týkající se zabezpečení, které mohou mít vliv na důvěrnost, integritu či dostupnost příslušných systémů nebo dat
- Tým pro informační bezpečnost je vyškolen ve forenzních technikách a v zajišťování důkazů během přípravy na incident, a to včetně používání patentovaných nástrojů a nástrojů třetích stran
Dodržování předpisů
- Třetí strany mohou informace získat pouze prostřednictvím právních postupů, například při domovní prohlídce, na základě soudních příkazů, obsílek, prostřednictvím zákonných výjimek nebo se souhlasem uživatele
- OCLC ctí silný závazek vůči ochraně osobních údajů v zájmu ochrany dat zákazníků a sponzorů.
Služby OCLC splňují nebo převyšují doporučení Gartner skupiny1 (tabulka 1.) a aliancí pro cloudovou bezpečnost „Security Guidance for Critical Areas of Focus in Cloud Computing.“ (Bezpečnostní směrnice pro citlivé oblasti cloud computingu.)
Tabulka 1. Gartner: Seven Cloud-Computing Security Risks (Sedm bezpečnostních rizik cloud computingu)
| Gartnerova doporučení | OCLC | Microsoft Cloud (BPOS) |
Google Apps Enterprise |
|---|---|---|---|
| Řízení přístupu privilegovaných uživatelů | X | X | X |
| Dodržování právních předpisů | X | X | X |
| Umístění dat | X | X | X (mlčenlivost) |
| Segregace dat | X | X | X |
| Zotavení | X | X | X |
| Investigativní podpora | X | X | X |
| Dlouhodobá životaschopnost | X | X | X |
1 Jay Heiser and Mark Nicolett. "Assessing the Security Risks of Cloud Computing." Gartner Group. 3. června 2008