Metody szacowania strat powstałych w wyniku ataków komputerowych
|
|
- Zuzanna Mazur
- 8 lat temu
- Przeglądów:
Transkrypt
1 24 listopada 2007 Metody szacowania strat powstałych w wyniku ataków komputerowych Sławomir Kubit praktykant CERT Polska
2 Spis treści: I. Przegląd metodologii Opis problemu Dostępne metody... 9 II. Wybór metodologii optymalnej Potencjalne straty Charakterystyka metod Wybór metody optymalnej Wnioski III. Propozycja metodologii własnej Wykorzystanie istniejących metodologii oraz nowych pomysłów Charakterystyka metodologii własnej A. Metodologia szacowania strat ponoszonych przez firmę B. Metodologia szacowania strat ponoszonych przez osobę indywidualną C. Metodologia szacowania strat ponoszonych wyłącznie przez spam D. Metodologia szacowania strat ponoszonych wyłącznie przez atak DDoS Przykład obliczania strat Zastosowanie i przydatność metod Porównanie metody własnej do metod istniejących Zalecenia Bibliografia: Spis tabel i wykresów Autor: Sławomir Kubit 2
3 Wprowadzenie Praca ta ma na celu przegląd i charakterystykę dostępnych metod szacowania strat w wyniku ataków komputerowych oraz próbę stworzenia własnej metodologii wraz z narzędziem do jej obsługi. Praca porusza problem strat zarówno pod kątem firmy, jak i zwykłej osoby, skierowana jest więc do wszystkich uŝytkowników komputerów. Raport ma równieŝ na celu uświadomienie czytelnikowi, jak waŝne jest zagadnienie bezpieczeństwa IT. Praca dzieli się na cztery części. Pierwsza część zawiera opis problemu oraz przegląd dostępnych metodologii z krótką ich charakterystyką. Część druga poświęcona jest szczegółowemu opisaniu najwaŝniejszych metod wraz z ich oceną, co ma pozwolić na wybór metody optymalnej. Następnie przedstawiona zostanie propozycja własna wraz z wspomagającą ją aplikacją. Autor: Sławomir Kubit 3
4 I. Przegląd metodologii 1. Opis problemu Rozwój IT jest zauwaŝalny w kaŝdej dziedzinie Ŝycia oraz w kaŝdym sektorze rynku. Wraz z nim mnoŝą się jednak okoliczności sprzyjające wystąpieniu zagroŝeń, jakie mogą dotknąć zarówno organizacje, korporacje, instytucje rządowe, duŝe czy małe firmy, jak i indywidualną jednostkę nas samych. Sprawia to, Ŝe bezpieczeństwo firmy, danych oraz waŝnych informacji maleje, a co za tym idzie stają się one łatwym celem ataków komputerowych. Do incydentów związanych z atakami komputerowymi zaliczamy 1 : Obraźliwe i nielegalne treści: Spam, dyskredytacja, obraŝanie, przemoc; Złośliwe oprogramowanie: wirus, robak sieciowy, koń trojański, oprogramowanie szpiegowskie, dialer; Gromadzenie informacji: skanowanie, podsłuch, inŝynieria społeczna; Próby włamań: wykorzystanie znanych luk systemowych, próby nieuprawnionego logowania, wykorzystanie nieznanych luk systemów; Włamania: włamanie na konto uprzywilejowane, włamanie na konto zwykłe, włamanie do aplikacji; 1 Klasyfikacja incydentów według CERT Polska NASK (Computer Emergency Response Team) Autor: Sławomir Kubit 4
5 Atak na dostępność zasobów: atak blokując serwis (DoS), rozproszony atak blokujący serwis (DDoS), sabotaŝ komputerowy; Atak na bezpieczeństwo informacji: nieuprawniony dostęp do informacji, nieuprawniona zmiana informacji; Oszustwa komputerowe: nieuprawnione wykorzystanie zasobów, naruszanie praw autorskich, kradzieŝ toŝsamości, podszycie się (w tym phishing). Aby uświadomić czytelnika o powadze problemu, przytoczę kilka najwaŝniejszych danych statystycznych pochodzących z raportów: CERT Polska oraz CSI/FBI 2 z roku Zespół CERT Polska w roku 2006 odnotował 2427 incydentów, oto ich procentowy rozkład: Wykres 1 Rozkład najczęstszych incydentów Oszustwa komputerowe 14,8% Złośliwe oprogramowanie 14,0% Inne 7,1% Obraźliwe i nielegalne treści 36,6% Gromadzenie informacji 27,4% Źródło: Opracowanie własne na podstawie raportu CERT Polska 2006r. Jak widzimy, najczęstsze incydenty naleŝą do typu obraźliwych i nielegalnych treści. Oczywiście do tego wyniku przyczynił się wszechobecny spam, który stanowi 96,5% tego typu incydentów. Spowodowane jest to wzrostem liczby serwerów rozsyłających spam, a 2 Źródło: Raport CSI/FBI Computer crime and security survey CSI - Computer Security Institute. Autor: Sławomir Kubit 5
6 takŝe wykorzystywaniem przez spamerów komputerów zombi. Zjawisko spamu wykazuje trend rosnący. Co czwartym incydentem jest działanie związane z gromadzeniem informacji i w 99% jest to skanowanie. Incydent ten wykazuje tendencje malejącą. Co szóstym incydentem jest oszustwo komputerowe. Ponad 84% tego typu incydentów to kradzieŝ toŝsamości (w tym phishing 3 ). W badanym roku pojawił się phishing dotyczących polskich banków. W raporcie CSI/FBI do obliczeń wzięto pod uwagę 616 amerykańskich jednostek, w tym głównie: korporacje, agencje rządowe, instytucje finansowe, medyczne i naukowe. Incydentami powodującymi największe straty okazały się kolejno: o wirusy ($15,691,460), o nieuprawniony dostęp do informacji ($10,617,000), o kradzieŝ laptopów i sprzętu hardware ($6,642,660), o kradzieŝ informacji ($6,034,000), o atak DDoS ($2,922,010). PoniŜszy wykres przedstawia procentowy rozkład incydentów ze względu na poziom strat: Wykres 2 Rozkład najkosztowniejszych incydentów Wirusy 30% Nieuprawniony dostęp do informacji 20% Inne 20% Ataki DDoS 6% KradzieŜ informacji 11% KradzieŜ laptopów i sprzętu hardware 13% Źródło: Opracowanie własne na podstawie raportu CSI/FBI 2006r. 3 Phishing oszustwo polegające na wprowadzeniu w błąd i najczęściej wyłudzeniu pieniędzy lub zdobyciu haseł, numerów kart kredytowych, kont bankowych itp. Autor: Sławomir Kubit 6
7 Jak widzimy, incydenty uwzględnione na wykresie stanowią 80% całości ponoszonych strat. W obliczeniach wzięto pod uwagę 313 poszkodowanych. Całkowite straty wynosiły $52,494,250. Niestety, w raporcie nie umieszczono informacji, jak obliczano te straty. Straty są to następstwa wystąpienia incydentów i mają one charakter czasowy oraz stały. Według amerykańskiego dokumentu rządowego The Internet Integrity and Critical Information Protection Act of 2000 termin strata oznacza kaŝdy rzeczywisty wydatek poszkodowanego zawierający koszt reakcji na atak, przeprowadzenie oceny strat, odtworzenia danych, programu, systemu lub informacji do stanu sprzed ataku oraz kaŝdą stratę dochodu oraz kaŝdą inna stratę powstałą w wyniku przerwy w świadczeniu usług. 4 Wielkość strat jest uzaleŝniona od wielu czynników: kto jest poszkodowanym (czy jest to zwykła osoba czy wielka korporacja), czym się ta osoba / firma zajmuje, z jakim rodzajem (rodzajami) ataków mamy do czynienia, w jakim kraju dane zdarzenie miało miejsce (skutki prawne) itd. Straty zazwyczaj dzielimy na takie, które moŝna oszacować, i takie, których szacowanie jest niemoŝliwe lub jest bardzo kontrowersyjne. By zrozumieć, na czym polegać moŝe kontrowersyjność szacowania, wyobraźmy sobie taką sytuację: firmie X skradziono dane na temat planowanych inwestycji oraz dane na temat klientów. Chcąc skierować sprawę do sądu firma musi podać, jakie straty poniosła w wyniku danego incydentu. Najpierw musi je więc oszacować. Straty oraz skutki, jakie firma ponosi w takiej sytuacji są róŝnorakie: kary prawne, koszty ponownej pracy nad inwestycjami, utrata klienta czy renomy itd.. Wyobraźmy sobie metodę szacowania strat na przykład utraty renomy. Szacowanie tego typu strat, o ile w ogóle jest moŝliwe, jest bardzo kłopotliwym zadaniem. NaleŜy zaznaczyć, iŝ nie ma Ŝadnej narzuconej metody jak powinno się liczyć takie straty brak równieŝ jakichkolwiek standaryzacji, a to sprawia, Ŝe próby oszacowania tego typu strat oraz osiągnięte wyniki mogą być kontrowersyjne. Na szczęście większość strat takich jak serwis, kary prawne czy utrata dochodu (spowodowana np. zaprzestaniem produkcji) moŝna wycenić, oczywiście w miarę moŝliwości i dostępnych danych. 4 Mirosław Maj Koszty szacowania strat (Biuletyn NASK) Autor: Sławomir Kubit 7
8 Do strat których, nie moŝemy oszacować, zaliczamy między innymi spadek wizerunku firmy, oraz utratę klienta. Straty te mają charakter psychologiczny, co przekłada się na konsekwencje w długookresowych wynikach firmy. Zdarzyć się moŝe, Ŝe to właśnie te psychologiczne koszty mogą być groźniejsze w skutkach i bardziej dotkliwe dla firm niŝ straty pienięŝne. Marki nie moŝna wszak sobie kupić, trzeba ją wypracowywać przez lata, tak samo jak zaufanie klienta do firmy. Oszacowanie rzeczywistych skutków tych strat leŝy zatem w interesie firmy poszkodowanej. Po krótkim wprowadzeniu oraz opisaniu problemu czas na odpowiedź na nasuwające się pytanie w jakim celu kalkulować straty? Co daje nam szacowanie? Uświadamia nam, jakiej wielkości straty ponosimy za pomocą prostych obliczeń (formuła ROSI) moŝemy sprawdzić, ile zyskalibyśmy, a właściwie nie stracilibyśmy, implementując odpowiedni system zabezpieczeń. Informacja, jakiego rzędu jest to strata, jest niezbędna do postępowania prawnego oraz do nadania rangi sprawie. Dane na temat incydentów oraz strat pozwolą na dobór optymalnego dla danej jednostki systemu zabezpieczeń. Pomaga ustalać trendy oraz uświadamiać skalę zjawiska. Systematyczne zbieranie informacji będzie bardzo przydatne dla firm w określeniu planów długoterminowych w postaci inwestycji Zwrot z inwestycji moŝemy obliczyć z prostego wzoru, wykorzystując metodę ROSI (z ang. Return on Security Investment): ROSI = R (ALE), gdzie: R roczne koszty odzyskania poniesionych strat, ALE (z ang. Annual Loss Expentancy) roczne spodziewane straty, ALE = T + (R - E), gdzie: T koszt zakupu narzędzi do wykrywania zagroŝeń (koszt inwestycji), E oszczędności wynikające z prewencji. Autor: Sławomir Kubit 8
9 2. Dostępne metody Zagadnienie dotyczące szacowania strat powstałych w wyniku ataków komputerowych niestety nie cieszy się duŝym zainteresowaniem. Co warto podkreślić wszystkie dostępne metody, które zostaną opisane, zostały stworzone przez Amerykanów. Wydaje się, Ŝe sprawa jest w Polsce bagatelizowana. Często słyszy się: faktycznie, problem bezpieczeństwa istnieje, ale nie jest to problem mój. Takie podejście moŝe okazać się katastrofalne w skutkach. Dostępne metody podzielone zostały na dwie grupy metody rozwinięte i metody proste. Podział ten został zastosowany ze względu na fakt, iŝ niektóre metody są obszernymi opracowaniami wraz z metodami zbierania informacji oraz dokładnymi opisami incydentów, a niektóre to proste, lecz przydatne narzędzia. Do metod rozwiniętych zaliczamy projekt ICAMP I, wraz z jego kolejną wersją ICAMP II. ICAMP (Incident Cost Analysis and Modeling Project) projekt ten stworzony został na Uniwersytecie w Michigan pod kierownictwem: Scotta Ziobro, Stephena Deering, Amy Fazio pod patronatem Virgini Rezmierski. Do czasu tworzenia projektu ICAMP, czyli do 1997 roku, nie było praktycznie Ŝadnej znanej metody szacowania strat. Celem projektu ICAMP było wynalezienie metodologii, która pozwoliłaby zrozumieć czynniki wpływające na występowanie i na koszty incydentów w akademickim środowisku komputerowym. Kolejnym celem było ukazanie wielkości i znaczenia całkowitych strat. Do stworzenia projektu posłuŝyło 30 ataków przeprowadzonych właśnie na uczelnie. Fakt ten mógł spowodować, Ŝe niektóre waŝne czynniki zostały pominięte przy budowaniu metody szacowania strat. Dokumentacja ICAMP-u liczy setki stron i zawiera dokładne opracowanie tematu. Opisuje wnikliwie wszystkie incydenty brane pod uwagę podczas tworzenia metodologii oraz oblicza koszty kaŝdego takiego incydentu. Autor: Sławomir Kubit 9
10 Twórcy ICAMP podkreślają, Ŝe metodą tą nie oszacujemy dokładnie strat danego incydentu, a jedynie moŝemy je podać w przybliŝeniu. ICAMP II (Incident Cost Analysis and Modeling Project) powstał w 1999 roku w głównej mierze dzięki pomocy USENIX 5. ICAMP II to rozszerzenie pierwszego projektu. Szacowaniu zostały poddane inne, nowe incydenty, a metoda zawiera nowy sposób liczenia strat poniesionych ze strony uŝytkowników. Nowe dodatkowe cele CAMPII: Wprowadzenie wytycznych do analizy kosztów związanych z atakami komputerowymi. Poprzez uŝycie szablonu zespół IT moŝe oszacować, a później zanalizować koszty. Szablon słuŝy do zbierania informacji na temat incydentu. Analizowanie danych w celu pogrupowania/klasyfikowania incydentów oraz w celach statystycznych: określenie częstości pojawiania się danego incydentu Wprowadzenie schematu grupującego incydenty ułatwianie klasyfikacji. Odnalezienie schematów ataków komputerowych oraz moŝliwości powtarzania się danego incydentu. Do metod prostych zaliczamy niewielkie opracowania oraz aplikacje posiadające algorytmy szacowania strat. Metod takich jest duŝo, najczęściej są to mechanizmy pozwalające na obliczenie przybliŝonych strat spowodowanych przez atak komputerowy przy wprowadzeniu niewielkiej liczby danych. Metody te mają często charakter komercyjny i są umieszczane na witrynach firm zajmujących się zabezpieczaniem systemów. W celu zaprezentowania tego typu metod wybrane zostały cztery róŝne metodologie: CICA, Baseline Calculator, CMS Virus Calculator & Spam Calculator, Postini Calculator. Wszystkie metody, zarówno scharakteryzowane w kolejnym rozdziale. ICAMP, jak i metody proste zostały dokładnie 5 USENIX - Advanced Computing Systems Association. Autor: Sławomir Kubit 10
11 II. Wybór metodologii optymalnej Rozdział ten rozpoczniemy od zestawienia potencjalnych strat, jakie ponosi firma lub jednostka. Dalej opisane zostaną kolejno: jedna rozwinięta i cztery podstawowe metody szacowania strat. W celu przejrzystości i łatwości porównania metod został zastosowany szablon. Następnie za pomocą zaproponowanych kryteriów i przydzielenia im odpowiednich wag wybierzemy metody najlepsze, które w dalszej części opracowania zostaną wykorzystane do stworzenia metodologii własnej. 1. Potencjalne straty Przed przedstawieniem i oceną metod naleŝy zapoznać się z potencjalnymi rodzajami strat, jakie firma lub zwykła osoba moŝe ponieść. Rodzaje tych strat przedstawione są w poniŝszej tabeli z podziałem na jednostkę, która je ponosi. Podkreślić naleŝy, iŝ przedstawione konsekwencje finansowe to zarówno wartości, które moŝemy łatwo oszacować, jak i te, których szacowanie jest niezwykle trudne lub kontrowersyjne. Tabela ta ułatwi nam ocenę metodologii względem wziętych pod uwagę strat. Tabela 1 - Potencjalne straty Firma koszt związany z utraconym czasem (utrata produktywności pracowników), serwis przywrócenie systemu, wymiana sprzętu oraz oprogramowania, kary prawne, utrata dochodu, zaprzestanie pracy (produkcji itd.) utrata danych (ponowna praca lub odzyskiwanie danych), Osoba indywidualna koszt związany z utraconym czasem (koszt utraconych moŝliwości), serwis, wymiana sprzętu oraz oprogramowania, kary prawne, utrata danych (ponowna praca lub specjalistyczne odzyskiwanie danych), kradzieŝ informacji. Autor: Sławomir Kubit 11
12 odzyskania poniesionych strat na rynku (utrata klienta itp.), koszt alternatywny, kradzieŝ informacji, utrata pracownika, Spadek/utrata wizerunku firmy, Utrata wierności klienta. Źródło: Opracowanie własne 2. Charakterystyka metod Nazwa metody: ICAMP Opis: Metoda ta powstała w 1997 roku, a dwa lata później została udoskonalona. Stworzona została przez amerykańską uczelnię i właśnie na podstawie incydentów związanych z atakami komputerowymi, jakie miały tam miejsce, została stworzona metodologia szacowania strat. Projekt ICAMP posiada metodologię zbierania informacji na temat incydentów. Wykorzystane zostały szablony zawierające informacje o: typie incydentu; czasie trwania; sektorach firmy, których dotyczył; podjętych działaniach; osobach zajmujących się problemem; stawkach pracowników itd. NaleŜy podkreślić, Ŝe wskaźniki, których uŝyto do obliczania całkowitych strat, są odpowiednie wyłącznie dla realiów amerykańskich uczelni. Wykorzystanie tej metody do obliczania strat innej jednostki moŝe dać wynik znacznie róŝniący się od rzeczywistego. Metodologia szacowania strat: KC = KCP + KU + KK + WU KCP = (KZ + KT) * 1.28 * 1.52 Autor: Sławomir Kubit 12
13 o KC koszt całkowity. o KCP całkowity koszt pracowników. o KU koszt związany z brakiem moŝliwości wykonywania pracy przez uŝytkowników. Twórcy podkreślają, Ŝe jest to jeden z kosztów najtrudniejszych do szacowania. Niełatwo bowiem oszacować, ile kosztuje stracony czas uŝytkownika. W projekcie ICAMP I załoŝono, Ŝe wartości takie podawane będą w przybliŝeniu (np. koszt straty czasu przez studenta wynosi 6$ na godzinę). W ICAMP II wartości te postanowiono obliczyć za pomocą zmiennych określających: koszt połączenia z internetem oraz chęć zapłacenia za godzinę nauki. o KK koszt konsultantów pracujących nad rozwiązaniem problemu (spoza uczelni). o WU wydatki uboczne, w tym koszty związane z zakupem nowego sprzętu i/lub oprogramowania. o KZ koszty poniesione przez: wydziały, personel, zatrudnionych studentów (ogólnie: przez pracowników). Według twórców ICAMP, aby obliczyć rzeczywisty koszt pracowników naleŝy podzielić roczne zarobki pracownika przez 52 (tygodnie) następnie przez 40 (godziny pracy w tygodniu). Otrzymujemy rzeczywisty zarobek na godzinę. Stawka ta, dla kaŝdego pracownika (którego dotyczył incydent) jest mnoŝona przez ilość straconych przez niego godzin. Następnie, stosując medianę oraz przedziały, oblicza się całkowity koszt pracowników. Koszt ten został objęty moŝliwym błędem +/ 15%. o KT koszt pracowników technicznych zatrudnionych na uczelni. o 1,28 stały wskaźnik ustalony przez ICAMP wyraŝający utratę dochodów. Ustalona eksperymentalnie miara 28% to reprezentatywna miara dla kaŝdej uczelni branej pod uwagę w projekcie. Jest to współczynnik związany z wydatkami, jakie muszą być poniesione, aby przywrócić do pełnej wydajności pracy uŝytkowników systemu. o 1.52 wskaźnik pośredniego kosztu (ICR 6 ). Zastosowanie i przydatność: Metoda wykorzystana została przede wszystkim na uczelniach amerykańskich. Projekt ICAMP I dotyczył kilku uczelni, natomiast ICAMP II dotyczył juŝ 11. Zastosowanie tej metody ogranicza się właśnie do takiego typu jednostek, głównie ze względu na zastosowane wskaźniki. 6 ICR indirect cost rates. W dokumentacji projektu ICAMP nie wyjaśniono, jak ten wskaźnik zastał obliczony, ani czym jest dokładnie koszt pośredni. Wskaźnik ten podnosi całkowite koszty pracowników aŝ o 52%. Autor: Sławomir Kubit 13
14 Przydatność tej metody wzrośnie, jeŝeli spróbujemy wprowadzić zmienne zamiast stałych wskaźników, wzór wygląda wówczas następująco: KC = ((KZ + KT) *x)*y + KU + KK + WU Metodę tę oznaczymy jako ICAMP* zostanie wzięta pod uwagę przy wyborze metody optymalnej. NaleŜy podkreślić, Ŝe metoda ta uwzględnia koszty uŝytkowników, które wliczane są do całkowitego kosztu incydentu. JeŜeli liczylibyśmy koszty, jakie ponosi wyłącznie uczelnia (dana firma), wówczas koszty te nie powinny zostać wzięte pod uwagę. PoniŜej przedstawiony został przykład obliczania kosztów incydentu metodą ICAMP: Koszt pracowników Tabela C-40 Pozycja Godziny Koszt/h Suma -15% 15% Analityk incydentu 43 $15,68 $674,24 $573,10 $775,38 Administrator systemu 3,75 $25 $93,75 $79,69 $107,81 Konsultant 1 $24,95 $24,95 $21,21 $28,69 Wsparcie zewnętrzne 10 $18,63 $186,30 $158,36 $214,25 Personel 0,833 $15 $12,50 $10,62 $14,37 Suma 58,583 $991,74 $842,97 $1 140,50 28% $277,69 $236,03 $319,34 Suma (Płace i korzyści) $1 269,42 $1 079,01 $1 459,83 Koszt pośredni $660,10 $561,09 $759,12 Całkowity koszt robocizny $1 929,52 $1 640,09 Mediana kosztu +/- 15% $1 929,52 $289,43 (+/-) Koszt uŝytkowników Tabela C-41 Liczba uŝytkowników Godziny Koszt/h Suma -15% 15% $12,00 $960,00 $816,00 $1 104,00 Całkowity koszt uŝytkow. $960,00 $816,00 $1 104,00 Mediana kosztu $960,00 $144,00 (+/-) Autor: Sławomir Kubit 14
15 Koszt Całkowity Koszt pracowników $1 929,52 $289,43 Koszt uŝytkowników $960 $144,00 Mediana kosztu $2 889,52 $433,43 (+/-) Podstawiając do wzoru: KC = ((KZ + KT) * 1.28)* KU + KK + WU = $1929,52 + $ = $2889,52 Zalety i wady metody: Zalety o duŝa róŝnorodność kosztów wziętych pod uwagę, o dokładnie zdefiniowane składowe metody, o metoda ułatwia zbieranie danych potrzebnych do szacowania strat. Wady o mały zakres zastosowania ogranicza się do akademii. Spowodowane jest to głównie narzuconymi wskaźnikami. o wykorzystanie ICR oraz wliczanie kosztów uŝytkowników do kosztów całkowitych moŝe spowodować odchylenie wartości obliczanej od wartości rzeczywistej kosztów. Autor: Sławomir Kubit 15
16 Nazwa metody: CICA Opis: CICA (Cyber Incident Cost Assessment) powstała w 2002 roku, jest metodą nieco bardziej skomplikowaną niŝ CAMP. Posiada bardziej złoŝony podział kosztów. Metodologia szacowania strat: KC = HC + SC HC = FC + VC SC = FC + VC FC = CF + R&D/C VC = OC + NR&D/C o Koszty całkowite (KC) dzielone są na dwie główne grupy: hard costs (HC), czyli koszty twarde oraz soft costs (SC), koszty miękkie. o Koszty twarde są to koszty straconych godzin pracy oraz godzin pracy potrzebnych do zlikwidowania zagroŝenia. Do strat tych zaliczamy równieŝ koszty wymiany sprzętu i/lub oprogramowania. Koszty twarde liczmy ze wzoru: HC = FC + VC FC koszty stałe (opłaty) VC koszty zmienne (liczba godzin pracy) o Koszty miękkie są to koszty związane z brakiem potencjalnych przychodów. Koszty miękkie liczymy z tego samego wzoru co twarde, jednak straty te są trudniejsze do oszacowania. SC = FC + VC, gdzie FC = CF + R&D/C i VC = OC + NR&D/C CF koszty zaufania pracowników. R&D/C koszty badań i rozwoju / zuŝycie (koszty poniesione w trakcie badań utracone dane). OC potencjalne koszty NR&D/C koszty nowych badań i rozwoju. AC koszty dodatkowe jak: szkolenie pracowników. Autor: Sławomir Kubit 16
17 Końcowy wzór kosztów całkowitych ma postać: KC = HC(FC + VC) + SC(FC(CF + R&D/C) + VC(OC + NR&D/C)) Po obliczeniu kosztów, CICA umoŝliwia obliczenie AVO (Asset Value of the object): AVO = KC + SP + CAI SP (Shadow Pricing) metoda ustalania ceny za dany produkt/usługę. Wykorzystywana, gdy firma nie wie, jak obliczyć koszt rzeczywisty tego produktu bądź usługi. CAI (Cost accounting) rachunek kosztów własnych, moŝe być uŝyty do ustaleń inwestycyjnych. Zastosowanie i przydatność: brak danych Zalety i wady metody: Zalety o duŝa róŝnorodność kosztów wziętych pod uwagę, o brak stałych wskaźników mogących przyczynić się do odchylenia wartości rzeczywistych kosztów. Wady o skomplikowany podział kosztów i ich definicji sprawia, Ŝe metoda jest trudna do liczenia, a tym bardziej do wykorzystania w aplikacji, o brak informacji na temat pozyskiwania danych i ich szacowania (na przykład strata związana ze zmienną CF, czyli zaufaniem pracowników) Autor: Sławomir Kubit 17
18 Nazwa metody: Baseline Calculator 7 Opis: Metodę tę, wraz z aplikacją w postaci kalkulatora, stworzył David Lawson z organizacji Greenwich Technology Partners. Kalkulator pozwala oszacować koszt incydentu, a następnie pozwala obliczyć, o ile koszty zmaleją, jeśli byśmy zaimplementowali określone zabezpieczenia (w zaleŝności od poziomu zabezpieczeń). Narzędzie ma równieŝ na celu uświadomić, jak wielkie są korzyści stosowania systemów zabezpieczeń. Metodologia szacowania strat: KC = Q + U Q = M + N + P U = R * S * T M = D * E * H * J N=D*F*G*H*K P = D * E * H * L D = (A / B) / C KC koszt całkowity, A roczny dochód firmy, B liczba pracowników zatrudnionych w firmie, C średnia roczna ilość godzin pracy jednego pracownika, D produktywność pracownika, E liczba zainfekowanych stacji roboczych, F liczba zainfekowanych serwerów, G średnia liczba uŝytkowników na serwer, H ile godzin przed zainfekowaniem utworzone były kopie zapasowe, J procent pracy jaki stracili pracownicy (jeŝeli dany pracownik wykonuje ¼ pracy na komputerze to stracił 25%), K procent straty produktywności, który wynikał z utraty serwera, 7 Metoda pochodzi z witryny Autor: Sławomir Kubit 18
19 L procent straty produktywności, który wynikał z utraty dostępu do internetu, M poniesiony koszt w odniesieniu do uŝytkownika, N poniesiony koszt w odniesieniu do zaprzestania działania serwera, P poniesiony koszt w odniesieniu do utraty dostępu do internetu, R liczba pracowników technicznych pracujących przy odzyskiwaniu systemu, S liczba godzin pracowników technicznych, T średnie wynagrodzenie za godzinę pracy pracownika technicznego, U koszty odzyskiwania systemu, Q koszt utraconej produktywności. Dodatkowo kalkulator Lawsona pozwala na: obliczenie, jaki koszt poniesie firma niestosująca zabezpieczeń: Z = V * KC, gdzie V to prawdopodobieństwo ataku, obliczenie, o ile zmaleje koszt, gdy firma zastosuje zabezpieczenia na określonym poziomie: Z W * KC. Zastosowanie i przydatność: Aplikacja w postaci arkusza Excel pozwala na przykładowe obliczenie kosztów ataku. Zalety i wady metody: Zalety o dzięki prostemu podziałowi kosztów obliczenia są nieskomplikowane, o etapowość obliczania oraz rozgraniczenie kosztów pozwala stwierdzić, które koszty były znaczące, a które nie, o brak narzuconych wskaźników. Wady o Średnia róŝnorodność kosztów wziętych pod uwagę, Przykład omawianego kalkulatora przedstawiony jest na kolejnej stronie. Szacuje on straty spowodowane atakiem SQL Slammer na międzynarodową firmę produkcyjną. Autor: Sławomir Kubit 19
20 Narzędzie: Zalety zabezpieczenia systemu Przykład Jaki dochód roczny generuje Twoja firma? Całkowita sprzedaŝ - koszt dóbr sprzedanych $ Ilu pracowników zatrudnia Twoja firma? Średnio, ile godzin rocznie pracuje pracownik? Produktywność pracownika na godzinę (A B) C 145 Ilu stacji roboczych dotyczył atak? Ilu serwerów dotyczył atak? 150 Średnio, ilu uŝytkowników obsługuje serwer? 200 Na ile godzin przed atakiem zostały utworzone kopie zapasowe? 16 Jaki procent pracy stracili pracownicy? Np.: jeŝeli pracownik wykorzystuje komputer do 2/3 zadania, to stracona produktywność to około 66%. Jaki procent straty produktywności wynikał z utraty serwera? 30% Jaki procent straty produktywności wynikał z utraty dostępu do Internetu? 30% Poniesiony koszt w odniesieniu do uŝytkownika D x E x H x J $ Poniesiony koszt w odniesieniu do zaprzestania działania serwera D x F x G x H x K $ Poniesiony koszt w odniesieniu do utraty dostępu do internetu D x E x H x L $ Koszt utraconej produktywności M + N + P $ Ilu pracowników technicznych pracowało przy odzyskiwaniu systemu? 50 Ile godzin potrzebowali na tę czynność? 32 Średnio, ile wynosi wynagrodzenie za godzinę pracy pracownika technicznego? $ 75 Koszty odzyskiwania systemu R x S x T $ Jakie jest prawdopodobieństwo, Ŝe taki incydent będzie mieć miejsce w tym roku? 60% Jakie jest prawdopodobieństwo, jeŝeli będą podstawowe zabezpieczenia? 50% Jakie jest prawdopodobieństwo, jeŝeli będą średnie zabezpieczenia? 40% Jakie jest prawdopodobieństwo, jeŝeli będą najlepsze zabezpieczenia? 30% Ryzyko, w dolarach, w firmie bez zabezpieczeń V x (Q +U) $ O tyle zmaleje koszt, jeŝeli zaimplementujemy podstawowe zabezpieczenia Z - (W x (Q + U)) O tyle zmaleje koszt, jeŝeli zaimplementujemy średnie zabezpieczenia Z - (X x (Q + U)) O tyle zmaleje koszt, jeŝeli zaimplementujemy najlepsze zabezpieczenia Z - (Y x (Q + U)) Źródło: GREENWICH TECHNOLOGY PARTNERS, U.S. GEOLOGICAL SURVEY, BASELINE RESEARCH 70% $ $ $ Autor: Sławomir Kubit 20
21 Nazwa metody: CMS Virus Calculator oraz Spam Calculator 8 Opis: CMS (ang. Computer Mail Services) to międzynarodowa firma prywatna zajmująca się tworzeniem programów antyspamowych, filtrujących oraz narzędzi do parsowania logów. W celu uświadamiania klienta o problemie, firma ta postanowiła umieścić na witrynie internetowej proste kalkulatory do zliczania kosztów wirusów, które dostają się przez pocztę elektroniczną, oraz do zliczania kosztów spamu. Metodologia szacowania strat: Kalkulator do szacowania kosztów po ataku wirusa: KC = KP + KPT KP = Wsk * (LP * LM * PH) KPT = LPT * PHT * LG KC koszt całkowity. KP koszt pracowników. Do obliczania kosztów związanych z pracownikami zastosowany został wskaźnik 9. Czynniki brane pod uwagę: LP liczba pracowników mających dostęp do poczty elektronicznej, LM liczba minut poświęcana dziennie przez kaŝdego pracownika na odbieranie poczty (do wzoru podajemy część godziny np. 30 min to 0,5 h), PH średnia płaca za godzinę. KPT koszt pracowników technicznych. Czynniki brane pod uwagę: LPT liczba pracowników technicznych, PHT średnia płaca za godzinę pracownika technicznego, LG liczba godzin potrzebnych do zlikwidowania wirusa. 8 Metoda pochodzi z witryny 9 Z powodu braku informacji na temat algorytmu szacowania, wyprowadzony został wzór wykorzystujący dany wskaźnik. Stała wartość wskaźnika to 0,4167. Autor: Sławomir Kubit 21
22 Kalkulator do szacowania strat powodowanych przez spam: KC = LP * LD * Wsk * (PH * LSP* LS) KC koszt całkowity, LP liczba pracowników mających dostęp do poczty elektronicznej, LD liczba dni pracujących, Wsk wskaźnik stały 10, PH średnia płaca za godzinę, LSP średnia dzienna liczba spamu przypadająca na 1 uŝytkownika, LS liczba sekund, jaką tracimy na 1 wiadomość spam. Zastosowanie i przydatność: Kalkulator zastosowany dla potrzeb zarówno uświadamiających, jak i promujących produkty firmy. Dodatkowa funkcja kalkulatora pozawala na obliczenie, po ilu dniach (a nawet godzinach!) zwraca się koszt zakupu ich oprogramowania. Bardzo prosty i wygodny w uŝyciu. Zalety i wady metody: Zalety o funkcja zliczająca koszty spamu, o funkcja zliczająca koszty wirusów, o metoda prosta w obliczaniu. Wady o wskaźniki mogą wypaczać rzeczywiste wartości całkowitych kosztów spamu i wirusów, o brak danych na temat sposobu liczenia, o zastosowanie niewielkie ze względu na charakter kalkulatora: słuŝy wyłącznie do obliczeń strat związanych ze spamem oraz wirusami przesyłanymi pocztą elektroniczną. PoniŜej przykład obliczania kosztów firmy, w której 1000 pracowników korzysta z poczty elektronicznej: 10 Z powodu braku informacji na temat algorytmu szacowania, wyprowadzony został wzór wykorzystujący dany wskaźnik wynoszący 0, Autor: Sławomir Kubit 22
23 Koszty wirusa: Źródło: Opracowanie własne. Koszty spamu: Źródło: Opracowanie własne. Jak widzimy, suma kosztów jednego ataku wirusa oraz rocznych kosztów spamu dla powyŝszych danych to euro, czyli około złotych. Autor: Sławomir Kubit 23
Metody szacowania strat powstałych w wyniku ataków komputerowych
Metody szacowania strat powstałych w wyniku ataków komputerowych Mirosław Maj, CERT Polska Jeśli czegoś nie wiemy to nie znaczy, że tego nie ma. David A. Dittrich Plan wystąpienia Problem szacowania strat
Bardziej szczegółowoRealne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK
Realne zagrożenia i trendy na podstawie raportów CERT Polska CERT Polska/NASK Kim jesteśmy? Czym jest CERT Polska: Zespół działający w ramach Naukowej i Akademickiej Sieci Komputerowej; Powołany w 1996
Bardziej szczegółowodr Beata Zbarachewicz
dr Beata Zbarachewicz Rządowy Program Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej na lata 2011-2016, Warszawa, czerwiec 2010 RAPORTY CERT.GOV.PL Raport o stanie bezpieczeństwa cyberprzestrzeni RP
Bardziej szczegółowoCERT POLSKA. Raport Przypadki naruszające bezpieczeństwo teleinformatyczne
CERT POLSKA Raport 2000 Przypadki naruszające bezpieczeństwo teleinformatyczne 1 Wstęp 1.1 Informacje dotyczące zespołu CERT POLSKA CERT(Computer Emergency Response Team) Polska jest zespołem powołanym
Bardziej szczegółowoLogotyp webowy (72 dpi)
Uproszczony Rachunek Zysków i Strat dla sklepu internetowego Łukasz Plutecki, CEO - Agencja Interaktywna NetArch PoniewaŜ wielokrotnie spotykam się z pytaniem w jaki sposób sporządzić uproszczony biznesplan
Bardziej szczegółowoANALIZA HIERARCHICZNA PROBLEMU W SZACOWANIU RYZYKA PROJEKTU INFORMATYCZNEGO METODĄ PUNKTOWĄ. Joanna Bryndza
ANALIZA HIERARCHICZNA PROBLEMU W SZACOWANIU RYZYKA PROJEKTU INFORMATYCZNEGO METODĄ PUNKTOWĄ Joanna Bryndza Wprowadzenie Jednym z kluczowych problemów w szacowaniu poziomu ryzyka przedsięwzięcia informatycznego
Bardziej szczegółowoBezpieczeństwo systemów i lokalnej sieci komputerowej
Uniwersytet Mikołaja Kopernika w Toruniu Wydział Matematyki i Informatyki Wydział Fizyki, Astronomii i Informatyki Stosowanej Jan Werner Bezpieczeństwo systemów i lokalnej sieci komputerowej Praca magisterska
Bardziej szczegółowoLaboratorium nr 5. Temat: Funkcje agregujące, klauzule GROUP BY, HAVING
Laboratorium nr 5 Temat: Funkcje agregujące, klauzule GROUP BY, HAVING Celem ćwiczenia jest zaprezentowanie zagadnień dotyczących stosowania w zapytaniach języka SQL predefiniowanych funkcji agregujących.
Bardziej szczegółowoRaport CERT NASK za rok 1999
Raport CERT NASK za rok 1999 W stosunku do roku 1998 CERT NASK w roku 1999 odnotował wzrost liczby zarejestrowanych incydentów naruszających bezpieczeństwo. Nie był to jednak tak duży wzrost jak w latach
Bardziej szczegółowoMetodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji
2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa
Bardziej szczegółowo01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych
Tabela z podziałem tzw. efektów uczenia na formę weryfikacji podczas egzaminu Stosowanie zasad cyber przez pracowników instytucji finansowych 01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych
Bardziej szczegółowobo od managera wymaga się perfekcji
bo od managera wymaga się perfekcji MODELOWANIE PROCESÓW Charakterystyka modułu Modelowanie Procesów Biznesowych (BPM) Modelowanie procesów biznesowych stanowi fundament wdroŝenia systemu zarządzania jakością
Bardziej szczegółowoPLAN ZARZĄDZANIA WYMAGANIAMI PROJEKT <NAZWA PROJEKTU> WERSJA <NUMER WERSJI DOKUMENTU>
Załącznik nr 4.4 do Umowy nr 35-ILGW-253-.../20.. z dnia... MINISTERSTWO FINANSÓW DEPARTAMENT INFORMATYKI PLAN ZARZĄDZANIA WYMAGANIAMI PROJEKT WERSJA numer wersji
Bardziej szczegółowoMIEJSCOWY PLAN ZAGOSPODAROWANIA PRZESTRZEN- NEGO A SKUTKI EKONOMICZNE JEGO UCHWALENIA
ELŻ BIETA CZEKIEL-Ś WITALSKA MIEJSCOWY PLAN ZAGOSPODAROWANIA PRZESTRZEN- NEGO A SKUTKI EKONOMICZNE JEGO UCHWALENIA Prognoza skutków finansowych, która musi być sporządzana od lipca 2003 r., w związku z
Bardziej szczegółowoTomasz Chlebowski ComCERT SA
Tomasz Chlebowski ComCERT SA sumaryczny koszt poprawnie oszacować koszty wynikające z incydentów (co jest czasem bardzo trudne) dopasować odpowiednie rozwiązania redukujące powyższe koszty wybrać takie
Bardziej szczegółowoRachunek prawdopodobieństwa projekt Ilustracja metody Monte Carlo obliczania całek oznaczonych
Rachunek prawdopodobieństwa projekt Ilustracja metody Monte Carlo obliczania całek oznaczonych Autorzy: Marta Rotkiel, Anna Konik, Bartłomiej Parowicz, Robert Rudak, Piotr Otręba Spis treści: Wstęp Cel
Bardziej szczegółowoZagroŜenia w sieciach komputerowych
ZagroŜenia w sieciach komputerowych Spotkanie szkoleniowe Polskiej Platformy Bezpieczeństwa Wewnętrznego 02.03.2006 r. Poznańskie Centrum Superkomputerowo Sieciowe Zespół Bezpieczeństwa jaroslaw.sajko@man.poznan.pl
Bardziej szczegółowoInstrukcja do panelu administracyjnego. do zarządzania kontem FTP WebAs. www.poczta.greenlemon.pl
Instrukcja do panelu administracyjnego do zarządzania kontem FTP WebAs www.poczta.greenlemon.pl Opracowanie: Agencja Mediów Interaktywnych GREEN LEMON Spis treści 1.Wstęp 2.Konfiguracja 3.Konto FTP 4.Domeny
Bardziej szczegółowoRekurencje. Jeśli algorytm zawiera wywołanie samego siebie, jego czas działania moŝe być określony rekurencją. Przykład: sortowanie przez scalanie:
Rekurencje Jeśli algorytm zawiera wywołanie samego siebie, jego czas działania moŝe być określony rekurencją. Przykład: sortowanie przez scalanie: T(n) = Θ(1) (dla n = 1) T(n) = 2 T(n/2) + Θ(n) (dla n
Bardziej szczegółowoAutor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski
Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA INFORMACJI
Załącznik 1 POLITYKA BEZPIECZEŃSTWA INFORMACJI W celu zabezpieczenia danych gromadzonych i przetwarzanych w Urzędzie Miejskim w Ząbkowicach Śląskich oraz jego systemie informatycznym, a w szczególności
Bardziej szczegółowoZarządzenie Nr 71/2010 Burmistrza Miasta Czeladź. z dnia 28 kwietnia 2010r.
Zarządzenie Nr 71/2010 Burmistrza Miasta Czeladź z dnia 28 kwietnia 2010r. w sprawie : wprowadzenia procedury Identyfikacji zagroŝeń oraz oceny ryzyka zawodowego na stanowiskach pracy w Urzędzie Miasta
Bardziej szczegółowoUsługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych
Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych Prezentacja na Forum Liderów Banków Spółdzielczych Dariusz Kozłowski Wiceprezes Centrum Prawa Bankowego i Informacji sp.
Bardziej szczegółowoSystemy rozgrywek sportowych OGÓLNE ZASADY ORGANIZOWANIA ROZGRYWEK SPORTOWYCH
Systemy rozgrywek sportowych OGÓLNE ZASADY ORGANIZOWANIA ROZGRYWEK SPORTOWYCH Rozgrywki sportowe moŝna organizować na kilka róŝnych sposobów, w zaleŝności od liczby zgłoszonych druŝyn, czasu, liczby boisk
Bardziej szczegółowoPOWSZECHNE KRAJOWE ZASADY WYCENY (PKZW)
POWSZECHNE KRAJOWE ZASADY WYCENY (PKZW) NOTA INTERPETACYJNA NR 1 NI 1 ZASTOSOWANIE PODEJŚCIA PORÓWNAWCZEGO W WYCENIE NIERUCHOMOŚCI 1. WPROWADZENIE...2 2. PRZEDMIOT I ZAKRES STOSOWANIA NOTY...2 3. ZAŁOśENIA
Bardziej szczegółowoPrz r e z st t pczo kompu kom pu e t row ow i n i t n e t rn r e n tow i i n i t n e t le l ktu kt al u n al a
Przestępczość komputerowa, internetowa i intelektualna Pojęcie przestępczości internetowej i charakterystyka obszarów zagroŝeń. W polskim prawie karnym brak jest definicji przestępstwa internetowego. Potocznie
Bardziej szczegółowoCzy stać Cię na utratę danych? Postawa na działania profilaktycz ne czyli Kopia w Chmurze
Czy stać Cię na utratę danych? Statystki wskazują, że duża część użytkowników systemów bo aż 86% nie wykonuje kopii zapasowej. Dane najczęściej tracimy w najmniej oczekiwanym momencie na skutek wykasowania,
Bardziej szczegółowoSIŁA PROSTOTY. Business Suite
SIŁA PROSTOTY Business Suite REALNE ZAGROŻENIE Internetowe zagrożenia czyhają na wszystkie firmy bez względu na to, czym się zajmują. Jeśli masz dane lub pieniądze, możesz stać się celem ataku. Incydenty
Bardziej szczegółowoKonfiguracja programu pocztowego Outlook Express i toŝsamości.
Konfiguracja programu pocztowego Outlook Express i toŝsamości. Kiedy mamy juŝ załoŝone konto internetowe warto skonfigurować poprawnie swój program pocztowy. Mamy wprawdzie spory wybór ale chyba najpowszechniejszym
Bardziej szczegółowoZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku
ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku w sprawie wprowadzenia procedury zarządzania ryzykiem w Urzędzie Miejskim w Pasłęku Na podstawie art. (69 ust. 1 pkt 3 w związku z art.
Bardziej szczegółowoBezpieczeństwo aplikacji. internetowych. 2. Szkolenie dla administratorów stron internetowych hufców Śląskiej Chorągwi ZHP
Bezpieczeństwo aplikacji internetowych 2. Szkolenie dla administratorów stron internetowych hufców Śląskiej Chorągwi ZHP Chorzów 2007.03.24 Wszystkie zawarte tu informacje słuŝą wyłącznie celom edukacyjnym.
Bardziej szczegółowoCele polityki cenowej
DECYZJE CENOWE Cele polityki cenowej Kształtowanie poziomu sprzedaŝy, Kształtowanie poziomu zysku, Kreowanie wizerunku przedsiębiorstwa, Kształtowanie pozycji konkurencyjnej, Przetrwanie na rynku. 2/30
Bardziej szczegółowoMałopolska Agencja Rozwoju Regionalnego S.A.
Małopolska Agencja Rozwoju Regionalnego S.A. Przestrzeń Twojego sukcesu! Projekt Określone w czasie działanie podejmowane w celu stworzenia niepowtarzalnego produktu lub usługi Projekt - cechy słuŝy realizacji
Bardziej szczegółowoJózef Myrczek, Justyna Partyka Bank Spółdzielczy w Katowicach, Akademia Techniczno-Humanistyczna w Bielsku-Białej
Józef Myrczek, Justyna Partyka Bank Spółdzielczy w Katowicach, Akademia Techniczno-Humanistyczna w Bielsku-Białej Analiza wraŝliwości Banków Spółdzielczych na dokapitalizowanie w kontekście wzrostu akcji
Bardziej szczegółowoInstrukcja warunkowa i złoŝona.
Instrukcja warunkowa i złoŝona. Budowa pętli warunkowej. JeŜeli mielibyśmy przetłumaczyć instrukcję warunkową to brzmiałoby to mniej więcej tak: jeŝeli warunek jest spełniony, to wykonaj jakąś operację
Bardziej szczegółowoKoniec problemów z zarządzaniem stacjami roboczymi BigFix. Włodzimierz Dymaczewski, IBM
Koniec problemów z zarządzaniem stacjami roboczymi BigFix Włodzimierz Dymaczewski, IBM Dlaczego zarządzanie stacjami roboczymi sprawia tyle problemów? Na ogół duŝa ilość Brak standardu konfiguracji Wielka
Bardziej szczegółowoBezpieczeństwo danych i systemów informatycznych. Wykład 1
Bezpieczeństwo danych i systemów informatycznych Wykład 1 1. WPROWADZENIE 2 Bezpieczeństwo systemu komputerowego System komputerowy jest bezpieczny, jeśli jego użytkownik może na nim polegać, a zainstalowane
Bardziej szczegółowoProjektowanie systemu sprzedaŝy ubezpieczeń dla T. U. Generali zgodnie z metodyką User-Centered Design
Case Study Projektowanie systemu sprzedaŝy ubezpieczeń dla T. U. Generali zgodnie z metodyką User-Centered Design Zadanie Naszym zadaniem było zaprojektowanie interfejsu aplikacji do sprzedaŝy ubezpieczeń
Bardziej szczegółowoBezpieczeństwo bankowości internetowej
1 Bezpieczeństwo bankowości internetowej Jędrzej Grodzicki Prezes Związek Banków Polskich Galowa Konferencja Asseco Poland SA organizowanej dla Zarządów Banków Spółdzielczych korzystających z rozwiązań
Bardziej szczegółowoTypowe błędy w analizie rynku nieruchomości przy uŝyciu metod statystycznych
Typowe błędy w analizie rynku nieruchomości przy uŝyciu metod statystycznych Sebastian Kokot XXI Krajowa Konferencja Rzeczoznawców Majątkowych, Międzyzdroje 2012 Rzetelnie wykonana analiza rynku nieruchomości
Bardziej szczegółowoNowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.
Nowoczesny Bank Spółdzielczy to bezpieczny bank Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Bezpieczeństwo nie jest przywilejem banków komercyjnych System prawny na podstawie
Bardziej szczegółowoInternet Explorer. Okres 05-12.06.2008
Okres 05-12.06.2008 Internet Explorer W przeglądarce Internetowej Internet Explorer ujawniono lukę związaną z bezpieczeństwem, która moŝe pozwolić osobie nieupowaŝnionej na przejęcie kontroli nad komputerem
Bardziej szczegółowoPorównanie opłacalności kredytu w PLN i kredytu denominowanego w EUR Przykładowa analiza
Porównanie opłacalności kredytu w PLN i kredytu denominowanego w EUR Przykładowa analiza Opracowanie: kwiecień 2016r. www.strattek.pl strona 1 Spis 1. Parametry kredytu w PLN 2 2. Parametry kredytu denominowanego
Bardziej szczegółowoDOBÓR PRÓBY. Czyli kogo badać?
DOBÓR PRÓBY Czyli kogo badać? DZISIAJ METODĄ PRACY Z TEKSTEM I INNYMI Po co dobieramy próbę? Czym róŝni się próba od populacji? Na czym polega reprezentatywność statystyczna? Podstawowe zasady doboru próby
Bardziej szczegółowoMATERIAŁ INFORMACYJNY. Strukturyzowane Certyfikaty Depozytowe powiązane z indeksem giełdowym ze 100% ochroną zainwestowanego kapitału w Dniu Wykupu
MATERIAŁ INFORMACYJNY Strukturyzowane Certyfikaty Depozytowe powiązane z indeksem giełdowym ze 1% ochroną zainwestowanego kapitału w Dniu Wykupu Emitent Bank BPH SA Numer serii Certyfikatów Depozytowych
Bardziej szczegółowoINFORMATYKA PROJEKTY ROZWIĄZANIA OFERTA - AUDYT LEGALNOŚCI OPROGRAMOWANIA
INFORMATYKA PROJEKTY ROZWIĄZANIA OFERTA - AUDYT LEGALNOŚCI OPROGRAMOWANIA Warszawa, 2010 Informacje o firmie RavNet RavNet od ponad 10 lat zajmuje się szeroko pojętą informatyczną obsługą firm. Jesteśmy
Bardziej szczegółowoSYSTEM ARCHIWIZACJI DANYCH
JNS Sp. z o.o. ul. Wróblewskiego 18 93-578 Łódź NIP: 725-189-13-94 tel. +48 42 209 27 01, fax. +48 42 209 27 02 e-mail: biuro@jns.pl Łódź, 2014 r. SYSTEM ARCHIWIZACJI DANYCH JNS Sp. z o.o. z siedzibą w
Bardziej szczegółowoSERWER JAKO ZAGRANICZNY ZAKŁAD. Andrzej Kaznowski
SERWER JAKO ZAGRANICZNY ZAKŁAD Andrzej Kaznowski WYKORZYSTANE MATERIAŁY: Model Tax Convention on Income and on Capital. Condensed Version 2008, s. 97-100 M. Barta, Handel elektroniczny współczesne wyzwanie
Bardziej szczegółowoAnaliza metod prognozowania kursów akcji
Analiza metod prognozowania kursów akcji Izabela Łabuś Wydział InŜynierii Mechanicznej i Informatyki Kierunek informatyka, Rok V Specjalność informatyka ekonomiczna Politechnika Częstochowska izulka184@o2.pl
Bardziej szczegółowoXII. Warunek wielokrotnego wyboru switch... case
XII. Warunek wielokrotnego wyboru switch... case 12.1. Gdy mamy więcej niŝ dwie moŝliwości Do tej pory poznaliśmy warunek if... else... Po co nam kolejny? Trudno powiedzieć, ale na pewno nie po to, Ŝeby
Bardziej szczegółowoMiło nam poinformować, że rozpoczęliśmy prace nad Raportem płacowym Sedlak & Sedlak dla branży IT
ZAPROSZENIE Miło nam poinformować, że rozpoczęliśmy prace nad Raportem płacowym Sedlak & Sedlak dla branży IT - 2019. W tej edycji raportu chcemy dostarczyć kompleksowe informacje o wysokości wynagrodzeń
Bardziej szczegółowoKlasa I szkoły ponadgimnazjalnej matematyka
Klasa I szkoły ponadgimnazjalnej matematyka. Informacje ogólne Badanie osiągnięć uczniów I klas odbyło się 7 września 2009 r. Wyniki badań nadesłało 2 szkół. Analizie poddano wyniki 992 uczniów z 4 klas
Bardziej szczegółowoZADANIA DO ĆWICZEŃ. 1.4 Gospodarka wytwarza trzy produkty A, B, C. W roku 1980 i 1990 zarejestrowano następujące ilości produkcji i ceny:
ZADANIA DO ĆWICZEŃ Y produkt krajowy brutto, C konsumpcja, I inwestycje, Y d dochody osobiste do dyspozycji, G wydatki rządowe na zakup towarów i usług, T podatki, Tr płatności transferowe, S oszczędności,
Bardziej szczegółowoStatystyka hydrologiczna i prawdopodobieństwo zjawisk hydrologicznych.
Statystyka hydrologiczna i prawdopodobieństwo zjawisk hydrologicznych. Statystyka zajmuje się prawidłowościami zaistniałych zdarzeń. Teoria prawdopodobieństwa dotyczy przewidywania, jak często mogą zajść
Bardziej szczegółowoNiepewność metody FMEA. Wprowadzenie 2005-12-28
5-1-8 Niepewność metody FMEA Wprowadzenie Doskonalenie produkcji metodą kolejnych kroków odbywa się na drodze analizowania przyczyn niedociągnięć, znajdowania miejsc powstawania wad, oceny ich skutków,
Bardziej szczegółowoISO 27001. bezpieczeństwo informacji w organizacji
ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie
Bardziej szczegółowoMATERIAŁ INFORMACYJNY. Strukturyzowane Certyfikaty Depozytowe Złoty Certyfikat II powiązane z ceną złota
MATERIAŁ INFORMACYJNY Strukturyzowane Certyfikaty Depozytowe Złoty Certyfikat II powiązane z ceną złota ze 100% ochroną zainwestowanego kapitału w Dniu Wykupu Emitent Bank BPH SA Numer serii Certyfikatów
Bardziej szczegółowo5. Administracja kontami uŝytkowników
5. Administracja kontami uŝytkowników Windows XP, w porównaniu do systemów Windows 9x, znacznie poprawia bezpieczeństwo oraz zwiększa moŝliwości konfiguracji uprawnień poszczególnych uŝytkowników. Natomiast
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji w urzędach pracy
Materiał informacyjny współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Zarządzanie bezpieczeństwem informacji w urzędach pracy Radek Kaczorek, CISA, CIA, CISSP,
Bardziej szczegółowoZAJĘCIA 25. Wartość bezwzględna. Interpretacja geometryczna wartości bezwzględnej.
ZAJĘCIA 25. Wartość bezwzględna. Interpretacja geometryczna wartości bezwzględnej. 1. Wartość bezwzględną liczby jest określona wzorem: x, dla _ x 0 x =, x, dla _ x < 0 Wartość bezwzględna liczby nazywana
Bardziej szczegółowoOpis programu OpiekunNET. Historia... Architektura sieciowa
Opis programu OpiekunNET OpiekunNET jest pierwszym na polskim rynku systemem filtrującym nowej generacji. Jako program w pełni sieciowy oferuje funkcje wcześniej niedostępne dla programów kontrolujących
Bardziej szczegółowoPodstawy obsługi aplikacji Generator Wniosków Płatniczych
Podstawy obsługi aplikacji Generator Wniosków Płatniczych 1. Instalacja programu Program naleŝy pobrać ze strony www.simik.gov.pl. Instalację naleŝy wykonań z konta posiadającego uprawnienia administratora
Bardziej szczegółowoWykorzystanie protokołu SCEP do zarządzania certyfikatami cyfrowymi w systemie zabezpieczeń Check Point NGX
Wykorzystanie protokołu SCEP do zarządzania certyfikatami cyfrowymi w systemie zabezpieczeń Check Point NGX 1. Wstęp Protokół SCEP (Simple Certificate Enrollment Protocol) został zaprojektowany przez czołowego
Bardziej szczegółowoRachunkowość. Decyzje zarządcze 1/58
Rachunkowość zarządcza Decyzje zarządcze 1/58 Decyzje zarządcze Spis treści Rodzaje decyzji zarządczych Decyzje podjąć / odrzucić działanie Ogólny opis Koszty relewantne opis i przykłady Przykłady decyzji
Bardziej szczegółowoMaciej Byczkowski ENSI 2017 ENSI 2017
Znaczenie norm ISO we wdrażaniu bezpieczeństwa technicznego i organizacyjnego wymaganego w RODO Maciej Byczkowski Nowe podejście do ochrony danych osobowych w RODO Risk based approach podejście oparte
Bardziej szczegółowoCzy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?
Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku? Badanie Cyberbezpieczeństwo Firm Warszawa, 2 marca 2017 The better the question. The better the answer. The better the world works.
Bardziej szczegółowoDOBÓR ŚRODKÓW TRANSPORTOWYCH DLA GOSPODARSTWA PRZY POMOCY PROGRAMU AGREGAT - 2
InŜynieria Rolnicza 14/2005 Michał Cupiał, Maciej Kuboń Katedra InŜynierii Rolniczej i Informatyki Akademia Rolnicza im. Hugona Kołłątaja w Krakowie DOBÓR ŚRODKÓW TRANSPORTOWYCH DLA GOSPODARSTWA PRZY POMOCY
Bardziej szczegółowoDokumentacja programu Rejestr Informacji o Środowisku www.rios.pl
Dokumentacja programu Rejestr Informacji o Środowisku www.rios.pl Trol InterMedia 2006 Dokumentacja programu Rejestr Informacji o Środowisku 1 Spis treści 1. PRZEZNACZENIE OPROGRAMOWANIA... 3 1.1. O autorze
Bardziej szczegółowoKoncepcja wirtualnej pracowni GIS w oparciu o oprogramowanie open source
Koncepcja wirtualnej pracowni GIS w oparciu o oprogramowanie open source Dr inż. Michał Bednarczyk Uniwersytet Warmińsko-Mazurski w Olsztynie Wydział Geodezji i Gospodarki Przestrzennej Katedra Geodezji
Bardziej szczegółowoIII KRAKOWSKIE FORUM WYNAGRODZEŃ. Problemy ze stosowaniem przeglądów płacowych w firmie
III KRAKOWSKIE FORUM WYNAGRODZEŃ Problemy ze stosowaniem przeglądów płacowych w firmie Kraków, 16.05.2008 r. Medicover w liczbach MEDICOVER to zintegrowana organizacja opieki zdrowotnej działająca na rynku
Bardziej szczegółowoNajważniejsze trendy i zjawiska dotyczące zagrożeń teleinformatycznych w Polsce. Rafał Tarłowski CERT Polska/NASK
Najważniejsze trendy i zjawiska dotyczące zagrożeń teleinformatycznych w Polsce Rafał Tarłowski CERT Polska/NASK Działalność CERT Polska Obsługa incydentów (constituency:.pl) Projekty bezpieczeństwa Współpraca
Bardziej szczegółowoPolityka bezpieczeństwa
Polityka bezpieczeństwa Projektowanie i wdraŝanie w MSP Radek Michalski Agenda Czym jest polityka bezpieczeństwa i czy warto ją mieć (spisaną)? Zasięg polityki bezpieczeństwa Norma 27001 WdraŜanie kilka
Bardziej szczegółowoWarsztaty przygotowujące osoby bezrobotne do prowadzenia własnego
Warsztaty przygotowujące osoby bezrobotne do prowadzenia własnego Sklepu Internetowego sprzedawca w Internecie Oferta e-mail: biuro@garg.pl, www.garg.pl 1. Wstęp Handel Internetowy zdobywa coraz większą
Bardziej szczegółowoZanim zadzwonisz do Serwisu Numer 11 (69) Listopad 2009 JAK SKORYGOWAĆ WARTOŚCI NALICZONYCH ODPISÓW
Zanim zadzwonisz do Serwisu Numer 11 (69) Listopad 2009 JAK SKORYGOWAĆ WARTOŚCI NALICZONYCH ODPISÓW AMORTYZACYJNYCH W NAJNOWSZYCH WERSJACH SYSTEMU LEO? OPERACJA KOREKTA WYKONANYCH ODPISÓW AMORTYZACYJNYCH
Bardziej szczegółoworejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci; alarmowanie użytkowników o wystąpieniu bezpośrednich dla nich zagrożeń;
CERT Polska Raport 2007 Analiza incydentów naruszających bezpieczeństwo teleinformatyczne zgłaszanych do zespołu CERT Polska w roku 2007 1 Wstęp 1.1 Informacje dotyczące zespołu CERT Polska CERT Polska
Bardziej szczegółowoMamy przyjemność poinformować Państwa, że rozpoczęliśmy prace nad przygotowaniem
1 Mamy przyjemność poinformować Państwa, że rozpoczęliśmy prace nad przygotowaniem Raportu płacowego Sedlak & Sedlak 2018. Od ponad dwudziestu lat zbieramy dane o wynagrodzeniach, tworzymy opracowania
Bardziej szczegółowoCYBER GUARD PRZEWODNIK PO PRODUKCIE
CYBER GUARD PRZEWODNIK PO PRODUKCIE JAKIE SĄ MOŻLIWOŚCI SPRZEDAŻY? ZMIANY W PRAWIE BRAKI W OCHRONIE JASNO ZDEFINIOWANE RYZYKO SZKODY CYBERNETYCZNE W POLSCE KIM SĄ KLIENCI DOCELOWI I DLACZEGO PRODUKCYJNE
Bardziej szczegółowoInternetowy moduł prezentacji ofert pracy do wykorzystania na stronie WWW lub panelu elektronicznym. Wstęp
Internetowy moduł prezentacji ofert pracy do wykorzystania na stronie WWW lub panelu elektronicznym. Wstęp Prezentujemy Państwu propozycję modułu aplikacji internetowej słuŝącej do prezentacji ofert pracy
Bardziej szczegółowoZagroŜenia w sieciach teleinformatycznych. Sposoby zabezpieczeń.
ZagroŜenia w sieciach teleinformatycznych. Sposoby zabezpieczeń. Tomasz Nowocień nowocien@man.poznan.pl Centrum Innowacji Microsoft http://mic.psnc.pl Zespół Bezpieczeństwa PCSS http://security.psnc.pl
Bardziej szczegółowoZ pełną wersją książki możesz zapoznać się na tej stronie: http://reklamawinternecie.org/poradnik
Niniejszy plik PDF jest skróconym przewodnikiem po książce Reklama w Internecie praktyczny poradnik autorstwa Artura Kosińskiego. Z pełną wersją książki możesz zapoznać się na tej stronie: http://reklamawinternecie.org/poradnik
Bardziej szczegółowoSPRAWDZIAN NR 1 ROBERT KOPERCZAK, ID studenta : k4342
TECHNIKI ANALITYCZNE W BIZNESIE SPRAWDZIAN NR 1 Autor pracy ROBERT KOPERCZAK, ID studenta : k4342 Kraków, 22 Grudnia 2009 2 Spis treści 1 Zadanie 1... 3 1.1 Szereg rozdzielczy wag kobiałek.... 4 1.2 Histogram
Bardziej szczegółowoSposoby analizy i interpretacji statystyk strony WWW.
Sposoby analizy i interpretacji statystyk strony WWW. Jak oceniać sprzedaŝ przez WWW? Grzegorz Skiera, Łukasz PraŜmowski grzegorz.skiera@cyberstudio.pl lukasz.prazmowski@cyberstudio.pl O czym powiemy?
Bardziej szczegółowoKomunikator internetowy w C#
PAŃSTWOWA WYśSZA SZKOŁA ZAWODOWA W ELBLĄGU INSTYTUT INFORMATYKI STOSOWANEJ Sprawozdanie Komunikator internetowy w C# autor: Artur Domachowski Elbląg, 2009 r. Komunikacja przy uŝyciu poczty internetowej
Bardziej szczegółowoMMI Group Sp z o.o. ul. Kamykowa 39 03-289 Warszawa Tel/ fax. (22) 219 5355 www.mmigroup.pl
2008 Copyright MMI Group Sp. z o.o. Warszawa 2009-09-02 Strona 1 z 6 Kryzys dla wielu firm na rynku światowym oznacza ograniczenie wydatków na nowe inwestycje, bądź ich całkowite wstrzymanie. Coraz częściej
Bardziej szczegółowo2016 Proget MDM jest częścią PROGET Sp. z o.o.
Proget MDM to rozwiązanie umożliwiające administrację urządzeniami mobilnymi w firmie takimi jak tablet czy telefon. Nasza platforma to także bezpieczeństwo danych firmowych i prywatnych: poczty email,
Bardziej szczegółowoCHRZEŚCIJANIN@COM konspekt spotkania, dotyczącego korzystania z Internetu przez współczesnego chrześcijanina
CHRZEŚCIJANIN@COM konspekt spotkania, dotyczącego korzystania z Internetu przez współczesnego chrześcijanina cel dydaktyczny: mądre korzystanie z Internetu i krytyczne podejście do niego cel pedagogiczny:
Bardziej szczegółowoRobaki sieciowe. + systemy IDS/IPS
Robaki sieciowe + systemy IDS/IPS Robak komputerowy (ang. computer worm) samoreplikujący się program komputerowy, podobny do wirusa komputerowego, ale w przeciwieństwie do niego nie potrzebujący nosiciela
Bardziej szczegółowoZYSK BRUTTO, KOSZTY I ZYSK NETTO
ZYSK BRUTTO, KOSZTY I ZYSK NETTO MARŻA BRUTTO Marża i narzut dotyczą tego ile właściciel sklepu zarabia na sprzedaży 1 sztuki pojedynczej pozycji. Marża brutto i zysk brutto odnoszą się do tego ile zarabia
Bardziej szczegółowoProcedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...
Procedura Alarmowa Administrator Danych... Dnia... w podmiocie o nazwie... w celu pełnej kontroli oraz zapobieganiu możliwym zagrożeniom związanym z ochroną danych osobowych na podstawie art. 36.1. ustawy
Bardziej szczegółowoZasady przetwarzania danych
POLITYKA PRYWATNOŚCI Cieszymy się, Ŝe cenisz swoją prywatność. Przywiązujemy duŝą wagę do ochrony danych osobowych uŝytkowników strony. ZaleŜy nam, aby kaŝdy, kto odwiedza tę witrynę, dokładnie wiedział,
Bardziej szczegółowoInternetowy moduł prezentacji WIZYT KLIENTA PUP do wykorzystania np. na stronie WWW. Wstęp
Internetowy moduł prezentacji WIZYT KLIENTA PUP do wykorzystania np. na stronie WWW. Wstęp Prezentujemy Państwu propozycję modułu aplikacji internetowej słuŝącej do prezentacji zaplanowanych wizyt klienta
Bardziej szczegółowoBANK NAJLEPSZY DLA ROLNIKA
2017 BANK NAJLEPSZY DLA ROLNIKA 2017 Martin & Jacob przygotował ranking Bank Najlepszy dla Rolnika. Wstęp Ranking Bank Najlepszy dla Rolnika jest pierwszym tego typu rankingiem w Polsce. Zrealizowała go
Bardziej szczegółowoZARZĄDZENIE Nr 96/2014 Burmistrza Bornego Sulinowa z dnia 26 października 2014 r.
ZARZĄDZENIE Nr 96/2014 Burmistrza Bornego Sulinowa z dnia 26 października 2014 r. w sprawie wprowadzenia Procedury alarmowej i ustalenia zasad sporządzania Sprawozdania rocznego stanu systemu ochrony danych
Bardziej szczegółowoSieciowe Systemy Operacyjne
Sieciowe Systemy Operacyjne Sieciowe systemy operacyjne Klient-Serwer. System z wydzielonym serwerem, który spełnia róŝne funkcje i udostępnia róŝne usługi dla uŝytkowników. Ta architektura zapewni duŝą
Bardziej szczegółowoRys. 1. DuŜa liczba nazw zakresów. Rys. 2. Procedura usuwająca wszystkie nazwy w skoroszycie
:: Trik 1. Hurtowe usuwanie niepotrzebnych nazw zakresów :: Trik 2. WyróŜnianie powtórzonych wartości w kolumnie :: Trik 3. Oznaczenie wierszy kolejnymi literami alfabetu :: Trik 4. Obliczanie dziennych
Bardziej szczegółowoObjaśnienia wartości przyjętych w Wieloletniej Prognozie Finansowej na lata 2012 2039 Gminy Miasta Radomia.
Objaśnienia wartości przyjętych w Wieloletniej Prognozie Finansowej na lata 2012 2039 Gminy Miasta Radomia. Za bazę do opracowania Wieloletniej Prognozy Finansowej na kolejne lata przyjęto projekt budŝetu
Bardziej szczegółowoWyszukiwanie binarne
Wyszukiwanie binarne Wyszukiwanie binarne to technika pozwalająca na przeszukanie jakiegoś posortowanego zbioru danych w czasie logarytmicznie zależnym od jego wielkości (co to dokładnie znaczy dowiecie
Bardziej szczegółowoHistoria naszego klienta. Rozwiązanie FAMOC MDM zwiększa bezpieczeństwo mobilne w Credit Agricole Bank Polska
Historia naszego klienta Rozwiązanie FAMOC MDM zwiększa bezpieczeństwo mobilne w Credit Agricole Bank Polska Nasz klient CREDIT AGRICOLE BANK POLSKA Credit Agricole Bank Polska to bank uniwersalny, koncentrujący
Bardziej szczegółowoZagroŜenia w sieciach teleinformatycznych. Sposoby zabezpieczeń.
ZagroŜenia w sieciach teleinformatycznych. Sposoby zabezpieczeń. Tomasz Nowocień nowocien@man.poznan.pl Centrum Innowacji Microsoft http://mic.psnc.pl Zespół Bezpieczeństwa PCSS http://security.psnc.pl
Bardziej szczegółowo