CENTRUM OPROGRAMOWANIA
|
|
- Robert Kulesza
- 8 lat temu
- Przeglądów:
Transkrypt
1 CENTRUM OPROGRAMOWANIA Program realizacji kompleksowego audytu bezpieczeństwa systemu informatycznego Opracował: Konsultacje: Mariusz Stawowski dr Janusz Jarosz, Tomasz Ryś Cel audytu bezpieczeństwa Utrzymywanie wysokiego poziomu bezpieczeństwa strategicznych zasobów systemu informatycznego wymaga stałego monitorowania i okresowego badania stanu zabezpieczenia wszystkich elementów tego systemu. Nawet najbardziej zaawansowany system ochrony, który w trakcie eksploatacji nie jest poddawany odpowiedniej weryfikacji szybko traci swoje właściwości i sam może stać się źródłem zagrożenia. Użytkownicy przeświadczeni o istnieniu zabezpieczeń nie odczuwają niebezpieczeństw i mogą narazić swoją organizację na poważne straty. W związku z tym uzasadnione jest wyposażenie systemu informatycznego w środki szybkiego identyfikowania i sygnalizowania nieprawidłowego działania zabezpieczeń oraz wykonywanie okresowych audytów bezpieczeństwa. Kompleksowy audyt bezpieczeństwa systemu informatycznego powinien obejmować trzy kategorie badań: testy penetracyjne (identyfikacja słabych punktów systemu zabezpieczeń, symulacja włamań), testy kontrolne (sprawdzanie poprawności instalacji i konfiguracji systemu), analiza systemowa zabezpieczeń (teoretyczna ocena bezpieczeństwa systemu informatycznego). Zagadnienia monitorowania systemu ochrony oraz wykonywania praktycznych testów zabezpieczeń zostały opisane w [3]. Praktyczne testy zabezpieczeń, wspomagane za pomocą dedykowanego oprogramowania (m.in. profesjonalnych skanerów zabezpieczeń ISS Internet Scanner i WebTrends Security Analyzer), umożliwiają dokonanie wiarygodnej oceny poziomu bezpieczeństwa zasobów systemu informatycznego. Nie jest jednak możliwe ich wykonanie w zakresie całego systemu informatycznego. W dużych systemach z przyczyn technicznych, organizacyjnych oraz finansowych praktyczne testy zabezpieczeń mogą być wykonywane tylko dla wybranych elementów składowych. W takich przypadkach pozostają techniki teoretycznej oceny zabezpieczeń, określane jako analiza systemowa zabezpieczeń. CLICO Centrum Oprogramowania Sp. z o.o. (dalej określana CLICO) posiada opracowaną metodykę analizy systemowej zabezpieczeń opartą m.in. na formalnych metodach zaczerpniętych z teorii grafów i sieci [1]. Metodyka ta jest od 1998 roku z powodzeniem stosowna do realizacji kompleksowych audytów bezpieczeństwa systemów informatycznych dużych przedsiębiorstw (m.in. zakładu z branży energetycznej i dwóch dużych banków). Zakres audytu bezpieczeństwa Zasoby systemu informatycznego narażone są na wiele, różnego rodzaju niebezpieczeństw, najczęściej wynikających z globalnego charakteru oraz dużego skomplikowania heterogenicznego środowiska Intranet/Internet. Analiza bezpieczeństwa zostanie skoncentrowana na ocenie odporności zabezpieczeń najbardziej wartościowych zasobów na zagrożenia uznane za istotne w określonym środowisku.
2 Ogólnie, można wyróżnić 10 podstawowych kategorii zagrożeń systemów komputerowych: 1. Ataki sieciowe (np. włamania i penetracje, ataki DoS), 2. Zagrożenia transmisji danych (np. podsłuch sieciowy, przechwytywanie sesji), 3. Zagrożenia aplikacyjne (np. wirusy, robaki, konie trojańskie), 4. Zagrożenia komunikacyjne (np. przeciążenia sieci, niewłaściwy ruting sieci), 5. Awarie techniczne (np. awaria sprzętu, błąd oprogramowania), 6. Błędy ludzi (np. błędy użytkowników, administratorów), 7. Zagrożenie fizyczne (np. kradzież, pożar, zalanie), 8. Zagrożenia kryptograficzne (np. nieaktualne, bądź zagubione klucze szyfrowania), 9. Przeciek informacji (np. informacje o klauzuli tajności TAJNE są dostępne dla systemu komputerowego o klauzuli JAWNE). 10. Ulot elektromagnetyczny. Zagrożenia z kategorii 1-7 są w praktyce obecne w każdym dużym systemie informatycznym. Zagrożenia kryptograficzne podlegają analizie w systemach, w których do ochrony strategicznych informacji stosuje się środki kryptograficzne (np. banki). Zagrożenia 9 i 10 są rozpatrywane w systemach informatycznych, gdzie obowiązuje ustawa o ochronie informacji niejawnych (np. systemy rządowe i wojskowe). System informatyczny zawiera wiele różnego rodzaju zabezpieczeń technicznych. Ich opis można znaleźć m.in. w [4]. Audyt bezpieczeństwa powinien obejmować swoim zasięgiem wszystkie te zabezpieczenia. Techniczne środki ochrony systemu informatycznego można podzielić na następujące kategorie: zabezpieczenia aplikacji (np. kontrola dostępu do operacji, szyfrowanie danych aplikacji), zabezpieczenia bazy danych (np. kontrola dostępu do tabel relacyjnej bazy danych), zabezpieczenia systemu operacyjnego (np. kontrola dostępu do plików, logi systemowe), zabezpieczenia sieciowe (np. Firewall, VPN, IDS), zabezpieczenia wspomagające (np. serwery kontroli zawartości, serwery uwierzytelniania, PKI). Audyt bezpieczeństwa jest realizowany z wykorzystaniem rożnych metod. Dla przykładu, analiza odporności zabezpieczeń na ataki sieciowe odbywa się w sposób formalny poprzez ocenę zgodności ze specyfikacją wymagań bezpieczeństwa, zgodności z zasadą asekuracji zabezpieczeń oraz odporności na ataki przeprowadzane metodą Island Hopping Attack. Z punktu widzenia efektywności i dokładności (np. pomyłki w obliczeniach) prowadzenia badań najbardziej wartościowe są metody formalne. Metody te można bowiem w prosty sposób implementować w programach komputerowych. Analiza i testy zabezpieczeń Analiza i badania praktyczne są wykonywane w celu oceny poziomu bezpieczeństwa systemu w zdefiniowanej przez Zleceniodawcę części pod kątem szczelności i odporności na nieautoryzowane, zewnętrzne i wewnętrzne ingerencje. W ramach testów penetracyjnych wykonane są następujące prace: 1. Identyfikacja systemu za pomocą dostępnych serwisów sieciowych (np. WWW, FTP, Telnet, Finger, Rusers, Rpcinfo, Showmount, itp.). Identyfikacji są poddawane wszystkie adresy IP podane przez Zleceniodawcę. 2
3 2. Rozpoznanie dostępnych komputerów i urządzeń sieciowych, rodzaju i wersji ich systemów operacyjnych oraz oprogramowania użytkowego pod kątem wykrywania znanych luk bezpieczeństwa. Zasadnicze testy rozpoznawcze są wykonywane za pomocą programu NetCat oraz innych dedykowanych narzędzi np. programu HttpVer do identyfikacji serwerów WWW, programu Queso do identyfikacji systemów operacyjnych, itp. Do rozpoznawania struktury sieci wykorzystane są m.in. metody Firewalking, DNS Zone Transfer oraz standardowe usługi Ping i Traceroute. Informacje na temat aktualnych luk bezpieczeństwa określonych rodzajów i wersji systemów operacyjnych oraz oprogramowania użytkowego są uzyskiwane z zasobów internetowych (np. CERT, Astalavista, SecurityFocus, Technotronic, RootShell, BugTraq, itp.) oraz własnych doświadczeń członków grupy testującej. 3. Wstępna penetracja systemu za pomocą skanerów portów TCP i UDP oraz skanerów zabezpieczeń powszechnie wykorzystywanych przez hakerów, dostępnych w zasobach sieci Internet (np. SATAN, NMAP, Phobia, Mscan, NAT, Asmodeus). W zakresie skanowania portów TCP przewiduje się wykonanie trzech podstawowych technik: skanowanie połączeniowe connect scanning, skanowanie pół-otwarte half-open scanning, skanowanie skryte stealth scanning. Rodzaje użytych skanerów zabezpieczeń będą zależeć od rodzajów rozpoznanych systemów (np. do badania Windows NT programy NetBIOS Auditing Tool, Legion, czy L0phtCrack, a do badania serwera Solaris programy Nessus, Phobia, Mscan, itd.). 4. Testy zabezpieczeń systemu za pomocą profesjonalnych skanerów zabezpieczeń ISS Internet Security Scanner i WebTrends Security Analyzer. Skaner zabezpieczeń zostanie zastosowany do badania wszystkich dostępnych z sieci publicznej urządzeń sieciowych (np. serwerów, firewall, ruterów) o podanych przez Zleceniodawcę adresach IP. 5. Analiza otrzymanych wyników badań pod kątem przygotowania symulacji włamań. 6. Symulacja włamań do systemu (realizowana w czasie i zakresie zaakceptowanym przez Zleceniodawcę). Zakres działań zrealizowanych w trakcie symulacji włamań będzie zależny od wyników identyfikacji i wstępnej penetracji systemu (liczba potencjalnych metod włamań do systemów komputerowych jest tak bardzo duża). Symulacja włamań może obejmować wszystkie dostępne z sieci wewnętrznej i Internetu urządzenia sieciowe (np. serwery, firewall, rutery) o podanych przez Zleceniodawcę adresach IP. Celem wykonywania symulacji włamań jest ustalenie możliwości uzyskania nieupoważnionego dostępu do usług i danych sieci prywatnej. W razie wystąpienia możliwości przeprowadzenia symulacji włamań do komputerów i urządzeń sieciowych, których adresy IP nie zostały podane przez Zleceniodawcę (np. komputerów posiadających prywatne adresy IP) badania są wykonywane po uzyskaniu akceptacji od Zleceniodawcy. Potencjalnie istnieje taka możliwość np. po przejęciu kontroli nad urządzaniem wykonującym translację adresów NAT (zwykle jest to ruter lub firewall). 7. Ocena odporności zabezpieczeń systemu na ataki destrukcyjne za pomocą narzędzi powszechnie wykorzystywanych przez hakerów. 3
4 Wykonane są powszechnie znane ataki denial of service oraz techniki specyficzne dla określonych systemów. Odpowiednie programy typu exploit są pozyskiwane z Internetu (np. Latierra, Bonk, Teardrop, Sunkill, SynDrop, Nestea, Smurf, itp.) lub w razie potrzeby implementowane przez członków grupy testującej. 8. Analiza wyników testu penetracyjnego pod kątem oceny zagrożenia integralności systemu oraz możliwości dostępu do danych firmy przez osoby nieupoważnione. 9. Sporządzenie raportu końcowego. W przypadku pozytywnego rezultatu symulacji włamań raport zawiera propozycje odpowiedniego wzmocnienia zabezpieczeń oraz wykonania innych stosownych działań prewencyjnych. Podstawowe badania wykonywane w ramach testów kontrolnych odbywają się bezpośrednio na testowanych urządzeniach. Kontrola konfiguracji usług sieciowych może odbywać się także zdalnie, w sposób podobny do testu penetracyjnego. W ramach testu kontrolnego systemu komputerowego mogą zostać zrealizowane następujące przedsięwzięcia: kontrola wersji systemu operacyjnego i oprogramowania użytkowego, weryfikacja poprawności konfiguracji systemu, wykrywanie śladów włamań i nadużyć użytkowników, weryfikacja poziomu bezpieczeństwa systemu kontroli dostępu. Analiza systemowa zabezpieczeń wykonywana jest z wykorzystaniem specjalnie przygotowanych do tego celu modeli matematycznych (m.in. modelu strefowego systemu informatycznego). Modele opisują własności jakościowe i ilościowe rzeczywistych systemów, z uwzględnieniem istniejących w tych systemach zabezpieczeń. Każdy z modeli składa się ze zbioru wyróżnionych, interesujących dla badanego aspektu bezpieczeństwa elementów wraz z opisem ich organizacji w postaci zbioru relacji i funkcji. Metody analizy formalnej są bardzo przydatne w zastosowaniach praktycznych, ponieważ ich precyzyjny, matematyczny charakter umożliwia prostą implementację w programach komputerowych. Analiza bezpieczeństwa dużego systemu informatycznego bez wspomagania komputerowego jest żmudna i czasochłonna. Dodatkowo, wspomaganie komputerowe znacząco obniża prawdopodobieństwo popełnienia błędów. Polityka bezpieczeństwa Zapewnienie wysokiego poziomu bezpieczeństwa systemu informatycznego, szczególnie w odniesieniu do planowanych przedsięwzięć informatycznych wymaga utrzymywania spójnego i kompleksowego Dokumentu polityki bezpieczeństwa systemu informatycznego, określającego przedsięwzięcia wykonywane przez kierownictwo, użytkowników, personel techniczny oraz wszystkich innych pracowników instytucji związane z utrzymywaniem odpowiedniego poziomu ochrony zasobów systemu informatycznego. Tworzenie takiego dokumentu (zbioru dokumentów) w skali całego systemu informatycznego, jego odpowiednie utrzymywanie (aktualizacja, rozwój) oraz praktyczne stosowanie w trakcie eksploatacji systemu wymaga zastosowania sprawdzonej metodyki, umożliwiającej skuteczne i efektywne wykonanie analizy ryzyka (Risk Analysis) oraz późniejsze zarządzanie ryzyka (Risk Management). W tym celu można dokonać zakupu jednego z dostępnych komercyjnie systemów wspomagających analizę i zarządzanie ryzyka (np. CRAMM, L3 Network Security Expert), bądź zastosować metodykę wypracowaną przez firmę zatrudnioną do sporządzenia dokumentów bezpieczeństwa. 4
5 Metodyka CLICO opiera się na systemie kwestionariuszy i zawiera trzy etapy prac. ETAP 1 Ustalenie i oszacowanie wartości zasobów systemu informatycznego Ustalenie zakresu i harmonogramu prac. Sporządzenie mapy zasobów systemu informatycznego: ustalenie grup (kategorii) użytkowników systemu informatycznego (np. Zarząd, Produkcja, Księgowość, Informatyka) oraz ocena ich ważności dla działalności biznesowej instytucji, ustalenie zadań systemu informatycznego (np. rozliczanie produkcji, wspomaganie decyzji, kontrola jakości) oraz określenie ich ważności dla działalności biznesowej instytucji, ustalenie zasobów systemu informatycznego (fizycznych, informacyjnych) i ich powiązanie w relacje z grupami użytkowników i zadaniami systemu informatycznego. Oszacowanie wartości zasobów systemu informatycznego: zasoby informacyjne ocenia się w odniesieniu do skutków (kosztów) ich ujawnienia, niepożądanej modyfikacji, niedostępności, bądź zniszczenia, zasoby fizyczne ocenia się w odniesieniu do kosztów ich naprawy lub wymiany. ETAP 2 Ustalenie zagrożeń, podatności zasobów systemu informatycznego na zagrożenia oraz oszacowanie wielkości ryzyka Zidentyfikowanie zagrożeń zasobów systemu informatycznego oraz ocena ich wielkości. Ocena podatności zasobów systemu informatycznego na zagrożenia: rozpoznanie istniejących zabezpieczeń zasobów oraz ich analiza pod względem szczelności i efektywności (np. kontrola konfiguracji, wersji, poprawek, logów) wspomagana za pomocą profesjonalnych skanerów zabezpieczeń (np. ISS Security Scanner), praktyczne testy zabezpieczeń (np. testy penetracyjne, kontrolowana symulacja włamań) wspomagane za pomocą profesjonalnych skanerów zabezpieczeń (np. ISS Internet Scanner), Oszacowanie wielkości ryzyka jako funkcji wielkości zagrożenia, podatności zasobu na zagrożenie i wartości zasobu. ETAP 3 Ustalenie metod eliminacji, bądź redukcji ryzyka oraz ocena ryzyka szczątkowego (residual risk) Ustalenie możliwych do zastosowania zabezpieczeń (różne warianty z zakresu ochrony technicznej i fizycznej, a także personalnej, organizacyjnej i prawnej) oraz ich analiza jakościowa i kosztowa: ocena poziomu bezpieczeństwa oferowana przez poszczególne zabezpieczenia (w kategoriach szczelności i efektywności), oszacowanie kosztów wdrożenia zabezpieczeń (koszty zakupu technologii, koszty realizacji projektu, koszty szkoleń, nakłady pracy na wdrożenie i eksploatację zabezpieczeń). Wybór zabezpieczeń rekomendowanych do wdrożenia oraz ocena ryzyka szczątkowego. Ustalenie wytycznych do zarządzania ryzyka (przedsięwzięć planowania, organizowania i kontrolowania zabezpieczeń systemu informatycznego w celu upewnienia się, że ryzyko szczątkowe pozostaje w granicach ryzyka akceptowalnego). 5
6 Wyniki audytu bezpieczeństwa Zasadniczym rezultatem audytu bezpieczeństwa jest raport opisujący rzeczywisty stan zabezpieczenia zasobów systemu informatycznego. Oprócz tego audyt dostarcza wielu innych korzyści, m.in.: kadra informatyczna przedsiębiorstwa zaangażowana w realizację przedsięwzięć bezpieczeństwa zostaje odpowiednio do tego celu przeszkolona i zdobywa duże doświadczenie, dla wszystkich wyznaczonych słabych punktów zabezpieczeń systemu informatycznego przedstawione zostają procedury ich eliminacji, bądź redukcji, podstawowe dokumenty polityki bezpieczeństwa zostają uaktualnione lub w razie ich braku stworzone od początku, dokumentacja z realizacji audytu bezpieczeństwa zawiera szczegółowy opis wszystkich wykonanych testów (m.in. zastosowane narzędzia, sposób uruchamiania testów) i dzięki temu w przyszłości może posłużyć do powtórzenia lub zweryfikowania badań. CLICO jako wykonawca audytu bezpieczeństwa zobowiązuje się do zachowania w tajemnicy wszystkich danych dostarczonych przez Zleceniodawcę i uzyskanych w trakcie wykonywania audytu, mających wpływ na stan bezpieczeństwa systemu informatycznego w czasie trwania realizacji usługi oraz po jej zakończeniu. Literatura [1] Bohdan Korzan: Elementy teorii grafów i sieci. WNT [2] Krzysztof Liderman: Bezpieczeństwo informacji w systemach komputerowych, WAT [3] Mariusz Stawowski: Badanie zabezpieczeń sieci komputerowych. ArsKom [4] Mariusz Stawowski: Ochrona informacji w sieciach komputerowych. ArsKom
PROFESJONALNE USŁUGI BEZPIECZEŃSTWA
PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Podstawowe zasady realizacji testów penetracyjnych systemu informatycznego Opracował: Mariusz Stawowski Utrzymywanie wysokiego poziomu bezpieczeństwa systemu informatycznego
Bardziej szczegółowoBezpieczeństwo danych w sieciach elektroenergetycznych
Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych
Bardziej szczegółowoWykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci
N, Wykład 6: Bezpieczeństwo w sieci 1 Ochrona danych Ochrona danych w sieci musi zapewniać: Poufność nieupoważnione osoby nie mają dostępu do danych Uwierzytelnianie gwarancja pochodzenia Nienaruszalność
Bardziej szczegółowoOpis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór
S t r o n a ǀ 1 z 5 Załącznik nr 1 do zapytania ofertowego Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór I. Definicje. 1. Dostawca
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW 09.00 09.05 Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na Wyjaśnieniu których
Bardziej szczegółowoProjektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa
Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa dr inż. Mariusz Stawowski mariusz.stawowski@clico.pl Agenda Wprowadzenie Specyficzne
Bardziej szczegółowoAudyt i zarządzanie zmianami zapobieganie niedostępności usług systemu informatycznego
Audyt i zarządzanie zmianami zapobieganie niedostępności usług systemu informatycznego Zarządzanie zmianami w systemach informatycznych w sposób zaplanowany i kontrolowany jest kluczowe dla zapewnienia
Bardziej szczegółowoZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.
ZAŁĄCZNIK NR 2 Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku. Spis Treści 1 Wstęp... 3 2 Analiza ryzyka... 3 2.1 Definicje...
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I - WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na wyjaśnieniu których szczególnie
Bardziej szczegółowo2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem
Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoSpis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych
Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoReforma ochrony danych osobowych RODO/GDPR
Reforma ochrony danych osobowych RODO/GDPR Reforma ochrony danych osobowych (RODO/GDPR) wyzwania dla organów państwa, sektora publicznego i przedsiębiorców. Marek Abramczyk CISA, CRISC, CISSP, LA 27001,
Bardziej szczegółowoSzczegółowy opis przedmiotu zamówienia:
Załącznik nr 1 do SIWZ Szczegółowy opis przedmiotu zamówienia: I. Opracowanie polityki i procedur bezpieczeństwa danych medycznych. Zamawiający oczekuje opracowania Systemu zarządzania bezpieczeństwem
Bardziej szczegółowoClient-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl
Client-side Hacking - wprowadzenie w tematykę ataków na klienta Radosław Wal radoslaw.wal@clico.pl Plan wystąpienia Wprowadzenie Statystyki incydentów bezpieczeństwa Typowe zagrożenia Client-side Minimalne
Bardziej szczegółowoŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55
Aby uzyskać szczegółowe instrukcje do opracowania dokumentu należy otworzyć poniższe hiperłącze: 400 - B.V Środowisko komputerowych systemów informatycznych.pdf 1. Czy chcesz przeprowadzić pełny czy skrócony
Bardziej szczegółowoNormalizacja dla bezpieczeństwa informacyjnego
Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem
Bardziej szczegółowoPROFESJONALNE SYSTEMY BEZPIECZEŃSTWA
PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Przewodnik instalacji i konfiguracji SofaWare S-box SofaWare S-box to niewielkiego rozmiaru, ciche w działaniu, łatwe w instalacji i zarządzaniu urządzenia Firewall
Bardziej szczegółowoEfektywne zarządzanie infrastrukturą IT, inwentaryzacja sprzętu i oprogramowania oraz ochrona danych przed wyciekiem dzięki wdrożeniu Axence nvesion
Efektywne zarządzanie infrastrukturą IT, inwentaryzacja sprzętu i oprogramowania oraz ochrona danych przed wyciekiem dzięki wdrożeniu Axence nvesion 6.0 Maciej Kubat www.axencesoftware.com NETWORK Monitorowanie
Bardziej szczegółowoSpecyfikacja audytu informatycznego Urzędu Miasta Lubań
Specyfikacja audytu informatycznego Urzędu Miasta Lubań I. Informacje wstępne Przedmiotem zamówienia jest wykonanie audytu informatycznego dla Urzędu Miasta Lubań składającego się z: 1. Audytu bezpieczeństwa
Bardziej szczegółowoMetodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji
2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa
Bardziej szczegółowoAudytowane obszary IT
Załącznik nr 1 do OPZ Zakres audytu wewnętrznego Audytowane obszary IT Audyt bezpieczeństwa wewnętrznego odbywać się będzie w 5 głównych obszarach 1) Audyt konfiguracji systemów operacyjnych na wybranych
Bardziej szczegółowoZałącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych
Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych Obszar System Zarządzania Bezpieczeństwem Informacji Polityki bezpieczeństwa. Opracowano ogólną
Bardziej szczegółowoDane osobowe: Co identyfikuje? Zgoda
Luty 2009 Formalności Na podstawie ustawy z dnia 22 stycznia 1999 r., o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 z późniejszymi zmianami) i rozporządzenia Prezesa Rady Ministrów z 25 lutego
Bardziej szczegółowoZAPROSZENIE DO SKŁADANIA OFERT
Numer sprawy: BAK.WZP.230.2.2015.14 Warszawa, dnia 6 marca 2015 r. ZAPROSZENIE DO SKŁADANIA OFERT 1. Zamawiający: Skarb Państwa - Urząd Komunikacji Elektronicznej zwany dalej Zamawiającym lub UKE, z siedzibą
Bardziej szczegółowoPROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)
pełna nazwa jednostki organizacyjnej ZATWIERDZAM... PROCEDURY BEZPIECZNEJ EKSPLOATACJI DLA SYSTEMU TELEINFORMATYCZNEGO NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0) Pełnomocnik Ochrony Kierownik
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk
Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja
Bardziej szczegółowoZarządzanie projektami a zarządzanie ryzykiem
Ewa Szczepańska Zarządzanie projektami a zarządzanie ryzykiem Warszawa, dnia 9 kwietnia 2013 r. Agenda Definicje Wytyczne dla zarządzania projektami Wytyczne dla zarządzania ryzykiem Miejsce ryzyka w zarządzaniu
Bardziej szczegółowoBezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora
Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania
Bardziej szczegółowoZagrożenia związane z udostępnianiem aplikacji w sieci Internet
Zagrożenia związane z udostępnianiem aplikacji w sieci Internet I Ogólnopolska Konferencja Informatyki Śledczej Katowice, 8-9 stycznia 2009 Michał Kurek, Aleksander Ludynia Cel prezentacji Wskazanie skali
Bardziej szczegółowoPolityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach
Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach I. Wstęp Polityka Ochrony Danych Osobowych jest dokumentem opisującym zasady ochrony danych osobowych stosowane przez Administratora
Bardziej szczegółowoSzkolenie otwarte 2016 r.
Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie
Bardziej szczegółowoPolityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie
Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Miejskim w Węgorzewie 22 marca 2011 r. Urząd Miejski w Węgorzewie 1 Spis treści Wstęp... 3 1. Definicje... 4 2. Zasady ogólne... 6 3. Zabezpieczenie
Bardziej szczegółowoOpis przedmiotu zamówienia
Załącznik nr 1 do zaproszenia Opis przedmiotu zamówienia I. 1. 2. 3. AUDYT BEZPIECZEŃSTWA PRZETWARZANIA INFORMACJI, AUDYT BEZPIECZEŃSTWA TELEINFORMATYCZNEGO, AUDYT LEGALNOŚCI OPROGRAMOWANIA W POWIATOWYM
Bardziej szczegółowoOpis Przedmiotu Zamówienia na realizację audytów dla poszczególnych Inicjatyw i infrastruktury IT w ramach projektu euczelnia
Załącznik nr 6 do SIWZ ZP/195/025/U/12 Załącznik nr 1 do umowy Opis Przedmiotu Zamówienia na realizację audytów dla poszczególnych Inicjatyw i infrastruktury IT w ramach projektu euczelnia 1 SPIS TREŚCI
Bardziej szczegółowoAxence nvision Nowe możliwości w zarządzaniu sieciami
www.axence.pl Axence nvision Nowe możliwości w zarządzaniu sieciami Axence nvision moduły NETWORK Monitorowanie serwerów, urządzeń i aplikacji INVENTORY Inwentaryzacja sprzętu i oprogramowania, audyty
Bardziej szczegółowoJAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE?
JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE? Przedstawiony pakiet usług ma za cel wspomaganie systemu zarządzania bezpieczeństwem informacyjnym, obejmującego strukturę zarządzania bezpieczeństwem IT oraz
Bardziej szczegółowoAutor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski
Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz
Bardziej szczegółowoSpis treści. Analiza Ryzyka 2.0 ARIN Instrukcja Użytkowania
Listopad 2017 Spis treści 1. Wprowadzenie... 3 2. Podstawy prawne... 4 3. Zasada działania programu... 6 4. Zgodność z analizą zagrożeo... 7 5. Opis programu... 8 5.1. Menu Górne... 9 5.2. Status... 10
Bardziej szczegółowoPrzewodnik technologii ActivCard
PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Przewodnik technologii ActivCard Część II. Polityka bezpieczeństwa systemu ActivPack CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12
Bardziej szczegółowoPROFESJONALNE USŁUGI BEZPIECZEŃSTWA
PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory Przygotował: Mariusz Stawowski Entrust Certified Consultant CLICO Sp.
Bardziej szczegółowoOFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej
OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej Klient Osoba odpowiedzialna Dostawcy usługi Osoba odpowiedzialna
Bardziej szczegółowoSystemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy
Bardziej szczegółowoDLA SEKTORA INFORMATYCZNEGO W POLSCE
DLA SEKTORA INFORMATYCZNEGO W POLSCE SRK IT obejmuje kompetencje najważniejsze i specyficzne dla samego IT są: programowanie i zarządzanie systemami informatycznymi. Z rozwiązań IT korzysta się w każdej
Bardziej szczegółowoMetodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych
Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych Krzysztof Młynarski (krzysztof.mlynarski@teleinformatica.com.pl) Teleinformatica Pomimo występowania bardzo wielu
Bardziej szczegółowoAudyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty
Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty SZCZEGÓŁOWY HARMONOGRAM WARSZTATÓW DZIEŃ I PRZYGOTOWANIE PLANU WDROŻENIA I AUDYT ZGODNOŚCI GODZINY REJESTRACJA UCZESTNIKÓW 09.00 9.15 Zapytamy
Bardziej szczegółowoKompleksowe Przygotowanie do Egzaminu CISMP
Kod szkolenia: Tytuł szkolenia: HL949S Kompleksowe Przygotowanie do Egzaminu CISMP Certificate in Information Security Management Principals Dni: 5 Opis: Ten akredytowany cykl kursów zawiera 3 dniowy kurs
Bardziej szczegółowoDwuwymiarowy sposób na podróbki > 34
TEMAT NUMERU I Bezpieczeństwo WIELE WYMIARÓW BEZPIECZEŃSTWA I zapobieganie zanieczyszczeniom krzyżowym I walka z fałszowaniem leków I walidacja rozwiązań chmurowych Maszyny rozwoju > 20 Dwuwymiarowy sposób
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl
POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...
Bardziej szczegółowoZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ
ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania
Bardziej szczegółowoWybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa
Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro Audyt bezpieczeństwa Definicja Audyt systematyczna i niezależna ocena danej organizacji, systemu, procesu,
Bardziej szczegółowoInformatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych
Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych Daniel Suchocki Dyrektor Generalny Maciej Karmoliński Dyrektor Operacyjny 1. Przepisy i procedury Incydenty naruszenia bezpieczeństwa
Bardziej szczegółowoBezpieczeństwo dziś i jutro Security InsideOut
Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle
Bardziej szczegółowoPolityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.
Polityka Bezpieczeństwa Danych Osobowych w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Spis treści 1. Ogólne zasady przetwarzania danych osobowych... 3 2. Analiza
Bardziej szczegółowoWZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji
Bardziej szczegółowoPolityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.
Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.pl Główne zagadnienia referatu Pojęcie Polityki Bezpieczeństwa Ocena
Bardziej szczegółowoInformatyka w kontroli i audycie
Informatyka w kontroli i audycie Informatyka w kontroli i audycie Wstęp Terminy zajęć 30.11.2013 - godzina 8:00-9:30 ; 9:45-11:15 15.12.2013 - godzina 8:00-9:30 ; 9:45-11:15 05.04.2014 - godzina 15:45-17:15
Bardziej szczegółowoUsługa: Audyt kodu źródłowego
Usługa: Audyt kodu źródłowego Audyt kodu źródłowego jest kompleksową usługą, której głównym celem jest weryfikacja jakości analizowanego kodu, jego skalowalności, łatwości utrzymania, poprawności i stabilności
Bardziej szczegółowoNETWORK Monitorowanie serwerów, urządzeń i aplikacji INVENTORY Inwentaryzacja sprzętu i oprogramowania, audyty legalności USERS Monitorowanie
www.axence.pl NETWORK Monitorowanie serwerów, urządzeń i aplikacji INVENTORY Inwentaryzacja sprzętu i oprogramowania, audyty legalności USERS Monitorowanie pracowników HELPDESK Zdalny dostęp, zgłoszenia
Bardziej szczegółowoZastosowania PKI dla wirtualnych sieci prywatnych
Zastosowania PKI dla wirtualnych sieci prywatnych Andrzej Chrząszcz NASK Agenda Wstęp Sieci Wirtualne i IPSEC IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy
Bardziej szczegółowoZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH
ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 Załącznik Nr do Zarządzenia Dyrektora Zespołu Szkół Technicznych we Włocławku z dnia 31 sierpnia 2018 r. PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA
Bardziej szczegółowoSprawa numer: BAK.WZP Warszawa, dnia 16 sierpnia 2016 r.
Sprawa numer: BAK.WZP.26.18.2016.30 Warszawa, dnia 16 sierpnia 2016 r. Zaproszenie do udziału w ustaleniu wartości zamówienia publicznego 1. Zamawiający: Skarb Państwa - Urząd Komunikacji Elektronicznej
Bardziej szczegółowoKwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej
Zał. nr 2 do zawiadomienia o kontroli Kwestionariusz dotyczący działania teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej Poz. Obszar / Zagadnienie Podstawa
Bardziej szczegółowo7. zainstalowane oprogramowanie. 8. 9. 10. zarządzane stacje robocze
Specyfikacja oprogramowania do Opis zarządzania przedmiotu i monitorowania zamówienia środowiska Załącznik nr informatycznego 1 do specyfikacji Lp. 1. a) 1. Oprogramowanie oprogramowania i do systemów
Bardziej szczegółowoBEZPIECZEŃSTWO W SIECIACH
PREZENTACJA NA SYSTEMY OPERACYJNE Katarzyna Macioszek styczeń 2007 DEFINICJA ROBAKA CO TO JEST ROBAK? PRZYKŁADY ROBAKÓW Robak - program komputerowy zdolny do samoreplikacji przez sieć bez interakcji użytkownika
Bardziej szczegółowoStrategie i techniki ochrony systemów informatycznych
Strategie i techniki ochrony systemów informatycznych Systemy informatyczne są niezbędne do prawidłowego funkcjonowania większości firm i instytucji. Często zależy od nich realizacja zadań biznesowych.
Bardziej szczegółowoProdukty. MKS Produkty
Produkty MKS Produkty czerwiec 2006 COPYRIGHT ArkaNET KATOWICE CZERWIEC 2006 KOPIOWANIE I ROZPOWSZECHNIANIE ZABRONIONE MKS Produkty czerwiec 2006 Wersja dokumentu W dokumencie użyto obrazków zaczerpniętych
Bardziej szczegółowoSzczegółowy opis przedmiotu umowy. 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów:
Rozdział I Szczegółowy opis przedmiotu umowy Załącznik nr 1 do Umowy Architektura środowisk SharePoint UMWD 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów: a) Środowisko
Bardziej szczegółowoOpis wymagań i program szkoleń dla użytkowników i administratorów
Załącznik nr 3 do OPZ Opis wymagań i program szkoleń dla użytkowników i administratorów Spis treści Wprowadzenie...2 1. Typ i zakres szkoleń...2 2. Grupy użytkowników...2 3. Warunki ogólne szkoleń...3
Bardziej szczegółowoDoświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem
Bardziej szczegółowoZARZĄDZENIE Nr 32/2012 Wójta Gminy w Chojnicach. z dnia 16 marca 2012 roku
ZARZĄDZENIE Nr 32/2012 Wójta Gminy w Chojnicach z dnia 16 marca 2012 roku w sprawie wytycznych służących ustaleniu systemu zarządzania ryzykiem w Urzędzie Gminy w Chojnicach. Na podstawie art. 30 ust.
Bardziej szczegółowoCO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek
CO ZROBIĆ ŻEBY NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek ŹRÓDŁA PRAWA REGULUJĄCEGO ZASADY PRZETWARZANIA DANYCH OSOBOWYCH ŹRÓDŁA PRAWA REGULUJĄCEGO ZASADY PRZETWARZANIA DANYCH
Bardziej szczegółowoZasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach
Załącznik nr 3 do Regulaminu systemu kontroli wewnętrznej B S w Łubnianach Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Łubnianach Rozdział 1. Postanowienia ogólne 1 Zasady systemu kontroli
Bardziej szczegółowoOpis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.
Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A. I. Informacje ogólne 1. Zgodnie z postanowieniami Ustawy Prawo bankowe z dnia 29 sierpnia 1997 r. (Dz.U. 1997 Nr 140 poz. 939), w ramach
Bardziej szczegółowoPrzedszkole Nr 30 - Śródmieście
RAPORT OCENA KONTROLI ZARZĄDCZEJ Przedszkole Nr 30 - Śródmieście raport za rok: 2016 Strona 1 z 12 I. WSTĘP: Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi ogół działań podejmowanych
Bardziej szczegółowoPROFESJONALNE SYSTEMY BEZPIECZEŃSTWA
PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Portale SSL VPN nowe możliwości dla biznesu Mariusz Stawowski, CISSP Efektywne prowadzenie biznesu wymaga swobodnego dostępu do informacji. Firmy starają się sprostać
Bardziej szczegółowoPolityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji
Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji POLITYKA BEZPIECZEŃSTWA. 1 1. PODSTAWA PRAWNA Niniejsza Polityka bezpieczeństwa
Bardziej szczegółowoRealne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK
Realne zagrożenia i trendy na podstawie raportów CERT Polska CERT Polska/NASK Kim jesteśmy? Czym jest CERT Polska: Zespół działający w ramach Naukowej i Akademickiej Sieci Komputerowej; Powołany w 1996
Bardziej szczegółowoZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ
ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 1 do Część II SIWZ SPIS
Bardziej szczegółowoOpis Przedmiotu Zamówienia
Załącznik nr 1 do SIWZ Opis Przedmiotu Zamówienia Świadczenie usługi audytu w ramach Projektu Elektroniczna Platforma Gromadzenia, Analizy i Udostępniania zasobów cyfrowych o Zdarzeniach Medycznych (P1)
Bardziej szczegółowoROZPORZĄDZENIE PREZESA RADY MINISTRÓW. z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego
Dziennik Ustaw Nr 159 9338 Poz. 948 948 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego Na podstawie art. 49 ust. 9 ustawy
Bardziej szczegółowoNETWORK Monitorowanie serwerów, urządzeń i aplikacji INVENTORY Inwentaryzacja sprzętu i oprogramowania, audyty legalności USERS Monitorowanie
www.axence.pl NETWORK Monitorowanie serwerów, urządzeń i aplikacji INVENTORY Inwentaryzacja sprzętu i oprogramowania, audyty legalności USERS Monitorowanie pracowników HELPDESK Zdalny dostęp, zgłoszenia
Bardziej szczegółowoISO 27001 w Banku Spółdzielczym - od decyzji do realizacji
ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda ISO 27001 zalety i wady Miejsce systemów bezpieczeństwa w Bankowości
Bardziej szczegółowoBezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie
www.axence.pl Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie połączeń, tabnabbing, clickjacking, DoS,
Bardziej szczegółowoTomasz Nowocień, Zespół. Bezpieczeństwa PCSS
Bezpieczeństwo IT Tomasz Nowocień, Zespół Bezpieczeństwa PCSS 1 Poznań, 24.10.2008 2008 Agenda Kim jesteśmy? Bezpieczeństwo danych. Zagrożenia i sposoby zabezpieczeń Zabezpieczenie platformy Windows Serwer
Bardziej szczegółowoTranslacja adresów - NAT (Network Address Translation)
Translacja adresów - NAT (Network Address Translation) Aby łączyć się z Internetem, każdy komputer potrzebuje unikatowego adresu IP. Jednakże liczba hostów przyłączonych do Internetu wciąż rośnie, co oznacza,
Bardziej szczegółowoMaciej Byczkowski ENSI 2017 ENSI 2017
Znaczenie norm ISO we wdrażaniu bezpieczeństwa technicznego i organizacyjnego wymaganego w RODO Maciej Byczkowski Nowe podejście do ochrony danych osobowych w RODO Risk based approach podejście oparte
Bardziej szczegółowoInfrastruktura klucza publicznego w sieci PIONIER
Infrastruktura klucza publicznego w sieci PIONIER Ireneusz Tarnowski Konferencja i3 Wrocław, 2 grudnia 2010 Plan wystąpienia PKI Infrastruktura Klucza Publicznego Zastosowania certyfikatów X.509 Jak to
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.
1 Załącznik nr 1 do Zarządzenia nr 243/09 Burmistrza Michałowa z dnia 14 września 2009 r. POLITYKA BEZPIECZEŃSTWA Rozdział I. Rozdział II. Postanowienia ogólne. Deklaracja intencji, cele i zakres polityki
Bardziej szczegółowoZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.
ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r. w sprawie Polityki bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy Świętajno Na podstawie art. 36 ust. 2 Ustawy z dnia
Bardziej szczegółowoAutomatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.
Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1 Fakty Są 3 rodzaje serwerów: Zabezpieczone Niezabezpieczone Podobno
Bardziej szczegółowo2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe
Załącznik nr 4 do Zarządzenia nr 19/2018 Dyrektora Miejskiego Ośrodka Pomocy Rodzinie w Toruniu z dnia 16 marca 2018 r. w sprawie wprowadzenia Polityki Bezpieczeństwa Danych Osobowych w MOPR w Toruniu
Bardziej szczegółowoKwestionariusz samooceny kontroli zarządczej
Kwestionariusz samooceny kontroli zarządczej załącznik Nr 6 do Regulaminu kontroli zarządczej Numer pytania Tak/nie Odpowiedź Potrzebne dokumenty Środowisko wewnętrzne I Przestrzeganie wartości etycznych
Bardziej szczegółowoArcaVir 2008 System Protection
ArcaVir 2008 System Protection ARCAVIR 2008 SYSTEM PROTECTION to oprogramowanie typu Internet Security stanowiące pełne zabezpieczenie przed zagrożeniami z Internetu i sieci LAN. OCHRONA ANTYWIRUSOWA Silnik
Bardziej szczegółowoGłównym zadaniem tej fazy procesu zarządzania jest oszacowanie wielkości prawdopodobieństwa i skutków zaistnienia zidentyfikowanych uprzednio ryzyk.
Głównym zadaniem tej fazy procesu zarządzania jest oszacowanie wielkości prawdopodobieństwa i skutków zaistnienia zidentyfikowanych uprzednio ryzyk. Na tym etapie wykonuje się hierarchizację zidentyfikowanych
Bardziej szczegółowoKompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA
Kompleksowe zabezpieczenie współczesnej sieci Adrian Dorobisz inżnier systemowy DAGMA Ataki sieciowe SONY niedostępnośc usługi Playstation Network koszt: 3,4mld USD CIA niedostępnośc witryny Web cia.gov
Bardziej szczegółowoUSŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI
USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013r. STRONA 1 USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013 Spis Treści 1 O Nas pointas.com.pl 2 Kadra i Kwalifikacje 3 Audyty i konsulting
Bardziej szczegółowoPodstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych
Opracowanie z cyklu Polskie przepisy a COBIT Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Czerwiec 2016 Opracowali: Joanna Karczewska
Bardziej szczegółowoPaweł Pokrywka, Ispara.pl. multispoof: Zaawansowany mac spoofing w sieciach lokalnych
Paweł Pokrywka, Ispara.pl multispoof: Zaawansowany mac spoofing w sieciach lokalnych 1 Plan prezentacji Obszar zainteresowania Problem uwierzytelniania w sieciach LAN Wykorzystanie podatności: multispoof
Bardziej szczegółowoPolityka Bezpieczeństwa Ochrony Danych Osobowych
Polityka Bezpieczeństwa Ochrony Danych Osobowych w Urzędzie Gminy Klucze Wersja 1 Pieczęć firmowa: Opracował: Data: Zatwierdził: Data:.. 1 1. Wstęp... 3 2. Definicje... 4 3. Zadania ABI... 5 4. Wykaz budynków,
Bardziej szczegółowoInternet Explorer. Okres 05-12.06.2008
Okres 05-12.06.2008 Internet Explorer W przeglądarce Internetowej Internet Explorer ujawniono lukę związaną z bezpieczeństwem, która moŝe pozwolić osobie nieupowaŝnionej na przejęcie kontroli nad komputerem
Bardziej szczegółowo