Szanse i zagrożenia da bezpieczeństwa cyberprzestrzeni ze strony nowych technologii, urządzeń i aplikacji analiza ryzyka

Wielkość: px
Rozpocząć pokaz od strony:

Download "Szanse i zagrożenia da bezpieczeństwa cyberprzestrzeni ze strony nowych technologii, urządzeń i aplikacji analiza ryzyka"

Transkrypt

1 Szanse i zagrożenia da bezpieczeństwa cyberprzestrzeni ze strony nowych technologii, urządzeń i aplikacji analiza ryzyka Który skrzywdziłeś człowieka prostego. Nie bądź bezpieczny. Poeta pamięta, Możesz go zabić - narodzi się nowy. Spisane będą czyny i rozmowy (Miłosz) dr inż. Dobrosław MĄKA 1

2 Społeczny aspekt bezpieczeństwa informacji 2

3 Ewolucja warunków bezpieczeństwa (na przykładzie sztuki wojennej) poziom informatyczny (cywilizacja informatyczna) poziom mechaniczny (cywilizacja rozwój środków walki zbrojnej przemysłowa) Harmonia (równowaga) energetyczno-informacyjna Klasyczna teoria wojen Dominacja energii Teoria Clausewitza Względna równowaga energetyczno-informacyjna Neoklasyczne teorie wojen? Dominacja informacji? Informacyjna (psychotroniczna ) teoria wojen? poziom biologiczny (cywilizacja agrarna) Energetyczny (materialny) potencjał walki zbrojnej Informacyjny potencjał walki zbrojnej czas rewolucja przemysłowa rewolucja informacyjna XVIII/XIX w. XX/XXI w. 3

4 TRANSINFORMATOR Informowanie wierne INFORMATOR PSEUDOINFORMATOR prof. P. Sienkiewicz wykłady AON Informowanie pozorne, rozwlekłe ogólnikowe, niejasne DEZINFORMATOR Informowanie fałszywe zmyślanie, zatajanie, przekręcanie PARAINFORMATOR Informowanie typu domniemywanie trafne, nietrafne, bezpodstawne, niedomyślne, opaczne METAINFORMATOR Informowanie o informacjach 4

5 NADAWCA Wzrost wartości i informacji Informacja nadana FILTR FIZYCZNY Informacja przyjęta FILTR SEMANTYCZNY Informacja zrozumiała Szum fizyczny Szum semantyczny FILTR PRAGMATYCZNY Informacja potrzebna Szum pragmatyczny ODBIORCA prof. P. Sienkiewicz wykłady AON 5

6 SMOG INFORMACYJNY Informacja odebrana INFORMACJA INTERESUJĄCA? Informacja przyjęta INFORMACJA ODPOWIADA POGLĄDOM? Informacja zrozumiała SZUM Fizyczny Semantyczny Pragmatyczny ŚMIETNIK INFORMACJA POTRZEBNA? Informacja potrzebna prof. P. Sienkiewicz wykłady AON BIEŻĄCE ZASOBY INFORMACYJNE ODBIORCY WEWNĘTRZNA INFOSFERA 6

7 HIERARCHIA INFORMACYJNYCH ZAGROŻEŃ I ICH SKUTKÓW STRUCTURED THREAT UNSTRUCTURED THREAT CRIMINALS HACKERS NATIONS TERRORISTS TRANSNATIONAL ENTITIES CRACKERS VANDALS m e d i a Zagrożenia dla bezpieczeństwa międzynarodowego (globalnego społeczeństwa informacyjnego) Destabilizacja krytycznej infrastruktury Zakłócenia funkcjonowania administracji publicznej Straty gospodarcze (zahamowanie rozwoju firm i przedsiębiorstw) DISGRUNTLED EMPLOYEES prof. P. Sienkiewicz wykłady AON Straty osobiste obywateli 7

8 Scenariusze rozwoju społeczeństwa informacyjnego Cztery nurty myślenia, wedle kryterium korzyści i strat, obaw i nadziei, szans i zagrożeń: Pierwszy nurt ujawnia przewagę optymizmu, wskazuje na nadzwyczajne szanse rozwoju Drugi nurt pozostający w sprzeczności z pierwszym zawiera przestrogę przed rosnącym utechnicznieniem ludzkiej egzystencji Trzeci nurt opiera się na założeniu, że skutki społeczne są zależne w decydującym stopniu od tego, czy narzędzi używa się w dobrym, czy złym kierunku Czwarty opiera się na stwierdzeniu, że sposób, w jaki czynimy użytek z nowych technik informacyjnych i komunikacyjnych, tylko w części zależy od nas samych, w części zaś jest zdeterminowany przez naturę samej techniki 8

9 Projekt INDECT - celem jest stworzenie narzędzi do automatycznego wykrywania zagrożeń Propozycja projektu INDECT została zgłoszona przez grupę 17 europejskich partnerów pod przewodnictwem Akademii Górniczo-Hutniczej w Krakowie 9

10 10

11 11

12 12

13 System SORM 13

14 System SORM 14

15 System SORM SORM-1 inwigiluje łączność telefonii stacjonarnej i komórkowej SORM-2 inwigiluje ruch w internecie SORM-3 zbiera informacje z wszystkich form komunikacji, zapewniając długoterminowe magazynowanie wszystkich danych i informacji o abonentach, w tym aktualne nagrania i lokalizacje. Już w latach wszyscy operatorzy telefoniczni w Rosji musieli zainstalować u siebie oprogramowanie SORM-1 w celu zbierania i analizy informacji z sieci telefonicznych. A od początku poprzedniej dekady każdy dostawca internetu został zobowiązany do zainstalowania programu SORM-2 15

16 System SORM МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ (МИНКОМСВЯЗЬ РОССИИ) ПРИКАЗ Москва Операторам связи до 1 июля 2014 г. привести в соответствие с требованиями Правил используемое, а также вводимое в эксплуатацию в сетях передачи данных оборудование коммутации и маршрутизации пакетов информации, включая программное обеспечение, обеспечивающее выполнение установленных действий при проведении оперативно-разыскных мероприятий

17 BEZPIECZEŃSTWO Bezpieczeństwo Teleinformatyczne NARODOWE: Zewnętrzne Militarne Wewnętrzne Obywatelskie Spo połeczne Ekonomiczne Ekologiczne Informacyjne (i Telekomunikacyjne) Bezpieczeństwo Informacyjne Informacja Klasyfikacja Informacji Oznakowanie Informacji Wymiana Informacji Ochrona Informacji Bezpieczeństwo TI (STI) 17

18 Ochrona infrastruktury krytycznej W Polsce zagadnienia związane z ochroną infrastruktury krytycznej pojawiły się po raz pierwszy na początku 2001 roku na konferencji Secure 2001 Bezpieczeństwo nowe wyzwania. Dominującym tematem była kwestia kontroli międzynarodowej cyberprzestępczości oraz podkreślono konieczność podjęcia działań na rzecz podniesienia bezpieczeństwa zasobów znajdujących się w Internecie. Dodatkowym tematem dyskusji była koordynacja działań w skali kraju w odpowiedzi na rosnące zagrożenie informatyczne. 18

19 Rozkład procentowy (geograficzny) źródeł ataków na monitorowane sieci przez system ARAKIS-GOV 19

20 Źródła (geograficzne) ataków cyberterrorystycznych Źródło: Trustwave News & Events, The Web Hacking Incident Database 2010, https://www.trustwave.com/news-events.php [dostęp r.] 20

21 Realizacja polityki bezpieczeństwa informacyjnego wg raportu CERT za 2012 r. W 2012 roku CERT Polska odnotował ponad 10,5 mln automatycznych zgłoszeń dotyczących naruszeń bezpieczeństwa, przede wszystkim przypadków źródeł spamu oraz botów Polska wypada dobrze na tle innych krajów pod względem liczby utrzymywanych w naszym kraju stron związanych z phishingiem i złośliwym oprogramowaniem w statystykach znajdujemy się poza pierwszą dziesiątką. Niestety, znacznie gorzej jest w przypadku problemów związanych z komputerami użytkowników indywidualnych, a więc liczby botów, skanowań i wysyłanego spamu. Przyczyniają się do tego przede wszystkim sieci operatorów komórkowych, oferujących mobilny dostęp do Internetu, a także Netia jeden z największych operatorów telekomunikacyjnych 21

22 Najczęściej atakowaną usługą w przypadku skanowań jest niezmiennie SMB w Microsoft Windows (445/TCP). Robaki propagujące się z wykorzystaniem tej usługi, takie jak Sasser czy Conficker wciąż mają się dobrze, choć powstały 5 i więcej lat temu! Nowością wśród często atakowanych usług jest Zdalny Pulpit w systemach MS Windows (3389/TCP). Ataki polegają przede wszystkim na próbie odgadnięcia haseł do tej usługi, co pozwala na przejęcie kontroli nad pulpitem. Za dużą część takich ataków odpowiada robak Morto Znacząco, bo aż o 56 %, powiększyła się liczba serwerów DNS w polskich sieciach, które skonfigurowane są w nieprawidłowy sposób, narażając na niebezpieczeństwo wszystkich użytkowników sieci. Powodem jest głównie brak świadomości istnienia problemu u ich administratorów 22

23 23

24 24

25 25

26 26

27 27

28 28

29 Techniczne aspekty bezpieczeństwa informacji podejście Polski, Unii Europejskiej, USA 29

30 30

31 31

32 niezbędne jest utworzenie w ramach programu rozwoju sił zbrojnych na lata nowego programu operacyjnego wsparcia kryptograficznego obrony cyberprzestrzeni. Pozwoli to na całościowe ujęcie problemu bezpieczeństwa cybernetycznego w MON "Utworzenie Centrum Operacji Cybernetycznych pozwoli m.in. na integrowanie narodowego potencjału w obszarze kryptologii oraz zaawansowanych technologii cybernetycznych w resorcie obrony narodowej oraz kontynuowanie budowy scentralizowanego systemu obrony cybernetycznej i narodowej zdolności kryptograficznej" 32

33 33

34 EC3 oficjalnie rozpoczęła działalność 1 stycznia 2013 r. z mandatem do zwalczania następujących obszarów cyberprzestępczości: Popełnione przez zorganizowane grupy przestępcze, aby wygenerować duże zyski, takie jak oszustwa online To, co powoduje poważne szkody ofierze, takich jak internetowa pornografia dziecięca Zagrożenia dla krytycznej infrastruktury i systemów informacyjnych w Unii Europejskiej EC3 ma stać się centralnym punktem w walce UE przeciwko cyberprzestępczości, poprzez budowanie zdolności operacyjnych i analitycznych dla badań i współpracy z międzynarodowymi partnerami Europejskie Centrum Cyberprzestępczość jest obsługiwane przez Europol; Europejski organ ścigania przestępczości w Hadze, w Holandii, a więc EC3 może korzystać z istniejącej infrastruktury i sieci Europolu 34

35 35

36 The Department of Homeland Security's Critical Infrastructure Cyber Community C³ Voluntary Program helps align critical infrastructure owners and operators with existing resources that will assist their efforts to adopt the Cybersecurity Framework and manage their cyber risks President issued Executive Order 13636, Improving Critical Infrastructure Cybersecurity, in February

37 Ramowy program Cyber Community C³ Voluntary 37

38 Funkcje wykonawcze Cyber Community C³ Voluntary: ID-PR-DE-RS-RC: identyfikacja zabezpieczenie wykrycie reagowanie przywracanie 38

39 Implementacja programu na podstawie wyników zarządzania ryzykiem 39

40 Szacowanie źródeł zagrożeń 40

41 Zagrożenia rezydujące w stosowanych aplikacjach informatycznych 41

42 Diagram przycznowo-skutkowy Ishikawy typu rybi szkielet CZYNNIKI WARUNKUJĄCE Ustawa o dostępie do informacji zgodność ustaw restryktywnych z prawami i przywilejami jednostki branżowe akty prawne świadectwa bezpieczeństwa przemysłowego Bezpieczeństwo przemysłowe i osobowe CZYNNIKI DECYDUJĄCE Ustawa o ochronie osób i mienia przepisy szczegółowe rodzaje informacji stanowiących tajemnice zawodowe akty wykonawcze, rekrutacja procedury sprawdzeniowe, poświadczenia bezpieczeństwa Bezpieczeństwo fizyczne Ustawa o ochronie danych osobowych prawa i dyrektywy Unii Europejskiej służby Europejska Klasyfikacja Działalności kancelarie i pomieszczenia specjalne ochrona fizyczna i obiektowa Ustawa o ochronie informacji niejawnych dyrektywy, wytyczne, zasady Bezpieczeństwo teleinformatyczne inspekcje i kontrole ochrony państwa standardy i normy krajowe i zagraniczne strefowanie bezpieczeństwo środków łączności bezpieczeństwo środków informatyki bezpieczeństwo emisji szczególne wymagania bezpieczeństwa normy krajowe i zagraniczne organizacja i struktura sprzęt i oprogramowanie kryptografia STAN Oparcie legislacyjne pożądany stan formalny Właściwe warunki przetwarzania, gromadzenia i przechowywania informacji Stan bezpieczeństwa posiadanie odpowiednich świadectw i certyfikatów 42

43 Model elementów analizy ryzyka OTOCZENIE T T R S T T RR S V V V AKTYWA V V S V T RR S LEGENDA: R - ryzyko RR - ryzyko pozostale S - ochrona T - zagrozenia V - podatnosc 43

44 ANALIZARYZYKA ZASOBY ZAGROŻENIA PODATNOŚĆ (WRAŻLIWOŚĆ) RYZYKO ZARZĄDZANIE RYZYKIEM ŚRODKI ZARADCZE 44

45 RYZYKO = ( szansa zaistnienia) x (konsekwencje) stratakonsekwencje R 1 Ryzyko źródłowe ryzyko NIE-akceptowane Ryzyko Ryzyko szczątkowe ryzyko akceptowane R 3 R 2 Szansa zaistnienia (prawdopodobieństwo) częstotliwość MDR = S W + b Zysk + g Gwarancje gdzie: S w b g - część środków własnych - część (procent) przeznaczony na zabezpieczenia - część (procent) rocznego zysku operacyjnego brutto - szacunkowy wskaźnik odszkodowań 45

46 46

47 Narastanie sytuacji terrorystycznej 47

48 Risk Management Solutions, Inc. RMS Global Models Earthquakes Tropical Cyclones Fire Storm Surge Floods Winter Storms Windstorms Severe Convective Storms Terrorism Infectious Disease Źródło: Risk Management Solutions, Inc. 48

49 Ludzie, którzy podejmują ryzyko zmieniają świat (Robert Kiyosaki) Analiza (szacowanie) ryzyka w badaniach bezpieczeństwa 49

50 Bóg jest matematykiem Paul Dirac Matematyczna analiza ryzyka Analiza i ocena prawdopodobieństwa Analiza i ocena podatności Analiza i ocena konsekwencji Dum Deus calculat, mundus fit (Gdy Bóg rachuje, staje się świat) Leibnitz 50

51 Schemat operacyjny metody analizy ryzyka 51

52 52

53 Proces decyzyjny opary na analizie ryzyka Modelowanie możliwych ataków (Technical Ease) (niejawne) Technical ease factors are assessed for each attack mode, but the exact numbers are not reported here due to the sensitivity of the information 53

54 Drzewo zdarzeń Diagram wpływów 54

55 Funkcja DAWDR: D - detect A assess W warn D defend R - recover Wybór priorytetów Wzór na ocenę podatności na atak terrorystyczny (vulnerability) 55

56 Obliczanie scenariusza ataku Obliczanie miary wartości ataku 56

57 Interpolacja funkcji prawdopodobieństwa wykrycia ataku 57

58 58

59 Wykres ryzyka Wykres ryzyka dopuszczalnego 59

60 Prawdziwa wiedza to znajomość przyczyn (Franciszek Bacon) Symulacja podatności obiektu na atak terrorystyczny 60

61 skala 0-1 obiekt 1 obiekt 2 obiekt 3 obiekt 4 obiekt 5 MAX wykrycie 0,8 0,1 0,2 0,3 0,4 0,8 ocena 0,4 0,2 0,3 0,4 0,3 ostrzeżenie 0,7 0,3 0,2 0,2 0,4 uniemożliwienie 0,9 0,4 0,4 0,5 0,3 pokonanie 0,1 0,5 0,1 0,3 0,7 obiekt 5 obiekt 1 1 0,99 0,98 0,97 obiekt 2 Vx Vx Vx 0, ,9988 0, ,9964 0, ,99952 obiekt 4 obiekt 3 Scenariusz Podatność obiektu 1,2 1 0,8 0,6 0,4 obiekt 1 obiekt 2 obiekt 3 obiekt 4 obiekt 5 0,2 0 wykrycie ocena ostrzeżenie uniemożliwienie pokonanie 61

62 Straty (np. zakładnicy) Cx TEa 0,4 0,5 0,6 0,7 0,8 Scenariusz Ataku (atrakcyjność medialna) SAx 783, , , , ,968 obiekt SAx Scenariusz ataku Scenariusz ataku ( atrakcyjność medialna) obiekt obiekt 2 obiekt 4 obiekt 3 62

63 Prawdopodobieństwo scenariusza ataku wykrycie l1 0, , , , , ocena l2 0, , , , , ostrzeżenie l3 0, , , , , uniknięcie l4 0, , , , , pokonanie l5 0, , , , , ,35 obiekt 1 0,3 0,25 0,2 0,15 obiekt 5 0,1 obiekt 2 Prawdopodobieństwo przebiegu ataku 0,05 0 wykrycie ocena ostrzeżenie uniknięcie pokonanie obiekt 4 obiekt 3 63

64 MIARA RYZYKA RS obiekt 1 obiekt 2 obiekt 3 obiekt 4 obiekt Symulacja wykazuje, że miara ryzyka jest najbardziej zależna od STOPNIA TECHNICZNEJ WYKONALNOŚCI ATAKU obiekt Miara ryzyka obiekt obiekt 2 obiekt 4 obiekt 3 64

65 Symulacja Straty (np. zakładnicy) Cx Stopień wykonalności ataku TEa 0,4 0,5 0,6 0,7 0,8 wynik obiekt obiekt obiekt 2 0 obiekt 4 obiekt 3 65

66 Symulacja Straty (np. zakładnicy) Cx Stopień wykonalności ataku TEa 0,4 0,5 0,6 0,7 0,2 (wzmocnienie zabezpieczeń) obiekt wynik obiekt obiekt 2 0 obiekt 4 obiekt 3 66

67 Naliczenie budżetu na cele inwestycyjne 67

68 z Narodowego Programu Ochrony Infrastruktury Krytycznej: Zarówno ryzyko, jak i jego czynniki mogą być mierzone ilościowo lub jakościowo (np. opisowo). Kiedy jest to możliwe i uzasadnione ze względu na łatwość porównywania, należy stosować miary ilościowe. Prawdopodobieństwo i skutki powinny być obszarem oceny ilościowej i jakościowej, natomiast podatność jakościowej. W każdym przypadku przydatne jest stosowanie skalowania (przypisania określonym wartościom prawdopodobieństwa, podatności i skutków skal np. 1 5) z użyciem zakresów liczbowych lub szczegółowego opisu. Korzystanie z zakresów liczbowych i/lub szczegółowych opisów skal jest konieczne, ponieważ takie pojęcia jak niskie lub wysokie są przedmiotem różnych interpretacji. Określone w opisany powyżej sposób ryzyko powinno zostać poddane procesowi oceny. W procesie tym dokonuje się akceptacji ryzyka. Decyzja o akceptacji ryzyka powinna uwzględniać najgorszy możliwy scenariusz 68

69 Najlepsza metoda analityczna nie zastąpi procesu decyzyjnego, samej decyzji, jednoznacznie wskazującej ryzyko dopuszczalne w danej sytuacji, decyzji podejmowanej odpowiedzialnie przez kierownika jednostki organizacyjnej. Czy istnieje możliwość wspomagania tego procesu decyzyjnego? Same odwzorowania analizy ryzyka nie przynoszą bezpośredniej odpowiedzi na to pytanie. Do tej pory określenie ryzyka dopuszczalnego miało charakter mniej lub bardziej uznaniowy (przyjmowano z reguły 5 poziomów ryzyka katastroficzne, niedopuszczalne, znaczące, umiarkowane, nieznaczne), dzielono obliczoną miarę ryzyka w funkcji nakładów na zabezpieczenia, nie bacząc na to, że funkcja redukcji ryzyka poprzez stosowanie zabezpieczeń nie ma charakteru liniowego 69

70 Przydatnym, aczkolwiek jeszcze niesprawdzonym w praktyce narzędziem, może okazać się zastosowanie tzw. paradoksu Mayfielda, wykazującego, że spadek miary ryzyka w funkcji nakładów na bezpieczeństwo jest nieliniowy, co powoduje, że w określonym (obliczonym) obszarze ryzyko maleje w sposób słabo odczuwalny pomimo dalszych nakładów na bezpieczeństwo f(p) = p y Mayfield's Paradox: study from Carnegie Mellon University, USA wzór na współczynnik kosztów minimalnych y p y-1 = a y (bp) y-1 ISACA/Journal/Past-Issues/2001/Volume Issues/2001/Volume-2/Pages/Mathematical 2/Pages/Mathematical- Proofs-of of- Mayfields-Paradox a Fundamental- Principle-of of- Information-Security. 70

71 Paradoks: utrzymanie pełnego bezpieczeństwa systemu informacyjnego wymaga nieskończonej ilości pieniędzy, zapewnienie bezpiecznego dostępu do tego systemu także wymaga nieskończonej ilości pieniędzy, ale koszty między tymi skrajnościami są stosunkowo niskie Mayfield's Paradox and a study from Carnegie Mellon University 71

72 nakłady na bezpieczeństwo współczynnik wykonalności ataku strata prawdop miara ryzyka R 0, ,2 0,9 1 0,9 0,81 0,3 0,8 1 0,8 0,64 0,4 0,7 1 0,7 0,49 0,5 0,6 1 0,6 0,36 0,6 0,5 1 0,5 0,25 0,7 0,4 1 0,4 0,16 0,8 0,3 1 0,3 0,09 0,9 0,2 1 0,2 0,04 1 0,1 1 0,1 0,01 Zastosowanie paradoksu Mayfielda do wyznaczenia poziomu nakładów na bezpieczeństwo systemu pośrednie oznaczenie poziomu ryzyka dopuszczalnego obszar kalkulacji nakładów, po przekroczeniu których spadek miary ryzyka jest nieznaczny 3 2,5 2 nakłady na bezpieczeństwo współczynnik wykonalności ataku strata prawdop miara ryzyka R Potęg. (miara ryzyka R) 1,5 1 0,5 0 0,1 0,2 0,3 0,4 0,5 0,6 0,7 0,8 0,9 1 72

73 W określonych warunkach, wynikających z właściwie przeprowadzonego oszacowania miary ryzyka można na podstawie tego odwzorowania określić miarę nakładów na zabezpieczenia odpowiadającą punktowi, od którego dalszy spadek miary ryzyka jest już słabo odczuwalny. Drugie zdanie z cytatu A. Shamira traci więc swoją aktualność. 73

74 Analiza ryzyka cyberterrorystycznego wobec systemów teleinformatycznych (próba modelowania) 74

75 O B I E K T Y D A W D R skala 0-1 serwery rządowe portale społecz. finanse (bank) firmy media MAX wykrycie 0,8 0,3 0,4 0,3 0,4 ocena 0,4 0,4 0,3 0,4 0,5 ostrzeżenie 0,7 0,3 0,4 0,5 0,4 uniemożliwienie 0,9 0,4 0,5 0,4 0,2 pokonanie 0,7 0,2 0,6 0,3 0,2 Vx 0, , ,9856 0,9928 0,9968 0,99712 Podatność obiektów Vx 1,05 1 0,95 0,9 Vx 0,85 0,8 0,75 serwery rządowe portale społecz. finanse (bank) firmy media 75

76 S T R A T Y O B I E K T Y straty fin , ,5 utrata inf wirusy spam , ,5 Stopień wykonalności ataku TEa 0,2 0,5 0,6 0,7 0,8 Scenariusz Ataku informacje SAx 117, , , , ,60544 serwery rządowe 400 SAx media portale społecz. Scenariusz ataku (straty w zasobach informacyjnych) 0 firmy finanse (bank) 76

77 D A W D R O B I E K T Y Prawdopodobieństwo scenariusza ataku wykrycie l1 0, , , , , ocena l2 0, , , , , ostrzeżenie l3 0, , , , , uniemożliwienie l4 0, , , , , pokonanie l5 0, , , , , serwery rządowe 0,16 0,14 0,12 0,1 0,08 media 0,06 0,04 portale społecz. 0,02 Rozkład scenariuszy ataku 0 wykrycie ocena ostrzeżenie uniemożliwienie pokonanie firmy finanse (bank) 77

78 O B I E K T Y MIARA RYZYKA RS serwery rządowe portale społecz. finanse (bank) firmy media serwery rządowe Miara ryzyka naruszenia bezpieczeństwa zasobów informacyjnych media portale społecz. firmy finanse (bank) 78

79 Wynik analizy ryzyka wg funkcji DAWDR 79

80 Ocena zagrożeń wg NIST 80

81 Statystyka kradzieży danych 81

82 Nowe wyzwania bezpieczeństwa teleinformacyjnego Cloud computing przetwarzanie w chmurze BYOD bring your own device MDM mobile device management BSIMM building security in maturity model W3AF - Web Application Attack and Audit Framework REMnux's reverse-engineering malware tools 82

83 Przetwarzanie w chmurze Architecture, IT Security, & Operational Perspectives Cloud Computing NIST Definition: Model (sposób) umożliwienia sieciowego wykorzystania podzielnego obszaru skalowalnych platform, źródeł, oprogramowania, baz danych i środowisk przetwarzania informacji - poprzez zautomatyzowane systemy dostępowe zarządzane przez dostawcę usług 83

84 Modele usług (dostępu): IaaS: Infrastructure as a Service Użytkownik uzupełnia swoje źródła przetwarzania informacji infrastrukturą dostawcy usług, z wykorzystaniem której może użytkować dowolne oprogramowanie włącznie z systemami operacyjnymi i aplikacjami PaaS: Platform as Service Użytkownik może tworzyć własne aplikacje z wykorzystaniem narzędzi programowania dostawcy usług i korzystać z nich w obszarze infrastruktury przetwarzania w chmurze SaaS: Software as Service Użytkownik wykorzystuje aplikacje dostawcy usług i przetwarza informacje z wykorzystaniem infrastruktury chmury Virtual Machines Virtual Networks IaaS Auto Elastic Continuous Integration PaaS Built for Cloud Uses PaaS SaaS 84

85 Technologie i rozwiązania zania do utrzymania i zarządzania Główne atrybuty przetwarzania w chmurze: 1. Podzielność zasobów/wspólność 2. Duża obszar dostępności 3. Obsługa sieciowa na życzenie 4. Skalowalność i elastyczność 5. Rozliczalność wg czasu dostępu 85

86 Bezpieczeństwo przetwarzania w chmurze? Konieczność współpracy z komercyjnymi dostawcami Potrzeba przeglądu dostępnych i stosowanych mechanizmów bezpieczeństwa 86

87 Statystyka zastrzeżeń wobec przetwarzania w chmurze w odniesieniu do zróżnicowanych zagrożeń 87

88 Problemy bezpieczeństwa przetwarzania w chmurze Stosowane procedury IT Security nie mają wpływu na jakość bezpieczeństwa IT Security może jedynie określić stan bezpieczeństwa po zaistnieniu incydentu użytkownik może nie stwierdzić wystąpienia incydentu nie ma pewności dot. jakości nadzoru bezpieczeństwa przetwarzania w chmurze ze strony dostawcy usług bezpieczeństwo przetwarzanie w chmurze nasuwa wątpliwości w przypadku dostawcy będącego operatorem prywatnym 88

89 BYOD BYOD (przynieść własne urządzenie) - rosnąca tendencja korzystania z urządzeń będących własnością pracowników w przedsiębiorstwie. Smartfony są najczęstszym tego przykładem, ale pracownicy również użytkują własne tablety, laptopy i dyski USB w miejscu pracy. BYOT (przynieść własne technologie) odnosi się do korzystania z urządzeń konsumenckich i aplikacji w miejscu pracy. BYOC (przynieść własny komputer) BYOL (przynieść własnego laptopa) BYOA (przynieść własną aplikację) przynieść własny komputer (BYOPC). Bring Any Device the acronym there is BAD CYOD Choose Your Own Device 89

90 Android security Rosnące zagrożenie bezpieczeństwa informacji wobec systemu Android wymaga, aby zespoły bezpieczeństwa informacji wdrażały politykę bezpieczeństwa Android. Nowy raport firmy McAfee Inc. dot. złośliwego oprogramowania Android przedstawia wzrost nadużyć w systemach mobilnych, związanych głównie z technologią Google Android. 90

91 Testy aplikacji (Application security testing (AST) - DAST - dynamiczne testy bezpieczeństwa aplikacji - najbardziej dojrzałe i powszechnie przyjęte, doskonale nadają się do wykorzystania przez specjalistów od bezpieczeństwa nie posiadających dostępu do kodu źródłowego. - SAST - statyczne testowanie bezpieczeństwa aplikacji, CEST testuje aplikacje z pozycji wyjściowej poprzez analizę kodu źródłowego danej aplikacji, kodu bajtowego, lub, w niektórych przypadkach, kodu binarnego. - IAST - trzecia możliwość interaktywnego testowania bezpieczeństwa aplikacji, która zapewnia interakcję zarówno statyczną (inside-out) i dynamiczną (ouside-in) i możliwości testowania z celem zapewnienia większej dokładności 91

92 Koncepcja magicznego kwadratu 92

93 Protecting Your APIs Against Attack & Hijack Application Programming Interface System przesuwa granicę funkcji ziarnistości do klienta, co daje znacznie większy obszar penetracji da potencjalnego przestępcy 93

94 Aspekt społeczny zagrożeń ze strony aplikacji i bezpieczeństwa urządzeń mobilnych 94

95 Analizy bezpieczeństwa systemów informatycznych o1. - Application security o2. - Authentication o3. - Cloud security o4. - Data loss prevention o5. - security o6. - Encryption o7. - Endpoint security o8. - Enterprise firewalls o9. - Identity and access management o10. - Intrusion detection and prevention o11. - Mobile data security o12. - Network access control o13. - Policy and risk management o14. - Remote access o15. - SIEM (security information and event management) o16. - Unified threat management o17. - Vulnerability management o18. - Web application firewalls 95

96 Konkursy bezpieczeństwa (złamania zabezpieczeń) Pwn2Own is a computer hacking contest held annually at the CanSecWest security conference, beginning in Contestants are challenged to exploit widely used software and mobile devices with previously unknown vulnerabilities. Winners of the contest receive the device that they exploited, a cash prize, and a "Masters" jacket celebrating the year of their win. The name "Pwn2Own" is derived from the fact that contestants must "pwn" or hack the device in order to "own" or win it. The Pwn2Own contest serves to demonstrate the vulnerability of devices and software in widespread use while also providing a checkpoint on the progress made in security since the previous year 96

97 Konkursy bezpieczeństwa (złamania zabezpieczeń) Konkurs piractwa komputerowego Pwn2Own odbywa się corocznie podczas konferencji bezpieczeństwa CanSecWest, począwszy od 2007 roku. Uczestnicy mają za zadanie wykorzystanie powszechnie używanego oprogramowania i urządzeń mobilnych z nieznanymi wcześniej lukami. Laureaci konkursu otrzymują urządzenia, które są wykorzystywane i nagrodę pieniężną. Konkurs Pwn2Own służy do wykazania wrażliwości urządzeń i oprogramowania w powszechnym użyciu, a jednocześnie zapewnia punkt kontrolny postępów w dziedzinie bezpieczeństwa w stosunku do poprzedniego roku 97

98 Perspektywy nowego podejścia do bezpieczeństwa informacyjnego potrzeba indywidualnego wdrażania innych zabezpieczeń niż loginy i hasła; tendencje do weryfikacji zasadności wydanych certyfikatów bezpieczeństwa; dominująca rola aplikacji w bezpieczeństwie teleinformatycznym; rywalizacja firm komputerowych z państwowymi organami bezpieczeństwa (monitoring inwigilacja); wypracowanie metod zabezpieczeń środków mobilnych; wyzwanie wobec internetowej interoperacyjności urządzeń w aplikacjach biznesowych (Internet of Things) wdrażanie zasad obrony głębokiej (Defense in Depth) przeciwko atakom DDos 98

99 ataki dźwiękowe na systemy przetwarzające loginy i hasła, ataki dźwiękowe na systemy przetwarzające loginy i hasła, nie pomaga technologia TEMPEST 99

100 Kill Switch Prawie jedna trzecia kradzieży w USA obejmuje zabór telefonu, według Federalnej Komisji Łączności (FCC). W maju br. Minnesota jako pierwszy stan USA wprowadził przepisy, które wymagają jakiejś formy Kill Switch na wszystkich smartfonach sprzedawanych w stanie od lipca 2015 roku. Skala problemu: wg ekspertów USA przeciętna organizacja traci rocznie 3 razy więcej smartfonów niż laptopów, koszt utraty danych 64 GB/szt. to 400 tys. $ 100

101 Internet of Things i kod Halo 101

102 Do tej pory uważaliśmy, że INFORMACJA JEST TOWAREM, w cywilizacji informacyjnej zaczęto stosować termin KONSUMENT-TOWAREM, obecnie grozi nam kolejna definicja CZŁOWIEK CZUJNIKIEM Kod HALO grupuje osoby fizyczne (dane osobowe), urządzenia (m.in.. BYOD), sieci (Internet), organizacje i biznes tworząc metadane. Inicjatywa ta wpisana jest w nowoczesne działania logistyczne: DRP, ERP, CRM Konkurują : Google, Amazon, Facebook, and Twitter. 102

103 IoT - Internet przedmiotów Odpowiedzią cyberprzestępców na IoT = Botnety - Thingboty Podejście do problematyki bezpieczeństwa pozakomputerowych obiektów podłączonych do sieci publicznej (sprzęt gospodarstwa domowego, inteligentne budynki, urządzenia sterujące windami, ogrzewaniem i klimatyzacją, systemy nawigacji, automatyka powszechnego użytku) (grupa naukowców testując sieciowe aplikacje nawigacyjne zdołała zdalnie doprowadzić wybrany jacht do zmiany kursu, odnotowano także spam rozsyłany przez lodówkę i telewizor) 103

104 Defense in Depth? 104

! Retina. Wyłączny dystrybutor w Polsce

! Retina. Wyłączny dystrybutor w Polsce ! Retina 0 0 Rozwiązania BeyondTrust dostarczają informacji niezbędnych do podejmowania właściwych decyzji i zmniejszenia ryzyka dla zasobów i użytkowników. 1 1 10,000+ licencji 80%największych światowych

Bardziej szczegółowo

epolska XX lat później Daniel Grabski Paweł Walczak

epolska XX lat później Daniel Grabski Paweł Walczak epolska XX lat później Daniel Grabski Paweł Walczak BIG TRENDY TECHNOLOGICZNE TRANSFORMACJA DOSTĘPU DO LUDZI I INFORMACJI +WYZWANIA W OBSZARZE CYBERBEZPIECZEŃSTWA Mobile Social Cloud Millennials (cyfrowe

Bardziej szczegółowo

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet Zagrożenia związane z udostępnianiem aplikacji w sieci Internet I Ogólnopolska Konferencja Informatyki Śledczej Katowice, 8-9 stycznia 2009 Michał Kurek, Aleksander Ludynia Cel prezentacji Wskazanie skali

Bardziej szczegółowo

Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL

Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL Tomasz Prząda DBTI ABW 2008 1 Agenda Podstawowe informacje o CERT.GOV.PL Realizowane przedsięwzi wzięcia Statystyki

Bardziej szczegółowo

AGENT DS. CYBERPRZESTĘPCZOŚCI. Partner studiów:

AGENT DS. CYBERPRZESTĘPCZOŚCI. Partner studiów: NOWOŚĆ!!! AGENT DS. CYBERPRZESTĘPCZOŚCI Partner studiów: Odbiorcy studiów Studia przeznaczone są dla pracowników sektora przedsiębiorstw, funkcjonariuszy służb porządku publicznego, a także zatrudnionych

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Zarządzanie bezpieczeństwem informacji w urzędach pracy Materiał informacyjny współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Zarządzanie bezpieczeństwem informacji w urzędach pracy Radek Kaczorek, CISA, CIA, CISSP,

Bardziej szczegółowo

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami Bezpieczeństwo aplikacji WWW Klasyfikacja zgodna ze standardem OWASP Zarządzanie podatnościami Tomasz Zawicki tomasz.zawicki@passus.com.pl Pojawianie się nowych podatności I. Identyfikacja podatności II.

Bardziej szczegółowo

17-18 listopada, Warszawa

17-18 listopada, Warszawa 17-18 listopada, Warszawa Michał Kurek, OWASP Polska IoT na celowniku cyberprzestępców Czy jest ratunek? Agenda Czym jest IoT? Przyszłość IoT Czy IoT jest bezpieczne? Dlaczego NIE? Gdzie szukać pomocy?

Bardziej szczegółowo

Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK

Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK Realne zagrożenia i trendy na podstawie raportów CERT Polska CERT Polska/NASK Kim jesteśmy? Czym jest CERT Polska: Zespół działający w ramach Naukowej i Akademickiej Sieci Komputerowej; Powołany w 1996

Bardziej szczegółowo

Zaufanie i bezpieczeństwo w Europejskiej Agendzie Cyfrowej. Od idei do wdrożenia. Sesja Europejska droga do nowego ładu informacyjnego

Zaufanie i bezpieczeństwo w Europejskiej Agendzie Cyfrowej. Od idei do wdrożenia. Sesja Europejska droga do nowego ładu informacyjnego Zaufanie i bezpieczeństwo w Europejskiej Agendzie Cyfrowej. Od idei do wdrożenia XVII Forum Teleinformatyki Sesja Europejska droga do nowego ładu informacyjnego 22-23 września 2011 r. Miedzeszyn Nota:

Bardziej szczegółowo

SIŁA PROSTOTY. Business Suite

SIŁA PROSTOTY. Business Suite SIŁA PROSTOTY Business Suite REALNE ZAGROŻENIE Internetowe zagrożenia czyhają na wszystkie firmy bez względu na to, czym się zajmują. Jeśli masz dane lub pieniądze, możesz stać się celem ataku. Incydenty

Bardziej szczegółowo

Chmura nad Smart City. dr hab. Prof. US Aleksandra Monarcha - Matlak

Chmura nad Smart City. dr hab. Prof. US Aleksandra Monarcha - Matlak Chmura nad Smart City dr hab. Prof. US Aleksandra Monarcha - Matlak Miasta generują ogromne zbiory danych cyfrowych. Ten trend jest napędzany przez zbiór powiązanych ze sobą wydarzeń. Po pierwsze, w czasie

Bardziej szczegółowo

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Agent ds. cyberprzestępczości

Agent ds. cyberprzestępczości Nazwa: Rodzaj: Charakterystyka: Agent ds. cyberprzestępczości Studia podyplomowe realizowane we współpracy z Polskim Instytutem Kontroli Wewnętrznej w Warszawie Celem studiów jest przygotowanie słuchaczy

Bardziej szczegółowo

Bezpieczeństwo danych w sieciach elektroenergetycznych

Bezpieczeństwo danych w sieciach elektroenergetycznych Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych

Bardziej szczegółowo

Warstwa ozonowa bezpieczeństwo ponad chmurami

Warstwa ozonowa bezpieczeństwo ponad chmurami Warstwa ozonowa bezpieczeństwo ponad chmurami Janusz Mierzejewski Presales consultant 27.09.2012 1 Agenda 2 : Szansa i wyzwanie Private Powinniśmy wykorzystać rozwiązania by reagować na potrzeby biznesu

Bardziej szczegółowo

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE AGENDA: Plan prezentacji Wstęp Charakterystyka zagrożeń, zasobów i zabezpieczeń Założenia bezpieczeństwa

Bardziej szczegółowo

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa, 29.10.2015

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa, 29.10.2015 Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów Michał Olczak Obserwatorium.biz Warszawa, 29.10.2015 O mnie Michał Olczak, Członek zarządu, CTO absolwent Politechniki Poznańskiej,

Bardziej szczegółowo

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

BEZPIECZEŃSTWO CYBERPRZESTRZENI REKOMENDACJE STOWARZYSZENIA EURO-ATLANTYCKIEGO

BEZPIECZEŃSTWO CYBERPRZESTRZENI REKOMENDACJE STOWARZYSZENIA EURO-ATLANTYCKIEGO BEZPIECZEŃSTWO CYBERPRZESTRZENI REKOMENDACJE STOWARZYSZENIA EURO-ATLANTYCKIEGO Tezy: Postęp w dziedzinie technologii informacyjnych i komunikacyjnych (ICT) przyniósł rozwój społeczeństwa informacyjnego

Bardziej szczegółowo

Application Security Verification Standard. Wojciech Dworakowski, SecuRing

Application Security Verification Standard. Wojciech Dworakowski, SecuRing Application Security Verification Standard Wojciech Dworakowski, SecuRing login: Wojciech Dworakowski OWASP Poland Chapter Leader OWASP = Open Web Application Security Project Cel: Podnoszenie świadomości

Bardziej szczegółowo

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych

Bardziej szczegółowo

Mateusz Kurleto NEOTERIC. Analiza projektu B2B Kielce, 18 października 2012

Mateusz Kurleto NEOTERIC. Analiza projektu B2B Kielce, 18 października 2012 2012 Pierwsze przymiarki do zakresu informatyzacji (rodzaj oprogramowania: pudełkowe, SaaS, Iaas, CC, PaaS. Zalety i wady: dostępność, koszty, narzędzia, ludzie, utrzymanie, bezpieczeństwo, aspekty prawne)

Bardziej szczegółowo

Symantec Enterprise Security. Andrzej Kontkiewicz

Symantec Enterprise Security. Andrzej Kontkiewicz Symantec Enterprise Security Andrzej Kontkiewicz Typowe pytania o bezpieczeństwo Jak... 2 Cztery kroki do bezpieczeństwa Jak chronić informację, gdy informację, obrzeże Jak stanowią to ludzie chronić sieci?

Bardziej szczegółowo

Bezpieczeństwo dziś i jutro Security InsideOut

Bezpieczeństwo dziś i jutro Security InsideOut Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle

Bardziej szczegółowo

Zgodność, fraudy i inne wyzwania oraz zagrożenia w Bankach Spółdzielczych. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Zgodność, fraudy i inne wyzwania oraz zagrożenia w Bankach Spółdzielczych. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Zgodność, fraudy i inne wyzwania oraz zagrożenia w Bankach Spółdzielczych Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Kilka słów o AVET INS 1997 rozpoczęcie działalności Od początku

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja

Bardziej szczegółowo

Bezpieczeństwo w pracy zdalnej. pawel.krawczyk@hush.com

Bezpieczeństwo w pracy zdalnej. pawel.krawczyk@hush.com Bezpieczeństwo w pracy zdalnej pawel.krawczyk@hush.com Agenda Pracownik w firmie, a pracownik zdalny - różnice Praca zdalna nowe wyzwanie z punktu widzenia bezpieczeństwa Przepisy prawa Możliwe techniki

Bardziej szczegółowo

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP Dokument przyjęty przez Zespół Zadaniowy ds. bezpieczeństwa cyberprzestrzeni Rzeczypospolitej Polskiej i zatwierdzony przez Komitet

Bardziej szczegółowo

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Opracowanie z cyklu Polskie przepisy a COBIT Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Czerwiec 2016 Opracowali: Joanna Karczewska

Bardziej szczegółowo

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy

Bardziej szczegółowo

Agenda. Quo vadis, security? Artur Maj, Prevenity

Agenda. Quo vadis, security? Artur Maj, Prevenity Quo vadis, security? Artur Maj, Prevenity Agenda 1. Bezpieczeostwo informacji rys historyczny 2. Najistotniejsze wyzwania bezpieczeostwa - obecnie i w najbliższym czasie 3. Nasze rekomendacje 1 Bezpieczeostwo

Bardziej szczegółowo

CIP-ICT ICT PSP call 6 Theme 5: TRUSTED E-SERVICES E AND OTHER ACTIONS. AND OTHER ACTIONS Systemy bezpieczenstwa w eusługach

CIP-ICT ICT PSP call 6 Theme 5: TRUSTED E-SERVICES E AND OTHER ACTIONS. AND OTHER ACTIONS Systemy bezpieczenstwa w eusługach Dzień Informacyjny dla 6 konkursu 2012 w Programie CIP-ICT PSP Warszawa, 31.01.2012 CIP-ICT ICT PSP call 6 Theme 5: TRUSTED E-SERVICES E AND OTHER ACTIONS Systemy bezpieczenstwa w eusługach Aleksandra

Bardziej szczegółowo

Scenariusz na czarną godzinę. Czy sektor bankowy jest przygotowany do walki z cyberprzestępcami?

Scenariusz na czarną godzinę. Czy sektor bankowy jest przygotowany do walki z cyberprzestępcami? Scenariusz na czarną godzinę. Czy sektor bankowy jest przygotowany do walki z cyberprzestępcami? Trend CYBER EXERCISES Europejski i światowy trend organizacji Cyber Exercises Cyber Europe 2010/2012/2014

Bardziej szczegółowo

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz

Bardziej szczegółowo

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów PARLAMENT EUROPEJSKI 2009-2014 Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych 2013/0027(COD) 2.9.2013 PROJEKT OPINII Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

Bardziej szczegółowo

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych Prezentacja na Forum Liderów Banków Spółdzielczych Dariusz Kozłowski Wiceprezes Centrum Prawa Bankowego i Informacji sp.

Bardziej szczegółowo

Cybersecurity rosnące ryzyko prawne i reputacyjne Bezpieczeostwo IT - Bezpieczeostwo prawne Bezpieczeostwo Biznesu

Cybersecurity rosnące ryzyko prawne i reputacyjne Bezpieczeostwo IT - Bezpieczeostwo prawne Bezpieczeostwo Biznesu Cybersecurity rosnące ryzyko prawne i reputacyjne Bezpieczeostwo IT - Bezpieczeostwo prawne Bezpieczeostwo Biznesu Domaoski Zakrzewski Palinka sp. k. Marzec 2016 Czy sami dbamy o nasze bezpieczeostwo?

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

Analiza i projektowanie oprogramowania. Analiza i projektowanie oprogramowania 1/32

Analiza i projektowanie oprogramowania. Analiza i projektowanie oprogramowania 1/32 Analiza i projektowanie oprogramowania Analiza i projektowanie oprogramowania 1/32 Analiza i projektowanie oprogramowania 2/32 Cel analizy Celem fazy określania wymagań jest udzielenie odpowiedzi na pytanie:

Bardziej szczegółowo

Zarządzanie bezpieczeństwem w Banku Spółdzielczym. Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.

Zarządzanie bezpieczeństwem w Banku Spółdzielczym. Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o. Zarządzanie bezpieczeństwem w Banku Spółdzielczym Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o. Definicja problemu Ważne standardy zewnętrzne Umiejscowienie standardów KNF i

Bardziej szczegółowo

Program ochrony cyberprzestrzeni RP założenia

Program ochrony cyberprzestrzeni RP założenia Program ochrony cyberprzestrzeni RP założenia Departament Bezpieczeństwa Teleinformatycznego ABW Departament Infrastruktury Teleinformatycznej MSWiA www.cert.gov.pl slajd 1 www.cert.gov.pl slajd 2 Jakie

Bardziej szczegółowo

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji

Bardziej szczegółowo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania

Bardziej szczegółowo

Efektywna ochrona danych jako skutek wdrożenia systemu Data Loss Prevention Maciej Iwanicki

Efektywna ochrona danych jako skutek wdrożenia systemu Data Loss Prevention Maciej Iwanicki Efektywna ochrona danych jako skutek wdrożenia systemu Data Loss Prevention Maciej Iwanicki Sr Systems Engineer, Symantec 1 Agenda 1 Informacja... 2 W jaki sposób chronić informację dzisiaj? 3 Redukcja

Bardziej szczegółowo

Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS

Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS Bezpieczeństwo IT Tomasz Nowocień, Zespół Bezpieczeństwa PCSS 1 Poznań, 24.10.2008 2008 Agenda Kim jesteśmy? Bezpieczeństwo danych. Zagrożenia i sposoby zabezpieczeń Zabezpieczenie platformy Windows Serwer

Bardziej szczegółowo

9:45 Powitanie. 12:30 13:00 Lunch

9:45 Powitanie. 12:30 13:00 Lunch System McAfee Vulnerability Manager (dawniej FoundStone) wykrywa i priorytetyzuje luki bezpieczeństwa oraz naruszenia polityk w środowisku sieciowym. Zestawia krytyczność zasobów ze stopniem zagrożenia

Bardziej szczegółowo

Aurea BPM. Unikalna platforma dla zarządzania ryzykiem Warszawa, 25 lipca 2013

Aurea BPM. Unikalna platforma dla zarządzania ryzykiem Warszawa, 25 lipca 2013 Aurea BPM Unikalna platforma dla zarządzania ryzykiem Warszawa, 25 lipca 2013 Agenda 1. Podstawowe informacje o Aurea BPM 2. Przykłady projektów w obszarze minimalizacji skutków zagrożeń 3. Aurea BPM dla

Bardziej szczegółowo

Cloud Computing wpływ na konkurencyjność przedsiębiorstw i gospodarkę Polski Bohdan Wyżnikiewicz

Cloud Computing wpływ na konkurencyjność przedsiębiorstw i gospodarkę Polski Bohdan Wyżnikiewicz Cloud Computing wpływ na konkurencyjność przedsiębiorstw i gospodarkę Polski Bohdan Wyżnikiewicz Warszawa, 17 grudnia 2012 r. Co to jest cloud computing? Cloud computing jest modelem umożliwiającym wygodny

Bardziej szczegółowo

Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź. z dnia 09.05. 2008

Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź. z dnia 09.05. 2008 Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź z dnia 09.05. 2008 w sprawie : wprowadzenia procedury Identyfikacji zagrożeń oraz oceny ryzyka zawodowego na stanowiskach pracy w Urzędzie Miasta Czeladź

Bardziej szczegółowo

Priorytety polityki bezpieczeostwa Unii Europejskiej. Projekt dyrektywy o atakach na systemy informatyczne.

Priorytety polityki bezpieczeostwa Unii Europejskiej. Projekt dyrektywy o atakach na systemy informatyczne. Priorytety polityki bezpieczeostwa Unii Europejskiej. Projekt dyrektywy o atakach na systemy informatyczne. Dr hab. Andrzej Adamski, prof. UMK Katedra Prawa Karnego i Polityki Kryminalnej plan prezentacji

Bardziej szczegółowo

Trendy w bezpieczeństwie IT. Maciej Ogórkiewicz, Solidex S.A.

Trendy w bezpieczeństwie IT. Maciej Ogórkiewicz, Solidex S.A. Trendy w bezpieczeństwie IT Maciej Ogórkiewicz, Solidex S.A. maciej.ogorkiewicz@solidex.com.pl Plan wystąpienia: bezpieczeństwo teleinformatyczne wczoraj i dziś obecne zagrożenia trendy odpowiedź świata

Bardziej szczegółowo

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem

Bardziej szczegółowo

Szanse i zagrożenia płynące z nowoczesnych metod świadczenia usług informatycznych (outsourcing, offshoring, SOA, cloud computing) w bankowości

Szanse i zagrożenia płynące z nowoczesnych metod świadczenia usług informatycznych (outsourcing, offshoring, SOA, cloud computing) w bankowości Szanse i zagrożenia płynące z nowoczesnych metod świadczenia usług informatycznych (outsourcing, offshoring, SOA, cloud computing) w bankowości Jakub Syta, CISA, CISSP Warszawa, 14 czerwca 2010 1 Zastrzeżenie

Bardziej szczegółowo

Zasady organizacji projektów informatycznych

Zasady organizacji projektów informatycznych Zasady organizacji projektów informatycznych Systemy informatyczne w zarządzaniu dr hab. inż. Joanna Józefowska, prof. PP Plan Definicja projektu informatycznego Fazy realizacji projektów informatycznych

Bardziej szczegółowo

Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems

Bezpieczeństwo szyte na miarę, czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems Czy jestem atakowany? Charakterystyka ataku http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf?cmp=dmc-smb_z_zz_zz_z_tv_n_z038

Bardziej szczegółowo

OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie

OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie ponad Top 10 Misja: Poprawa stanu bezpieczeństwa aplikacji

Bardziej szczegółowo

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1 Fakty Są 3 rodzaje serwerów: Zabezpieczone Niezabezpieczone Podobno

Bardziej szczegółowo

www.atende.pl Prezentacja firmy

www.atende.pl Prezentacja firmy www.atende.pl Prezentacja firmy Grupa Atende fakty i liczby Nowa marka na rynku teleinformatycznym Zmiana nazwy firmy z ATM Systemy Informatyczne (2013 r.) Jedna z czołowych firm branży IT Ponad 20 lat

Bardziej szczegółowo

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7 I Wprowadzenie (wersja 0906) Kurs OPC S7 Spis treści Dzień 1 I-3 O czym będziemy mówić? I-4 Typowe sytuacje I-5 Klasyczne podejście do komunikacji z urządzeniami automatyki I-6 Cechy podejścia dedykowanego

Bardziej szczegółowo

ANALITYK BEZPIECZEŃSTWA IT

ANALITYK BEZPIECZEŃSTWA IT ANALITYK BEZPIECZEŃSTWA IT 1. TEMATYKA Bezpieczeństwo informacji jest jednym z najważniejszych elementów sukcesu w dzisiejszym świecie. Postępująca informatyzacja zarówno w życiu prywatnym jak i biznesowym

Bardziej szczegółowo

Czym jest Samsung KNOX? Bezpieczny telefon. -Zabezpieczenie służbowych danych i aplikacji - Środowisko pracy dla biznesu

Czym jest Samsung KNOX? Bezpieczny telefon. -Zabezpieczenie służbowych danych i aplikacji - Środowisko pracy dla biznesu Czym jest Samsung KNOX? Bezpieczny telefon -Zabezpieczenie służbowych danych i aplikacji - Środowisko pracy dla biznesu W Anglii gubionych jest lub kradzionych 800 000 telefonów rocznie czyli około 2200

Bardziej szczegółowo

BCC ECM Autorskie rozwiązanie BCC wspomagające zarządzanie dokumentami oraz procesami biznesowymi

BCC ECM Autorskie rozwiązanie BCC wspomagające zarządzanie dokumentami oraz procesami biznesowymi BCC ECM Autorskie rozwiązanie BCC wspomagające zarządzanie dokumentami oraz procesami biznesowymi Prezentacja rozwiązania Co to jest ECM? ECM (enterprise content management) to strategia świadomego zarządzania

Bardziej szczegółowo

Claud computing zostało uznane przez Grupę Roboczą art.29 w dokumencie WP 170 Program prac na lata 2010 2011 przyjętym dnia 15 lutego 2010 r.

Claud computing zostało uznane przez Grupę Roboczą art.29 w dokumencie WP 170 Program prac na lata 2010 2011 przyjętym dnia 15 lutego 2010 r. dr Bogdan Fischer Claud computing zostało uznane przez Grupę Roboczą art.29 w dokumencie WP 170 Program prac na lata 2010 2011 przyjętym dnia 15 lutego 2010 r. za jedno z najistotniejszych obecnie wyzwań.

Bardziej szczegółowo

Tomasz Chlebowski ComCERT SA

Tomasz Chlebowski ComCERT SA Tomasz Chlebowski ComCERT SA sumaryczny koszt poprawnie oszacować koszty wynikające z incydentów (co jest czasem bardzo trudne) dopasować odpowiednie rozwiązania redukujące powyższe koszty wybrać takie

Bardziej szczegółowo

Audyt środowiska sieciowego na przykładzie procedur ISACA

Audyt środowiska sieciowego na przykładzie procedur ISACA Audyt środowiska sieciowego na przykładzie procedur ISACA Jakub Bojanowski, CISA, CIA Bielsko 7 listopada 2002 Plan prezentacji...! Przykładowy zakres audytu środowiska sieciowego! Typowe problemy: teoria

Bardziej szczegółowo

Definicja, rodzaje chmur obliczeniowych oraz poziomy usług

Definicja, rodzaje chmur obliczeniowych oraz poziomy usług Definicja, rodzaje chmur obliczeniowych oraz poziomy usług Dorota Grudzień-Molenda Cloud Business Development Manager 24.06.2013 Zjawiska mające wpływ na rozwój chmury obliczeniowej Konsumeryzacja IT Eksplozja

Bardziej szczegółowo

Przedstawiamy produkt KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Przedstawiamy produkt KASPERSKY ENDPOINT SECURITY FOR BUSINESS Przedstawiamy produkt KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Czynniki biznesowe i ich wpływ na środowisko IT SPRAWNOŚĆ Bądź szybki, zwinny i elastyczny 66 proc. właścicieli firm uważa sprawność prowadzenia

Bardziej szczegółowo

Budowa Data Center. Zmagania Inwestora. Konferencja. 30 października 2014

Budowa Data Center. Zmagania Inwestora. Konferencja. 30 października 2014 Budowa Data Center Zmagania Inwestora Konferencja 30 października 2014 Budowa Data Center zmagania Inwestora zagadnienia: 1. Wstępne założenia budowy DC 2. Opracowanie Koncepcji Data Center 3. Realizacja

Bardziej szczegółowo

Usługi dodane klasy operatorskiej w zakresie bezpieczeństwa Krystian, Baniak. Infradata

Usługi dodane klasy operatorskiej w zakresie bezpieczeństwa Krystian, Baniak. Infradata Usługi dodane klasy operatorskiej w zakresie bezpieczeństwa Krystian, Baniak Infradata Usługi dodane klasy operatorskiej w zakresie bezpieczeństwa 3.03.2014 Krystan Baniak Senior Security Solutons Architect,

Bardziej szczegółowo

Modele sprzedaży i dystrybucji oprogramowania Teoria a praktyka SaaS vs. BOX. Bartosz Marciniak. Actuality Sp. z o.o.

Modele sprzedaży i dystrybucji oprogramowania Teoria a praktyka SaaS vs. BOX. Bartosz Marciniak. Actuality Sp. z o.o. Modele sprzedaży i dystrybucji oprogramowania Teoria a praktyka SaaS vs. BOX Bartosz Marciniak Actuality Sp. z o.o. Prezes Zarządu Społeczeństwo informacyjne społeczeństwo, które znalazło zastosowanie

Bardziej szczegółowo

Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki

Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki Centrum Informatyzacji II Konferencja Zabezpieczenie danych osobowych Nowa rola ABI aspekty organizacyjne

Bardziej szczegółowo

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa

Bardziej szczegółowo

KARTA PRZEDMIOTU. 1) Nazwa przedmiotu: INŻYNIERIA SYSTEMÓW I ANALIZA SYSTEMOWA. 2) Kod przedmiotu: ROZ-L3-20

KARTA PRZEDMIOTU. 1) Nazwa przedmiotu: INŻYNIERIA SYSTEMÓW I ANALIZA SYSTEMOWA. 2) Kod przedmiotu: ROZ-L3-20 Z1-PU7 WYDANIE N2 Strona: 1 z 5 (pieczęć wydziału) KARTA PRZEDMIOTU 1) Nazwa przedmiotu: INŻYNIERIA SYSTEMÓW I ANALIZA SYSTEMOWA 3) Karta przedmiotu ważna od roku akademickiego: 2014/2015 2) Kod przedmiotu:

Bardziej szczegółowo

pilotażowe staże dla nauczycieli i instruktorów kształcenia zawodowego w przedsiębiorstwach

pilotażowe staże dla nauczycieli i instruktorów kształcenia zawodowego w przedsiębiorstwach pilotażowe staże dla nauczycieli i instruktorów kształcenia zawodowego w przedsiębiorstwach IT W FIRMIE ADAM LASKOWSKI IT W FIRMIE SPIS TREŚCI: CEL ISTNIENIA IT UMIEJSCOWIENIE IT W ORGANIZACJI STRUKTURA

Bardziej szczegółowo

dr Beata Zbarachewicz

dr Beata Zbarachewicz dr Beata Zbarachewicz Rządowy Program Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej na lata 2011-2016, Warszawa, czerwiec 2010 RAPORTY CERT.GOV.PL Raport o stanie bezpieczeństwa cyberprzestrzeni RP

Bardziej szczegółowo

Ochrony danych osobowych w Chinach, ostatni rozwój prawodawstwa 2015-11-22 02:10:17

Ochrony danych osobowych w Chinach, ostatni rozwój prawodawstwa 2015-11-22 02:10:17 Ochrony danych osobowych w Chinach, ostatni rozwój prawodawstwa 2015-11-22 02:10:17 2 Chiny są obecnie jednym z niewielu krajów w tej części globu nie posiadających kompleksowego ustawodawstwa regulującego

Bardziej szczegółowo

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o. Zagrożenia bezpieczeństwa informacji dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o. Czym jest bezpieczeństwo informacji? Bezpieczeństwo informacji to: (teoretycznie) stan wolny od

Bardziej szczegółowo

Zarządzanie ryzykiem w bezpieczeostwie IT

Zarządzanie ryzykiem w bezpieczeostwie IT Zarządzanie ryzykiem w bezpieczeostwie IT GIGACON 2011 Marek Abramczyk CISA, CRISC, CISSP, LA ISO27001 Warszawa, 29.11.2011 ABIWAY 1 /34 Agenda 1 2 3 4 5 6 7 Omówienie procesu zarządzania ryzykiem ISO27005

Bardziej szczegółowo

Bezpieczeństwo aplikacji Czy musi być aż tak źle? OWASP 2012-10-24. The OWASP Foundation http://www.owasp.org

Bezpieczeństwo aplikacji Czy musi być aż tak źle? OWASP 2012-10-24. The OWASP Foundation http://www.owasp.org Bezpieczeństwo aplikacji Czy musi być aż tak źle? 2012-10-24 Wojciech Dworakowski Poland Chapter Leader SecuRing Copyright The Foundation Permission is granted to copy, distribute and/or modify this document

Bardziej szczegółowo

www.ergohestia.pl Ryzyka cybernetyczne

www.ergohestia.pl Ryzyka cybernetyczne Ryzyka cybernetyczne W dobie technologicznego rozwoju i danych elektronicznych zabezpieczenie się przed szkodami cybernetycznymi staje się konieczne. Według ekspertów ryzyka cybernetyczne będą w najbliższych

Bardziej szczegółowo

Wybrane problemy bezpieczeństwa w systemach IT.

Wybrane problemy bezpieczeństwa w systemach IT. Wybrane problemy bezpieczeństwa w systemach IT. Kraków 21.04.2012r. Michał Sajdak, CISSP www.securitum.pl O prelegencie Michał Sajdak Na co dzień prowadzę: Szkolenia www.securitum.pl/oferta/szkolenia/

Bardziej szczegółowo

BIEGŁY DO SPRAW ZAPOBIEGANIA I WYKRYWANIA PRZESTĘPSTW GOSPODARCZYCH I KORUPCJI. Partner studiów:

BIEGŁY DO SPRAW ZAPOBIEGANIA I WYKRYWANIA PRZESTĘPSTW GOSPODARCZYCH I KORUPCJI. Partner studiów: BIEGŁY DO SPRAW ZAPOBIEGANIA I WYKRYWANIA PRZESTĘPSTW GOSPODARCZYCH I KORUPCJI Partner studiów: Odbiorcy: Osoby zainteresowane specjalizacją w zakresie profesjonalnego zapobiegania i wykrywania nadużyć

Bardziej szczegółowo

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne. Rodzaje danych (informacji) m.in.: Dane finansowe Dane handlowe Dane osobowe Dane technologiczne Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne. Przetwarzane dane mogą być zebrane

Bardziej szczegółowo

Rola i zadania polskiego CERTu wojskowego

Rola i zadania polskiego CERTu wojskowego Rola i zadania polskiego CERTu wojskowego Tomasz DĄBROWSKID Tomasz STRYCHAREK CENTRUM KOORDYNACYJNE SYSTEMU REAGOWANIA NA INCYDENTY KOMPUTEROWE RESORTU OBRONY NARODOWEJ 1 AGENDA 1. Podstawy funkcjonowania

Bardziej szczegółowo

e-administracja: nowe technologie w służbie obywatelowi

e-administracja: nowe technologie w służbie obywatelowi e-administracja: nowe technologie w służbie obywatelowi Co niesie administracji chmura obliczeniowa? dr inż. Dariusz Bogucki Centrum Projektów Informatycznych Wrocław, 3 października 2012 r. Paradoks wykorzystania

Bardziej szczegółowo

InfoLAN Sp. z o.o., OPIS MODUŁÓW Spis treści

InfoLAN Sp. z o.o.,  OPIS MODUŁÓW Spis treści InfoLAN Sp. z o.o., ul. Jagiellońska 74, 03-301 Warszawa tel.: +48 22 463 80 00, faks: +48 22 463 80 10, www.infolan.pl NIP: 113 281 86 37, KRS: 0000369467, kapitał zakładowy: 550 000 zł OPIS MODUŁÓW Spis

Bardziej szczegółowo

KIERUNKI ROZWOJU SYSTEMÓW INFORMATYCZNYCH ZARZĄDZANIA PRZEDSIĘBIORSTWEM

KIERUNKI ROZWOJU SYSTEMÓW INFORMATYCZNYCH ZARZĄDZANIA PRZEDSIĘBIORSTWEM Katedra Ekonometrii i Informatyki Andrzej Dudek KIERUNKI ROZWOJU SYSTEMÓW INFORMATYCZNYCH ZARZĄDZANIA PRZEDSIĘBIORSTWEM 1 Rynek systemów ERP na świecie Wg Forbes w 2012 roku dynamika światowego rynku systemów

Bardziej szczegółowo

Imed El Fray Włodzimierz Chocianowicz

Imed El Fray Włodzimierz Chocianowicz Imed El Fray Włodzimierz Chocianowicz Laboratorium Certyfikacji Produktów i Systemów Informatycznych Wydział Informatyki Katedra Inżynierii Oprogramowania Zachodniopomorski Uniwersytet Technologiczny w

Bardziej szczegółowo

Ochrona systemów informatycznych przed atakami

Ochrona systemów informatycznych przed atakami Ochrona systemów informatycznych przed atakami Paweł Nogowicz Prezes zarządu Evercom Master ASE, CCSE, NCIE, Audytor ISO/IEC 27001 Evercom Dostawca i integrator kompleksowych rozwiązań informatycznych

Bardziej szczegółowo

III Etap konkursu TWOJA FIRMA TWOJA SZANSA NA SUKCES

III Etap konkursu TWOJA FIRMA TWOJA SZANSA NA SUKCES PROTECT DNA OF YOUR BUSINESS BUSINESS CONTINUITY INCIDENT AND RISK MANAGEMENT REAL TIME ENTERPRISE III Etap konkursu TWOJA FIRMA TWOJA SZANSA NA SUKCES Warszawa 11.05.2011 Projekt współfinansowany przez

Bardziej szczegółowo

Problemy i wyzwania analizy obszaru ICT

Problemy i wyzwania analizy obszaru ICT Problemy i wyzwania analizy obszaru ICT Rafał Żelazny Główny Konsultant Zespołu ds. Wdrażania i Monitoringu Strategii Społeczeństwa Informacyjnego Województwa Śląskiego do roku 2015 22.11.2013, TECHNOPARK

Bardziej szczegółowo

Szkolenie: Budowa aplikacji SOA/BPM na platformie Oracle SOA Suite 11g

Szkolenie: Budowa aplikacji SOA/BPM na platformie Oracle SOA Suite 11g Szkolenie: Budowa aplikacji SOA/BPM na platformie Oracle SOA Suite 11g Opis szkolenia: Termin SOA, czyli Service Oriented Architecture, oznacza architekturę systemów informatycznych opartą o usługi. Za

Bardziej szczegółowo

BCC Data Centers. Oferta: Outsourcing IT, cloud computing Optymalizacja i bezpieczeństwo IT. Tytuł prezentacji 1

BCC Data Centers. Oferta: Outsourcing IT, cloud computing Optymalizacja i bezpieczeństwo IT. Tytuł prezentacji 1 BCC Data Centers Oferta: Outsourcing IT, cloud computing Optymalizacja i bezpieczeństwo IT SAP Competence Center Tytuł prezentacji 1 BCC Software Factory Wyspecjalizowany ośrodek kompetencyjny BCC, świadczący

Bardziej szczegółowo

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE.. SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE.. Cel prezentacji Spojrzymy na dane i serwery SQL z perspektywy cyberprzestępcy, omówimy

Bardziej szczegółowo

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór S t r o n a ǀ 1 z 5 Załącznik nr 1 do zapytania ofertowego Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór I. Definicje. 1. Dostawca

Bardziej szczegółowo

Zaufać chmurze. Konferencja Wykonywanie nowej funkcji ABI pierwszy rok doświadczeń, Michał Jaworski, dyrektor ds. strategii Microsoft sp. z o.o.

Zaufać chmurze. Konferencja Wykonywanie nowej funkcji ABI pierwszy rok doświadczeń, Michał Jaworski, dyrektor ds. strategii Microsoft sp. z o.o. 26 stycznia 2016, Warszawa Zaufać chmurze Konferencja Wykonywanie nowej funkcji ABI pierwszy rok doświadczeń, Michał Jaworski, dyrektor ds. strategii Microsoft sp. z o.o. Jak zbudować zaufanie do chmury?

Bardziej szczegółowo

bezpieczeństwo na wszystkich poziomach

bezpieczeństwo na wszystkich poziomach 1 bezpieczeństwo bezpieczeństwo Środowisko Samsung KNOX w zakresie bezpieczeństwa świetne uzupełnia systemy Mobile Device Management (MDM), wykorzystując kilka zaawansowanych mechanizmów, w celu poprawy

Bardziej szczegółowo

Bezpieczeostwo chmury szansa czy zagrożenie dla Banków Spółdzielczych?

Bezpieczeostwo chmury szansa czy zagrożenie dla Banków Spółdzielczych? Bezpieczeostwo chmury szansa czy zagrożenie dla Banków Spółdzielczych? Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o. Agenda Cloud Computing definicja Modele biznesowe Zagrożenia

Bardziej szczegółowo