Szanse i zagrożenia da bezpieczeństwa cyberprzestrzeni ze strony nowych technologii, urządzeń i aplikacji analiza ryzyka
|
|
- Bernard Jaworski
- 2 lat temu
- Przeglądów:
Transkrypt
1 Szanse i zagrożenia da bezpieczeństwa cyberprzestrzeni ze strony nowych technologii, urządzeń i aplikacji analiza ryzyka Który skrzywdziłeś człowieka prostego. Nie bądź bezpieczny. Poeta pamięta, Możesz go zabić - narodzi się nowy. Spisane będą czyny i rozmowy (Miłosz) dr inż. Dobrosław MĄKA 1
2 Społeczny aspekt bezpieczeństwa informacji 2
3 Ewolucja warunków bezpieczeństwa (na przykładzie sztuki wojennej) poziom informatyczny (cywilizacja informatyczna) poziom mechaniczny (cywilizacja rozwój środków walki zbrojnej przemysłowa) Harmonia (równowaga) energetyczno-informacyjna Klasyczna teoria wojen Dominacja energii Teoria Clausewitza Względna równowaga energetyczno-informacyjna Neoklasyczne teorie wojen? Dominacja informacji? Informacyjna (psychotroniczna ) teoria wojen? poziom biologiczny (cywilizacja agrarna) Energetyczny (materialny) potencjał walki zbrojnej Informacyjny potencjał walki zbrojnej czas rewolucja przemysłowa rewolucja informacyjna XVIII/XIX w. XX/XXI w. 3
4 TRANSINFORMATOR Informowanie wierne INFORMATOR PSEUDOINFORMATOR prof. P. Sienkiewicz wykłady AON Informowanie pozorne, rozwlekłe ogólnikowe, niejasne DEZINFORMATOR Informowanie fałszywe zmyślanie, zatajanie, przekręcanie PARAINFORMATOR Informowanie typu domniemywanie trafne, nietrafne, bezpodstawne, niedomyślne, opaczne METAINFORMATOR Informowanie o informacjach 4
5 NADAWCA Wzrost wartości i informacji Informacja nadana FILTR FIZYCZNY Informacja przyjęta FILTR SEMANTYCZNY Informacja zrozumiała Szum fizyczny Szum semantyczny FILTR PRAGMATYCZNY Informacja potrzebna Szum pragmatyczny ODBIORCA prof. P. Sienkiewicz wykłady AON 5
6 SMOG INFORMACYJNY Informacja odebrana INFORMACJA INTERESUJĄCA? Informacja przyjęta INFORMACJA ODPOWIADA POGLĄDOM? Informacja zrozumiała SZUM Fizyczny Semantyczny Pragmatyczny ŚMIETNIK INFORMACJA POTRZEBNA? Informacja potrzebna prof. P. Sienkiewicz wykłady AON BIEŻĄCE ZASOBY INFORMACYJNE ODBIORCY WEWNĘTRZNA INFOSFERA 6
7 HIERARCHIA INFORMACYJNYCH ZAGROŻEŃ I ICH SKUTKÓW STRUCTURED THREAT UNSTRUCTURED THREAT CRIMINALS HACKERS NATIONS TERRORISTS TRANSNATIONAL ENTITIES CRACKERS VANDALS m e d i a Zagrożenia dla bezpieczeństwa międzynarodowego (globalnego społeczeństwa informacyjnego) Destabilizacja krytycznej infrastruktury Zakłócenia funkcjonowania administracji publicznej Straty gospodarcze (zahamowanie rozwoju firm i przedsiębiorstw) DISGRUNTLED EMPLOYEES prof. P. Sienkiewicz wykłady AON Straty osobiste obywateli 7
8 Scenariusze rozwoju społeczeństwa informacyjnego Cztery nurty myślenia, wedle kryterium korzyści i strat, obaw i nadziei, szans i zagrożeń: Pierwszy nurt ujawnia przewagę optymizmu, wskazuje na nadzwyczajne szanse rozwoju Drugi nurt pozostający w sprzeczności z pierwszym zawiera przestrogę przed rosnącym utechnicznieniem ludzkiej egzystencji Trzeci nurt opiera się na założeniu, że skutki społeczne są zależne w decydującym stopniu od tego, czy narzędzi używa się w dobrym, czy złym kierunku Czwarty opiera się na stwierdzeniu, że sposób, w jaki czynimy użytek z nowych technik informacyjnych i komunikacyjnych, tylko w części zależy od nas samych, w części zaś jest zdeterminowany przez naturę samej techniki 8
9 Projekt INDECT - celem jest stworzenie narzędzi do automatycznego wykrywania zagrożeń Propozycja projektu INDECT została zgłoszona przez grupę 17 europejskich partnerów pod przewodnictwem Akademii Górniczo-Hutniczej w Krakowie 9
10 10
11 11
12 12
13 System SORM 13
14 System SORM 14
15 System SORM SORM-1 inwigiluje łączność telefonii stacjonarnej i komórkowej SORM-2 inwigiluje ruch w internecie SORM-3 zbiera informacje z wszystkich form komunikacji, zapewniając długoterminowe magazynowanie wszystkich danych i informacji o abonentach, w tym aktualne nagrania i lokalizacje. Już w latach wszyscy operatorzy telefoniczni w Rosji musieli zainstalować u siebie oprogramowanie SORM-1 w celu zbierania i analizy informacji z sieci telefonicznych. A od początku poprzedniej dekady każdy dostawca internetu został zobowiązany do zainstalowania programu SORM-2 15
16 System SORM МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ (МИНКОМСВЯЗЬ РОССИИ) ПРИКАЗ Москва Операторам связи до 1 июля 2014 г. привести в соответствие с требованиями Правил используемое, а также вводимое в эксплуатацию в сетях передачи данных оборудование коммутации и маршрутизации пакетов информации, включая программное обеспечение, обеспечивающее выполнение установленных действий при проведении оперативно-разыскных мероприятий
17 BEZPIECZEŃSTWO Bezpieczeństwo Teleinformatyczne NARODOWE: Zewnętrzne Militarne Wewnętrzne Obywatelskie Spo połeczne Ekonomiczne Ekologiczne Informacyjne (i Telekomunikacyjne) Bezpieczeństwo Informacyjne Informacja Klasyfikacja Informacji Oznakowanie Informacji Wymiana Informacji Ochrona Informacji Bezpieczeństwo TI (STI) 17
18 Ochrona infrastruktury krytycznej W Polsce zagadnienia związane z ochroną infrastruktury krytycznej pojawiły się po raz pierwszy na początku 2001 roku na konferencji Secure 2001 Bezpieczeństwo nowe wyzwania. Dominującym tematem była kwestia kontroli międzynarodowej cyberprzestępczości oraz podkreślono konieczność podjęcia działań na rzecz podniesienia bezpieczeństwa zasobów znajdujących się w Internecie. Dodatkowym tematem dyskusji była koordynacja działań w skali kraju w odpowiedzi na rosnące zagrożenie informatyczne. 18
19 Rozkład procentowy (geograficzny) źródeł ataków na monitorowane sieci przez system ARAKIS-GOV 19
20 Źródła (geograficzne) ataków cyberterrorystycznych Źródło: Trustwave News & Events, The Web Hacking Incident Database 2010, https://www.trustwave.com/news-events.php [dostęp r.] 20
21 Realizacja polityki bezpieczeństwa informacyjnego wg raportu CERT za 2012 r. W 2012 roku CERT Polska odnotował ponad 10,5 mln automatycznych zgłoszeń dotyczących naruszeń bezpieczeństwa, przede wszystkim przypadków źródeł spamu oraz botów Polska wypada dobrze na tle innych krajów pod względem liczby utrzymywanych w naszym kraju stron związanych z phishingiem i złośliwym oprogramowaniem w statystykach znajdujemy się poza pierwszą dziesiątką. Niestety, znacznie gorzej jest w przypadku problemów związanych z komputerami użytkowników indywidualnych, a więc liczby botów, skanowań i wysyłanego spamu. Przyczyniają się do tego przede wszystkim sieci operatorów komórkowych, oferujących mobilny dostęp do Internetu, a także Netia jeden z największych operatorów telekomunikacyjnych 21
22 Najczęściej atakowaną usługą w przypadku skanowań jest niezmiennie SMB w Microsoft Windows (445/TCP). Robaki propagujące się z wykorzystaniem tej usługi, takie jak Sasser czy Conficker wciąż mają się dobrze, choć powstały 5 i więcej lat temu! Nowością wśród często atakowanych usług jest Zdalny Pulpit w systemach MS Windows (3389/TCP). Ataki polegają przede wszystkim na próbie odgadnięcia haseł do tej usługi, co pozwala na przejęcie kontroli nad pulpitem. Za dużą część takich ataków odpowiada robak Morto Znacząco, bo aż o 56 %, powiększyła się liczba serwerów DNS w polskich sieciach, które skonfigurowane są w nieprawidłowy sposób, narażając na niebezpieczeństwo wszystkich użytkowników sieci. Powodem jest głównie brak świadomości istnienia problemu u ich administratorów 22
23 23
24 24
25 25
26 26
27 27
28 28
29 Techniczne aspekty bezpieczeństwa informacji podejście Polski, Unii Europejskiej, USA 29
30 30
31 31
32 niezbędne jest utworzenie w ramach programu rozwoju sił zbrojnych na lata nowego programu operacyjnego wsparcia kryptograficznego obrony cyberprzestrzeni. Pozwoli to na całościowe ujęcie problemu bezpieczeństwa cybernetycznego w MON "Utworzenie Centrum Operacji Cybernetycznych pozwoli m.in. na integrowanie narodowego potencjału w obszarze kryptologii oraz zaawansowanych technologii cybernetycznych w resorcie obrony narodowej oraz kontynuowanie budowy scentralizowanego systemu obrony cybernetycznej i narodowej zdolności kryptograficznej" 32
33 33
34 EC3 oficjalnie rozpoczęła działalność 1 stycznia 2013 r. z mandatem do zwalczania następujących obszarów cyberprzestępczości: Popełnione przez zorganizowane grupy przestępcze, aby wygenerować duże zyski, takie jak oszustwa online To, co powoduje poważne szkody ofierze, takich jak internetowa pornografia dziecięca Zagrożenia dla krytycznej infrastruktury i systemów informacyjnych w Unii Europejskiej EC3 ma stać się centralnym punktem w walce UE przeciwko cyberprzestępczości, poprzez budowanie zdolności operacyjnych i analitycznych dla badań i współpracy z międzynarodowymi partnerami Europejskie Centrum Cyberprzestępczość jest obsługiwane przez Europol; Europejski organ ścigania przestępczości w Hadze, w Holandii, a więc EC3 może korzystać z istniejącej infrastruktury i sieci Europolu 34
35 35
36 The Department of Homeland Security's Critical Infrastructure Cyber Community C³ Voluntary Program helps align critical infrastructure owners and operators with existing resources that will assist their efforts to adopt the Cybersecurity Framework and manage their cyber risks President issued Executive Order 13636, Improving Critical Infrastructure Cybersecurity, in February
37 Ramowy program Cyber Community C³ Voluntary 37
38 Funkcje wykonawcze Cyber Community C³ Voluntary: ID-PR-DE-RS-RC: identyfikacja zabezpieczenie wykrycie reagowanie przywracanie 38
39 Implementacja programu na podstawie wyników zarządzania ryzykiem 39
40 Szacowanie źródeł zagrożeń 40
41 Zagrożenia rezydujące w stosowanych aplikacjach informatycznych 41
42 Diagram przycznowo-skutkowy Ishikawy typu rybi szkielet CZYNNIKI WARUNKUJĄCE Ustawa o dostępie do informacji zgodność ustaw restryktywnych z prawami i przywilejami jednostki branżowe akty prawne świadectwa bezpieczeństwa przemysłowego Bezpieczeństwo przemysłowe i osobowe CZYNNIKI DECYDUJĄCE Ustawa o ochronie osób i mienia przepisy szczegółowe rodzaje informacji stanowiących tajemnice zawodowe akty wykonawcze, rekrutacja procedury sprawdzeniowe, poświadczenia bezpieczeństwa Bezpieczeństwo fizyczne Ustawa o ochronie danych osobowych prawa i dyrektywy Unii Europejskiej służby Europejska Klasyfikacja Działalności kancelarie i pomieszczenia specjalne ochrona fizyczna i obiektowa Ustawa o ochronie informacji niejawnych dyrektywy, wytyczne, zasady Bezpieczeństwo teleinformatyczne inspekcje i kontrole ochrony państwa standardy i normy krajowe i zagraniczne strefowanie bezpieczeństwo środków łączności bezpieczeństwo środków informatyki bezpieczeństwo emisji szczególne wymagania bezpieczeństwa normy krajowe i zagraniczne organizacja i struktura sprzęt i oprogramowanie kryptografia STAN Oparcie legislacyjne pożądany stan formalny Właściwe warunki przetwarzania, gromadzenia i przechowywania informacji Stan bezpieczeństwa posiadanie odpowiednich świadectw i certyfikatów 42
43 Model elementów analizy ryzyka OTOCZENIE T T R S T T RR S V V V AKTYWA V V S V T RR S LEGENDA: R - ryzyko RR - ryzyko pozostale S - ochrona T - zagrozenia V - podatnosc 43
44 ANALIZARYZYKA ZASOBY ZAGROŻENIA PODATNOŚĆ (WRAŻLIWOŚĆ) RYZYKO ZARZĄDZANIE RYZYKIEM ŚRODKI ZARADCZE 44
45 RYZYKO = ( szansa zaistnienia) x (konsekwencje) stratakonsekwencje R 1 Ryzyko źródłowe ryzyko NIE-akceptowane Ryzyko Ryzyko szczątkowe ryzyko akceptowane R 3 R 2 Szansa zaistnienia (prawdopodobieństwo) częstotliwość MDR = S W + b Zysk + g Gwarancje gdzie: S w b g - część środków własnych - część (procent) przeznaczony na zabezpieczenia - część (procent) rocznego zysku operacyjnego brutto - szacunkowy wskaźnik odszkodowań 45
46 46
47 Narastanie sytuacji terrorystycznej 47
48 Risk Management Solutions, Inc. RMS Global Models Earthquakes Tropical Cyclones Fire Storm Surge Floods Winter Storms Windstorms Severe Convective Storms Terrorism Infectious Disease Źródło: Risk Management Solutions, Inc. 48
49 Ludzie, którzy podejmują ryzyko zmieniają świat (Robert Kiyosaki) Analiza (szacowanie) ryzyka w badaniach bezpieczeństwa 49
50 Bóg jest matematykiem Paul Dirac Matematyczna analiza ryzyka Analiza i ocena prawdopodobieństwa Analiza i ocena podatności Analiza i ocena konsekwencji Dum Deus calculat, mundus fit (Gdy Bóg rachuje, staje się świat) Leibnitz 50
51 Schemat operacyjny metody analizy ryzyka 51
52 52
53 Proces decyzyjny opary na analizie ryzyka Modelowanie możliwych ataków (Technical Ease) (niejawne) Technical ease factors are assessed for each attack mode, but the exact numbers are not reported here due to the sensitivity of the information 53
54 Drzewo zdarzeń Diagram wpływów 54
55 Funkcja DAWDR: D - detect A assess W warn D defend R - recover Wybór priorytetów Wzór na ocenę podatności na atak terrorystyczny (vulnerability) 55
56 Obliczanie scenariusza ataku Obliczanie miary wartości ataku 56
57 Interpolacja funkcji prawdopodobieństwa wykrycia ataku 57
58 58
59 Wykres ryzyka Wykres ryzyka dopuszczalnego 59
60 Prawdziwa wiedza to znajomość przyczyn (Franciszek Bacon) Symulacja podatności obiektu na atak terrorystyczny 60
61 skala 0-1 obiekt 1 obiekt 2 obiekt 3 obiekt 4 obiekt 5 MAX wykrycie 0,8 0,1 0,2 0,3 0,4 0,8 ocena 0,4 0,2 0,3 0,4 0,3 ostrzeżenie 0,7 0,3 0,2 0,2 0,4 uniemożliwienie 0,9 0,4 0,4 0,5 0,3 pokonanie 0,1 0,5 0,1 0,3 0,7 obiekt 5 obiekt 1 1 0,99 0,98 0,97 obiekt 2 Vx Vx Vx 0, ,9988 0, ,9964 0, ,99952 obiekt 4 obiekt 3 Scenariusz Podatność obiektu 1,2 1 0,8 0,6 0,4 obiekt 1 obiekt 2 obiekt 3 obiekt 4 obiekt 5 0,2 0 wykrycie ocena ostrzeżenie uniemożliwienie pokonanie 61
62 Straty (np. zakładnicy) Cx TEa 0,4 0,5 0,6 0,7 0,8 Scenariusz Ataku (atrakcyjność medialna) SAx 783, , , , ,968 obiekt SAx Scenariusz ataku Scenariusz ataku ( atrakcyjność medialna) obiekt obiekt 2 obiekt 4 obiekt 3 62
63 Prawdopodobieństwo scenariusza ataku wykrycie l1 0, , , , , ocena l2 0, , , , , ostrzeżenie l3 0, , , , , uniknięcie l4 0, , , , , pokonanie l5 0, , , , , ,35 obiekt 1 0,3 0,25 0,2 0,15 obiekt 5 0,1 obiekt 2 Prawdopodobieństwo przebiegu ataku 0,05 0 wykrycie ocena ostrzeżenie uniknięcie pokonanie obiekt 4 obiekt 3 63
64 MIARA RYZYKA RS obiekt 1 obiekt 2 obiekt 3 obiekt 4 obiekt Symulacja wykazuje, że miara ryzyka jest najbardziej zależna od STOPNIA TECHNICZNEJ WYKONALNOŚCI ATAKU obiekt Miara ryzyka obiekt obiekt 2 obiekt 4 obiekt 3 64
65 Symulacja Straty (np. zakładnicy) Cx Stopień wykonalności ataku TEa 0,4 0,5 0,6 0,7 0,8 wynik obiekt obiekt obiekt 2 0 obiekt 4 obiekt 3 65
66 Symulacja Straty (np. zakładnicy) Cx Stopień wykonalności ataku TEa 0,4 0,5 0,6 0,7 0,2 (wzmocnienie zabezpieczeń) obiekt wynik obiekt obiekt 2 0 obiekt 4 obiekt 3 66
67 Naliczenie budżetu na cele inwestycyjne 67
68 z Narodowego Programu Ochrony Infrastruktury Krytycznej: Zarówno ryzyko, jak i jego czynniki mogą być mierzone ilościowo lub jakościowo (np. opisowo). Kiedy jest to możliwe i uzasadnione ze względu na łatwość porównywania, należy stosować miary ilościowe. Prawdopodobieństwo i skutki powinny być obszarem oceny ilościowej i jakościowej, natomiast podatność jakościowej. W każdym przypadku przydatne jest stosowanie skalowania (przypisania określonym wartościom prawdopodobieństwa, podatności i skutków skal np. 1 5) z użyciem zakresów liczbowych lub szczegółowego opisu. Korzystanie z zakresów liczbowych i/lub szczegółowych opisów skal jest konieczne, ponieważ takie pojęcia jak niskie lub wysokie są przedmiotem różnych interpretacji. Określone w opisany powyżej sposób ryzyko powinno zostać poddane procesowi oceny. W procesie tym dokonuje się akceptacji ryzyka. Decyzja o akceptacji ryzyka powinna uwzględniać najgorszy możliwy scenariusz 68
69 Najlepsza metoda analityczna nie zastąpi procesu decyzyjnego, samej decyzji, jednoznacznie wskazującej ryzyko dopuszczalne w danej sytuacji, decyzji podejmowanej odpowiedzialnie przez kierownika jednostki organizacyjnej. Czy istnieje możliwość wspomagania tego procesu decyzyjnego? Same odwzorowania analizy ryzyka nie przynoszą bezpośredniej odpowiedzi na to pytanie. Do tej pory określenie ryzyka dopuszczalnego miało charakter mniej lub bardziej uznaniowy (przyjmowano z reguły 5 poziomów ryzyka katastroficzne, niedopuszczalne, znaczące, umiarkowane, nieznaczne), dzielono obliczoną miarę ryzyka w funkcji nakładów na zabezpieczenia, nie bacząc na to, że funkcja redukcji ryzyka poprzez stosowanie zabezpieczeń nie ma charakteru liniowego 69
70 Przydatnym, aczkolwiek jeszcze niesprawdzonym w praktyce narzędziem, może okazać się zastosowanie tzw. paradoksu Mayfielda, wykazującego, że spadek miary ryzyka w funkcji nakładów na bezpieczeństwo jest nieliniowy, co powoduje, że w określonym (obliczonym) obszarze ryzyko maleje w sposób słabo odczuwalny pomimo dalszych nakładów na bezpieczeństwo f(p) = p y Mayfield's Paradox: study from Carnegie Mellon University, USA wzór na współczynnik kosztów minimalnych y p y-1 = a y (bp) y-1 ISACA/Journal/Past-Issues/2001/Volume Issues/2001/Volume-2/Pages/Mathematical 2/Pages/Mathematical- Proofs-of of- Mayfields-Paradox a Fundamental- Principle-of of- Information-Security. 70
71 Paradoks: utrzymanie pełnego bezpieczeństwa systemu informacyjnego wymaga nieskończonej ilości pieniędzy, zapewnienie bezpiecznego dostępu do tego systemu także wymaga nieskończonej ilości pieniędzy, ale koszty między tymi skrajnościami są stosunkowo niskie Mayfield's Paradox and a study from Carnegie Mellon University 71
72 nakłady na bezpieczeństwo współczynnik wykonalności ataku strata prawdop miara ryzyka R 0, ,2 0,9 1 0,9 0,81 0,3 0,8 1 0,8 0,64 0,4 0,7 1 0,7 0,49 0,5 0,6 1 0,6 0,36 0,6 0,5 1 0,5 0,25 0,7 0,4 1 0,4 0,16 0,8 0,3 1 0,3 0,09 0,9 0,2 1 0,2 0,04 1 0,1 1 0,1 0,01 Zastosowanie paradoksu Mayfielda do wyznaczenia poziomu nakładów na bezpieczeństwo systemu pośrednie oznaczenie poziomu ryzyka dopuszczalnego obszar kalkulacji nakładów, po przekroczeniu których spadek miary ryzyka jest nieznaczny 3 2,5 2 nakłady na bezpieczeństwo współczynnik wykonalności ataku strata prawdop miara ryzyka R Potęg. (miara ryzyka R) 1,5 1 0,5 0 0,1 0,2 0,3 0,4 0,5 0,6 0,7 0,8 0,9 1 72
73 W określonych warunkach, wynikających z właściwie przeprowadzonego oszacowania miary ryzyka można na podstawie tego odwzorowania określić miarę nakładów na zabezpieczenia odpowiadającą punktowi, od którego dalszy spadek miary ryzyka jest już słabo odczuwalny. Drugie zdanie z cytatu A. Shamira traci więc swoją aktualność. 73
74 Analiza ryzyka cyberterrorystycznego wobec systemów teleinformatycznych (próba modelowania) 74
75 O B I E K T Y D A W D R skala 0-1 serwery rządowe portale społecz. finanse (bank) firmy media MAX wykrycie 0,8 0,3 0,4 0,3 0,4 ocena 0,4 0,4 0,3 0,4 0,5 ostrzeżenie 0,7 0,3 0,4 0,5 0,4 uniemożliwienie 0,9 0,4 0,5 0,4 0,2 pokonanie 0,7 0,2 0,6 0,3 0,2 Vx 0, , ,9856 0,9928 0,9968 0,99712 Podatność obiektów Vx 1,05 1 0,95 0,9 Vx 0,85 0,8 0,75 serwery rządowe portale społecz. finanse (bank) firmy media 75
76 S T R A T Y O B I E K T Y straty fin , ,5 utrata inf wirusy spam , ,5 Stopień wykonalności ataku TEa 0,2 0,5 0,6 0,7 0,8 Scenariusz Ataku informacje SAx 117, , , , ,60544 serwery rządowe 400 SAx media portale społecz. Scenariusz ataku (straty w zasobach informacyjnych) 0 firmy finanse (bank) 76
77 D A W D R O B I E K T Y Prawdopodobieństwo scenariusza ataku wykrycie l1 0, , , , , ocena l2 0, , , , , ostrzeżenie l3 0, , , , , uniemożliwienie l4 0, , , , , pokonanie l5 0, , , , , serwery rządowe 0,16 0,14 0,12 0,1 0,08 media 0,06 0,04 portale społecz. 0,02 Rozkład scenariuszy ataku 0 wykrycie ocena ostrzeżenie uniemożliwienie pokonanie firmy finanse (bank) 77
78 O B I E K T Y MIARA RYZYKA RS serwery rządowe portale społecz. finanse (bank) firmy media serwery rządowe Miara ryzyka naruszenia bezpieczeństwa zasobów informacyjnych media portale społecz. firmy finanse (bank) 78
79 Wynik analizy ryzyka wg funkcji DAWDR 79
80 Ocena zagrożeń wg NIST 80
81 Statystyka kradzieży danych 81
82 Nowe wyzwania bezpieczeństwa teleinformacyjnego Cloud computing przetwarzanie w chmurze BYOD bring your own device MDM mobile device management BSIMM building security in maturity model W3AF - Web Application Attack and Audit Framework REMnux's reverse-engineering malware tools 82
83 Przetwarzanie w chmurze Architecture, IT Security, & Operational Perspectives Cloud Computing NIST Definition: Model (sposób) umożliwienia sieciowego wykorzystania podzielnego obszaru skalowalnych platform, źródeł, oprogramowania, baz danych i środowisk przetwarzania informacji - poprzez zautomatyzowane systemy dostępowe zarządzane przez dostawcę usług 83
84 Modele usług (dostępu): IaaS: Infrastructure as a Service Użytkownik uzupełnia swoje źródła przetwarzania informacji infrastrukturą dostawcy usług, z wykorzystaniem której może użytkować dowolne oprogramowanie włącznie z systemami operacyjnymi i aplikacjami PaaS: Platform as Service Użytkownik może tworzyć własne aplikacje z wykorzystaniem narzędzi programowania dostawcy usług i korzystać z nich w obszarze infrastruktury przetwarzania w chmurze SaaS: Software as Service Użytkownik wykorzystuje aplikacje dostawcy usług i przetwarza informacje z wykorzystaniem infrastruktury chmury Virtual Machines Virtual Networks IaaS Auto Elastic Continuous Integration PaaS Built for Cloud Uses PaaS SaaS 84
85 Technologie i rozwiązania zania do utrzymania i zarządzania Główne atrybuty przetwarzania w chmurze: 1. Podzielność zasobów/wspólność 2. Duża obszar dostępności 3. Obsługa sieciowa na życzenie 4. Skalowalność i elastyczność 5. Rozliczalność wg czasu dostępu 85
86 Bezpieczeństwo przetwarzania w chmurze? Konieczność współpracy z komercyjnymi dostawcami Potrzeba przeglądu dostępnych i stosowanych mechanizmów bezpieczeństwa 86
87 Statystyka zastrzeżeń wobec przetwarzania w chmurze w odniesieniu do zróżnicowanych zagrożeń 87
88 Problemy bezpieczeństwa przetwarzania w chmurze Stosowane procedury IT Security nie mają wpływu na jakość bezpieczeństwa IT Security może jedynie określić stan bezpieczeństwa po zaistnieniu incydentu użytkownik może nie stwierdzić wystąpienia incydentu nie ma pewności dot. jakości nadzoru bezpieczeństwa przetwarzania w chmurze ze strony dostawcy usług bezpieczeństwo przetwarzanie w chmurze nasuwa wątpliwości w przypadku dostawcy będącego operatorem prywatnym 88
89 BYOD BYOD (przynieść własne urządzenie) - rosnąca tendencja korzystania z urządzeń będących własnością pracowników w przedsiębiorstwie. Smartfony są najczęstszym tego przykładem, ale pracownicy również użytkują własne tablety, laptopy i dyski USB w miejscu pracy. BYOT (przynieść własne technologie) odnosi się do korzystania z urządzeń konsumenckich i aplikacji w miejscu pracy. BYOC (przynieść własny komputer) BYOL (przynieść własnego laptopa) BYOA (przynieść własną aplikację) przynieść własny komputer (BYOPC). Bring Any Device the acronym there is BAD CYOD Choose Your Own Device 89
90 Android security Rosnące zagrożenie bezpieczeństwa informacji wobec systemu Android wymaga, aby zespoły bezpieczeństwa informacji wdrażały politykę bezpieczeństwa Android. Nowy raport firmy McAfee Inc. dot. złośliwego oprogramowania Android przedstawia wzrost nadużyć w systemach mobilnych, związanych głównie z technologią Google Android. 90
91 Testy aplikacji (Application security testing (AST) - DAST - dynamiczne testy bezpieczeństwa aplikacji - najbardziej dojrzałe i powszechnie przyjęte, doskonale nadają się do wykorzystania przez specjalistów od bezpieczeństwa nie posiadających dostępu do kodu źródłowego. - SAST - statyczne testowanie bezpieczeństwa aplikacji, CEST testuje aplikacje z pozycji wyjściowej poprzez analizę kodu źródłowego danej aplikacji, kodu bajtowego, lub, w niektórych przypadkach, kodu binarnego. - IAST - trzecia możliwość interaktywnego testowania bezpieczeństwa aplikacji, która zapewnia interakcję zarówno statyczną (inside-out) i dynamiczną (ouside-in) i możliwości testowania z celem zapewnienia większej dokładności 91
92 Koncepcja magicznego kwadratu 92
93 Protecting Your APIs Against Attack & Hijack Application Programming Interface System przesuwa granicę funkcji ziarnistości do klienta, co daje znacznie większy obszar penetracji da potencjalnego przestępcy 93
94 Aspekt społeczny zagrożeń ze strony aplikacji i bezpieczeństwa urządzeń mobilnych 94
95 Analizy bezpieczeństwa systemów informatycznych o1. - Application security o2. - Authentication o3. - Cloud security o4. - Data loss prevention o5. - security o6. - Encryption o7. - Endpoint security o8. - Enterprise firewalls o9. - Identity and access management o10. - Intrusion detection and prevention o11. - Mobile data security o12. - Network access control o13. - Policy and risk management o14. - Remote access o15. - SIEM (security information and event management) o16. - Unified threat management o17. - Vulnerability management o18. - Web application firewalls 95
96 Konkursy bezpieczeństwa (złamania zabezpieczeń) Pwn2Own is a computer hacking contest held annually at the CanSecWest security conference, beginning in Contestants are challenged to exploit widely used software and mobile devices with previously unknown vulnerabilities. Winners of the contest receive the device that they exploited, a cash prize, and a "Masters" jacket celebrating the year of their win. The name "Pwn2Own" is derived from the fact that contestants must "pwn" or hack the device in order to "own" or win it. The Pwn2Own contest serves to demonstrate the vulnerability of devices and software in widespread use while also providing a checkpoint on the progress made in security since the previous year 96
97 Konkursy bezpieczeństwa (złamania zabezpieczeń) Konkurs piractwa komputerowego Pwn2Own odbywa się corocznie podczas konferencji bezpieczeństwa CanSecWest, począwszy od 2007 roku. Uczestnicy mają za zadanie wykorzystanie powszechnie używanego oprogramowania i urządzeń mobilnych z nieznanymi wcześniej lukami. Laureaci konkursu otrzymują urządzenia, które są wykorzystywane i nagrodę pieniężną. Konkurs Pwn2Own służy do wykazania wrażliwości urządzeń i oprogramowania w powszechnym użyciu, a jednocześnie zapewnia punkt kontrolny postępów w dziedzinie bezpieczeństwa w stosunku do poprzedniego roku 97
98 Perspektywy nowego podejścia do bezpieczeństwa informacyjnego potrzeba indywidualnego wdrażania innych zabezpieczeń niż loginy i hasła; tendencje do weryfikacji zasadności wydanych certyfikatów bezpieczeństwa; dominująca rola aplikacji w bezpieczeństwie teleinformatycznym; rywalizacja firm komputerowych z państwowymi organami bezpieczeństwa (monitoring inwigilacja); wypracowanie metod zabezpieczeń środków mobilnych; wyzwanie wobec internetowej interoperacyjności urządzeń w aplikacjach biznesowych (Internet of Things) wdrażanie zasad obrony głębokiej (Defense in Depth) przeciwko atakom DDos 98
99 ataki dźwiękowe na systemy przetwarzające loginy i hasła, ataki dźwiękowe na systemy przetwarzające loginy i hasła, nie pomaga technologia TEMPEST 99
100 Kill Switch Prawie jedna trzecia kradzieży w USA obejmuje zabór telefonu, według Federalnej Komisji Łączności (FCC). W maju br. Minnesota jako pierwszy stan USA wprowadził przepisy, które wymagają jakiejś formy Kill Switch na wszystkich smartfonach sprzedawanych w stanie od lipca 2015 roku. Skala problemu: wg ekspertów USA przeciętna organizacja traci rocznie 3 razy więcej smartfonów niż laptopów, koszt utraty danych 64 GB/szt. to 400 tys. $ 100
101 Internet of Things i kod Halo 101
102 Do tej pory uważaliśmy, że INFORMACJA JEST TOWAREM, w cywilizacji informacyjnej zaczęto stosować termin KONSUMENT-TOWAREM, obecnie grozi nam kolejna definicja CZŁOWIEK CZUJNIKIEM Kod HALO grupuje osoby fizyczne (dane osobowe), urządzenia (m.in.. BYOD), sieci (Internet), organizacje i biznes tworząc metadane. Inicjatywa ta wpisana jest w nowoczesne działania logistyczne: DRP, ERP, CRM Konkurują : Google, Amazon, Facebook, and Twitter. 102
103 IoT - Internet przedmiotów Odpowiedzią cyberprzestępców na IoT = Botnety - Thingboty Podejście do problematyki bezpieczeństwa pozakomputerowych obiektów podłączonych do sieci publicznej (sprzęt gospodarstwa domowego, inteligentne budynki, urządzenia sterujące windami, ogrzewaniem i klimatyzacją, systemy nawigacji, automatyka powszechnego użytku) (grupa naukowców testując sieciowe aplikacje nawigacyjne zdołała zdalnie doprowadzić wybrany jacht do zmiany kursu, odnotowano także spam rozsyłany przez lodówkę i telewizor) 103
104 Defense in Depth? 104
Ochrona biznesu w cyfrowej transformacji
www.pwc.pl/badaniebezpieczenstwa Ochrona biznesu w cyfrowej transformacji Prezentacja wyników 4. edycji badania Stan bezpieczeństwa informacji w Polsce 16 maja 2017 r. Stan cyberbezpieczeństwa w Polsce
Zagrożenia związane z udostępnianiem aplikacji w sieci Internet
Zagrożenia związane z udostępnianiem aplikacji w sieci Internet I Ogólnopolska Konferencja Informatyki Śledczej Katowice, 8-9 stycznia 2009 Michał Kurek, Aleksander Ludynia Cel prezentacji Wskazanie skali
Jak uchronić Twój biznes przed cyberprzestępczością
www.pwc.com Jak uchronić Twój biznes przed cyberprzestępczością Nigdy nie zostałem zhakowany Roman Skrzypczyński Marcin Klimczak 03 listopada 2015 2 3 Tu i teraz nasza firma? 4 20 symulacji zintegrowanych
Reforma ochrony danych osobowych RODO/GDPR
Reforma ochrony danych osobowych RODO/GDPR Reforma ochrony danych osobowych (RODO/GDPR) wyzwania dla organów państwa, sektora publicznego i przedsiębiorców. Marek Abramczyk CISA, CRISC, CISSP, LA 27001,
! Retina. Wyłączny dystrybutor w Polsce
! Retina 0 0 Rozwiązania BeyondTrust dostarczają informacji niezbędnych do podejmowania właściwych decyzji i zmniejszenia ryzyka dla zasobów i użytkowników. 1 1 10,000+ licencji 80%największych światowych
Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej
Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej Michał Kurek, Partner KPMG, Cyber Security Forum Bezpieczeństwo Sieci Technologicznych Konstancin-Jeziorna, 21 listopada
Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL
Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL Tomasz Prząda DBTI ABW 2008 1 Agenda Podstawowe informacje o CERT.GOV.PL Realizowane przedsięwzi wzięcia Statystyki
epolska XX lat później Daniel Grabski Paweł Walczak
epolska XX lat później Daniel Grabski Paweł Walczak BIG TRENDY TECHNOLOGICZNE TRANSFORMACJA DOSTĘPU DO LUDZI I INFORMACJI +WYZWANIA W OBSZARZE CYBERBEZPIECZEŃSTWA Mobile Social Cloud Millennials (cyfrowe
Kierunki rozwoju zagrożeń bezpieczeństwa cyberprzestrzeni
Kierunki rozwoju zagrożeń bezpieczeństwa cyberprzestrzeni Michał Pilc Dział Bezpieczeństwa ICT, PCSS Warszawa, 06.04.2017 Konferencja Kongres Bezpieczeństwa Sieci Agenda PCSS i bezpieczeństwo teleinformatyczne
Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami
Bezpieczeństwo aplikacji WWW Klasyfikacja zgodna ze standardem OWASP Zarządzanie podatnościami Tomasz Zawicki tomasz.zawicki@passus.com.pl Pojawianie się nowych podatności I. Identyfikacja podatności II.
Zarządzanie bezpieczeństwem informacji w urzędach pracy
Materiał informacyjny współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Zarządzanie bezpieczeństwem informacji w urzędach pracy Radek Kaczorek, CISA, CIA, CISSP,
17-18 listopada, Warszawa
17-18 listopada, Warszawa Michał Kurek, OWASP Polska IoT na celowniku cyberprzestępców Czy jest ratunek? Agenda Czym jest IoT? Przyszłość IoT Czy IoT jest bezpieczne? Dlaczego NIE? Gdzie szukać pomocy?
Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK
Realne zagrożenia i trendy na podstawie raportów CERT Polska CERT Polska/NASK Kim jesteśmy? Czym jest CERT Polska: Zespół działający w ramach Naukowej i Akademickiej Sieci Komputerowej; Powołany w 1996
Wymiana doświadczeń Jarosław Pudzianowski - Pełnomocnik do Spraw Zarządzania Bezpieczeństwem
Wymiana doświadczeń Jarosław Pudzianowski - Pełnomocnik do Spraw Zarządzania Bezpieczeństwem Warszawa, 2017-04-21 1. BEZPIECZEŃSTWO PRZETWARZANIA INFORMACJI W SYSTEMACH INFORMATYCZNYCH Bezpieczeństwo informacji
Kompleksowe Przygotowanie do Egzaminu CISMP
Kod szkolenia: Tytuł szkolenia: HL949S Kompleksowe Przygotowanie do Egzaminu CISMP Certificate in Information Security Management Principals Dni: 5 Opis: Ten akredytowany cykl kursów zawiera 3 dniowy kurs
SIŁA PROSTOTY. Business Suite
SIŁA PROSTOTY Business Suite REALNE ZAGROŻENIE Internetowe zagrożenia czyhają na wszystkie firmy bez względu na to, czym się zajmują. Jeśli masz dane lub pieniądze, możesz stać się celem ataku. Incydenty
AGENT DS. CYBERPRZESTĘPCZOŚCI. Partner studiów:
NOWOŚĆ!!! AGENT DS. CYBERPRZESTĘPCZOŚCI Partner studiów: Odbiorcy studiów Studia przeznaczone są dla pracowników sektora przedsiębiorstw, funkcjonariuszy służb porządku publicznego, a także zatrudnionych
Zaufanie i bezpieczeństwo w Europejskiej Agendzie Cyfrowej. Od idei do wdrożenia. Sesja Europejska droga do nowego ładu informacyjnego
Zaufanie i bezpieczeństwo w Europejskiej Agendzie Cyfrowej. Od idei do wdrożenia XVII Forum Teleinformatyki Sesja Europejska droga do nowego ładu informacyjnego 22-23 września 2011 r. Miedzeszyn Nota:
Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE
Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE AGENDA: Plan prezentacji Wstęp Charakterystyka zagrożeń, zasobów i zabezpieczeń Założenia bezpieczeństwa
Bezpieczeństwo w pracy zdalnej. pawel.krawczyk@hush.com
Bezpieczeństwo w pracy zdalnej pawel.krawczyk@hush.com Agenda Pracownik w firmie, a pracownik zdalny - różnice Praca zdalna nowe wyzwanie z punktu widzenia bezpieczeństwa Przepisy prawa Możliwe techniki
Cyber Threat Intelligence (CTI) nowy trend w dziedzinie cyberbezpieczeństwa
Cyber Threat Intelligence (CTI) nowy trend w dziedzinie cyberbezpieczeństwa Tomasz Łużak Paweł Krawczyk Informacja chroniona w Exatel 1 Czym jest Cyber Threat Intelligence? Cyber Threat Intelligence (CTI)
Chmura nad Smart City. dr hab. Prof. US Aleksandra Monarcha - Matlak
Chmura nad Smart City dr hab. Prof. US Aleksandra Monarcha - Matlak Miasta generują ogromne zbiory danych cyfrowych. Ten trend jest napędzany przez zbiór powiązanych ze sobą wydarzeń. Po pierwsze, w czasie
Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych
Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych Prezentacja na Forum Liderów Banków Spółdzielczych Dariusz Kozłowski Wiceprezes Centrum Prawa Bankowego i Informacji sp.
Bezpieczeństwo danych w sieciach elektroenergetycznych
Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych
Symantec Enterprise Security. Andrzej Kontkiewicz
Symantec Enterprise Security Andrzej Kontkiewicz Typowe pytania o bezpieczeństwo Jak... 2 Cztery kroki do bezpieczeństwa Jak chronić informację, gdy informację, obrzeże Jak stanowią to ludzie chronić sieci?
Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )
Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych
Warstwa ozonowa bezpieczeństwo ponad chmurami
Warstwa ozonowa bezpieczeństwo ponad chmurami Janusz Mierzejewski Presales consultant 27.09.2012 1 Agenda 2 : Szansa i wyzwanie Private Powinniśmy wykorzystać rozwiązania by reagować na potrzeby biznesu
Mateusz Kurleto NEOTERIC. Analiza projektu B2B Kielce, 18 października 2012
2012 Pierwsze przymiarki do zakresu informatyzacji (rodzaj oprogramowania: pudełkowe, SaaS, Iaas, CC, PaaS. Zalety i wady: dostępność, koszty, narzędzia, ludzie, utrzymanie, bezpieczeństwo, aspekty prawne)
Przetwarzanie danych w chmurze
Materiały dydaktyczne Katedra Inżynierii Komputerowej Przetwarzanie danych w chmurze Modele przetwarzania w chmurze dr inż. Robert Arsoba Robert.Arsoba@weii.tu.koszalin.pl Koszalin 2017 Wersja 1.0 Modele
Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych
Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Agenda. Quo vadis, security? Artur Maj, Prevenity
Quo vadis, security? Artur Maj, Prevenity Agenda 1. Bezpieczeostwo informacji rys historyczny 2. Najistotniejsze wyzwania bezpieczeostwa - obecnie i w najbliższym czasie 3. Nasze rekomendacje 1 Bezpieczeostwo
Application Security Verification Standard. Wojciech Dworakowski, SecuRing
Application Security Verification Standard Wojciech Dworakowski, SecuRing login: Wojciech Dworakowski OWASP Poland Chapter Leader OWASP = Open Web Application Security Project Cel: Podnoszenie świadomości
Agent ds. cyberprzestępczości
Nazwa: Rodzaj: Charakterystyka: Agent ds. cyberprzestępczości Studia podyplomowe realizowane we współpracy z Polskim Instytutem Kontroli Wewnętrznej w Warszawie Celem studiów jest przygotowanie słuchaczy
Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa, 29.10.2015
Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów Michał Olczak Obserwatorium.biz Warszawa, 29.10.2015 O mnie Michał Olczak, Członek zarządu, CTO absolwent Politechniki Poznańskiej,
Zgodność, fraudy i inne wyzwania oraz zagrożenia w Bankach Spółdzielczych. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.
Zgodność, fraudy i inne wyzwania oraz zagrożenia w Bankach Spółdzielczych Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Kilka słów o AVET INS 1997 rozpoczęcie działalności Od początku
Maciej Byczkowski ENSI 2017 ENSI 2017
Znaczenie norm ISO we wdrażaniu bezpieczeństwa technicznego i organizacyjnego wymaganego w RODO Maciej Byczkowski Nowe podejście do ochrony danych osobowych w RODO Risk based approach podejście oparte
SZCZEGÓŁOWY HARMONOGRAM KURSU
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I - WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na wyjaśnieniu których szczególnie
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Copyright 2016 BSI. All rights reserved. Tak było Na dokumentację,
Complete Patch Management
Complete Patch Management Ukierunkowany, wiarygodny i wydajny Brief Secunia CSI Corporate Software Inspector Pozwól swojej organizacji przejąć kontrolę nad podatnościami oraz zoptymalizuj koszty inwestycji
Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?
Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku? Badanie Cyberbezpieczeństwo Firm Warszawa, 2 marca 2017 The better the question. The better the answer. The better the world works.
2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem
Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Program ochrony cyberprzestrzeni RP założenia
Program ochrony cyberprzestrzeni RP założenia Departament Bezpieczeństwa Teleinformatycznego ABW Departament Infrastruktury Teleinformatycznej MSWiA www.cert.gov.pl slajd 1 www.cert.gov.pl slajd 2 Jakie
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW 09.00 09.05 Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na Wyjaśnieniu których
BEZPIECZEŃSTWO CYBERPRZESTRZENI REKOMENDACJE STOWARZYSZENIA EURO-ATLANTYCKIEGO
BEZPIECZEŃSTWO CYBERPRZESTRZENI REKOMENDACJE STOWARZYSZENIA EURO-ATLANTYCKIEGO Tezy: Postęp w dziedzinie technologii informacyjnych i komunikacyjnych (ICT) przyniósł rozwój społeczeństwa informacyjnego
Scenariusz na czarną godzinę. Czy sektor bankowy jest przygotowany do walki z cyberprzestępcami?
Scenariusz na czarną godzinę. Czy sektor bankowy jest przygotowany do walki z cyberprzestępcami? Trend CYBER EXERCISES Europejski i światowy trend organizacji Cyber Exercises Cyber Europe 2010/2012/2014
Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk
Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja
Bezpieczeństwo dziś i jutro Security InsideOut
Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle
Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP
Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP Dokument przyjęty przez Zespół Zadaniowy ds. bezpieczeństwa cyberprzestrzeni Rzeczypospolitej Polskiej i zatwierdzony przez Komitet
Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele
Nowa Strategia Cyberbezpieczeństwa RP na lata 2017-2022 główne założenia i cele Dariusz Deptała Serock, 29-31 maja 2017 r. Strategia Cyberbezpieczeństwa RP- Krajowe Ramy Polityki Cyberbezpieczeństwa Ustawa
OFERTA DLA MIAST, GMIN, INSTYTUCJI FINANSOWYCH I PODMIOTÓW KOMERCYJNYCH DOTYCZĄCA ZAGADNIEŃ ZWIĄZANYCH Z CYBERBEZPIECZEŃSTWEM
OFERTA DLA MIAST, GMIN, INSTYTUCJI FINANSOWYCH I PODMIOTÓW KOMERCYJNYCH DOTYCZĄCA ZAGADNIEŃ ZWIĄZANYCH Z CYBERBEZPIECZEŃSTWEM Naszym celem nadrzędnym jest dostarczenie wysoce specjalistycznych usług obejmujących
pilotażowe staże dla nauczycieli i instruktorów kształcenia zawodowego w przedsiębiorstwach
pilotażowe staże dla nauczycieli i instruktorów kształcenia zawodowego w przedsiębiorstwach IT W FIRMIE ADAM LASKOWSKI IT W FIRMIE SPIS TREŚCI: CEL ISTNIENIA IT UMIEJSCOWIENIE IT W ORGANIZACJI STRUKTURA
ADMINISTRACJA PUBLICZNA W CHMURZE OBLICZENIOWEJ
ROZMOWY GDAŃSKIE 2016 MOBILNE DANE. MOBILNY OBYWATEL. MOBILNA POLICJA 27-28.04.2016 STRALSUND ADMINISTRACJA PUBLICZNA W CHMURZE OBLICZENIOWEJ dr Ryszard SULĘTA Dyrektor Wydziału Bezpieczeństwa i Zarządzania
Cloud Computing wpływ na konkurencyjność przedsiębiorstw i gospodarkę Polski Bohdan Wyżnikiewicz
Cloud Computing wpływ na konkurencyjność przedsiębiorstw i gospodarkę Polski Bohdan Wyżnikiewicz Warszawa, 17 grudnia 2012 r. Co to jest cloud computing? Cloud computing jest modelem umożliwiającym wygodny
Efektywna ochrona danych jako skutek wdrożenia systemu Data Loss Prevention Maciej Iwanicki
Efektywna ochrona danych jako skutek wdrożenia systemu Data Loss Prevention Maciej Iwanicki Sr Systems Engineer, Symantec 1 Agenda 1 Informacja... 2 W jaki sposób chronić informację dzisiaj? 3 Redukcja
CIP-ICT ICT PSP call 6 Theme 5: TRUSTED E-SERVICES E AND OTHER ACTIONS. AND OTHER ACTIONS Systemy bezpieczenstwa w eusługach
Dzień Informacyjny dla 6 konkursu 2012 w Programie CIP-ICT PSP Warszawa, 31.01.2012 CIP-ICT ICT PSP call 6 Theme 5: TRUSTED E-SERVICES E AND OTHER ACTIONS Systemy bezpieczenstwa w eusługach Aleksandra
Aurea BPM. Unikalna platforma dla zarządzania ryzykiem Warszawa, 25 lipca 2013
Aurea BPM Unikalna platforma dla zarządzania ryzykiem Warszawa, 25 lipca 2013 Agenda 1. Podstawowe informacje o Aurea BPM 2. Przykłady projektów w obszarze minimalizacji skutków zagrożeń 3. Aurea BPM dla
Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych
Opracowanie z cyklu Polskie przepisy a COBIT Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Czerwiec 2016 Opracowali: Joanna Karczewska
Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski
Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz
Analiza i projektowanie oprogramowania. Analiza i projektowanie oprogramowania 1/32
Analiza i projektowanie oprogramowania Analiza i projektowanie oprogramowania 1/32 Analiza i projektowanie oprogramowania 2/32 Cel analizy Celem fazy określania wymagań jest udzielenie odpowiedzi na pytanie:
Zarządzanie bezpieczeństwem w Banku Spółdzielczym. Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.
Zarządzanie bezpieczeństwem w Banku Spółdzielczym Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o. Definicja problemu Ważne standardy zewnętrzne Umiejscowienie standardów KNF i
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved. Tak
Czym jest Samsung KNOX? Bezpieczny telefon. -Zabezpieczenie służbowych danych i aplikacji - Środowisko pracy dla biznesu
Czym jest Samsung KNOX? Bezpieczny telefon -Zabezpieczenie służbowych danych i aplikacji - Środowisko pracy dla biznesu W Anglii gubionych jest lub kradzionych 800 000 telefonów rocznie czyli około 2200
dr Beata Zbarachewicz
dr Beata Zbarachewicz Rządowy Program Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej na lata 2011-2016, Warszawa, czerwiec 2010 RAPORTY CERT.GOV.PL Raport o stanie bezpieczeństwa cyberprzestrzeni RP
Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS
Bezpieczeństwo IT Tomasz Nowocień, Zespół Bezpieczeństwa PCSS 1 Poznań, 24.10.2008 2008 Agenda Kim jesteśmy? Bezpieczeństwo danych. Zagrożenia i sposoby zabezpieczeń Zabezpieczenie platformy Windows Serwer
Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa
Juliusz Brzostek Dyrektor NC Cyber w NASK Październik 2016 r. Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa Powody powołania NC Cyber luty 2013 Strategia bezpieczeństwa cybernetycznego
REGULAMIN REGULUJĄCY SPOSÓB ZARZĄDZANIA RYZYKIEM
Załącznik do Zarządzenia Nr 11 / 2012 Wójta Gminy Ustronie Morskie z dnia 23 stycznia 2012 roku. REGULAMIN REGULUJĄCY SPOSÓB ZARZĄDZANIA RYZYKIEM Na podstawie 39 regulaminu jednostki oraz działając w oparciu
WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji
9:45 Powitanie. 12:30 13:00 Lunch
System McAfee Vulnerability Manager (dawniej FoundStone) wykrywa i priorytetyzuje luki bezpieczeństwa oraz naruszenia polityk w środowisku sieciowym. Zestawia krytyczność zasobów ze stopniem zagrożenia
Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów
PARLAMENT EUROPEJSKI 2009-2014 Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych 2013/0027(COD) 2.9.2013 PROJEKT OPINII Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych
Cybersecurity rosnące ryzyko prawne i reputacyjne Bezpieczeostwo IT - Bezpieczeostwo prawne Bezpieczeostwo Biznesu
Cybersecurity rosnące ryzyko prawne i reputacyjne Bezpieczeostwo IT - Bezpieczeostwo prawne Bezpieczeostwo Biznesu Domaoski Zakrzewski Palinka sp. k. Marzec 2016 Czy sami dbamy o nasze bezpieczeostwo?
Promotor: dr inż. Krzysztof Różanowski
Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof
OTWARTE DRZWI BADANIA POKAZUJĄ, ŻE DRUKARKI POZOSTAJĄ NARAŻONE NA CYBERATAKI
RAPORT OTWARTE DRZWI BADANIA POKAZUJĄ, ŻE DRUKARKI POZOSTAJĄ NARAŻONE NA CYBERATAKI Zespoły informatyków skupiają się na innych punktach końcowych, zaniedbując bezpieczeństwo drukarek firmowych Drukarki
Przetwarzanie i zabezpieczenie danych w zewnętrznym DATA CENTER
Przetwarzanie i zabezpieczenie danych w zewnętrznym DATA CENTER Gdańsk, 27-28 września 2012 r. Krzysztof Pytliński Zakład Teleinformatyki Kontekst Data Center jako usługa zewnętrzna, zaspokajająca potrzeby
Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź. z dnia 09.05. 2008
Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź z dnia 09.05. 2008 w sprawie : wprowadzenia procedury Identyfikacji zagrożeń oraz oceny ryzyka zawodowego na stanowiskach pracy w Urzędzie Miasta Czeladź
www.atende.pl Prezentacja firmy
www.atende.pl Prezentacja firmy Grupa Atende fakty i liczby Nowa marka na rynku teleinformatycznym Zmiana nazwy firmy z ATM Systemy Informatyczne (2013 r.) Jedna z czołowych firm branży IT Ponad 20 lat
Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora
Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania
Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.
Zagrożenia bezpieczeństwa informacji dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o. Czym jest bezpieczeństwo informacji? Bezpieczeństwo informacji to: (teoretycznie) stan wolny od
ZARZĄDZENIE NR 44/2013 BURMISTRZA MIASTA-GMINY STRYKÓW. z dnia 7 czerwca 2013 r. w sprawie zarządzanie ryzykiem
ZARZĄDZENIE NR 44/2013 BURMISTRZA MIASTA-GMINY STRYKÓW w sprawie zarządzanie ryzykiem Na podstawie art. 68 ust. 2 pkt 7 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. 2009 r. Nr 157,
GDPR wdrożenie krok po kroku. Jakub Manikowski Presales Engineer
GDPR wdrożenie krok po kroku Jakub Manikowski Presales Engineer Raport McAfee Grand Theft Data 2 Wycieki danych Raport McAfee Grand Theft Data 09.2015 Skontaktowano się z 1155 organizacjami (Australia,
Priorytety polityki bezpieczeostwa Unii Europejskiej. Projekt dyrektywy o atakach na systemy informatyczne.
Priorytety polityki bezpieczeostwa Unii Europejskiej. Projekt dyrektywy o atakach na systemy informatyczne. Dr hab. Andrzej Adamski, prof. UMK Katedra Prawa Karnego i Polityki Kryminalnej plan prezentacji
Problemy i wyzwania analizy obszaru ICT
Problemy i wyzwania analizy obszaru ICT Rafał Żelazny Główny Konsultant Zespołu ds. Wdrażania i Monitoringu Strategii Społeczeństwa Informacyjnego Województwa Śląskiego do roku 2015 22.11.2013, TECHNOPARK
Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems
Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems Czy jestem atakowany? Charakterystyka ataku http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf?cmp=dmc-smb_z_zz_zz_z_tv_n_z038
OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie
OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie ponad Top 10 Misja: Poprawa stanu bezpieczeństwa aplikacji
Szanse i zagrożenia płynące z nowoczesnych metod świadczenia usług informatycznych (outsourcing, offshoring, SOA, cloud computing) w bankowości
Szanse i zagrożenia płynące z nowoczesnych metod świadczenia usług informatycznych (outsourcing, offshoring, SOA, cloud computing) w bankowości Jakub Syta, CISA, CISSP Warszawa, 14 czerwca 2010 1 Zastrzeżenie
Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.
Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1 Fakty Są 3 rodzaje serwerów: Zabezpieczone Niezabezpieczone Podobno
Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7
I Wprowadzenie (wersja 0906) Kurs OPC S7 Spis treści Dzień 1 I-3 O czym będziemy mówić? I-4 Typowe sytuacje I-5 Klasyczne podejście do komunikacji z urządzeniami automatyki I-6 Cechy podejścia dedykowanego
Trendy w bezpieczeństwie IT. Maciej Ogórkiewicz, Solidex S.A.
Trendy w bezpieczeństwie IT Maciej Ogórkiewicz, Solidex S.A. maciej.ogorkiewicz@solidex.com.pl Plan wystąpienia: bezpieczeństwo teleinformatyczne wczoraj i dziś obecne zagrożenia trendy odpowiedź świata
Paweł Gole, Securing. 1 InfoTRAMS "Cloud Computing Latajc c w chmurach"
Paweł Gole, Securing 1 InfoTRAMS "Cloud Computing Latajc c w chmurach" Agenda Cloud Computing co to właciwie jest Co jest moje w chmurze, co kontroluj Stare i nowe problemy bezpieczestwa Dostpno Interfejs
Zagrożenia mobilne w maju
Zagrożenia mobilne w maju Firma Doctor Web opublikowała najnowsze statystyki zebrane przez program antywirusowy Dr.Web w wersji dla urządzeń z Androidem. Zgodnie ze zgromadzonymi danymi, w maju 2014 zidentyfikowano
Procesy dynamiczne BPM+SOA+CLOUD. Mariusz Maciejczak
Procesy dynamiczne BPM+SOA+CLOUD Mariusz Maciejczak Źródło: Tomasz Gzik, Dynamiczne aspekty procesów biznesowych, Wojskowa Akademia Techniczna, Wydział Cybernetyki, Instytut Systemów Informatycznych Źródło:
Usługi dodane klasy operatorskiej w zakresie bezpieczeństwa Krystian, Baniak. Infradata
Usługi dodane klasy operatorskiej w zakresie bezpieczeństwa Krystian, Baniak Infradata Usługi dodane klasy operatorskiej w zakresie bezpieczeństwa 3.03.2014 Krystan Baniak Senior Security Solutons Architect,
Ochrony danych osobowych w Chinach, ostatni rozwój prawodawstwa 2015-11-22 02:10:17
Ochrony danych osobowych w Chinach, ostatni rozwój prawodawstwa 2015-11-22 02:10:17 2 Chiny są obecnie jednym z niewielu krajów w tej części globu nie posiadających kompleksowego ustawodawstwa regulującego
BIEGŁY DO SPRAW ZAPOBIEGANIA I WYKRYWANIA PRZESTĘPSTW GOSPODARCZYCH I KORUPCJI. Partner studiów:
BIEGŁY DO SPRAW ZAPOBIEGANIA I WYKRYWANIA PRZESTĘPSTW GOSPODARCZYCH I KORUPCJI Partner studiów: Odbiorcy: Osoby zainteresowane specjalizacją w zakresie profesjonalnego zapobiegania i wykrywania nadużyć
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem
Modele sprzedaży i dystrybucji oprogramowania Teoria a praktyka SaaS vs. BOX. Bartosz Marciniak. Actuality Sp. z o.o.
Modele sprzedaży i dystrybucji oprogramowania Teoria a praktyka SaaS vs. BOX Bartosz Marciniak Actuality Sp. z o.o. Prezes Zarządu Społeczeństwo informacyjne społeczeństwo, które znalazło zastosowanie
Tomasz Chlebowski ComCERT SA
Tomasz Chlebowski ComCERT SA sumaryczny koszt poprawnie oszacować koszty wynikające z incydentów (co jest czasem bardzo trudne) dopasować odpowiednie rozwiązania redukujące powyższe koszty wybrać takie
Budowa Data Center. Zmagania Inwestora. Konferencja. 30 października 2014
Budowa Data Center Zmagania Inwestora Konferencja 30 października 2014 Budowa Data Center zmagania Inwestora zagadnienia: 1. Wstępne założenia budowy DC 2. Opracowanie Koncepcji Data Center 3. Realizacja
Elżbieta Andrukiewicz Ryszard Kossowski PLAN BEZPIECZEŃSTWA INFORMACJI
Elżbieta Andrukiewicz Ryszard Kossowski PLAN BEZPIECZEŃSTWA INFORMACJI Information Security Protecting the Global Enterprise Donald L. Pipkin, Hewlett-Packard Company Prentice Hall PTR Upper Saddle River,
e-administracja: nowe technologie w służbie obywatelowi
e-administracja: nowe technologie w służbie obywatelowi Co niesie administracji chmura obliczeniowa? dr inż. Dariusz Bogucki Centrum Projektów Informatycznych Wrocław, 3 października 2012 r. Paradoks wykorzystania