Bezpieczeństwo systemów informatycznych Radek Kaczorek, CISA, CIA, CISSP, CRISC



Podobne dokumenty
Zarządzanie bezpieczeństwem informacji w urzędach pracy

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Kompleksowe Przygotowanie do Egzaminu CISMP

Ochrona biznesu w cyfrowej transformacji

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Szczegółowe informacje o kursach

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

epolska XX lat później Daniel Grabski Paweł Walczak

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

Największe zagrożenia dla biznesu w roku 2015

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Krzysztof Świtała WPiA UKSW

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Bezpieczeństwo dziś i jutro Security InsideOut

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

Pakiet zawiera. Pakiet Interoperacyjny Urząd. E-learning. Asysta merytoryczna. Oprogramowanie. Audyt. Certyfikacja.

Marcin Soczko. Agenda

Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora. Jakub Syta, CISA, CISSP IMMUSEC Sp. z o.o.

Promotor: dr inż. Krzysztof Różanowski

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Szkolenie otwarte 2016 r.

Nowe zagrożenia skuteczna odpowiedź (HP ArcSight)

Zarządzanie relacjami z dostawcami

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Zapytanie ofertowe nr OR

Symantec Enterprise Security. Andrzej Kontkiewicz

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

CSA STAR czy można ufać dostawcy

dr Beata Zbarachewicz

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

SZCZEGÓŁOWY HARMONOGRAM KURSU

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych

Ustawa o krajowym systemie cyberbezpieczeństwa - ciągłość świadczenia usług kluczowych.

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

Opis przedmiotu zamówienia

Monitorowanie systemów IT

*> DEKRA TISAX. Bezpieczeństwo informacji w przemyśle motoryzacyjnym. Po bezpiecznej stronie.

Program ochrony cyberprzestrzeni RP założenia

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Szyfrowanie danych i tworzenie kopii zapasowych aspekty prawne

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Reforma ochrony danych osobowych RODO/GDPR

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Aviation Cyber Security. Cyberbezpieczeństwo w lotnictwie Szkolenie Międzynarodowego Stowarzyszenia Przewoźników Lotniczych IATA

Warszawa, 2 września 2013 r.

Kryteria oceny Systemu Kontroli Zarządczej

Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL

Kradzież danych przez pracowników czy można się przed tym ustrzec? Damian Kowalczyk

Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

SKZ System Kontroli Zarządczej

Wymiana doświadczeń Jarosław Pudzianowski - Pełnomocnik do Spraw Zarządzania Bezpieczeństwem

Czy zarządzać bezpieczeństwem IT w urzędzie?

Ryzyko systemów informatycznych Fakty

PLATFORMA COMARCH SECURITY. Rozwiązania Comarch dla bezpiecznego urzędu

Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną. Andrzej Kaczmarek Biuro GIODO

Kwestionariusz samooceny kontroli zarządczej

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

z dnia 2017 r. w sprawie funkcjonowania schematu płatniczego

Kwestionarisz samooceny

Ocena dojrzałości jednostki. Kryteria oceny Systemu Kontroli Zarządczej.

BEZPIECZEŃSTWO CYBERPRZESTRZENI REKOMENDACJE STOWARZYSZENIA EURO-ATLANTYCKIEGO

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

PROJEKTOWANIE BEZPIECZEŃSTWA STRATEGIE KONSERWACYJNE, PRAKTYKI ADMINISTRACYJNE

Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej. Michał Kluska

Załącznik Nr 3 do Zarządzenia Nr 84 z dnia 15 listopada 2010 roku KWESTIONARIUSZ SAMOOCENY

BEZPIECZEŃSTWO INFORMACJI ATAKI HAKERÓW NA POLSKIE URZĘDY

Standardy kontroli zarządczej

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

STANDARDY I SYSTEMY ZARZĄDZANIA PORTAMI LOTNICZYMI 2013

Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata znaczenie i najbliższe działania

Nowa Rekomendacja D (i M)

Szczegółowy opis przedmiotu zamówienia:

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Grupa DEKRA w Polsce Cyberbezpieczeństwo. GLOBALNY PARTNER na rzecz BEZPIECZNEGO ŚWIATA 2019 DEKRA

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

PARTNER.

BAKER TILLY POLAND CONSULTING

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Bezpieczeństwo IT w środowisku uczelni

Transkrypt:

Konferencja organizowana w ramach projektu Implementacja i rozwój systemu informacyjnego publicznych służb zatrudnienia Bezpieczeństwo systemów informatycznych Radek Kaczorek, CISA, CIA, CISSP, CRISC Konferencja współfinansowana ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Cyberprzestrzeń i zagrożenia dla bezpieczeństwa informacji. Jeśli znasz siebie i swego wroga, przetrwasz pomyślnie sto bitew. Jeśli nie poznasz swego wroga, lecz poznasz siebie, jedną bitwę wygrasz, a drugą przegrasz. Jeśli nie znasz ni siebie, ni wroga, każda potyczka będzie dla Ciebie zagrożeniem. Sun Tzu, Sztuka Wojny 2

Najnowsze trendy Symantec Polska znajduje się obecnie w czołówce najbardziej zagrożonych krajów w regionie Europy, Bliskiego Wschodu i Afryki, W ciągu minionego roku liczba szkodliwych działań ze strony hakerów zwiększyła się o ponad 80 proc., podczas gdy tylko o 20% ograniczone zostały luki w zabezpieczeniach sieci firmowych, Blisko 60% polskich firm ma do czynienia z atakami w cyberprzestrzeni. Deloitte 78% firm dostrzega zagrożenia związane z przekazywaniem danych stronom trzecim, 74% firm obawia się wykorzystania urządzeń mobilnych, 70% firm dostrzega problem braku świadomości zagrożeń wśród swoich pracowników, Ponad 80% zagrożeń w Internecie nosi znamiona działań o charakterze zorganizowanym. 3

Koszty braku nadzoru nad bezpieczeństwem informacji 30 września 2011 r. 2 osoby dokonały podmiany treści około 300 witryn samorządowych, W styczniu 2012 roku celem ataków stały się witryny internetowe Sejmu, Ministerstwa Kultury i Dziedzictwa Narodowego, Kancelarii Premiera Rady Ministrów i Ministerstwa Obrony Narodowej, Na przełomie stycznia i lutego 2013 roku zaatakowany został polski rejestr domen prowadzony przez NASK, w którym nagle dokonano 2,3 mln rezerwacji (>100% dotychczasowej liczby zarejestrowanych domen), Na przełomie marca i kwietnia 2013 roku przeprowadzono ataki DDoS na witryny Allegro, BRE Bank, mbank, Multibank, ING Bank Śląski, Oktawave, 15 kwietnia 2013 r. CERT Polska opublikował raport opisujący botnet nazwany plitfi ( ) Wyniki analizy wskazały, że zainfekowanych zostało co najmniej 11 tysięcy komputerów, z których 77% znajdowało się w Polsce. Botnet wykorzystywał metodę wstrzykiwania kodu do przeglądarki użytkownika, by wykraść pieniądze z jego konta. 4

Zagrożenia Nowe zagrożenia oraz rosnąca siła istniejących zagrożeń Wzrost zagrożeń dla aplikacji webowych Rosnąca popularność ataków wykorzystujących technologię w połączeniu z socjotechniką Wyraźny wzrost aktywności grupowej Crimeware Hacktywizm Wzrost zagrożeń dla nowych technologii VoIP Urządzenia mobilne Cloud computing daje dostęp do dużych mocy obliczeniowych 5

Podatności Nowe technologie i rosnący stopień wykorzystania istniejących technologii w biznesie Cloud computing, Praca zdalna, BYOD, Urządzenia mobilne: Zdalny dostęp do zasobów firmy, Kody QR, Elektroniczne portfele / NFC, Karty paypass. wiele innych. 6

Linia obrony Raport o stanie bezpieczeństwa cyberprzestrzeni RP, Rządowy Program Ochrony Cyberprzestrzeni RP na lata 2011-2016, Ćwiczenia Cyber Europe 2012-500 specjalistów z 29 państw członkowskich UE, Krajowe Ramy Interoperacyjności, Rosnąca rola CERTów (Computer Emergency Response Team). 7

Zarządzanie bezpieczeństwem Nowy profil ryzyka Podatności procesów i zasobów, Informatyzacja, Decentralizacja, Dostępność. Zagrożenia wewnętrzne i zewnętrzne. Pracownicy, Współpracownicy, Usługodawcy, Klienci, Inne osoby i organizacje posiadające motywację i środki. Budowanie odporności na ryzyko Ciągłe doskonalenie, Monitorowanie i wykrywanie incydentów, Korelacja i wnioskowanie, Usprawnienie podejścia. Odporność zasobów, Infrastruktura, Systemy informatyczne, Personel, Dostawcy usług. Odporność procesów zarządzania. Podniesienie poziomu dojrzałości procesów, Standaryzacja i certyfikacja. 8

Jak się przygotować? Siła międzynarodowych standardów: ISO 20000 - IT Service Management System, ISO 27001 - Information Security Management Systems, ISO 22301 - Societal security Business continuity management systems, ISO 31000 - Risk management Principles and guidelines. Regulacje wewnętrzne: Polityki, standardy, procedury, instrukcje. System zarządzania bezpieczeństwem informacji: Analiza ryzyka, Opracowanie odpowiedzi na ryzyko, Monitorowanie i ocena, Ciągłe doskonalenie. 9

Zarządzanie bezpieczeństwem informacji w urzędach pracy Przegląd zaleceń Polityka bezpieczeństwa informacji powinna obejmować wszystkie zasoby informacyjne urzędu i zapewnić ich ochronę zgodnie z wymaganiami. Zakres polityki bezpieczeństwa informacji powinien być zgodny z Rozporządzeniem Rady Ministrów z dnia z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. Nr 0, poz. 526), Zaleca się klasyfikację wszystkich zasobów informacyjnych ze względu na wymagania bezpieczeństwa, tak aby zapewnić informacjom ochronę adekwatną do potrzeb, Należy zidentyfikować ryzyka związane z bezpieczeństwem informacji oraz dotyczące dostępu do informacji przez strony trzecie, Należy rozważyć opracowanie i wdrożenie procedur dopuszczania urządzeń informatycznych do użytkowania, Należy zapewnić możliwość regularnej, niezależnej oceny procesu zarządzania bezpieczeństwem informacji i systemów informatycznych, zgodnie z Rozporządzeniem o KRI, 10

Zarządzanie bezpieczeństwem informacji w urzędach pracy Przegląd zaleceń Należy zadbać o prawidłowy podział obowiązków w obszarze zarządzania, utrzymania i rozwoju systemów informatycznych oraz nadzoru nad bezpieczeństwem informacji, Należy zapewnić pracownikom dostęp do informacji i wiedzy na temat bezpieczeństwa informacji, pozwalających na skuteczną ochronę przed zagrożeniami dla bezpieczeństwa przetwarzanych przez nich danych i wykorzystywanych technologii i narzędzi pracy, Sprzęt wykorzystywany poza siedzibą organizacji należy chronić w szczególny sposób. Zaleca się szyfrowanie dysków twardych na komputerach przenośnych oraz nośników zewnętrznych wykorzystywanych poza siedzibą, Informacje wrażliwe należy skutecznie usuwać lub bezpiecznie nadpisywać z wszelkiego rodzaju nośników informacji przekazywanych poza siedzibę, Zaleca się wprowadzenie procedury przechowywania kopii zapasowych poza siedzibą w celu uniknięcia ryzyka związanego z utratą ciągłości działania w związku z całkowitą utratą danych podstawowych, W celu wymiany informacji należy zawierać umowy o wymianie informacji pomiędzy urzędami a stronami zewnętrznymi, 11

Zarządzanie bezpieczeństwem informacji w urzędach pracy Przegląd zaleceń Należy ograniczyć do minimum, a jeśli to możliwe wyeliminować korzystanie ze skrzynek pocztowych na publicznych serwerach poczty. Rekomendowane jest wykorzystanie infrastruktury własnej tak aby informacje zawarte w wiadomościach elektronicznych były objęte ochroną zgodnie z obowiązująca Polityką bezpieczeństwa informacji, Należy tworzyć i przechowywać przez określony czas dzienniki audytu, które powinny rejestrować działania użytkowników i zdarzenia związane z bezpieczeństwem informacji dla ewentualnych postępowań wyjaśniających oraz monitorowania skuteczności kontroli dostępu, Zaleca się wdrożenie centralnego systemu logowania zdarzeń i incydentów, w celu określenia źródła informacji o incydentach, aby móc przeprowadzić analizę incydentów i ograniczyć wpływ incydentów na jednostkę, Należy prowadzić regularny przegląd rejestru incydentów w zakresie powtarzających się zdarzeń lub innych wniosków, które mogą usprawnić podejście do zarządzania systemami informatycznymi i bezpieczeństwem informacji, 12

Zarządzanie bezpieczeństwem informacji w urzędach pracy Przegląd zaleceń Należy opracować plany ciągłości działania i procedury awaryjne określające zasady ochrony kluczowych procesów realizowanych przez PUP przed zakłóceniami funkcjonowania, wynikającymi z czynników naturalnych, jak i niedostępności kluczowych zasobów, w tym systemów informatycznych wspierających procesy realizowane przez PUP, Należy włączyć do procesu monitorowania wymagań prawnych dla PUP obszar bezpieczeństwa informacji oraz systemów informatycznych wykorzystywanych przez jednostkę, Należy wprowadzić zasadę regularnych testów podatności systemów informatycznych na znane zagrożenia bezpieczeństwa, Należy zapewnić możliwość audytowania procesu zarządzania bezpieczeństwem informacji i systemów informatycznych przez audyt wewnętrzny lub zastosować inne mechanizmy niezależnej oceny ochrony zasobów jednostki, w tym samoocena w ramach kontroli zarządczej oraz audyt zewnętrzny. 13

Pytania i odpowiedzi Radek Kaczorek, CISA, CIA, CISSP, CRISK rkaczorek@immusec.com www.immusec.com +48 501 433 303 +48 22 379 7470 14

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres