Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.



Podobne dokumenty
Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

Procedura Alarmowa. Administrator Danych Dyrektor Ewa Żbikowska

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Podstawy bezpieczeństwa

DZIEŃ BEZPIECZNEGO KOMPUTERA

Netia Mobile Secure Netia Backup

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Amatorski Klub Sportowy Wybiegani Polkowice

Ochrona biznesu w cyfrowej transformacji

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Marcin Soczko. Agenda

A N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r z y p r z e t w a r z a n i u d a n y c h o s o b o w y c h W URZĘDZIE MIASTA I GMINY ŁASIN

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

POLITYKA E-BEZPIECZEŃSTWA

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS

Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Monitorowanie systemów IT

PARTNER.

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Ochrona danych osobowych w biurach rachunkowych

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

Rozdział 6 - Z kim się kontaktować Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o Kopiowanie bez zezwolenia zabronione.

Szczegółowe informacje o kursach

ZARZĄDZENIE Nr 96/2014 Burmistrza Bornego Sulinowa z dnia 26 października 2014 r.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

do podstawowych zasad bezpieczeństwa:

Polityka Bezpieczeństwa ochrony danych osobowych

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?

Zał. nr 2 do Zarządzenia nr 48/2010 r.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

Insider Threat Management - czyli jak skutecznie zapobiegać zagrożeniom wewnętrznym?

Zabezpieczanie danych użytkownika przed szkodliwym oprogramowaniem szyfrującym

SZCZEGÓŁOWY HARMONOGRAM KURSU

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH w Biurze Rachunkowym T&T A.Tuleja G.Tuleja S.C. ul. Kochanowskiego 5, Jasło

Bezpieczeństwo IT w środowisku uczelni

Szkolenie otwarte 2016 r.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Polityka bezpieczeństwa przetwarzania danych osobowych w sklepie internetowym prowadzonym przez firmę STORK Szymon Małachowski

Promotor: dr inż. Krzysztof Różanowski

Zarządzanie dokumentacją techniczną. Wykł. 11 Zarządzania przepływem informacji w przedsiębiorstwie. Zabezpieczenia dokumentacji technicznej.

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Wprowadzenie do Kaspersky Value Added Services for xsps

XXIII Międzynarodowy Kongres Otwartego Systemu Ochrony Zdrowia

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

ATAKI NA SYSTEMY KOMPUTEROWE POZNAJ SWOJEGO WROGA. opracował: Krzysztof Dzierbicki

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Trendy w bezpieczeństwie IT. Maciej Ogórkiewicz, Solidex S.A.

DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

I. Postanowienia ogólne

BEZPIECZNY BIZNES GDZIEKOLWIEK CIĘ ZAPROWADZI. Protection Service for Business

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Powstrzymywanie zaawansowanych, ukierunkowanych ataków, identyfikowanie użytkowników wysokiego ryzyka i kontrola nad zagrożeniami wewnętrznymi

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

ZagroŜenia w sieciach teleinformatycznych. Sposoby zabezpieczeń.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. w Zespole Szkół nr 1 im. Melchiora Wańkowicza w Błoniu

ZagroŜenia w sieciach teleinformatycznych. Sposoby zabezpieczeń.

F-SECURE ZABEZPIECZ SWÓJ BIZNES GDZIEKOLWIEK CIĘ ZAPROWADZI

Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora. Jakub Syta, CISA, CISSP IMMUSEC Sp. z o.o.

Ryzyko w działalności przedsiębiorstw przemysłowych. Grażyna Wieteska Uniwersytet Łódzki Katedra Zarządzania Jakością

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Dane osobowe w data center

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W ZESPOLE SZKÓŁ NR 1 IM. STANISŁAWA STASZICA W KUTNIE

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Internet Security Multi-Device PL Box 2-Device 1Year KL1941PBBFS

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Bezpieczeństwo teleinformatyczne danych osobowych

Reforma ochrony danych osobowych RODO/GDPR

Agenda. Rys historyczny Mobilne systemy operacyjne

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

Bezpieczeństwo systemu informatycznego banku. Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński

CENTRALA ŚWIATOWA Stevens Creek Blvd. Cupertino, CA USA

Mariusz Bodeńko Olsztyn, Bezpieczeństwo w Internecie

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Transkrypt:

Zagrożenia bezpieczeństwa informacji dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

Czym jest bezpieczeństwo informacji? Bezpieczeństwo informacji to: (teoretycznie) stan wolny od zagrożeń dla Zasobów Informacyjnych Organizacji (ZIO) (strategicznie) identyfikowanie zagrożeń dla ZIO i ograniczanie ryzyk związanych z tymi zagrożeniami (operacyjnie) instalowanie systemów, implementowanie metod (procesów, procedur) oraz podejmowanie działań, które zabezpieczają zasoby informacyjne wypadkowa bezpieczeństwa fizycznego prawnego osobowo-organizacyjnego teleinformatycznego

Zagrożenia Bezpieczeństwa Danych Medycznych Naruszenie poufności danych Naruszenie integralności danych Utrata dostępności danych

Zagrożenia dla bezpieczeństwa informacji możemy podzielić na: Wynikające z celowego działania Wynikające z przypadkowego działania Zagrożenia losowe

Kilka faktów o zagrożeniach bezpieczeństwa danych błędy ludzkie i usterki systemów były przyczyną prawie dwóch trzecich naruszenia danych na świecie w 2012 roku, podczas gdy najbardziej kosztowne były ataki złośliwe lub kryminalne: średnio 157 dolarów za zaburzony rekord danych 2013 Cost of a Data Breach: Global Analysis, Ponemon Institute i Symantec, 2013 najbardziej narażone na kradzież danych osobowych (93% skradzionych tożsamości) są firmy i organizacje z sektorów IT oraz Ochrony Zdrowia Internet Security Threat Report Volume 17, Symantec, 2012 większość poszkodowanych padła ofiarą naruszenia, ponieważ uznano że posiadają możliwe do wykorzystania (często łatwo) słabości, a nie dlatego, że zostały wcześniej zidentyfikowane do ataku; 79% ofiar było celami przypadkowymi, zaś 96% ataków nie było bardzo trudnych 2012 Data Breach Investigations Report (DBIR), Verizon Business, April 2012

Zagrożenia wynikające z celowego działania Podsłuch danych, przechwycenie połączenia Keyloggery (programy bądź urządzenia rejestrujące wszelkie wprowadzane do systemu informacje) Nieodpowiednie zabezpieczenia sieci (np.: sieci Wi-Fi o otwartym dostępie bądź zaszyfrowane słabym kluczem) Nieodpowiednie zabezpieczenie stanowiska pracy (ekran, klawiatura widoczne przez osoby postronne, np. przez okno)

Zagrożenia wynikające z celowego działania Podszywanie się Phishing (socjotechniki) podszywanie się pod administratora, np. telefonicznie wykorzystanie spreparowanych stron www Man in the middle (podszywanie się pod router, DNS)

Zagrożenia wynikające z celowego działania Programy szpiegujące i ułatwiające dostęp do systemu Trojany podszywając się pod przydatne lub ciekawe dla użytkownika aplikacje dodatkowo implementują niepożądane, ukryte przed użytkownikiem funkcje Backdoory luki w zabezpieczeniach systemu utworzone umyślnie w celu późniejszego wykorzystania Bootnet grupa komputerów zainfekowanych złośliwym oprogramowaniem (np. robakiem) pozostającym w ukryciu przed użytkownikiem i pozwalającym jego twórcy na sprawowanie zdalnej kontroli nad wszystkimi komputerami w ramach botnetu Fizyczna kradzież urządzenia

Zagrożenia wynikające z przypadkowego bądź nieświadomego działania użytkownika: Wynikające bezpośrednio z działań użytkownika Nieświadomość zagrożeń Nierzetelne wykonywanie powierzonych obowiązków Uprawnienia nieadekwatne do: zajmowanego stanowiska wykonywanych czynności Oprogramowanie z nieznanego źródła

Zagrożenia wynikające z przypadkowego bądź nieświadomego działania użytkownika: Będące następstwami innych działań, bądź ich niepodjęcia Brak opracowanych procedur wewnętrznych (ograniczanie dostępu, polityka haseł, kopie zapasowe) Niedostateczna znajomość przepisów, procedur lub ich nieprzestrzeganie Niedostateczna znajomość systemów / programów

Zagrożenia wynikające z przypadkowego bądź nieświadomego działania użytkownika: Niewłaściwa architektura oprogramowania Oszczędności (nielegalne oprogramowanie, brak zapasów sprzętowych, brak modernizacji sprzętu) Niedostateczne bezpieczeństwo fizyczne (np. nieograniczony dostęp do serwerowni)

Zagrożenia losowe: Zagrożenia naturalne: Warunki klimatyczne (np. klęski żywiołowe) Zagrożenia techniczne Niezapewnienie odpowiednich warunków środowiskowych (np. brak klimatyzacji w serwerowni) Stan techniczny systemu energetycznego i niezawodność dostaw energii

Podsumowanie Aby chronić wrażliwe informacje musimy: określić, które dane są dla nas ważne (chcemy je chronić) zidentyfikować możliwe zagrożenia zwymiarować ryzyka określić sposoby zabezpieczenia danych przed ryzykami uznanymi za istotne WDROŻYĆ OPRACOWANE METODY REGULARNIE WERYFIKOWAĆ ICH SKUTECZNOŚĆ

Podsumowanie c.d. Skuteczna ochrona bezpieczeństwa informacji POWINNA MIEĆ STRUKTURĘ WARSTWOWĄ tak aby : naruszenie bezpieczeństwa danych wymagało pokonania szeregu poziomów zabezpieczeń minimalizować rozmiar potencjalnych skutków naruszenia danego pojedynczego zabezpieczenia

Podsumowanie c.d. Skuteczna ochrona bezpieczeństwa informacji MUSI BYĆ PROCESEM CIĄGŁYM system zarządzania informacją się zmienia wciąż pojawiają się nowe zagrożenia każde pojedyncze zabezpieczenie da się obejść nowe zabezpieczenia to nowe metody obchodzenia tych zabezpieczeń

dr inż. Wojciech Winogrodzki wojciech.winogrodzki@computerplus.com.pl kom. 602 719 403 tel. 85 7489 100

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres