1 / 52

System Zarządzania Bezpieczeństwem Informacji (SZBI): Bezpieczeństwo informacji

System Zarządzania Bezpieczeństwem Informacji (SZBI): Bezpieczeństwo informacji. Szkolenia BSI. Doskonalenie. Rola. Świadomość. Wdrożenie. Audyt. Kurs Lean Six-Sigma Champion. Członkowie Zarządów. Konwersatorium. Konwersatorium. Konwersatorium. BSI Registered Auditor/ Lead Auditor.

marika
Download Presentation

System Zarządzania Bezpieczeństwem Informacji (SZBI): Bezpieczeństwo informacji

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. System Zarządzania Bezpieczeństwem Informacji (SZBI): Bezpieczeństwo informacji

  2. Szkolenia BSI Doskonalenie Rola Świadomość Wdrożenie Audyt Kurs Lean Six-Sigma Champion Członkowie Zarządów Konwersatorium Konwersatorium Konwersatorium BSI Registered Auditor/ Lead Auditor Kwalifikacje ISEB/ IOSH/ NEBOSH Lean Six-Sigma Pas zielony Konferencje BSI BSI Lead Implementer Przedstawiciele kierownictwa / Kierownicy projektów BSI Webinars Lean Six-Sigma Pas czarny Kurs doskonalący techniki audytu Zaoczny kwalifikujący kurs BSI Kursy pogłębiające zrozumienie Kurs audytora wiodącego Lean Practitioner Kurs BSI – wdrożenie Kursy pogłębiające zrozumienie Kurs BSI – wdrożenie Lean Six-Sigma Pas żółty Audytorzy wewnętrzni i zespoły projektów Kurs audytora wewnętrznego Sesje lub moduł E-Learning Lean Six-Sigma Pas żółty Wszyscy pracownicy Sesje lub moduł E-Learning Sesje lub moduł E-Learning

  3. Korzyści dla Państwa!

  4. Witamy!

  5. Ćwiczenie 1 • Poznajmy się… 10 minut Start

  6. Cel kursu Dostarczenie wytycznych i praktycznych doświadczeń odnoszących się do zapewnienia bezpieczeństwa informacji w codziennej pracy.

  7. Struktura kursu Materiały • Prezentowane materiały • Ćwiczenia Struktura kursu • Zadania indywidualne • Praca w grupach • Dyskusje zespołowe

  8. Tematyka kursu • Bezpieczeństwo informacji • Otoczenie firmy • Informacje i aktywa informacyjne • Dobre praktyki: • Smartfony • Poczta elektroniczna • Biurko i ekran • Drukarki • VoIP • Cloud computing – przetwarzanie w chmurze • Dostępność informacji w systemach • Portale społecznościowe • Wymagania prawne

  9. Wprowadzenie Bezpieczeństwo informacji

  10. Informacja? Aktywa informacyjne • Wiedza lub dane, które mają wartość dla organizacji

  11. Integralność Poufność Dostępność Bezpieczeństwo Informacji W niektórychorganizacjach, integralność i/lub dostępność mogą mieć większe znaczenie niż poufność.

  12. Kontekst organizacji- strony zainteresowane • Strony zainteresowane – strony zewnętrzne i wewnętrzne, które są zainteresowane sukcesem lub porażką systemu bezpieczeństwa informacji • Żeby zapewnić bezpieczeństwo informacji należy zidentyfikować oczekiwania stron zainteresowanych (pozytywne i negatywne!)

  13. Warsztat: Strony zainteresowane • Proszę zidentyfikować strony zainteresowane firmy oraz ich oczekiwania dotyczące bezpieczeństwa informacji. Wyniki proszę przedstawić na flipcharcie. 20 minut Start

  14. Kontekst organizacji- strony zainteresowane

  15. Cykl życia informacji Informację można: Przechowywać Utworzyć Zniszczyć? Przetwarzać Przekazywać Wykorzystać – (do właściwych lub niewłaściwych celów) Utracić! Uszkodzić!

  16. Warsztat: Informacje Proszę podzielić się na 3 grupy. Każda grupa zidentyfikuje wskazany rodzaj informacji. Wyniki proszę umieścić na flipcharcie. • I grupa – informacje wchodzące do firmy • II grupa – informacje wychodzące z firmy • III informacje własne, przetwarzane w firmie 30 minut Start

  17. Dobre praktyki Smartfony, tablety, urządzenia mobilne

  18. Smartfony, tablety - zagrożenia • włamanie do urządzenia, • infekcja urządzenia złośliwym kodem, • kradzież urządzenia, • awaria lub zablokowanie urządzenia, • podsłuch sieciowy urządzenia, • włamanie do infrastruktury, z której korzystają urządzenia (WiFi, VPN itp.), • ataki socjotechniczne.

  19. Smartfony, tablety - podatności • Kod złośliwy – prawa administracyjne (rooting, jailbreak) • Brak świadomości zagrożeń – w przypadku zwykłych telefonów nic nie groziło… • Błędy w systemie operacyjnym – niezbyt częste aktualizacje, różnorodność systemów • Mały rozmiar – ułatwienie kradzieży • Dostęp do Internetu, WiFi, bluetooth

  20. Warsztat: Smartfony, tablety Proszę powiązać informacje ze stronami zainteresowanymi i ich oczekiwaniami oraz proszę opisać: • potencjalne zagrożenia • sposoby zabezpieczeń przed tymi zagrożeniami w stosunku do informacji przetwarzanych przez urządzenia mobilne 20 minut Start

  21. Dobre praktyki Poczta elektroniczna

  22. Poczta elektroniczna • Spam • Wiadomości z wirusami i trojanami • Phishing • Pranie brudnych pieniędzy • Scareware • Ukryte subskrypcje • Oszustwa związane z portalami społecznościowymi • Błąd w adresie podczas wysyłania • Wysyłanie do grupy odbiorców

  23. Poczta elektroniczna Szacuje się, że aż 87% złośliwego oprogramowania trafia na komputery drogą mailową. Wirusy, robaki i konie trojańskie – niemal każdy rodzaj złośliwego oprogramowania – może być rozpowszechniany poprzez email. Tytuł wiadomościa procent kliknięć: • Kocham Cię - 37% • Świetny dowcip - 54% • Wiadomość - 46% • Specjalna oferta - 39%

  24. Poczta elektroniczna – jak się bronić? Wytyczne centrum koordynacyjnego CERT: • Czy znasz nadawcę wiadomości? • Czy otrzymałeś już inne wiadomości od tego nadawcy? • Czy spodziewałeś się otrzymać tę wiadomość? • Czy tytuł wiadomości i nazwa załącznika mają sens? • Czy wiadomość nie zawiera złośliwego oprogramowania – jaki jest wynik skanowania antywirusowego?

  25. Warsztat: Poczta elektroniczna Proszę powiązać informacje ze stronami zainteresowanymi i ich oczekiwaniami oraz proszę opisać: • potencjalne zagrożenia • sposoby zabezpieczeń przed tymi zagrożeniami w stosunku do informacji przetwarzanych w poczcie elektronicznej 20 minut Start

  26. Ransomware - (z ang.: ransom - okup, software - oprogramowanie) • Na zainfekowanym komputerze wyświetlona zostaje informacja w języku polskim, że komputer został zablokowany i że nastąpiło to, ponieważ był on używany do pobierania pirackich plików, powielania nielegalnych treści oraz oglądania zabronionych stron internetowych. Blokada sygnowana jest zdjęciem Prezydenta RP, logiem Centralnego Biura Śledczego oraz herbem miasta Szczecina. Hakerzy, podszywając się pod policję, za odblokowanie żądają 500 złotych lub 100 euro.

  27. Dobre praktyki Czyste biurko i czysty ekran

  28. Czyste biurko i ekran Pytanie: Co oznacza zasada czystego biurka i czystego ekranu: • żadne dokumenty nie mogą leżeć na biurku ani wyświetlać się na pulpicie komputera • ważne dokumenty i informacje nie powinny być dostępne dla osób nieupoważnionych na stanowisku pracy i kiedy ma zastosowanie? • zawsze • tylko podczas nieobecności przy biurku

  29. Czyste biurko i ekran Polityka czystego biurka i ekranu oznacza: ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… i powinna być stosowana ……………………………………………………………………………………… ……………………………………………………………………………………… ………………………………………………………………………………………

  30. Czyste biurko i ekran - warsztat Proszę powiązać informacje ze stronami zainteresowanymi i ich oczekiwaniami oraz proszę zidentyfikować: • potencjalne zagrożenia • sposoby zabezpieczeń przed tymi zagrożeniami w stosunku do informacji przetwarzanych na wybranych stanowiskach pracy 20 minut Start

  31. Czyste biurko i ekran - zabezpieczenia • przechowywanie pod zamknięciem (najlepszym rozwiązaniem jest sejf, szafa lub inna forma zabezpieczenia) nieużywanych wrażliwych lub krytycznych informacji biznesowych, np. umieszczonych na nośnikach elektronicznych lub w postaci dokumentów papierowych, szczególnie jeśli pomieszczenie biurowe jest opuszczane; • zamykanie sesji lub blokowanie komputerów i terminali pozostawionych bez opieki lub czasowo nieużywanych (za pomocą mechanizmu blokowania ekranu i klawiatury kontrolowanego hasłem, tokenem lub innego podobnego mechanizmu); • zapobieganie nieupoważnionemu użyciu fotokopiarek i stosowaniu innych technik powielania (np. skanerów, aparatów cyfrowych); • niezwłoczne usuwanie z drukarekdokumentów zawierających informacje wrażliwe lub sklasyfikowane; • właściwe ustawienie ekranów, uniemożliwiające ich podejrzenie.

  32. Drukarki sieciowe • To moje, już biegnę…! • Na której drukarce to wydrukowałem…!? • I znów się nie wydrukowało… puszczę jeszcze raz! • Dlaczego to zawsze ja trafiam na brak papieru! A co to się drukuje…? • Muszę zrobić skan umowy zakupu terenów pod kolejną inwestycję, a potem wezwać serwis do tego urządzenia… • Teraz to mamy wygodnie, drukarka sama wzywa serwis!

  33. Włamywali się na serwery firm Policjanci z Koszalina zatrzymali trzech mężczyzn, którzy włamując się na serwery różnych firm wyłudzili przynajmniej 206 tys. zł. Najprawdopodobniej łączne straty przedsiębiorstw będą znacznie większe. Policja bowiem ustala kolejnych poszkodowanych z terenu całego kraju. Zatrzymani mężczyźni trafili do aresztu na okres trzech miesięcy. Grozi im kara do 10 lat pozbawienia wolności. W sprawę zaangażowanych było kilkanaście osób, z których każda miała do wykonania konkretne zadanie. Organizatorem przestępczego procederu był krakowianin, Zbigniew T. Natomiast 22-letni informatyk Paweł P., mieszkaniec Koszalina, wyszukiwał firmy i włamywał się na ich serwery. Uzyskane w ten sposób hasła dostępu przekazywał Zbigniewowi T., który zmieniał podane na stronach internetowych numery kont. Kontrahenci firm, nieświadomi niczego, wpłacali należności za usługi i towary na podstawione przez oszusta konta. Zanim firma i płatnik orientowali się, że pieniądze wpłynęły na zmieniony rachunek, konto już było wyczyszczone, a należności wypłacone.

  34. Dobre praktyki VoIP - Voiceover Internet Protocol

  35. VoIP - komunikatory • VoIP Netia • Skype • Gadu-Gadu • Windows Live Messenger • FreecoNet • EasyCall • AOL Instant Messenger • inne

  36. VoIP – rodzaje ataków • Vishing - VoIPPhishing - oszustwo polegające na podszywaniu się dzwoniącego pod zaufaną instytucję (np. bank) czy osobę (administratora IT). • Kradzież osobowości lub usługi - phreaking. Atak ten polega na kradzieży usługi świadczonej przez usługodawcę lub wykorzystaniu usługi i przerzuceniu jej kosztów na kogoś innego. • Szkodliwe oprogramowanie - wykorzystanie tzw. softphone’ów do rozmów VoIP wiąże się z zagrożeniem szkodliwym oprogramowaniem. • DoS (Denial of Service) - Ataki DoS są postrzegane głównie jako zagrożenie dla serwisów internetowych, ale mogą być wykorzystane również do przerwania działania systemu VoIP lub utrudnienia dostępu do niego. • SPIT (Spammingover Internet Telephony) - spamowanie przez VoIP jest jeszcze mało popularne, ale notuje się już takie przypadki i będą one coraz częstsze wraz z popularyzacją tej technologii. Autor wiadomości z reguły prosi o podanie poufnych danych, np. danych dostępowych czy numeru karty kredytowej. • Man-in-the-middle, snooping– podsłuchiwanie – szczególnie w przypadku przesyłania przez sieć publiczną (Internet) • Luki w oprogramowaniu – podobnie jak w przypadku komputerów

  37. VoIP - warsztat Proszę powiązać informacje ze stronami zainteresowanymi i ich oczekiwaniami oraz proszę zidentyfikować: • skutki ataków na VoIP 20 minut Start

  38. DDoS (ang. DistributedDenial of Service – rozproszona odmowa usługi) Allegro nie działa. Serwis aukcyjny padł ofiarą ataku DDoS Allegro pada ofiarą zmasowanego ataku DDoS. Wielu użytkowników miało problemy nie tylko z licytowaniem i przeglądaniem ofert, ale także wejściem na ten najpopularniejszy serwis aukcyjny. „…Wszyscy, którzy liczyli, że porobią dzisiaj zakupy na Allegro muszą nieco zweryfikować swoje plany. Dostęp do serwisu od jakiegoś czasu jest mocno ograniczony. Strona, albo nie ładuje się w ogóle, albo robi to z wielkim trudem. Jeżeli komuś uda się już wejść, to czekają go problemy z logowaniem i wyszukiwaniem…” – natemat.pl

  39. Dobre praktyki Cloud computing

  40. Przetwarzanie w chmurze - zagrożenia • Nieautoryzowany dostęp do danych firmowych i klienckich. • Brak dostępu do danych w chmurze. • Zrzucanie odpowiedzialności za bezpieczeństwo i integralność danych wyłącznie na usługodawcę. • Brak stabilność parametrów świadczonej usługi. • Brak pełnego zrozumienia sposobu funkcjonowania chmury. • Brak możliwości szybkiego odzyskania danych. • Brak zapewnienia ciągłości działania dostawcy. • Słaba wydajność systemu, aplikacji lub łącza.

  41. Warsztat: Cloud computing Proszę powiązać informacje ze stronami zainteresowanymi i ich oczekiwaniami w zakresie Cloud Computing oraz proszę zidentyfikować: • Wady i • Zalety korzystania z chmury 20 minut Start

  42. Dobre praktyki Portale społecznościowe

  43. Portale społecznościowe - TMI (Too Much Information) Amerykański Ośrodek Badawczy Consumer Reports donosi, że 52% użytkowników sieci społecznościach opublikowało dane osobowe, • Ostatnie badania firmy McAfee stwierdziły, że 95% 18-23-latków wierzy i ma świadomość tego, że publikowanie w sieci danych osobowych lub osobistych informacji jest niebezpieczne, jednak 47% z nich mimo to umieszcza tego typu informacje w Internecie. • 80% 18-24-latków używa swoich smartfonów do wysłania danych osobowych i osobistych wiadomości tekstowych, e-maili i zdjęć, a 40% z nich musiało prosić swoich ex o usunięcie intymnych zdjęć lub wiadomości z ich telefonów – przyznali również, że w perspektywie czasu żałowali, że wysyłali tego typu zdjęcia, wiadomości lub nagrania. • 78% z ostatnio złapanych włamywaczy przyznało, że używają sieci społecznościowych takich jak Facebook, Twitter i Foursquare, by planować włamania w okresie, gdy udostępniające takie dane osoby przebywają na wakacjach. • Według ankiety przeprowadzonej przez CareerBuilder.com wśród 2300 osób rekrutujących, 1 na 3 pracodawców odrzuca kandydatów poszukujących pracy na podstawie ich wpisów na Facebooku. • Specjaliści z McAfee stwierdzili, że 20% osób w wieku 18-24 lat zna kogoś, kto został zwolniony lub to sami badani zostali zwolnieni z powodu umieszczonych przez nich osobistych zdjęć i wiadomości w Internecie.

  44. Portale społecznościowe • Nie wolno ujawniać danych osobowych. • Mądrze zarządzaj ustawieniami swojej prywatność. • Często zmieniaj hasła. • Wysyłaj dane osobowe tylko za pośrednictwem bezpiecznego połączenia. • Wyłącz funkcję GPS w aplikacji fotograficznej swojego smartfona • Rozważ udostępnienie zdjęć z wakacji dopiero po powrocie do domu. • Pamiętaj, że Internet jest na zawsze.

  45. Niefrasobliwość? Portal Yahoo przeanalizował 3,4 miliona różnych PIN'ów badając ich popularność. Okazało się, że całkiem sporo badanych, bo aż 11 procent, miało właśnie wspomnianą wcześniej kombinację 1234. Nieco mniej, bo 6 procent, używa kombinacji 1111, zaś 2 procent 0000. Natomiast w przypadku aż 28,3 procenta osób, PIN można zgadnąć przy pomocy 20 prób. 10 najpopularniejszych PIN'ów: 1234 1111 0000 1212 7777 1004 2000 4444 2222 6969

  46. Wymagania prawne

  47. Wybrane wymagania prawne • ustawa o ochronie danych osobowych • Kodeks spółek handlowych • Kodeks Cywilny • Kodeks pracy • Ustawa o ochronie osób i mienia • Kodeks Karny • O prawie autorskim i prawach pokrewnych • O podpisie elektronicznym • O świadczeniu usług drogą elektroniczną • Prawo Telekomunikacyjne • O ochronie niektórych praw konsumentów oraz odpowiedzialności za produkt niebezpieczny

  48. Tajemnica przedsiębiorstwa • Policjanci z Piekar zatrzymali mężczyznę, który z serwera byłego pracodawcy skopiował dane stanowiące tajemnicę przedsiębiorstwa. Za próbę przekazania nielegalnie zdobytych informacji grozi mu 2 lata więzienia. • Policjanci podczas przeszukania mieszkania i nowego miejsca pracy 32-latka znaleźli skopiowane dane pokrzywdzonej firmy. Łącznie zabezpieczono trzy jednostki centralne komputera i ponad 200 płyt z oprogramowaniem. Mieszkańcowi Świętochłowic zarzucono usiłowanie ujawnienia danych stanowiących tajemnicę przedsiębiorstwa osobie do tego nieuprawnionej, za co grozi mu nawet 2 lata pozbawienia wolności.

  49. Incydenty

  50. Incydenty • Co to jest incydent? • Co należy zgłaszać? • Komu należy zgłaszać incydenty?

More Related