Wszystkie najważniejsze zagadnienia związane z bezpieczeństwem sieci
* Opracowanie i wdrożenie polityki bezpieczeństwa w korporacyjnych systemach informatycznych
* Ochrona aplikacji i serwerów przed atakami z sieci
* Testowanie bezpieczeństwa systemów i interpretacja wyników badań
W czasach gdy dane kluczowe dla każdej firmy i organizacji są przechowywane w bazach danych na serwerach sieciowych, bezpieczeństwo systemów informatycznych jest sprawą niezwykle istotną. W wielu firmach pokutuje pogląd, że atak może nastąpić jedynie z zewnątrz -- takie firmy posiadają zwykle doskonałe zabezpieczenia w postaci firewalli, skutecznie odstraszające potencjalnych włamywaczy. Jednakże ochrona danych to nie tylko zabezpieczenie ich przed atakiem z sieci -- to także odpowiednia polityka postępowania wewnątrz firmy. Wielu spośród najgłośniejszych ataków hakerskich dokonano z wewnątrz korporacyjnej sieci. Dlatego też o wiele ważniejsza od urządzeń jest świadomość użytkowników sieci. Dopiero ona, w połączeniu z odpowiednim sprzętem i oprogramowaniem, gwarantuje bezpieczeństwo systemu informatycznego.
"Bezpieczeństwo sieci. Biblia" to książka szczegółowo wyjaśniająca wszystkie kwestie związane z zabezpieczaniem firmowych sieci przed intruzami. Opisuje zasady i zalecane praktyki zabezpieczania sieci, przedstawia różne środki bezpieczeństwa przeznaczone dla różnych systemów oraz uczy, jak identyfikować zagrożenia i reagować na nie. Dzięki zawartym w niej wiadomościom będziesz w stanie oszacować poziom bezpieczeństwa sieci i wybrać najlepsze mechanizmy jej zabezpieczenia.
* Strategia zarządzania bezpieczeństwem systemu informatycznego
* Mechanizmy kontroli dostępu
* Zabezpieczanie systemów operacyjnych i aplikacji
* Bezpieczeństwo systemów Windows, Linux i Unix
* Rodzaje ataków
* Ochrona serwerów WWW i serwerów pocztowych
* Bezpieczeństwo protokołów sieciowych
* Kryptografia i steganografia
* Wykrywanie ataków i reagowanie na nie
* Ocena jakości zabezpieczeń systemów informatycznych
Informacja jest dziś najcenniejszym towarem.Naucz się ją ochraniać.
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
Piotr Wojciechowski – Consultant and network solutions architect, working on projects for clients from a wide Service Providers sector. Focuses not only on typical routing issues, IP/MPLS but also on VoIP and Wireless technologies. He gained his experience first at NOC ATMAN, then at leading integrator in the design and implementation for the operators, medium and large companies. Piotr is a holder of CCIE Routing & Switching Certificate, he is also CCIE.PL portal Administrator.
Topic of Presentation: TBD
Language: Polish
Abstract: TBD
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...COGNITY Szkolenia
Cognity prezentuje materiał na temat bezpieczeństwa danych osobowych w systemach informatycznych. Informacje zawarte w prezentacji dotyczą każdej osoby. Więcej na temat ochrony danych mogą Państwo dowiedzieć sie podczas Kursu Ochrona Danych Osobowych. Zapraszam do zapoznania się z programem szkolenia na stronie www.cognity.pl
IT w RODO – praktyczne podejście do spełnienia wymagań RODO przez dział IT.
Jakie wymagania w stosunku do działu IT wprowadza rozporządzenie? Od czego zacząć? Jakie rozwiązania informatyczne zastosować?
Analiza zapisów rozporządzenia - zapraszam do lektury.
Wszystkie najważniejsze zagadnienia związane z bezpieczeństwem sieci
* Opracowanie i wdrożenie polityki bezpieczeństwa w korporacyjnych systemach informatycznych
* Ochrona aplikacji i serwerów przed atakami z sieci
* Testowanie bezpieczeństwa systemów i interpretacja wyników badań
W czasach gdy dane kluczowe dla każdej firmy i organizacji są przechowywane w bazach danych na serwerach sieciowych, bezpieczeństwo systemów informatycznych jest sprawą niezwykle istotną. W wielu firmach pokutuje pogląd, że atak może nastąpić jedynie z zewnątrz -- takie firmy posiadają zwykle doskonałe zabezpieczenia w postaci firewalli, skutecznie odstraszające potencjalnych włamywaczy. Jednakże ochrona danych to nie tylko zabezpieczenie ich przed atakiem z sieci -- to także odpowiednia polityka postępowania wewnątrz firmy. Wielu spośród najgłośniejszych ataków hakerskich dokonano z wewnątrz korporacyjnej sieci. Dlatego też o wiele ważniejsza od urządzeń jest świadomość użytkowników sieci. Dopiero ona, w połączeniu z odpowiednim sprzętem i oprogramowaniem, gwarantuje bezpieczeństwo systemu informatycznego.
"Bezpieczeństwo sieci. Biblia" to książka szczegółowo wyjaśniająca wszystkie kwestie związane z zabezpieczaniem firmowych sieci przed intruzami. Opisuje zasady i zalecane praktyki zabezpieczania sieci, przedstawia różne środki bezpieczeństwa przeznaczone dla różnych systemów oraz uczy, jak identyfikować zagrożenia i reagować na nie. Dzięki zawartym w niej wiadomościom będziesz w stanie oszacować poziom bezpieczeństwa sieci i wybrać najlepsze mechanizmy jej zabezpieczenia.
* Strategia zarządzania bezpieczeństwem systemu informatycznego
* Mechanizmy kontroli dostępu
* Zabezpieczanie systemów operacyjnych i aplikacji
* Bezpieczeństwo systemów Windows, Linux i Unix
* Rodzaje ataków
* Ochrona serwerów WWW i serwerów pocztowych
* Bezpieczeństwo protokołów sieciowych
* Kryptografia i steganografia
* Wykrywanie ataków i reagowanie na nie
* Ocena jakości zabezpieczeń systemów informatycznych
Informacja jest dziś najcenniejszym towarem.Naucz się ją ochraniać.
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
Piotr Wojciechowski – Consultant and network solutions architect, working on projects for clients from a wide Service Providers sector. Focuses not only on typical routing issues, IP/MPLS but also on VoIP and Wireless technologies. He gained his experience first at NOC ATMAN, then at leading integrator in the design and implementation for the operators, medium and large companies. Piotr is a holder of CCIE Routing & Switching Certificate, he is also CCIE.PL portal Administrator.
Topic of Presentation: TBD
Language: Polish
Abstract: TBD
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...COGNITY Szkolenia
Cognity prezentuje materiał na temat bezpieczeństwa danych osobowych w systemach informatycznych. Informacje zawarte w prezentacji dotyczą każdej osoby. Więcej na temat ochrony danych mogą Państwo dowiedzieć sie podczas Kursu Ochrona Danych Osobowych. Zapraszam do zapoznania się z programem szkolenia na stronie www.cognity.pl
IT w RODO – praktyczne podejście do spełnienia wymagań RODO przez dział IT.
Jakie wymagania w stosunku do działu IT wprowadza rozporządzenie? Od czego zacząć? Jakie rozwiązania informatyczne zastosować?
Analiza zapisów rozporządzenia - zapraszam do lektury.
Jakie zyski przynosi stosowanie podstaw bezpieczeństwa w procesie
transformacji, w której obliczu stoi tak wiele firm w Polsce? Jak
zachować spokój, gdy czasu wystarcza tylko na gaszenie pożarów?
Co zrobić, gdy w końcu ktoś zapyta o radę.
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOngopl
Zapraszamy do zapoznania się z prezentacją z webinarium "Cztery rzeczy, które musisz wiedzieć o RODO", przeprowadzonego przez Jarosława Gresera 7 marca 2018 dla portalu ngo.pl.
Webinarium przeprowadzono w ramach:
- Stołecznego Centrum Wspierania Organizacji Pozarządowych
- Programu Polsko-Amerykańskiej Fundacji Wolności „Wspieranie Organizacji Pozarządowych", realizowanego przez Stowarzyszenie Klon/Jawor.
Wszystkie nagrania webinariów SCWO są dostępne na: warszawa.ngo.pl/webinaria. Pełna ofert SCWO: warszawa.ngo.pl/scwo.
Wszystkie nagrania portalu ngo.pl są dostępne na stronie poradnik.ngo.pl/webinaria.
Projekt "Stołeczne Centrum Wspierania Organizacji Pozarządowych" współfinansuje m.st. Warszawa.
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwaAdam Mizerski
Czy w dobie nowych zagrożeń „zapewniający” model audytu skoncentrowany na zgodności z compliance jest wystarczający ? A może czas na „zwinny audyt” ?
W trakcie wystąpienia zostaną poruszone kwestie:
- oceny opublikowanych przez Ministerstwo Cyfryzacji w styczniu br. wytycznych do audytowania systemów informatycznych
- analizy ryzka jako podstawowego „narzędzia” audytora
- nowych wyzwań w zakresie bezpieczeństwa (np. „shadow IT”, „łańcuchy podwykonawców” outsourcingu IT oraz modelu Cloud Computing, ocena skuteczności szkoleń dot. phishingu ) na jakie muszą być przygotowani audytorzy
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Rafal
Rosnąca popularność Internetu jest nadal połączona z niską świadomością internautów na temat bezpieczeństwa informacji. Jednak przedsiębiorcy wolą blokować dostęp do portali społecznościowych niż szkolić użytkowników - wynika z pierwszego polskiego badania poświęconego tym kwestiom, przeprowadzonego przez firmę doradczą Deloitte oraz Zespół Badań i Analiz Gazeta.pl.
http://badania.gazeta.pl/pr/150741/raport-deloitte-i-gazeta-pl-o-bezpieczenstwie-polski-aspekt-global-security-survey
Światowe badanie bezpieczeństwa informacji 2014EYPoland
Światowe badanie bezpieczeństwa informacji przeprowadzono między czerwcem a sierpniem 2014 roku. 1825 respondentów z 60 krajów, pracujących w 25 sektorach, to przede wszystkim członkowie zarządów, CIO oraz dyrektorzy działów IT. Jest to 17. edycja badania.
DPO Talks - Inspektor Ochrony Danych vs. DPIAPwC Polska
Prezentacja z warsztatu o procesie oceny skutków dla ochrony danych (DPIA) dla osób pełniących funkcję Inspektora Ochrony Danych.
Poznaj szczegóły: https://pwc.to/2LrlnI2
Jakie zyski przynosi stosowanie podstaw bezpieczeństwa w procesie
transformacji, w której obliczu stoi tak wiele firm w Polsce? Jak
zachować spokój, gdy czasu wystarcza tylko na gaszenie pożarów?
Co zrobić, gdy w końcu ktoś zapyta o radę.
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOngopl
Zapraszamy do zapoznania się z prezentacją z webinarium "Cztery rzeczy, które musisz wiedzieć o RODO", przeprowadzonego przez Jarosława Gresera 7 marca 2018 dla portalu ngo.pl.
Webinarium przeprowadzono w ramach:
- Stołecznego Centrum Wspierania Organizacji Pozarządowych
- Programu Polsko-Amerykańskiej Fundacji Wolności „Wspieranie Organizacji Pozarządowych", realizowanego przez Stowarzyszenie Klon/Jawor.
Wszystkie nagrania webinariów SCWO są dostępne na: warszawa.ngo.pl/webinaria. Pełna ofert SCWO: warszawa.ngo.pl/scwo.
Wszystkie nagrania portalu ngo.pl są dostępne na stronie poradnik.ngo.pl/webinaria.
Projekt "Stołeczne Centrum Wspierania Organizacji Pozarządowych" współfinansuje m.st. Warszawa.
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwaAdam Mizerski
Czy w dobie nowych zagrożeń „zapewniający” model audytu skoncentrowany na zgodności z compliance jest wystarczający ? A może czas na „zwinny audyt” ?
W trakcie wystąpienia zostaną poruszone kwestie:
- oceny opublikowanych przez Ministerstwo Cyfryzacji w styczniu br. wytycznych do audytowania systemów informatycznych
- analizy ryzka jako podstawowego „narzędzia” audytora
- nowych wyzwań w zakresie bezpieczeństwa (np. „shadow IT”, „łańcuchy podwykonawców” outsourcingu IT oraz modelu Cloud Computing, ocena skuteczności szkoleń dot. phishingu ) na jakie muszą być przygotowani audytorzy
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Rafal
Rosnąca popularność Internetu jest nadal połączona z niską świadomością internautów na temat bezpieczeństwa informacji. Jednak przedsiębiorcy wolą blokować dostęp do portali społecznościowych niż szkolić użytkowników - wynika z pierwszego polskiego badania poświęconego tym kwestiom, przeprowadzonego przez firmę doradczą Deloitte oraz Zespół Badań i Analiz Gazeta.pl.
http://badania.gazeta.pl/pr/150741/raport-deloitte-i-gazeta-pl-o-bezpieczenstwie-polski-aspekt-global-security-survey
Światowe badanie bezpieczeństwa informacji 2014EYPoland
Światowe badanie bezpieczeństwa informacji przeprowadzono między czerwcem a sierpniem 2014 roku. 1825 respondentów z 60 krajów, pracujących w 25 sektorach, to przede wszystkim członkowie zarządów, CIO oraz dyrektorzy działów IT. Jest to 17. edycja badania.
DPO Talks - Inspektor Ochrony Danych vs. DPIAPwC Polska
Prezentacja z warsztatu o procesie oceny skutków dla ochrony danych (DPIA) dla osób pełniących funkcję Inspektora Ochrony Danych.
Poznaj szczegóły: https://pwc.to/2LrlnI2
1. Bezpieczeństwo informacji w
ochronie zdrowia
Michał Tabor, CISSP
Dyrektor ds. Operacyjnych
Trusted Information Consulting Sp. z
o.o.
Warszawa, 20 marca 2013
2. Agenda
• Czym jest bezpieczeństwo informacji
• Czy wymagania ochrony danych osobowych
wystarczą?
• Znaczenie zarządzania ryzkiem
• Czy ISO 27001 da się wdrażać w służbie zdrowia?
• Wymagania Krajowych Ram Interoperacyjności
16. Co wynika z Rozporządzeń ODO
• Stosowanie środków kryptograficznej ochrony.
• Dane zabezpiecza się w sposób zapewniający
poufność i integralność tych danych.
• Monitoruje się wdrożone zabezpieczenia systemu
informatycznego.
• System chroni się przed nieuprawnionym dostępem.
• Stosuje się mechanizmy kontroli dostępu do danych.
16
17. Co wynika z Rozporządzeń ODO
• Brak zdefiniowanych mechanizmów ochrony,
przez co zastosowanie nawet najbardziej
prymitywnych i słabych spełnia wymagania
• Ostatnia zmiana w rozporządzeniu o
warunkach technicznych Dz.U. 2004.100.1024
• Brak odniesienia do szczególnej ochrony
danych wrażliwych
17
19. RYZYKO
• Definicja 1:
Skutek niepewności w odniesieniu do
ustalonych celów (ISO 31000:2009).
• Definicja 2:
Wpływ niepewności na cele (ISO/IEC Guide
73:2009).
19
20. Cele zarządzania ryzykiem
• Identyfikacja szans i zagrożeń.
• Uodpornienie na niespodziewane zagrożenia.
• Zwiększenie prawdopodobieństwa powodzenia.
• Skuteczny nadzór.
• Zapobieganie stratom.
• Minimalizacja strat.
• Budowa pozytywnego wizerunku i zaufania.
20
23. Mity
• W sektorze publicznym nie ma ryzyka jest
tylko przepis.
• W podmiotach publicznych nie ma możliwości
zarządzania ryzykiem.
• Prawo nie zobowiązuje do zarządzania
ryzykiem, nakazuje tylko stosowanie
zabezpieczeń.
23
25. Normy
• ISO 27000 – Słownik i wstęp do zarządzania
bezpieczeństwem informacji
• ISO 27001 – Wymagania SZBI
• ISO 27002 – Najlepsze praktyki
• ISO 27005 – Zarządzanie ryzykiem
• ISO 27799 – Najlepsze praktyki dla służby zdrowia
25
26. Cykl życia systemu zarządzania
bezpieczeństwem informacji
Źródło: PN-EN ISO 27799:2008
26
27. Cele bezpieczeństwa w ochronie zdrowia
a) honorowanie zobowiązań prawnych
b) zachowanie, ugruntowanych w informatyce ochrony zdrowia, najlepszych praktyk w
zakresie prywatności i bezpieczeństwa;
c) zachowanie indywidualnej i organizacyjnej rozliczalności
d) wspomaganie wdrożenia systematycznego zarządzania ryzykiem w obrębie
organizacji ochrony zdrowia;
e) spełnianie potrzeb w zakresie bezpieczeństwa, rozpoznanych w codziennych
sytuacjach w opiece zdrowotnej;
f) redukowanie kosztów operacyjnych …;
g) zachowanie społecznego zaufania do organizacji ochrony zdrowia …;
h) zachowanie standardów i etyki zawodowej, ….;
i) użytkowanie elektronicznych systemów informacyjnych ochrony zdrowia w
środowisku właściwie zabezpieczonym przed zagrożeniami;
j) ułatwianie interoperacyjności wśród systemów związanych z ochroną zdrowia
Źródło: PN-EN ISO 27799:2008
27
28. Informacje, które należy chronić
a) informacje o stanie zdrowia indywidualnych osób;
b) dane uzyskane z informacji o stanie zdrowia indywidualnych osób;
c) dane statystyczne i badawcze;
d) wiedza kliniczna i/lub medyczna, (np. dane na temat reakcji na leki);
e) dane dotyczące pracowników opieki zdrowotnej, personelu i
wolontariuszy;
f) informacje związane ze społecznym nadzorem ochrony zdrowia;
g) dane dotyczące śladów audytowych…;
h) dane związane z bezpieczeństwem systemowym systemów
informacyjnych ochrony zdrowia, …. .
28
30. Rozporządzenie KRI
• § 20. 1. Podmiot realizujący zadania publiczne
opracowuje i ustanawia, wdraża i eksploatuje,
monitoruje
i przegląda oraz utrzymuje i doskonali system
zarządzania bezpieczeństwem informacji
zapewniający poufność, dostępność i integralność
informacji z uwzględnieniem takich atrybutów jak
autentyczność, rozliczalność, niezaprzeczalność
i niezawodność.
30
31. Rozporządzenie KRI
• 2. Zarządzanie bezpieczeństwem informacji
realizowane jest w szczególności przez
zapewnienie przez kierownictwo podmiotu
3. Wymagania określone w
publicznego warunków umożliwiających
realizację i egzekwowanie następujących ust. 1 i 2 uznaje się za
działań: spełnione, jeżeli system
• zapewnienia aktualizacji regulacji wewnętrznych w zarządzania
zakresie dotyczącym zmieniającego się otoczenia;
•
bezpieczeństwem informacji
utrzymywania aktualności inwentaryzacji sprzętu i
oprogramowania służącego do przetwarzania został opracowany na
informacji obejmującej ich rodzaj i konfigurację; podstawie Polskiej Normy
• przeprowadzania okresowych analiz ryzyka utraty
integralności, dostępności lub poufności informacji
PN-ISO/IEC 27001, …
oraz podejmowania działań minimalizujących to
ryzyko, stosownie do wyników przeprowadzonej
analizy;
• podejmowania działań zapewniających …
31
Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. Urządzenia i nośniki zawierające dane osobowe, o których mowa w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przekazywane poza obszar, o którym mowa w § 4 pkt 1 rozporządzenia, zabezpiecza się w sposób zapewniający poufność i integralność tych danych. Administrator danych monitoruje wdrożone zabezpieczenia systemu informatycznego. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. W systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych.