Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. v1.0 marzec 2014 System Zarządzania Bezpieczeństwem Informacji (SZBI): Bezpieczeństwo informacji.

Podobne prezentacje


Prezentacja na temat: "Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. v1.0 marzec 2014 System Zarządzania Bezpieczeństwem Informacji (SZBI): Bezpieczeństwo informacji."— Zapis prezentacji:

1 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. v1.0 marzec 2014 System Zarządzania Bezpieczeństwem Informacji (SZBI): Bezpieczeństwo informacji

2 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. 2 Szkolenia BSI Rola Członkowie Zarządów Przedstawiciele kierownictwa / Kierownicy projektów Audytorzy wewnętrzni i zespoły projektów Konwersatorium Kursy pogłębiające zrozumienie Sesje lub moduł E- Learning Kursy pogłębiające zrozumienie Kurs BSI – wdrożenie Kurs audytora wiodącego Kurs audytora wewnętrznego Kurs doskonalący techniki audytu BSI Registered Auditor/ Lead Auditor Kurs Lean Six-Sigma Champion Lean Six-Sigma Pas czarny Lean Practitioner Lean Six-Sigma Pas żółty WdrożenieŚwiadomośćAudyt Doskonalenie Lean Six-Sigma Pas żółty BSI Webinars Konferencje BSI Kwalifikacje ISEB/ IOSH/ NEBOSH BSI Lead Implementer Zaoczny kwalifikujący kurs BSI Sesje lub moduł E- Learning Konwersatorium Lean Six-Sigma Pas zielony Kurs BSI – wdrożenie Wszyscy pracownicy Konwersatorium

3 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. 3 Korzyści dla Państwa!

4 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. 4 Witamy!

5 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. 5 Ćwiczenie 1 Poznajmy się… 10 minut Start

6 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. 6 Cel kursu Dostarczenie wytycznych i praktycznych doświadczeń odnoszących się do zapewnienia bezpieczeństwa informacji w codziennej pracy.

7 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. 7 Struktura kursu Materiały Prezentowane materiały Ćwiczenia Struktura kursu Zadania indywidualne Praca w grupach Dyskusje zespołowe

8 8 Copyright © 2013 BSI. All rights reserved. Tematyka kursu Bezpieczeństwo informacji Otoczenie firmy Informacje i aktywa informacyjne Dobre praktyki: Smartfony Poczta elektroniczna Biurko i ekran Drukarki VoIP Cloud computing – przetwarzanie w chmurze Dostępność informacji w systemach Portale społecznościowe Wymagania prawne

9 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. v1.0 marzec 2014 Wprowadzenie Bezpieczeństwo informacji

10 Copyright © 2013 BSI. All rights reserved. 10 Informacja? Aktywa informacyjne Wiedza lub dane, które mają wartość dla organizacji

11 Copyright © 2013 BSI. All rights reserved. 11 Bezpieczeństwo Informacji Poufność Dostępność Integralność W niektórych organizacjach, integralność i/lub dostępność mogą mieć większe znaczenie niż poufność.

12 Copyright © 2013 BSI. All rights reserved. 12 Kontekst organizacji- strony zainteresowane Strony zainteresowane – strony zewnętrzne i wewnętrzne, które są zainteresowane sukcesem lub porażką systemu bezpieczeństwa informacji Żeby zapewnić bezpieczeństwo informacji należy zidentyfikować oczekiwania stron zainteresowanych (pozytywne i negatywne!)

13 Copyright © 2013 BSI. All rights reserved minut Start Warsztat: Strony zainteresowane Proszę zidentyfikować strony zainteresowane firmy oraz ich oczekiwania dotyczące bezpieczeństwa informacji. Wyniki proszę przedstawić na flipcharcie. Strona zainteresowana Oczekiwania KlientBezpieczeństwo jego danych (jakich?) Organy władzyZgodność z UODO…

14 Copyright © 2013 BSI. All rights reserved. 14 Kontekst organizacji- strony zainteresowane Organizacja ZarządOrgany władzyKlienciKonkurencjaSłużbyPodwykonawcy Przestępcy/ hackerzy PracownicyUbezpieczycielePartnerzy

15 Copyright © 2013 BSI. All rights reserved. 15 Cykl życia informacji Utworzyć Przetwarzać Przekazywać Przechowywać Zniszczyć? Wykorzystać – (do właściwych lub niewłaściwych celów) Uszkodzić! Utracić! Informację można:

16 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone minut Start Warsztat: Informacje Proszę podzielić się na 3 grupy. Każda grupa zidentyfikuje wskazany rodzaj informacji. Wyniki proszę umieścić na flipcharcie. I grupa – informacje wchodzące do firmy II grupa – informacje wychodzące z firmy III informacje własne, przetwarzane w firmie

17 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. v1.0 marzec 2014 Dobre praktyki Smartfony, tablety, urządzenia mobilne

18 Copyright © 2013 BSI. All rights reserved. 18 Smartfony, tablety - zagrożenia włamanie do urządzenia, infekcja urządzenia złośliwym kodem, kradzież urządzenia, awaria lub zablokowanie urządzenia, podsłuch sieciowy urządzenia, włamanie do infrastruktury, z której korzystają urządzenia (WiFi, VPN itp.), ataki socjotechniczne.

19 Copyright © 2013 BSI. All rights reserved. 19 Smartfony, tablety - podatności Kod złośliwy – prawa administracyjne (rooting, jailbreak) Brak świadomości zagrożeń – w przypadku zwykłych telefonów nic nie groziło… Błędy w systemie operacyjnym – niezbyt częste aktualizacje, różnorodność systemów Mały rozmiar – ułatwienie kradzieży Dostęp do Internetu, WiFi, bluetooth

20 Copyright © 2013 BSI. All rights reserved minut Start Warsztat: Smartfony, tablety Proszę powiązać informacje ze stronami zainteresowanymi i ich oczekiwaniami oraz proszę opisać: potencjalne zagrożenia sposoby zabezpieczeń przed tymi zagrożeniami w stosunku do informacji przetwarzanych przez urządzenia mobilne Strona zainteresowana InformacjaZagrożenieZabezpieczenie ZagrożenieZabezpieczenieInformacjaZagrożenieZabezpieczenie

21 Copyright © 2013 BSI. All rights reserved. v1.0 October 2013 ISM03001ENGX Dobre praktyki Poczta elektroniczna

22 Copyright © 2013 BSI. All rights reserved. 22 Poczta elektroniczna Spam Wiadomości z wirusami i trojanami Phishing Pranie brudnych pieniędzy Scareware Ukryte subskrypcje Oszustwa związane z portalami społecznościowymi Błąd w adresie podczas wysyłania Wysyłanie do grupy odbiorców

23 Copyright © 2013 BSI. All rights reserved. 23 Poczta elektroniczna Szacuje się, że aż 87% złośliwego oprogramowania trafia na komputery drogą mailową. Wirusy, robaki i konie trojańskie – niemal każdy rodzaj złośliwego oprogramowania – może być rozpowszechniany poprzez . Tytuł wiadomości a procent kliknięć: Kocham Cię - 37% Świetny dowcip - 54% Wiadomość - 46% Specjalna oferta - 39%

24 Copyright © 2013 BSI. All rights reserved. 24 Poczta elektroniczna – jak się bronić? Wytyczne centrum koordynacyjnego CERT: Czy znasz nadawcę wiadomości? Czy otrzymałeś już inne wiadomości od tego nadawcy? Czy spodziewałeś się otrzymać tę wiadomość? Czy tytuł wiadomości i nazwa załącznika mają sens? Czy wiadomość nie zawiera złośliwego oprogramowania – jaki jest wynik skanowania antywirusowego?

25 Copyright © 2013 BSI. All rights reserved minut Start Warsztat: Poczta elektroniczna Proszę powiązać informacje ze stronami zainteresowanymi i ich oczekiwaniami oraz proszę opisać: potencjalne zagrożenia sposoby zabezpieczeń przed tymi zagrożeniami w stosunku do informacji przetwarzanych w poczcie elektronicznej Strona zainteresowana InformacjaZagrożenieZabezpieczenie ZagrożenieZabezpieczenieInformacjaZagrożenieZabezpieczenie

26 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. 26 Ransomware - (z ang.: ransom - okup, software - oprogramowanie) Na zainfekowanym komputerze wyświetlona zostaje informacja w języku polskim, że komputer został zablokowany i że nastąpiło to, ponieważ był on używany do pobierania pirackich plików, powielania nielegalnych treści oraz oglądania zabronionych stron internetowych. Blokada sygnowana jest zdjęciem Prezydenta RP, logiem Centralnego Biura Śledczego oraz herbem miasta Szczecina. Hakerzy, podszywając się pod policję, za odblokowanie żądają 500 złotych lub 100 euro.

27 Copyright © 2013 BSI. All rights reserved. v1.0 October 2013 ISM03001ENGX Dobre praktyki Czyste biurko i czysty ekran

28 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. 28 Czyste biurko i ekran Pytanie: Co oznacza zasada czystego biurka i czystego ekranu: żadne dokumenty nie mogą leżeć na biurku ani wyświetlać się na pulpicie komputera ważne dokumenty i informacje nie powinny być dostępne dla osób nieupoważnionych na stanowisku pracy i kiedy ma zastosowanie? zawsze tylko podczas nieobecności przy biurku

29 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. 29 Czyste biurko i ekran Polityka czystego biurka i ekranu oznacza: ……………………………………………………………………………………… i powinna być stosowana ………………………………………………………………………………………

30 Copyright © 2013 BSI. All rights reserved minut Start Czyste biurko i ekran - warsztat Proszę powiązać informacje ze stronami zainteresowanymi i ich oczekiwaniami oraz proszę zidentyfikować: potencjalne zagrożenia sposoby zabezpieczeń przed tymi zagrożeniami w stosunku do informacji przetwarzanych na wybranych stanowiskach pracy

31 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. 31 Czyste biurko i ekran - zabezpieczenia przechowywanie pod zamknięciem (najlepszym rozwiązaniem jest sejf, szafa lub inna forma zabezpieczenia) nieużywanych wrażliwych lub krytycznych informacji biznesowych, np. umieszczonych na nośnikach elektronicznych lub w postaci dokumentów papierowych, szczególnie jeśli pomieszczenie biurowe jest opuszczane; zamykanie sesji lub blokowanie komputerów i terminali pozostawionych bez opieki lub czasowo nieużywanych (za pomocą mechanizmu blokowania ekranu i klawiatury kontrolowanego hasłem, tokenem lub innego podobnego mechanizmu); zapobieganie nieupoważnionemu użyciu fotokopiarek i stosowaniu innych technik powielania (np. skanerów, aparatów cyfrowych); niezwłoczne usuwanie z drukarek dokumentów zawierających informacje wrażliwe lub sklasyfikowane; właściwe ustawienie ekranów, uniemożliwiające ich podejrzenie.

32 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. 32 Drukarki sieciowe To moje, już biegnę…! Na której drukarce to wydrukowałem…!? I znów się nie wydrukowało… puszczę jeszcze raz! Dlaczego to zawsze ja trafiam na brak papieru! A co to się drukuje…? Muszę zrobić skan umowy zakupu terenów pod kolejną inwestycję, a potem wezwać serwis do tego urządzenia… Teraz to mamy wygodnie, drukarka sama wzywa serwis!

33 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. 33 Włamywali się na serwery firm Policjanci z Koszalina zatrzymali trzech mężczyzn, którzy włamując się na serwery różnych firm wyłudzili przynajmniej 206 tys. zł. Najprawdopodobniej łączne straty przedsiębiorstw będą znacznie większe. Policja bowiem ustala kolejnych poszkodowanych z terenu całego kraju. Zatrzymani mężczyźni trafili do aresztu na okres trzech miesięcy. Grozi im kara do 10 lat pozbawienia wolności. W sprawę zaangażowanych było kilkanaście osób, z których każda miała do wykonania konkretne zadanie. Organizatorem przestępczego procederu był krakowianin, Zbigniew T. Natomiast 22-letni informatyk Paweł P., mieszkaniec Koszalina, wyszukiwał firmy i włamywał się na ich serwery. Uzyskane w ten sposób hasła dostępu przekazywał Zbigniewowi T., który zmieniał podane na stronach internetowych numery kont. Kontrahenci firm, nieświadomi niczego, wpłacali należności za usługi i towary na podstawione przez oszusta konta. Zanim firma i płatnik orientowali się, że pieniądze wpłynęły na zmieniony rachunek, konto już było wyczyszczone, a należności wypłacone.

34 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. v1.0 marzec 2014 Dobre praktyki VoIP - Voice over Internet Protocol

35 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. 35 VoIP - komunikatory VoIP Netia Skype Gadu-Gadu Windows Live Messenger FreecoNet EasyCall AOL Instant Messenger inne

36 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. 36 VoIP – rodzaje ataków Vishing - VoIP Phishing - oszustwo polegające na podszywaniu się dzwoniącego pod zaufaną instytucję (np. bank) czy osobę (administratora IT). Kradzież osobowości lub usługi - phreaking. Atak ten polega na kradzieży usługi świadczonej przez usługodawcę lub wykorzystaniu usługi i przerzuceniu jej kosztów na kogoś innego. Szkodliwe oprogramowanie - wykorzystanie tzw. softphoneów do rozmów VoIP wiąże się z zagrożeniem szkodliwym oprogramowaniem. DoS (Denial of Service) - Ataki DoS są postrzegane głównie jako zagrożenie dla serwisów internetowych, ale mogą być wykorzystane również do przerwania działania systemu VoIP lub utrudnienia dostępu do niego. SPIT (Spamming over Internet Telephony) - spamowanie przez VoIP jest jeszcze mało popularne, ale notuje się już takie przypadki i będą one coraz częstsze wraz z popularyzacją tej technologii. Autor wiadomości z reguły prosi o podanie poufnych danych, np. danych dostępowych czy numeru karty kredytowej. Man-in-the-middle, snooping – podsłuchiwanie – szczególnie w przypadku przesyłania przez sieć publiczną (Internet) Luki w oprogramowaniu – podobnie jak w przypadku komputerów

37 Copyright © 2013 BSI. All rights reserved minut Start VoIP - warsztat Proszę powiązać informacje ze stronami zainteresowanymi i ich oczekiwaniami oraz proszę zidentyfikować: skutki ataków na VoIP

38 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. 38 DDoS (ang. Distributed Denial of Service – rozproszona odmowa usługi) Allegro nie działa. Serwis aukcyjny padł ofiarą ataku DDoS Allegro pada ofiarą zmasowanego ataku DDoS. Wielu użytkowników miało problemy nie tylko z licytowaniem i przeglądaniem ofert, ale także wejściem na ten najpopularniejszy serwis aukcyjny. …Wszyscy, którzy liczyli, że porobią dzisiaj zakupy na Allegro muszą nieco zweryfikować swoje plany. Dostęp do serwisu od jakiegoś czasu jest mocno ograniczony. Strona, albo nie ładuje się w ogóle, albo robi to z wielkim trudem. Jeżeli komuś uda się już wejść, to czekają go problemy z logowaniem i wyszukiwaniem… – natemat.pl

39 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. v1.0 marzec 2014 Dobre praktyki Cloud computing

40 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. 40 Przetwarzanie w chmurze - zagrożenia Nieautoryzowany dostęp do danych firmowych i klienckich. Brak dostępu do danych w chmurze. Zrzucanie odpowiedzialności za bezpieczeństwo i integralność danych wyłącznie na usługodawcę. Brak stabilność parametrów świadczonej usługi. Brak pełnego zrozumienia sposobu funkcjonowania chmury. Brak możliwości szybkiego odzyskania danych. Brak zapewnienia ciągłości działania dostawcy. Słaba wydajność systemu, aplikacji lub łącza.

41 Copyright © 2013 BSI. All rights reserved minut Start Warsztat: Cloud computing Proszę powiązać informacje ze stronami zainteresowanymi i ich oczekiwaniami w zakresie Cloud Computing oraz proszę zidentyfikować: Wady i Zalety korzystania z chmury

42 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. v1.0 marzec 2014 Dobre praktyki Portale społecznościowe

43 Copyright © 2013 BSI. All rights reserved. 43 Amerykański Ośrodek Badawczy Consumer Reports donosi, że 52% użytkowników sieci społecznościach opublikowało dane osobowe, Ostatnie badania firmy McAfee stwierdziły, że 95% latków wierzy i ma świadomość tego, że publikowanie w sieci danych osobowych lub osobistych informacji jest niebezpieczne, jednak 47% z nich mimo to umieszcza tego typu informacje w Internecie. 80% latków używa swoich smartfonów do wysłania danych osobowych i osobistych wiadomości tekstowych, i i zdjęć, a 40% z nich musiało prosić swoich ex o usunięcie intymnych zdjęć lub wiadomości z ich telefonów – przyznali również, że w perspektywie czasu żałowali, że wysyłali tego typu zdjęcia, wiadomości lub nagrania. 78% z ostatnio złapanych włamywaczy przyznało, że używają sieci społecznościowych takich jak Facebook, Twitter i Foursquare, by planować włamania w okresie, gdy udostępniające takie dane osoby przebywają na wakacjach. Według ankiety przeprowadzonej przez CareerBuilder.com wśród 2300 osób rekrutujących, 1 na 3 pracodawców odrzuca kandydatów poszukujących pracy na podstawie ich wpisów na Facebooku. Specjaliści z McAfee stwierdzili, że 20% osób w wieku lat zna kogoś, kto został zwolniony lub to sami badani zostali zwolnieni z powodu umieszczonych przez nich osobistych zdjęć i wiadomości w Internecie. Portale społecznościowe - TMI (Too Much Information)

44 Copyright © 2013 BSI. All rights reserved. 44 Portale społecznościowe Nie wolno ujawniać danych osobowych. Mądrze zarządzaj ustawieniami swojej prywatność. Często zmieniaj hasła. Wysyłaj dane osobowe tylko za pośrednictwem bezpiecznego połączenia. Wyłącz funkcję GPS w aplikacji fotograficznej swojego smartfona Rozważ udostępnienie zdjęć z wakacji dopiero po powrocie do domu. Pamiętaj, że Internet jest na zawsze.

45 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. 45 Portal Yahoo przeanalizował 3,4 miliona różnych PIN'ów badając ich popularność. Okazało się, że całkiem sporo badanych, bo aż 11 procent, miało właśnie wspomnianą wcześniej kombinację Nieco mniej, bo 6 procent, używa kombinacji 1111, zaś 2 procent Natomiast w przypadku aż 28,3 procenta osób, PIN można zgadnąć przy pomocy 20 prób. 10 najpopularniejszych PIN'ów: Niefrasobliwość?

46 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. v1.0 marzec 2014 Wymagania prawne

47 Copyright © 2013 BSI. All rights reserved. 47 Wybrane wymagania prawne ustawa o ochronie danych osobowych Kodeks spółek handlowych Kodeks Cywilny Kodeks pracy Ustawa o ochronie osób i mienia Kodeks Karny O prawie autorskim i prawach pokrewnych O podpisie elektronicznym O świadczeniu usług drogą elektroniczną Prawo Telekomunikacyjne O ochronie niektórych praw konsumentów oraz odpowiedzialności za produkt niebezpieczny

48 Copyright © 2013 BSI. All rights reserved. 48 Tajemnica przedsiębiorstwa Policjanci z Piekar zatrzymali mężczyznę, który z serwera byłego pracodawcy skopiował dane stanowiące tajemnicę przedsiębiorstwa. Za próbę przekazania nielegalnie zdobytych informacji grozi mu 2 lata więzienia. Policjanci podczas przeszukania mieszkania i nowego miejsca pracy 32- latka znaleźli skopiowane dane pokrzywdzonej firmy. Łącznie zabezpieczono trzy jednostki centralne komputera i ponad 200 płyt z oprogramowaniem. Mieszkańcowi Świętochłowic zarzucono usiłowanie ujawnienia danych stanowiących tajemnicę przedsiębiorstwa osobie do tego nieuprawnionej, za co grozi mu nawet 2 lata pozbawienia wolności.

49 Copyright © 2013 BSI. All rights reserved. v1.0 October 2013 ISM03001ENGX Incydenty

50 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. 50 Incydenty Co to jest incydent? Co należy zgłaszać? Komu należy zgłaszać incydenty?

51 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. 51 ? Podsumowanie kursu i pytania końcowe

52 Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. 52 Dane kontaktowe BSI Group Polska Sp. z o.o. Adres: ul. Królewska Warszawa Telefon: Fax: com Witryna:


Pobierz ppt "Copyright © 2014 BSI. Wszelkie prawa zastrzeżone. v1.0 marzec 2014 System Zarządzania Bezpieczeństwem Informacji (SZBI): Bezpieczeństwo informacji."

Podobne prezentacje


Reklamy Google