Jak zapowiadałem kilka tygodni temu dzisiaj rano będę mieć prezentację na konferencji IT Security Management GigaCon.

Z tej okazji zapraszam do zapoznania się prezentacją pod tytułem "Jak skutecznie zarządzać bezpieczeństwem informacji czyli praktyczne zastosowanie modelu wielowarstwowej ochrony".
Wydział Zarządzania Politechniki Warszawskiej zaprasza na kolejną - 9 edycję Studiów Podyplomowych "Zarządzanie jakością i bezpieczeństwem Informacji w środowisku IT".

Zakres tematyczny obejmuje:
Zarządzanie jakością w IT w zgodnie normami ISO 9001:2008, ISO 90003:2004, ISO15288, ISO 15504, ISO 12207, ISO 9126, ISO 20000, ISO 25000, ISO 38500 i standardami ISEB, TQM, CMM, COBIT oraz metody i techniki stosowane w zarządzaniu projektowaniem, wdrażaniem i eksploatacją systemów informatycznych, a także zarządzanie projektami informatycznymi

Zarządzanie bezpieczeństwem informacji zgodnie z normami ISO/IEC 27001:2005, ISO/IEC 27002:2005,ISO/IEC:27004:2010, ISO/IEC:27005:2008, ISO/IEC 27006:2007, ISO/IEC 15408:2008 oraz ciągłością działania firmy (BS 25599), prawne aspekty bezpieczeństwa informacji, TISM, Kryptografia dla managerów, audyty bezpieczeństwa i systemów informatycznych, ochrona fizyczna.

Kierownikiem Studium jest dr inż. Bolesław Szomański.
Informacje o studium są dostępne pod numerem telefonu 22 234-86-94
Załączam oficjalną ulotkę studium




Wczoraj miały miejsce pierwsze ogólnoeuropejskie ćwiczenia na wypadek ataku cyberterrorystycznego "CYBER EUROPE 2010". Uczestniczyło w nich 120 osób z 70 europejskich organizacji.
Jak zapowiadała ENISA:


W ramach dzisiejszego ćwiczenia „Cyber Europe 2010” eksperci z całej Europy przetestują reakcje na pozorowany atak hakerów na ważne usługi internetowe. Scenariusz ćwiczenia zakłada, że łączność internetowa między krajami europejskimi jest stopniowo tracona lub znacznie ograniczona i, w najgorszym przypadku, wszystkie główne połączenia między krajami w Europie zostaną utracone.

Podczas symulacji obywatele, przedsiębiorstwa i instytucje publiczne będą mieli trudność z dostępem do ważnych usług internetowych (jak np. administracja elektroniczna), o ile przesył danych z zaatakowanych połączeń nie zostanie przekierowany.

Ćwiczenie będzie oparte na scenariuszu, zgodnie z którym w ciągu dnia kolejne kraje będą miały coraz większe problemy z dostępem do internetu. Wszystkie uczestniczące państwa członkowskie będą musiały współpracować, aby zapewnić wspólną reakcję na fikcyjny kryzys.

Celem ćwiczenia z dziedziny bezpieczeństwa cybernetycznego jest poprawa zrozumienia przez państwa członkowskie sposobu, w jaki odpiera się ataki cybernetyczne, oraz sprawdzenie połączeń i procedur komunikacyjnych w razie prawdziwego ataku cybernetycznego na dużą skalę. Podczas symulacji zostaną przetestowane: adekwatność punktów kontaktowych w krajach uczestniczących, kanały komunikacyjne, rodzaj wymiany danych tymi kanałami oraz pojmowanie przez państwa członkowskie roli i mandatu równoważnych organów w innych państwach członkowskich.

Jest to niesamowicie pożyteczna inicjatywa. Ataki cyberterrorystyczne, mimo, ze wciąż rzadkie, jednak miały już miejsce, udowadniając swoją niszczycielską moc. O tym jak realne są zagrożenia świadczy fakt, że dzień wcześniej poinformowano, że miał miejsce udany atak na OECD.

Europa musi się nauczyć ze sobą współpracować, szczególnie, że wciąż nie wszystkie Państwa posiadają własne jednostki CERT potrafiące przeciwdziałać takim zagrożeniom.
(źródło: www.cyberterror.pl)
W ramach odświeżania starych, ale wciąż "zielonych" news'ów.

Często spotykanym podejściem w dużych i dobrze zabezpieczonych firmach jest mniejsze lub większe ignorowanie zagrożeń związanych z modyfikacją strony głównej. Sieć wewnętrzna jest zazwyczaj bardzo dobrze chroniona od witryny internetowej, często absolutnie odseparowana. Niemniej w każdym tego typu przypadku decyzja o większym (bądź mniejszym) akceptowaniu ryzyka musi wynikać z przeprowadzonej analizy ryzyka.
Jak groźna może być podmiana strony przekonał się ostatnio Kasperski Lab gdy główna strona zarażała gości. W przypadku firmy zajmującej się bezpieczeństwem na takim poziomie szkody wizerunkowe są potężne. Innym znanym przypadkiem było zarażenie głównej strony Bank of India 22 exploitami. Na pewno samopoczucie Zarządu znacznie się pogorszyło w tamtych dniach.
Nie można tego ominąć - Bruce wygłosił wystąpienie pt "Reconceptualizing Security" podczas TEDxPSU kilka dni temu. Polecam szczególnie ze względu na przemyślenia dotyczące "kupowania" bezpieczeństwa oraz różnicy między odczuwalnym a rzeczywistym poziomem bezpieczeństwa.


Po latach oczekiwania znowelizowano ustawę o Ochronie Danych Osobowych.
Jedną z ważniejszych zmian jest wprowadzenie nowego rodzaju kar za nieprzestrzeganie ustawy - kar finansowych. Cytując za stroną GIODO:
Wysokość takiej grzywny w stosunku do osoby fizycznej będzie mogła wynosić maksymalnie 10000 zł, zaś w stosunku do osoby prawnej oraz jednostki organizacyjnej nieposiadającej osobowości prawnej 50000 zł, zaś w przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie będzie mogła przekraczać: 50000 zł w odniesieniu do osób fizycznych oraz 200000 zł w odniesieniu do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej.

Dotychczasowe sankcje karne mimo rozpoczynania postępowań karnych nie kończyły się wyrokami skazującymi. Kary finansowe prawdopodobnie będą znacznie bardziej praktyczne - chętniej orzekane w wyniku częściej przeprowadzanych kontroli.
A na dodatek będą mogły służyć do niwelowania dziury budżetowej :)
Firmy, które nie dbają o dane osobowe - drżyjcie!
Treść zmian jest dostępna tutaj
W ubiegły czwartek opublikowano nową wersję standardu: PCI DSS 2.0 zapewniającego minimalne wymagania bezpieczeństwa konieczne do zachowania podczas przetwarzania danych kartowych (a dokładnie PAN).

Na pierwszy rzut oka większość zmian to wyjaśnienia do niekoniecznie precyzyjnych sformułowań z poprzednich wersji. Wydaje się to krokiem w dobrą stronę - ilość interpretacji była niekiedy zbyt duża.
Na uwagę zasługuje też wymaganie dotyczące klasyfikacji podatności 6.2 (i powiązanym 6.5.6).

Firmy planujące wdrożenie powinny się raczej cieszyć - będzie mniej dyskusji i więcej bezpieczeństwa (nie muszę dodawać, że wyjaśnienia dodają wymagania a nie ich odejmują). Firmy posiadające już PCI DSS powinny za to zrobić dokładny przegląd systemu - może się okazać, że czeka je dodatkowa praca