W dniach 23-25 listopada w Kazimierzu nad Wisłą odbędzie się XV Międzynarodowa Konferencja Naukowa INTEGRATION 2012
W drugim dniu będę miał przyjemność przedstawić wykład pt. "Zintegrowane zarządzanie jakością i bezpieczeństwem – kluczowymi wyznacznikami nowoczesnego przedsiębiorstwa", w którym postaram się scharakteryzować wybrane technologie i style zarządzania występujące w nowoczesnych przedsiębiorstwach. Pokrótce scharakteryzuję też ryzyka związane z tymi zjawiskami.
Serdecznie zapraszam na konferencję, jak i na wykład. Pełen program znajduje się tutaj
.
Po długiej i zagmatwanej procedurze rejestracyjnej kilka dni temu otrzymaliśmy informację, że Sąd Rejonowy dla M.St. Warszawa dokonał rejestracji Stowarzyszenia CSA Polska.

Stowarzyszenie będące polskim przedstawicielem Cloud Security Alliance ma na celu krzewienie wiedzy oraz promowanie najlepszych standardów i praktyk w zakresie bezpieczeństwa przetwarzania danych w modelu „cloud computing”.
Mamy nadzieję, że odegra ono znaczną rolę nie tylko w promowaniu bezpiecznych sposobów zarządzania tym zagadnieniem, ale również w twórczy sposób będzie wpływało na kształtowanie nowych, rozwijających się międzynarodowych standardów w tym zakresie.


Pierwszy Zarząd ukonstytuował się w składzie:

  • Marcin Fronczak – Przewodniczący
  • Adam Haertle – Skarbnik
  • Krystian Szybis – Sekretarz
  • Patryk Gęborys – Wiceprzewodniczący
  • Jakub Syta – Wiceprzewodniczący

Do Komisji Rewizyjnej Komitet Założycielski wybrał następujące osoby:

  • Radosław Kaczorek
  • Bolesław Szomański
  • Wojciech Szyksznia


Więcej o stowarzyszeniu i jego działalności można przeczytać na stronie http://www.cloudsecurityalliance.pl/
.
KNF ogłosił ostatnio publiczne konsultacje dla rekomendacji D.


Jest to ważna informacja dla wszystkich bezpieczników z bankowości. Szczególnie ważna, gdyż wygląda na to, że będzie zawierać sporo zmian. Kilka przykładowych, które szczególnie zwróciły mają uwagę to:

1.1 podkreślająca rolę rady nadzorczej w nadzorowaniu IT
4.3 podkreślająca współpracę IT i biznesu
5.2 wprowadzający separację obowiązków
– funkcji tworzenia lub modyfikowania systemów informatycznych od ich testowania, administracji i użytkowania,
– funkcji administrowania środowiskiem teleinformatycznym od zarządzania jego bezpieczeństwem,
– funkcji administrowania sieciami teleinformatycznymi, bazami danych oraz systemami informatycznymi,
– funkcji audytu od pozostałych funkcji w obszarze technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego.
5.4 podkreślająca kto tak naprawdę jest odpowiedzialny za bezpieczeństwo informacji
5.9 wymagający aktualnej i precyzyjnej dokumentacji środowiska teleinformatycznego
7.11 podkreślający zasady zarządzania zmianą (w tym zmiany pilne i awaryjne)
9.5 wprowadzający odseparowane podsieci
9.8 zezwalający na sieć bezprzewodową w bankach
9.18 wymagający szyfrowania i uwierzytelniania podczas wykorzystywania drukarek sieciowych (choć tu  mam wątpliwości czy nie powinno to bazować na analizie ryzyka. Nie każda drukarka sieciowa (moim zdaniem)musi oferować uwierzytelniania. A koszty wymiany są spore
10.6 de facto zezwalająca na przetwarzanie danych w modelu cloud computing
11.5 wymagający narzędzi automatyzujących zarządzanie uprawnieniami (w tym historycznymi
12.4 i 14 wymagający uświadamiania użytkowników w zakresie bezpieczeństwa
17.1 zarządzanie oprogramowaniem końcowych użytkowników
18.3 podkreślenie przydatności norm serii ISO 27000
18.4 podkreślenie konieczności integracji zarządzania bezpieczeństwem z narzędziami zarządzania ryzykiem operacyjnym
18.5 i 18.10 i 18.12 podkreślenie konieczności zarządzania ryzykiem w zakresie bezpieczeństwa środowiska teleinformatycznego
18.9 podkreślającego przydatność wymiany informacji o zagrożeniach oraz doświadczeń wynikających z analizy naruszeń bezpieczeństwa
20.7 sugerujący potrzebę wdrażania SIEM
22.4 sugerujący potrzebę korzystania z zewnętrznych usług audytu



Jak widzicie za jakiś czas naprawdę będzie ciekawie.
.
W trakcie wielu projektów obserwowałem specyficzny rozdział dotyczący pojmowania różnych aspektów bezpieczeństwa: poufności, integralności i dostępności (że skoncentruję się na tych podstawowych). Potężna część osób – studentów czy klientów przede wszystkim utożsamia bezpieczeństwo z poufnością. Coś jest bezpieczne jeżeli inni tego nie znają – tak można podsumować definicję bezpieczeństwa w ich wykonaniu. Przy lekkim naprowadzeniu dość szybko udaje nam się podkreślić aspekt dostępności. Jednak osoby, które dopiero zaczynają zajmować się bezpieczeństwem często nie są w stanie podkreślić istotności „integralności” dla ich pracy czy zadań wykonywanych przez ich pracodawców.

Wczorajsze zamieszanie z Play jest świetnym przykładem na to, że integralność danych potrafi stać się niezmiernie istotną kwestią nie tylko dla IT, ale również dla przedstawicieli działów biznesowych. Nie chcę kopać leżącego (zarówno w tej kwestii jak i komunikacji kryzysowej) – inni już to zrobili, więc tylko dodam parę wniosków. Tak często niedoceniana integralność danych może spowodować wielkie straty wizerunkowe. Może też doprowadzić do bardzo poważnych problemów prawnych, gdyż zdziwiłbym się gdyby Play nie został przez przynajmniej niektórych z klientów pozwany za naruszenie tajemnicy korespondencji – MMS w końcu do takich należy. Nie jest przypadkiem, że awaria miała miejsce w niedzielę – soboty to w końcu bardzo popularny dzień na wdrażanie wszelkiego rodzaju poprawek. Niemniej dobrze przygotowana poprawka po pierwsze jest odpowiednio przetestowana na środowiskach testowych, po drugie jest odpowiednio zweryfikowana po wdrożeniu jej na środowisko testowe a po trzecie zawiera przygotowany plan czynności na wypadek niepowodzenia.

W tym przypadku nie zadziałały wszystkie z tych elementów poddając w zapytanie jakość procesu zarządzania zmianą oraz jego integrację z procesem zarządzania incydentami i dalej zarządzania kryzysowego. Play powinien teraz wyciągnąć wnioski i dokonać szybkich zmian by podkreślić swoją wiodącą rolę wśród polskich telekomów.
.
Bruce Schneier wygrzebał, ja powielę...
przecież to takie prawdziwe
.

Pozwolę sobie przypomnieć, że szybkimi krokami zbliża się nasze kolejne szkolenie przygotowujące do egzaminów CISA!!!
Wiosenne szkolenie było nawet bardziej skuteczne niż się spodziewaliśmy - egzamin zdało 100% naszych kursantów. Trudno będzie powtórzyć ten doskonały wynik, niemniej spróbujemy :-)

Zainteresowanych zapraszam na stronę szkolenia CISA.
.
Zazwyczaj nie piszę o głosowaniach do międzynarodowych organizacji, tym razem jest jednak inaczej. ISC2 jest specyficzną organizacją. Przez lata nie tworzyło oddziałów, nie prowadziło (chyba) żadnej godnej wzmianki widocznej działalności poza procesem certyfikacji...A wiem, że konkurencyjne marki naprawdę mogą (a czasem i potrafią) zrobić coś ciekawego W sumie to nie wiem czym się ISC2 zajmowało przez ostatnie lata(mimo, że jestem członkiem od xxx lat) Widać, że skostniałość organizacji zaczęła już coraz bardziej przeszkadzać członkom i w trakcie następnych wyborów będą próbowali zmienić status quo. Powstała inicjatywa dodania nowych osób do listy od lat pojawiających się nazwisk. Wszyscy posiadacze CISSP mogą przyczynić się do rozszerzenia "oficjalnej" listy kandydatów. Więcej informacji jest na stronie Unofficial ISC2 Board Petition Central .
Na Ted Dan Gilbert przedstawił rewelacyjny wykład o decyzjach podejmowanych przez ludzi. W piękny sposób, szczególnie bliski osobom zajmującym się zarządzaniem ryzykiem, dowodzi dlaczego są one tak często błędne.

Naprawdę warto się (z siebie) pośmiać, zrozumieć jak funkcjonuje ten nasz "defekt" w mózgu, a nawet zrozumieć rolę mediów w tym, że podejmujemy złe decyzje.

.
TrendMicro opublikował ostatnio niezły film dotyczący bezpieczeństwa smartfonów. Nie ma tam może nic nowego, ale jest ładnie nagrany, ładnie zmontowany, kręcony w Warszawie oraz...chyba trafiający do świadomości osób spoza branży. Nie jest to też, co warto podkreślić, nachalna reklamówka producenta niezłych antywirusów. Pokażcie to swoim szefom.., i to nie szefom IT - oni już to wiedzą, lecz szefom działów biznesowych. .
Z wizytą w QTS

.
Ostatnio rzadziej przeglądałem nowości na rynku bezpieczeństwa, a tu okazuje się, że ciekawe czasy nadchodzą. Chwila nieuwagi (no, może raczej zapracowania) i tu...

Kopalnia Wiedzy donosi, że wreszcie potwierdzono to, o czym od lat mówiono - układy scalone też potrafią mieć tylne drzwi. To chyba nie jest niespodzianka, że sprawa ma akcent chiński.

Nie wolno pominąć również informacji o tym, że japońskim naukowcom udało się złamać 923-bitowy klucz kryptograficzny, składający się z 278 cyfr. Klaster 21 komputerów potrzebował tylko około pół roku. A gdyby tak zastosować chmury i oferowane przez nie rozwiązania?

Kolejną ciekawostką jest to, że można wykorzystać akcelerometr do sprawdzania jakie wirtualne klawisze są wciskane i tym samym do szpiegowania użytkownika

Po tym gdy amerykański i izraelski wywiad przyznały się do stworzenia Stuxnet chiński akcent pojawił się przy okazji szpiega, który kopiował wszystkie pliki AutoCAD'a jakie udało mu się odnaleźć. Tym samym trudno nie zauważyć, że tej azjatyckiej gospodarce naprawdę zależy na tym by być skrajnie innowacyjną. A, że cel uświęca środki...
.
Piotrek opisał na niebezpieczniku bardzo interesującą historię: Jak zostać słupem?

Ponieważ oszustwo dotyczy naszego środowiska oraz jest naprawdę łatwe do przeprowadzenia również rozsyłam ją w świat. W skrócie - okazuje się, że by założyć rachunek w banku wystarczy dokonać przelewu na konto z innego naszego rachunku.
A to już otwiera przestępcom drogę do oszustw.
.

Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych doceniło fakt istnienia 2 bardzo ważnych norm z zakresu zarządzania IT i bezpieczeństwa informacji

Opisując minimalne wymagania dla systemów teleinformatycznych w paragrafie 15 czytamy:
1. Systemy teleinformatyczne używane przez podmioty realizujące zadania publiczne projektuje się, wdraża oraz eksploatuje z uwzględnieniem ich funkcjonalności, niezawodności, używalności, wydajności, przenoszalności i pielęgnowalności, przy zastosowaniu norm oraz uznanych w obrocie profesjonalnym standardów i metodyk.   
2. Zarządzanie usługami realizowanymi przez systemy teleinformatyczne ma na celu dostarczanie tych usług na deklarowanym poziomie dostępności i odbywa się w oparciu o udokumentowane procedury.
3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeśli projektowanie, wdrażanie, eksploatowanie, monitorowanie, przeglądanie, utrzymanie i udoskonalanie zarządzania usługą podmiotu realizującego zadanie publiczne odbywają się z uwzględnieniem Polskich Norm: PN-ISO lEC 20000-l i PN-ISO/lEC 20000-2 

Z kolei w paragrafie 20 znajdują się następujące wymagania dotyczące zarządzania bezpieczeństwem informacji:
1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.
2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:  
1) zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia; 
2) utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;
3) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy; 
4) podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji; 
5) bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4; 
6) zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak: 
a) zagrożenia bezpieczeństwa informacji, 
b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, 
c) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich; 
7) zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez: 
a) monitorowanie dostępu do informacji, 
b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji, 
c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji; 
8) ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość; 
9) zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie; 
10) zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji; 
11) ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;
12) zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na: 
a) dbałości o aktualizację oprogramowania, 
b) minimalizowaniu ryzyka utraty informacji w wyniku awarii, 
c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją, 
d) stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa, 
e) zapewnieniu bezpieczeństwa plików systemowych, 
f) redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych, 
g) niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa, 
h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa; 
13) bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących; 
14) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. 
3. Wymagania określone w t. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym: 
1) PN-ISO/IEC 17799—w odniesieniu do ustanawiania zabezpieczeń; 
2) PN-ISO/IEC 27005 — w odniesieniu do zarządzania ryzykiem; 
3) PN-ISO/IEC 24762 — w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania. 

Nie można nie zauważyć, że jest to krok w bardzo dobrym kierunku i zamyka (przynajmniej w zakresie przetwarzania rejestrów publicznych) dyskusje czy warto wdrażać systemy zarządzania zgodne z najlepszymi praktykami. Nie dość, że warto ze względu na stałe doskonalenie organizacji, to jeszcze będzie (w przynajmniej powinno to być) zauważone i docenione w trakcie różnego rodzaju audytów i kontroli. Warto bardziej szczegółowo przyjrzeć się rozporządzeniu, gdyż znajdują się tam jeszcze odniesienia do innych powszechnie wykorzystywanych standardów jak np. RFC
.


CSA oferuje e Europie w 3 letnie stypendia dla doktorantów zajmujących się tematyką bezpieczeństwa chmur

Do 14 lipca trzeba dostarczyć:
- 2-3 stronicowy opis głównych założeń / tez pracy
- szczegółowe CV
- xero i tłumaczenie dyplomu
- 2 listy referencyjne

Osoby zainteresowane będące (lub zamierzające formalnie stać się przed 1 listopada tego ) doktorantem uczelni wyższej zapraszamy do kontaktu.
Wymaganiem stypendium jest między innymi to, że te osoby aktywnie włączą się w prace międzynarodowego zespołu ekspertów CSA i będą służyć swoją pracą i doświadczeniem. Innymi słowy CSA nie tylko oferuje stypendium, ale umożliwi równocześnie zastosowanie projektu w praktyce!
Zapraszam do kontaktu z CSA Polska
Próbujemy powołać do życia polski oddział Cloud Security Alliance. W sumie to większość prac już została wykonana, odbyło się walne zgromadzenie, wybrano władze (będą mieć przyjemność piastować tam stanowisko wiceprezesa) Jakiś czas temu pojawiła się również nowa wersja strony. Zapraszam na www.cloudsecurityalliance.pl Między innymi jest tam mój tekst "Chmury okiem GIODO". Zapraszam do lektury
.

Tytuł może brzmi poważnie, na pewno mniej poważna była wiadomość, która sprowokowała mnie do napisania tego posta.

Na głównej stronie interii w chwili pisania tego tekstu znajdowala się wiadomość Uwaga na wirus czający się w bankomatach! Widząc taki tytuł bez wahania otwieram zawartość i patrzę, która sieć tym razem padła ofiarą...oszczędności lub własnej "głupoty" i zaraziła bankomaty złośliwym kodem...Otwieram stronę, patrzę i widzę oryginalny tytuł wiadomości "Euro na Ukrainie - uważaj na swoją kartę".

Zaraz, zaraz - o co chodzi...Toż to zwykłe ostrzeżenie przed skimmingiem. A gdzie ten wirus? /mam pewno podejrzenia, ale tak bezczelny to jednak nie będę by to napisać/

Tym samym wracamy do tytułowego zagadnienia. Media swoją powszechnością mogą dotrzeć do większości obywateli. Potrafią tworzyć opinie (z czego skwapliwie korzystają), czasami bywają wykorzystywane do szczytnych celów (jak budowanie świadomości odnośnie nowoczesnych zagrożeń). Nie wolno jednak szukając taniej sensacji robić ludziom wody z mózgu. Nie wiem co spowodowało takie nazywanie wiadomości - skrajna ignorancja czy też właśnie szukanie taniej sensacji. Ale w sumie nie wiem co gorsze.
I jak tu oczekiwać tego, że ktoś się czegoś z mediów nauczy?
.
W ubiegłym tygodniu wreszcie opublikowano, długo wyczekiwaną normę ISO 22301 
.

Zapoznałem się z projektem zmian.
ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Zmiany dotyczą zwolnienia z obowiązku rejestracji zbiorów baz danych i przeniesienia ciężaru prac związanych z utrzymywaniem rejestru na ABI. Zmiana idzie zdecydowanie w dobrą stronę. Przykłady, które znam, ale o których niestety nie powinienem pisać wskazują, że GIODO dławi się zgłoszeniami. Nie jest w stanie ich odpowiednio obsłużyć, no i przyznajmy szczerze - wartość dodana z faktu posiadania rejestru takich danych jest po prostu żadna. Lepiej niech porządkowaniem tych zagadnień w firmach zajmuje się niezależny i wykwalifikowany ABI (chętnie outsourcowany, po co utrzymywać niepotrzebne etaty), wprowadzający mechanizmy bezpieczeństwa bazując na efektach procesu szacowania ryzyka (tego niestety brakuje w nowelizacji i dyrektywie).

Znów odwołam się do filmu Monsters vs Aliens Jeszcze jedna scena kojarzy mi się z bezpieczeństwem (może to oczywiście być wina godziny o której to piszę). Pokazuje to jak wymagania biznesowe potrafią być określane przez "biznes", jak np. wymagania estetyczne przekładają się ponad wymagania dotyczące bezpieczeństwa itp.
.
Przypadkiem trafiłem na animowaną historyjkę dotyczącą tego jak wykorzystując inżynierię społeczną i korzystając z faktu słabej świadomości pracowników w zakresie zasad bezpieczeństwa fizycznego ukraść cenne dane (i fanty) oraz zrobić sporo zamieszania. warto sobie obejrzeć, a może i wykorzystać gdzieś w organizacji...
.
Bruce Schneier "wygrzebał rewelacyjny rysunek.
A przypomnę przy okazji, że newsletter Bruce regularnie ukazuje się po polsku na stronach IMMUSEC
.
Maciej Samcik na swoim blogu opublikował niedawno kilka "najzabawniejszych" sposobów okradania banków. Mimo, że historie są (raczej) doskonale znane warto sobie je przypomnieć tego miłego popołudnia
 .
2 tygodnie temu, bez szczególnego rozgłosu ISO poinformowało, że norma ISO 22301 przeszła własnie do stanu "w publikacji". Oznacza to, że w najbliższych tygodniach można oczekiwać jej publikacji. Dlaczego to jest ważne? Dlatego, że (poniekąd) będzie ona stanowić ISO'wską odpowiedź na BS 25999. O tym jak to będzie wyglądało w rzeczywistości zobaczymy, niemniej ponieważ obecnie standardem (nawet w polskiej administracji publicznej) staje się bazowanie na brytyjskim standardzie, być może rynek uzna, że warto będzie w projektach zacząć korzystać z akurat tego, międzynarodowego standardu. Warto to mieć na uwadze, za jakiś czas zobaczymy czy ISO 22301 stanie się na równi popularne z BS25999
.
Jakiś czas temu powstała animowana bajka dla dzieci (tych starszych też) pt. Monsters vs. Aliens.
Jest tam przedstawione doskonałe podejście do tego jak w praktyce można korzystać z dobrodziejstwa biometrii.
Polecam szczególnie od 14 do 25 sekundy

.
Dziś rano oficjalnie opublikowano (chwilowo wyłącznie dla osób, ktore dokonały pre-rezerwacji) COBIT 5 - najnowszą wersję jednego z najbardziej znanych standardów nadzoru i kontroli systemów informatycznych. COBIT 5 sklada się z następujących części:

- COBIT 5 (Framework)
- COBIT 5 Enabling Processes
- COBIT 5 Implementation Plus 
- COBIT 5 Toolkit

więcej informacji znajduje się na tej stronie
.
Większość z nas co jakiś czas otrzymuje sms'owy spam.
Każdemu z nas przysługuje prawo do żądania zaprzestania takiego "nękania".

By to zrobić należy wysłać żądanie zaprzestania wysyłki sms'owego spamu do operatora danego numeru. Pomocna do identyfikacji może być na przykład ta strona.
Warto o tym pamiętać - zamiast się wściekać czy przeklinać nie wiadomo na kogo w przeciągu paru chwil, za darmo (w przeciwieństwie do komercyjnych serwisów wspierających tę czynność za pieniądze) można szybko pozbyć się problemu

Na Expert Room portalu immusec.com umieściłem artykuł dotyczący statystyk i danych o wycieku rekordów. Zachęcam do lektury.
Podczas pisania zorientowałem się, że ubiegłym tygodniu bez szczególnego rozgłosu został pobity rekord świata ustanowiony 3 lata temu przez Heartland Payment Systems, Tower Federal Credit Union, Beverly National Bank. Obecnie rekord należy do Shanghai Roadway D&B Marketing Services Co. Ltd, który 17 marca 2012 zgłosił fakt  utraty 150 000 000 rekordów.
.
Bruce Schneier opublikował właśnie nową książkę Liars & Outliers: Enabling the Trust that Society Needs to Thrive”.


Na Expert Room'ie IMMUSEC opublikowałem właśnie recenzję książki podesłanej nam przez Bruce'a. Zachęcam do lektury (recenzji i oczywiście książki)
Czym jest zaufanie? Jak ewoluowało na przestrzeni dziejów? Jak wpływa na nasze codzienne życie i jak kształtuje społeczeństwo w którym żyjemy? To są główne zagadnienia, które rozważa autor. Stara się pokazać dylematy przed którymi stajemy na co dzień stawiając swój interes ponad interesem grupy, lub też na odwrót – gdy świadomie decydujemy się poświęcić partykularne interesy by mogło na tym skorzystać społeczeństwo, czy nasze otoczenie. W swoich rozważaniach autor dotyka takich tematów jak korzystanie z serwisów społecznościowych, gry online, kradzieże i przestępstwa kryminalne, płacenie podatków czy nawet połowów dorsza – każdy znajdzie tu przykłady zgodne z własnymi zainteresowaniami.


Standard PCI DSS to 12 wymagań:
1.  Zainstaluj i skonfiguruj zapory ogniowe tak aby chronić dane posiadaczy kart
2.  Nie używaj domyślnych, dostarczanych przez dostawców danych w postaci haseł i innych parametrów bezpieczeństwa
3.  Chroń przechowywane dane użytkowników kart
4.  Szyfruj dane posiadaczy kart przesyłane otwartymi, publicznymi łączami
5.  Używaj i regularnie aktualizuj oprogramowanie antywirusowe
6.  Twórz i utrzymuj bezpieczne systemy i aplikacje

7.  Ogranicz dostęp do danych posiadaczy kart zgodnie z zasadą wiedzy koniecznej
8.  Przypisz unikalne identyfikatory wszystkim osobom mającym dostęp do komputerów
9.  Ogranicz fizyczny dostęp do danych posiadaczy kart
10.  Wyszukuj i monitoruj wszystkie próby dostępu do zasobów sieciowych oraz informacji o posiadaczach kart
11.  Regularnie testuj systemy i procesy bezpieczeństwa
12.  Utrzymuj politykę wymagającą spełnianie zasad bezpieczeństwa informacji przez cały personel

By ułatwić i uprzyjemnić ich rozpowszechniania PCI Council zamówiło skoczną piosenkę...



Polecam na poprawę samopoczucia w oczekiwaniu na wiosnę

Ostatnio trochę zajmuję się zagadnieniem zarządzania kryzysowego. Trafiłem przy okazji na stronę MSWiA gdzie znajduje się poradnik "Bądź bardziej bezpieczny". W wolnych chwilach warto sobie poklikać i poczytać. Szkoda, niekiedy, że oprócz różnego rodzaju porad co zrobić brakuje wytłumaczenia DLACZEGO

Przykładowo - czytając o schronach podczas ewakuacji należy zakryć plastikowymi torbami okna, kontakty i liczniki,
Dlaczego...szczególnie te liczniki mnie intrygują...A krany i palniki gazowe również? Może ktoś z Was to wie?
Intrygują mnie również te zagrożenia chemiczne przed którymi uda się zabezpieczyć zakrywając kontakty...Ale może za mało się jeszcze na tym znam.
.
Marcin Fronczak napisał ciekawy tekst porównując planowanie ciągłości funkcjonowania do zdobywania bieguna południowego
Robert Falcon Scott i Roald Amundsen stosowali trochę inne podejście - podejście Amundsena można określić powiedzeniem, że "im więcej trenuję tym więcej mam szczęścia".
Jak pokazuje Marcin planowanie i odpowiednie ćwiczenie niepomyślnych scenariuszy generuje korzyści w skrajnie różnych sytuacjach. W końcu podstawowe zasady są takie same.
Zachęcam do lektury całego artykułu.
.
Ostatnio, przy okazji innych tematów kilkakrotnie zaczynała się dyskusja o kartach RFID - czynaprawdę są tak bezpieczne jak przekonują niektórzy.

Własnie zobaczyłem, że Piotrek Konieczny zajął się w tych dniach tematem. By nie powielać bezsensownie treści (chodzą słuchy, że takie jedno ministerstwo drukuje ostatnio internet a lubię lasy) załączam linki do 2 jego ciekawych artykułów.

Tutaj Piotrek pokazuje filmiki na których widać jak kopiuje się dane z kart RFID.
Tutaj są już informacje o tym, że można skopiować jednorazowy kod zabezpieczający CVV i po skopiowaniu na czystą kartę wykorzystać do płatności.

Jak na razie procedura kradzieży gotówki w rozsądnych ilościach byłaby kłopotliwa i długotrwała, niemniej czekam na masowe zastosowania. Skoro już można to teraz tylko chwile dzielą nas od spopularyzowania ataku.

Przed chwilą opublikowano projekty nowej unijnej dyrektywy dotyczącej ochrony danych osobowych. Mają one zastąpić niespójne regulacje obowiązujące w poszczególnych krajach UE, zmniejszyć biurokrację i przy okazji zagwarantować większą ochronę danych osobowych

Załączam wyciąg z komunikatu (pogrubienia moje)
Najważniejsze zmiany wprowadzane przez reformę obejmują:
Jeden zestaw przepisów dotyczących ochrony danych osobowych obowiązujący w całej UE. Niepotrzebne wymogi administracyjne, takie jak obowiązek zawiadomienia ciążący na przedsiębiorstwach, zostaną zlikwidowane. Przyniesie to przedsiębiorstwom oszczędności rzędu ok. 2,3 mld EUR rocznie.

Zamiast obecnego obowiązku zgłoszenia przez wszystkie przedsiębiorstwa wszelkich działań w zakresie ochrony danych organom nadzorującym ochronę danych – który to wymóg spowodował niepotrzebną biurokrację i kosztuje przedsiębiorstwa 130 mln EUR rocznie, rozporządzenie przewiduje większą odpowiedzialność i rozliczalność podmiotów przetwarzających dane osobowe.
Przykładowo przedsiębiorstwa i organizacje muszą powiadamiać krajowy organ nadzorczy o poważnych naruszeniach ochrony danych tak szybko, jak tylko jest to możliwe (jeżeli jest to wykonalne – w ciągu 24 godzin).

Organizacje będą się kontaktować tylko z jednym krajowym organem nadzorującym ochronę danych w tym państwie członkowskim UE, w którym posiadają główną siedzibę. Podobnie osoby fizyczne będą mogły kontaktować się z organem nadzorującym ochronę danych w swoim państwie, nawet jeżeli ich dane są przetwarzane przez przedsiębiorstwo mające siedzibę poza UE. W przypadku gdy do przetwarzania danych konieczna jest zgoda, zostało wyjaśnione, że będzie ona musiała zostać wydana wyraźnie, a nie być domniemana.

Osoby fizyczne uzyskają łatwiejszy dostęp do własnych danych i będą mogły łatwiej przekazywać swoje dane osobowe od jednego usługodawcy do drugiego (prawo do przenoszenia danych). Poprawi to konkurencję między usługodawcami.

Prawo do bycia zapomnianym” pomoże ludziom lepiej zarządzać ryzykiem związanym z ochroną danych w internecie: osoby fizyczne będą miały możliwość usunięcia swoich danych jeżeli nie będzie istnieć uzasadniona podstawa do ich zachowania.

Unijne przepisy muszą obowiązywać w przypadku gdy dane osobowe są przetwarzane zagranicą przez przedsiębiorstwa prowadzące działalność na rynku UE i oferujące swoje usługi obywatelom UE.
Niezależne krajowe organy nadzorujące ochronę danych zostaną wzmocnione, aby mogły lepiej egzekwować unijne przepisy na terytorium kraju. Zostaną one upoważnione do nakładania kar na przedsiębiorstwa naruszające unijne przepisy o ochronie danych. Kary te mogą sięgnąć 1 mln EUR lub 2% łącznych rocznych obrotów przedsiębiorstwa.

W nowej dyrektywie ogólne zasady ochrony danych zostaną zastosowane w odniesieniu do współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych. Przepisy dyrektywy będą miały zastosowanie do przekazywania danych zarówno w kraju, jak i do transferów transgranicznych.

Zwrócę jeszcze uwagę na Sekcję 3 opowiadającą o ABI (teraz Data Protection Officer):
- ma być powołany ("shall" czyli polskie "powinno" de facto oznacza w normatywnym języku przymus)
- ma być fachowcem znającym m.in kwestie prawne ochrony danych osobowych
- może być współdzielony pomiędzy organizacjami
- ma być niezależny

Jak widać - ogólne kierunki zmian zapowiadają się ciekawie (trzeba teraz przyjrzeć się szczegółom). To czego mi brakuje to informacji o powiązaniu zarządzania danymi osobowymi z ISMS, a może nawet wymogu utworzenia przynajmniej zrębów pozwalających na zarządzanie tym zagadnieniem w organizacji. Smuci też to, że na zmniejszenie biurokracji trzeba będzie jeszcze poczekać ok. 2 lat

Na zakończenie parę nowych/starych definicji
'data subject' means an identified natural person or a natural person who can be
identified, directly or indirectly, by means reasonably likely to be used by the
controller or by any other natural or legal person, in particular by reference to an
identification number, location data, online identifiers or to one or more factors
specific to the physical, physiological, genetic, mental, economic, cultural or social
identity of that person;

'personal data' means any information relating to a data subject;

'processing' means any operation or set of operations which is performed upon
personal data or sets of personal data, whether or not by automated means, such as
collection, recording, organization, structuring, storage, adaptation or alteration,
retrieval, consultation, use, disclosure by transmission, dissemination or otherwise
making available, alignment or combination, restriction, erasure or destruction;
.
Type się mówi o ACTA oraz atakach jakie miały miejsce w ostatnich dniach, że nie chciałem dorzucać swoich 3groszy. W sumie tym postem też za dużo nowego nie wniosę, ale pragnę zwrócić uwagę na artykuł Vagli, który przygotował ściągawkę dla dziennikarzy z pytaniami jakie mogliby zadać w temacie ACTA.
Ciekawe ile osób z tego skorzysta. Pytania są...bardzo zasadne i konkretne

Tu kilka przykładów, zapraszam na stronę autora po więcej...
Dlaczego Ministerstwo Kultury i Dziedzictwa Narodowego nie publikuje w swoim serwisie dokumentów zawierających informacje publiczne i w jaki sposób Prezes Rady Ministrów chciałby to zmienić.

Czy premier wiedział o tym co podpisuje, kiedy podpisywał uchwałę pozwalającą na podpisanie ACTA przez Polskę (w tytule uchwały Rady Ministrów nie pojawia się ani angielskojęzyczny skrót, a długi tytuł: "Uchwała Rady Ministrów nr 216/2011 z dnia 25 listopada 2011 r. w sprawie udzielenia zgody na podpisanie Umowy handlowej dotyczącej zwalczania obrotu towarami podrobionymi między Unią Europejską i jej państwami członkowskimi, Australią, Kanadą, Japonią, Republiką Korei, Meksykańskimi Stanami Zjednoczonymi, Królestwem Marokańskim, Nową Zelandią, Republiką Singapuru, Konfederacją Szwajcarską i Stanami Zjednoczonymi Ameryki"

Jeśli premier wiedział, co podpisuje, a wcześniej brał udział w spotkaniach z internautami, na których ten temat kilka razy był podnoszony, to dlaczego nie zrealizował danej wcześniej obietnicy, że taka zgoda rządu na podpisanie traktatu nie będzie udzielona przed wyjaśnieniem z opinią publiczną wszystkich kontrowersji zgłaszanych przez polskie i europejskie organizacje pozarządowe od ponad 2 lat?

Czy toczą się obecnie jakieś ukryte przed oczami opinii publicznej negocjacje z udziałem rządu, dotyczące innych jeszcze porozumień międzynarodowych, które w jakikolwiek sposób mogą być związane z prawnymi aspektami obiegu informacji (w tym ochroną monopoli informacyjnych takich jak prawa autorskie) w społeczeństwie informacyjnym.

W jaki sposób wybrano podmioty, które poproszono o uwagi w konsultacjach społecznych dot. ACTA, które podobno się odbyły?
.
.....................................................
...............................................
........................................
.................................
.........................
.................
.........
.....
.
Cisza
Cicho sza, cicho sza
SOPA nadchodzi, ACTA nadchodzi - choć może jednak nie nadejdą...
.
21 lutego będę miał przyjemność prowadzić jedną z sesji podczas warsztatów Zarządzanie bezpieczeństwem informacji w nowoczesnej firmie organizowanych przez Puls Biznesu.

W trakcie sesji wraz z uczestnikami wspólnie przedyskutujemy kilka z prawdziwych, urzeczywistnionych zagrożeń oraz zastanowimy sie jak można było uniknąć strat, jakie proste zabezpieczenia wystarczyłyby by uniknąć kłopotów. Przedstawię przykłady sytuacji gdy wydawało się, że jest dobrze, lecz wcale tak nie było.
Porozmawiamy o realnych zagrożeniach i banalnych rozwiązaniach... Może być fajnie, może być wesoło.
Zapraszam w imieniu organizatorów (no i proszę się ujawnić na przerwie jako czytelnie to zaproszę na kawkę :-)
.