Jak zostać słupem czyli interesująca metoda oszustwa

Piotrek opisał na niebezpieczniku bardzo interesującą historię: Jak zostać słupem?

Ponieważ oszustwo dotyczy naszego środowiska oraz jest naprawdę łatwe do przeprowadzenia również rozsyłam ją w świat. W skrócie - okazuje się, że by założyć rachunek w banku wystarczy dokonać przelewu na konto z innego naszego rachunku.
A to już otwiera przestępcom drogę do oszustw.
.

Docenienie norm w przepisach prawnych

Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych doceniło fakt istnienia 2 bardzo ważnych norm z zakresu zarządzania IT i bezpieczeństwa informacji

Opisując minimalne wymagania dla systemów teleinformatycznych w paragrafie 15 czytamy:

1. Systemy teleinformatyczne używane przez podmioty realizujące zadania publiczne projektuje się, wdraża oraz eksploatuje z uwzględnieniem ich funkcjonalności, niezawodności, używalności, wydajności, przenoszalności i pielęgnowalności, przy zastosowaniu norm oraz uznanych w obrocie profesjonalnym standardów i metodyk.   

2. Zarządzanie usługami realizowanymi przez systemy teleinformatyczne ma na celu dostarczanie tych usług na deklarowanym poziomie dostępności i odbywa się w oparciu o udokumentowane procedury.

3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeśli projektowanie, wdrażanie, eksploatowanie, monitorowanie, przeglądanie, utrzymanie i udoskonalanie zarządzania usługą podmiotu realizującego zadanie publiczne odbywają się z uwzględnieniem Polskich Norm: PN-ISO lEC 20000-l i PN-ISO/lEC 20000-2 

Z kolei w paragrafie 20 znajdują się następujące wymagania dotyczące zarządzania bezpieczeństwem informacji:

1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:  

1) zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia; 

2) utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;

3) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy; 

4) podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji; 

5) bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4; 

6) zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak: 

a) zagrożenia bezpieczeństwa informacji, 

b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, 

c) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich; 

7) zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez: 

a) monitorowanie dostępu do informacji, 

b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji, 

c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji; 

8) ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość; 

9) zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie; 

10) zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji; 

11) ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;

12) zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na: 

a) dbałości o aktualizację oprogramowania, 

b) minimalizowaniu ryzyka utraty informacji w wyniku awarii, 

c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją, 

d) stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa, 

e) zapewnieniu bezpieczeństwa plików systemowych, 

f) redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych, 

g) niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa, 

h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa; 

13) bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących; 

14) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. 

3. Wymagania określone w t. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym: 

1) PN-ISO/IEC 17799—w odniesieniu do ustanawiania zabezpieczeń; 

2) PN-ISO/IEC 27005 — w odniesieniu do zarządzania ryzykiem; 

3) PN-ISO/IEC 24762 — w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania. 

Nie można nie zauważyć, że jest to krok w bardzo dobrym kierunku i zamyka (przynajmniej w zakresie przetwarzania rejestrów publicznych) dyskusje czy warto wdrażać systemy zarządzania zgodne z najlepszymi praktykami. Nie dość, że warto ze względu na stałe doskonalenie organizacji, to jeszcze będzie (w przynajmniej powinno to być) zauważone i docenione w trakcie różnego rodzaju audytów i kontroli. Warto bardziej szczegółowo przyjrzeć się rozporządzeniu, gdyż znajdują się tam jeszcze odniesienia do innych powszechnie wykorzystywanych standardów jak np. RFC
.

Stypendia dotyczące bezpieczeństwa chmur

CSA oferuje e Europie w 3 letnie stypendia dla doktorantów zajmujących się tematyką bezpieczeństwa chmur

Do 14 lipca trzeba dostarczyć:

- 2-3 stronicowy opis głównych założeń / tez pracy

- szczegółowe CV

- xero i tłumaczenie dyplomu

- 2 listy referencyjne

Osoby zainteresowane będące (lub zamierzające formalnie stać się przed 1 listopada tego ) doktorantem uczelni wyższej zapraszamy do kontaktu.

Wymaganiem stypendium jest między innymi to, że te osoby aktywnie włączą się w prace międzynarodowego zespołu ekspertów CSA i będą służyć swoją pracą i doświadczeniem. Innymi słowy CSA nie tylko oferuje stypendium, ale umożliwi równocześnie zastosowanie projektu w praktyce!

Zapraszam do kontaktu z CSA Polska

Nowa strona CSA Polska

Próbujemy powołać do życia polski oddział Cloud Security Alliance. W sumie to większość prac już została wykonana, odbyło się walne zgromadzenie, wybrano władze (będą mieć przyjemność piastować tam stanowisko wiceprezesa) Jakiś czas temu pojawiła się również nowa wersja strony. Zapraszam na www.cloudsecurityalliance.pl Między innymi jest tam mój tekst "Chmury okiem GIODO". Zapraszam do lektury
.

Rola mediów w kształtowaniu świadomości

Tytuł może brzmi poważnie, na pewno mniej poważna była wiadomość, która sprowokowała mnie do napisania tego posta.

Na głównej stronie interii w chwili pisania tego tekstu znajdowala się wiadomość Uwaga na wirus czający się w bankomatach! Widząc taki tytuł bez wahania otwieram zawartość i patrzę, która sieć tym razem padła ofiarą...oszczędności lub własnej "głupoty" i zaraziła bankomaty złośliwym kodem...Otwieram stronę, patrzę i widzę oryginalny tytuł wiadomości "Euro na Ukrainie - uważaj na swoją kartę".

Zaraz, zaraz - o co chodzi...Toż to zwykłe ostrzeżenie przed skimmingiem. A gdzie ten wirus? /mam pewno podejrzenia, ale tak bezczelny to jednak nie będę by to napisać/

Tym samym wracamy do tytułowego zagadnienia. Media swoją powszechnością mogą dotrzeć do większości obywateli. Potrafią tworzyć opinie (z czego skwapliwie korzystają), czasami bywają wykorzystywane do szczytnych celów (jak budowanie świadomości odnośnie nowoczesnych zagrożeń). Nie wolno jednak szukając taniej sensacji robić ludziom wody z mózgu. Nie wiem co spowodowało takie nazywanie wiadomości - skrajna ignorancja czy też właśnie szukanie taniej sensacji. Ale w sumie nie wiem co gorsze.
I jak tu oczekiwać tego, że ktoś się czegoś z mediów nauczy?
.

Norma ISO 22301

W ubiegłym tygodniu wreszcie opublikowano, długo wyczekiwaną normę ISO 22301 
.