Bezpieczenstwo Informacji (SZBI, ISO 27001), Audyt teleinformatyczny, Ciaglosc dzialania (BS 25999), Ochrona danych osobowych
Ustawa o ochronie danych osobowych
Ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Obejmuje swoim zakresem obszar przetwarzania danych osobowych w systemach informatycznych oraz dokumentów w formie papierowej przetwarzanych w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych.
Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. 1997 nr 133 poz. 883, tekst ujednolicony)
BS 25999
Seria BS 25999 została opracowana przez BSI i dotyczy obszaru zarządzania ciągłością działania. Standard zastępuje specyfikację PAS-56, która została jednocześnie wycofana.
Norma ISO 15408
Norma ISO 15408 opracowana została na podstawie wyników projektu Common Criteria. Kryteria zdefiniowane w tej normie mogą być wykorzystane jako podstawa do oceny właściwości zabezpieczeń produktów i systemów teleinformatycznych.
Norma ISO 13335
Raport techniczny ISO 13335 określany jest mianem Guidelines for the Management of IT Security i składa się z pięciu części.
Normy ISO 27000
Celem opracowania grupy norm ISO 27000 jest zebranie i ujednolicenie dotychczasowych opracowań i standardów poświęconych bezpieczeństwu informacji.
Norma ISO 15946
(Information technology - Security techniques - Cryptographic techniques based on elliptic curves - Part 1: General) Standard określa techniki kryptograficzne związane z kluczem publicznym oparte o krzywe eliptyczne. Norma składa się z pięciu części i zawiera mechanizmy tworzenia klucza dla symetrycznych technik kryptograficznych i mechanizmów podpisu elektronicznego.
Norma ISO 24762
(Information technology – Security techniques – Guidelines for information and communications technology disaster recovery services) Norma zawiera wskazówki dotyczące technologii informacyjnych i komunikacyjnych oraz usług niezbędnych do przywrócenia stanu sprzed katastrofy, które powinny funkcjonować jako część zarządzania ciągłością biznesu.
BS 25999-2
Jest to brytyjski standard opracowany przez BSI i opublikowany 20 listopada 2007 roku. Definiuje on wymagania związane z funkcjonowaniem systemu zarządzania ciągłością działania w organizacji. Wymagania zostały określone w stosunku do ustanowienia, wdrożenia, eksploatacji, przeglądu, testowania, utrzymania i doskonalenia systemu zarządzania ciągłością działania (Business Continuity Management System - BCMS).Norma ISO 27002
Międzynarodowa norma ISO 27002 (Technika informatyczna – Praktyczne zasady zarządzania bezpieczeństwem informacji) określa wytyczne związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji.
Norma ISO 20000
Międzynarodowa norma ISO 20000 określa wymagania i wskazuje wytyczne w zakresie ustanowienia, wdrożenia, eksploatacji, monitorowania i doskonalenia Systemu Zarządzania Usługami Informatycznymi w organizacji.
Norma ISO 27001
Międzynarodowa norma ISO 27001 określa wymagania związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji.
Zarządzanie ryzykiem bezpieczeństwa informacji w systemach TI
Autor: Michał Piotrowski (CSO 2/2006)
System teleinformatyczny służy do przetwarzania informacji. Wszystkie systemy TI funkcjonują w środowisku skrywającym w sobie zagrożenia, dlatego jednym z podstawowych elementów zarządzania bezpieczeństwem systemów teleinformatycznych jest właśnie zarządzanie ryzykiem bezpieczeństwa informacji.
Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z wymaganiami normy ISO/IEC 27001
Autor: Krzysztof Maćkowiak (CSO 2/2007)Funkcjonowanie większości organizacji uzależnione jest od ciągłej dostępności określonych informacji. Utrata integralności oraz poufności tych informacji może spowodować straty finansowe, konsekwencje prawne, a tym samym wpłynąć na wizerunek firmy i przesądzić o jej istnieniu na rynku. Mając tego świadomość, profesjonalnie zarządzane organizacje uwzględniają w swoich strategiach rozwoju również elementy bezpieczeństwa informacji.
Pełen artykuł
Ochrona informacji w firmie - archiwizacja danych
Autor: Robert Dekowski (Boston IT Security Review 3/2007)
W obecnych czasach, rzetelna informacja niejednokrotnie stanowi o tym, czy dana organizacja przetrwa na rynku oraz zapewni sobie właściwy rozwój, czy też będzie zmuszona ogłosić upadłość i zwolnić swoich pracowników. W warunkach wysokiej konkurencyjności największymi dobrami firmy są jej pracownicy oraz posiadane informacje. W niniejszym opracowaniu uwaga została skupiona głównie na informacji, a w szczególności na prawidłowym jej zabezpieczeniu.
Systemy IDS/IPS dla aplikacji webowych
Autor: Michał Melewski
Zawsze kiedy mam opisać stan bezpieczeństwa w Internecie przypomina mi się stary żydowski dowcip.
Na rynku mija się w pośpiechu dwóch żydów, ale nawiązuje się rozmowa:
- Panie Mosze, pan mnie powie, co tam u pana słychać, ale tak w dwóch słowach.
- Nu, jest dobrze.
- No a tak w trzech słowach?
- Nu, nie jest dobrze.
Co tak naprawdę dzieje się, jeśli chodzi o bezpieczeństwo? W zasadzie ciągle to samo - stare ataki ciągle mają się dobrze; wciąż w użyciu są ataki dotyczące starych "protokołów" (SMTP, NNTP, RPC itp). Jednak o ile kiedyś były to najczęściej wygłupy różnych rozrywkowych młodzieńców, o tyle dzisiaj mamy już do czynienia z przemysłowym wykorzystywaniem luk - maszyny są przejmowane dla zysku, a nie dla zabawy (np. żeby utworzyć botnet).
Buffer Overflow, zabezpieczenia stosu przed wykonywaniem rozkazów
Autor: Krystian Kloskowski
Zabezpieczenie stosu uniemożliwia procesorowi wykonanie rozkazów znajdujących się na stosie. Taka sytuacja ma miejsce, gdy po przepełnieniu bufora adres powrotu wskazuje na kod powłoki znajdujący się na stosie (np. w buforze wejściowym atakowanego programu). Ów mechanizm bezpieczeństwa znalazł juz zastosowanie między innymi w systemach takich jak BSD czy Solaris. Jak zatem zmusić atakowany program, by wykonał jakąś funkcje gdy skok do rozkazów procesora umieszczonych w buforze wejściowym programu jest niemożliwy?
Buffer Overflow w Windows, symulacja włamania do systemu z wykorzystaniem błędu usługi sieciowej
Autor: Krystian Kloskowski
Większość exploitów wykorzystujących przepełnienie bufora na stosie nadpisuje adres powrotu zmieniając tym samym sterowanie i wykonując skok do kodu powłoki (shellcode) znajdującego się w buforze atakowanego programu. Każdy proces w systemie Windows posiada przypisaną mu procedurę obsługi wyjątków, która uruchamiana jest, gdy program wykona nieprawidłowe operacje. Taki mechanizm w znacznym stopniu może utrudnić hakerowi dokonanie włamania. Załóżmy ze przepełniając bufor na stosie w celu nadpisania adresu powrotnego nadpiszemy tez inne zmienne. Spowoduje to naruszenie ochrony pamięci i wywołanie procedury obsługi wyjątków danego procesu. Najprawdopodobniej proces zostanie zakończony i stracimy szanse wykonania skoku do kodu powłoki znajdującego się w buforze. Problem ten można rozwiązać nadpisując strukturę EXCEPTION_REGISTRATION, ale nie ten temat stanowi motyw przewodni tego artykułu. Takie i inne atrakcje czekają na hakerów zajmujących się wyszukiwaniem luk i exploitacją w systemie Windows. Artykuł ten stanowi doskonałą pożywkę dla początkujących hakerów rozpoczynających przygodę z exploitacją w systemie Windows.
Buffer Overflow
Autor: Krystian Kloskowski
Jednym z bardziej popularnych błędów programistycznych jest przepełnienie bufora (buffer overflow). Polega on na nieprzemyślanym używaniu funkcji, które nie sprawdzają długości kopiowanych danych. Konsekwencją tego jest przepełnienie tablicy (bufora) i nadpisanie stosu. Cała ta sytuacja sprawia, iż w dzisiejszych czasach wiele systemów z rodziny UNIX jest podatnych na włamania. Artykuły omawiają podstawowe pojęcia oraz na przykładach wyjaśniają problem przepełnienia bufora.
Centrum zabezpieczeń w Windows Vista
Autor: Dawid Długosz (CentrumXP.pl)Konfiguracja zapory sieciowej w Windows Vista
Autor: Dawid Długosz (CentrumXP.pl)
Po raz pierwszy zapora sieciowa pojawiła się w Windows XP SP2 (jako domyślnie włączona). Jest to jeden z podstawowych programów chroniących przed zagrożeniami płynącymi z użytkowania Internetu oraz zabezpieczający sieć. Filtruje połączenia zarówno przychodzące jak i wychodzące z komputera, następnie, jeśli zajdzie taka potrzeba, blokuje potencjalnie niebezpieczną aplikację. Zapora sieciowa zintegrowana z Windows XP była stosunkowo prostą i nierozbudowaną funkcją systemu. W Windows Vista element ten został przebudowany i udoskonalony.
Polityka haseł w praktyce
Szczecin - test ciągłości działania
Obfite opady deszczu ze śniegiem w poniedziałek wieczorem spowodowały , że w rejonie Krajnika Dolnego złamał się słup linii wysokiego napięcia. Powalone drzewa zerwały w wielu miejscach linie energetyczne i trakcję kolejową. Od około godz. 3.30 w mieście nie ma prądu. Problemy dotyczą również miast w promieniu 100 km od Szczecina. Poważna sytuacja jest m.in. w Kołobrzegu i Policach. Awaria spowodowała, że w mieście nie ma również wody. Szacuje się, że awaria potrwa jeszcze kilka do kilkunastu godzin.
Norma ISO/IEC 15408 za darmo
Organizacja ISO opublikowała publicznie część standardów. Na liście znalazły się m.in. wszystkie części normy ISO/IEC 15408.Bezpłatne skanowanie antywirusowe dla firm
Panda Software Polska rozpoczęła akcję bezpłatnego skanowania firmowych sieci pod kątem obecności złośliwego oprogramowania. W akcji mogą wziąć udział wszystkie firmy, bez konieczności ingerowania we własne rozwiązania ochronne.
Nowa wersja ITIL już jest!
Dzisiaj, 30 maja 2007 w księgarniach całego świata pojawiły się publikacje ITIL V3. Prezentowany w nich nowy model stanowi rozszerzenie koncepcji z dotychczasowej wersji ITIL. Opisuje on kompletny cykl życia usługi od zbudowania strategii, przez budowę usługi, jej przekazanie na produkcję, operacyjne utrzymanie i ciągłe doskonalenie.
Najpoważniejsze zagrożenie dla IT
Według badań przeprowadzonych przez IDC oraz Carnegie Mellon University, Department of Defense największym zagrożeniem dla bezpieczeństwa IT jest samo IT, a precyzyjniej - dział IT. Wyniki tych badań wskazują, że przedsiębiorstwa najbardziej obawiają się ataków z wewnątrz organizacji. Co więcej, 86% sprawców takich ataków posiada stanowiska techniczne, z czego 57% wykonało atak po zwolnieniu ich z pracy.Obfitość mierników w SLA niepożądana
Dział IT powinien ustalać takie mierniki poziomu usług, które będą w rzeczywisty sposób odzwierciedlały wpływ IT na biznes. Gartner uważa, że nie należy koncentrować zbyt dużej uwagi do technicznej wydajności i dostępności poszczególnych systemów czy czasów reakcji help desku.Nowy ITIL v3 - zmiany i porównanie z poprzednikiem
Najnowsza, trzecia wersja Biblioteki infrastruktury IT stanowi ważny krok w jej rozwoju. Oprócz innowacyjnych rozwiązań zaproponowano również mechanizmy pozwalające sprawnie zaadoptować nowe podejście w organizacjach, które stosują dotychczasowe praktyki. Trzecia wersja tworzy jeszcze wyraźniejsze i silniejsze powiązania pomiędzy dobrymi praktykami ITIL a korzyściami biznesowymi.WEP = brak zabezpieczenia
Nowy atak na algorytm WEP zajmuje mniej niż minutę, dzięki redukcji pakietów, których analiza jest wymagana w celu wyznaczenia klucza.
