SecurityMag 2011 06 by Hakin9 nr 6 - 2011 (4).pdf - Hakin9 - Wojteczek

��

� ��

SŁOWEM WSTĘPU

NUMER 6/2011 (4) WWW.SECURITYMAG.PL

DRODZY CZYTELNICY

Właśnie opublikowaliśmy kolejne wydanie Securitymag. Czwarty numer w całości został poświę-

cony tematowi polityki i standardom bezpieczeństwa.

Nasi autorzy w profesjonalny, ale przede wszystkim czytelny sposób poruszają wymienioną wy-

żej tematykę.

Wśród polecanych tekstów znajduje się materiał przygotowany przez Przemysława Bańko

traktujący o zarządzaniu usługami informatycznymi. Ponadto, zachęcamy do zapoznania się

z artykułem Bartosza Kwitkowskiego, który w znakomity sposób prezentuje tematykę związaną

z malwarem. Pan Sebastian Bielawski podpowie jak skutecznie zabezpieczyć się przed atakami

na strony www, ale przedstawi nam również zagrożenia jakie na nas czekają. Paweł Solecki nato-

miast, zaprezentował korzyści z wdrożenia i certyfikacji SZBI. Pan Michał Sztąberek oraz Pani

Katarzyna Pierzak przygotowali artykuły dotyczące ochrony danych osobowych. Natomiast Pan

Marek Anzel postanowił zabrać Czytelników w świat teleinformatycznego bezpieczeństwa, poru-

szając wybrane zagadnienia tej tematyki.

Dla naszych Czytelników Pan Mariusz Stawowski stworzył bardzo ciekawy tekst, w którym

przedstawia kilka strategii ochrony aplikacji WEB. Natomiast Adam Gałach ukazał w jaki sposób

przygotować listę kontrolną do oceny zabezpieczeń technicznych.

Na deser zachęcamy do zapoznania się z treścią wywiadu, którego udzielili nam Paweł Mar-

kowski oraz Janusz Iwaniec. Panowie zaprezentowali innowacyjną metodę usuwania danych.

Ciekawej lektury,

Redakcja

Miesięcznik Securitymag (12 numerów w roku)

jest wydawany przez Software Press Sp. z o.o. SK

Wyróżnieni betatesterzy:

Łukasz Przyjemski, Dominik Samociuk

i programy były poprawne, jednakże nie bierze

odpowiedzialności za efekty wykorzystania ich; nie

gwarantuje także poprawnego działania programów

shareware, freeware i public domain.

Prezes wydawnictwa: Paweł Marciniak

Adres korespondencyjny:

Software Press Sp. z o.o. SK, ul. Bokserska 1,

02-682 Warszawa, Polska tel. +48 22 427 32 85,

+48 22 427 36 46, fax +48 22 224 24 59

www.hakin9.org/pl

Dział reklamy: adv@software.com.pl

Wydawca i Redaktor naczelny: Natalia Sieniutowicz

Wszystkie znaki firmowe zawarte w piśmie są

własności odpowiednich firm.

Zostały użyte wyłącznie w celach informacyjnych.

Redaktor prowadzący:

Tomasz Roziecki tomasz.roziecki@software.com.pl

Skład i łamanie:

Tomasz Kostro www.studiopoligraficzne.com

Kierownik produkcji:

Andrzej Kuca andrzej.kuca@software.com.pl

Redakcja dokłada wszelkich starań, by publikowane

w piśmie i na towarzyszących mu nośnikach informacje

Osoby zainteresowane współpracą

prosimy o kontakt z Redakcją .

by HAKIN9

6/2011 (4)

W NUMERZE:

SPIS TREŚCI

6 Aktualności

42 Korzyści z wdrożenia i certyfikacji Systemu

Zarządzania Bezpieczeństwem Informacji

(SZBI) zgodnego z normą ISO/IEC 27001:2007

Paweł Solecki

Decyzja o wdrożeniu SZBI zgodnego z normą ISO/IEC

27001:2007 powinna być dla kierownictwa instytucji de-

cyzją strategiczną, gdyż proces planowania, wdrożenia,

a następnie utrzymania i doskonalenia systemu może być

czasochłonny i wymagać nakładów finansowych. Pozor-

nie nakłady te mogą być postrzegane, jako nadmiarowe

lub wręcz niepotrzebne, jednak należy mieć na uwadze

fakt, że w dzisiejszym świecie informacje przetwarzane

przez instytucje posiadają wymierną wartość.

OBRONA

10 Standardy oceny bezpieczeństwa i strategie

ochrony aplikacji Web

Marcin Stawoski

Aplikacje Web tworzone są przez deweloperów na za-

mówienie firm w celu spełnienia ich specyficznych po-

trzeb. Firma zatrudniając dewelopera do napisania swo-

jej aplikacji chciałaby, aby posiadał odpowiednie kompe-

tencje, środki i czas, pozwalające na zapewnienie bezpie-

czeństwa tworzonej aplikacji (tzn. aplikacja powinna być

wolna od podatności).

PRAKTYKA

44 Zarządzanie usługami informatycznymi

– standard dla najlepszych

Przemysław Bańko

Coraz więcej organizacji zależy od sprawnie działającej

struktury IT, zarządzanej w sposób przemyślany i profe-

sjonalny. Istnieją dobre praktyki zarządzania usługami in-

formatycznymi, jak ITIL bądź ISO 20000.

20 Hrabia Malware z wizytą

Bartosz Kwitkowski

Za górami firewall-i oraz za lasami okablowania, pośród

hord antywirusów był sobie komputer. Zła czarownica

Siwucha i jej kamraci bardzo chcieli uzyskać dostęp do

zgromadzonych w nim danych, prawdziwej beczki mio-

du...”. Prawdopodobnie tak zaczynałaby się bajka, którą

w przyszłości będzie opowiadał rodzic dziecku na dobra-

noc. Jednak nie wszystkie bajki mogą być miłe i nie każda

ma happy end. Od subtelnej bajki do brutalnej rzeczywi-

stości czasem jest tylko jeden skok.

OCHRONA DANYCH

51 Ustawa o ochronie danych osobowych

Katarzyna Pierzak

Podstawowym prawem człowieka jest prawo do prywat-

ności i ochrony swoich danych. Głównym aktem praw-

nym regulującym i stającym w obronie praw i wolności

człowieka jest Europejska Konwencja o Ochronie Praw

Człowieka i Podstawowych Wolności.

28 Lista kontrolna – weryfikacja zabezpieczeń

teleinformatycznych

Adam Gałach

Opracowanie listy kontrolnej służącej do weryfikacji za-

bezpieczeń teleinformatycznych będzie uzależnione za-

równo od ich charakteru, jak i od wymagań im stawianych.

Inne kryteria zastosujemy bowiem do weryfikacji konfigu-

racji systemu operacyjnego na serwerze mającego krytycz-

ne znaczenie dla przedsiębiorstwa, inne zaś dla serwera

pełniącego funkcje pomocnicze, którego chwilowa niedo-

stępność nie spowoduje istotnych konsekwencji.

54 Polityka bezpieczeństwa ochrony danych

osobowych

Michał Sząberek

Artykuł ma na celu przybliżenia Czytelnikom jednego

z dwóch dokumentów, który należy stworzyć w oparciu

o przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie da-

nych osobowych oraz rozporządzenia z dnia 29 kwietnia

2004 r. w sprawie dokumentacji przetwarzania danych oso-

bowych oraz warunków technicznych i organizacyjnych, ja-

kim powinny odpowiadać urządzenia i systemy informatycz-

ne służące do przetwarzania danych osobowych.

32 Wybrane aspekty bezpieczeństwa teleinfor-

matycznego w świetle ustawy z dnia 5 sierpnia

2010 roku o ochronie informacji niejawnych

Marek Anzel

Ustawa z dnia 5 sierpnia 2010 roku o ochronie informacji

niejawnych (UOIN) wprowadziła szereg zmian w zakre-

sie bezpieczeństwa teleinformatycznego. W mojej oce-

nie najistotniejszymi z nich są nowe zasady dopuszczenia

systemu teleinformatycznego do przetwarzania informa-

cji niejawnych.

WYWIAD

58 Jak skutecznie usunąć dane z nośników

– innowacyjna metoda chemiczna firmy bossg

Wywiad z Pawłem Markowskim i Januszem Iwańcem.

Przeprowadziła Agnieszka Cieślicka.

34 Sposób tworzenia, a bezpieczeństwo www

oraz rodzaje zagrożeń i zabezpieczeń przed

atakiem

Sebastian Bielawski

Artykuł opisuje podstawowe metody ataków na strony

www, oraz i sposoby obrony przed nimi.

RECENZJA

61 Bezpieczeństwo aplikacji WWW

www.securitymag.pl

by HAKIN9

SecurityMag 2011 06 by Hakin9 nr 6 - 2011 (4).pdf

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: