Przykład audytu wymagań dot. wdrożenia ISO 27001:2013 w kontekście wybranej organizacji

Przykład audytu wymagań dot. wdrożenia ISO 27001:2013 w kontekście wybranej organizacji

1. Przedstawienie Firmy: Opis zakresu działalności wirtualnej firmy Firma  AGD.COM Sp. z o.o. istnieje od roku 1999, prowadząc od początku działalność opartą o dystrybucję sprzętu AGD/RTV. Jako jedna z pierwszych firm na naszym rynku wprowadziła zasadę – „TANIO I SOLIDNIE”. AGD.COM jest dużym dystrybutorem sprzętu AGD/RTV, który posiada hale magazynowe… Continue reading

Reagowanie na prośbę o wykonanie czynności w celu uniknięcia incydentu bezpieczeństwa

Reagowanie na prośbę o wykonanie czynności w celu uniknięcia incydentu bezpieczeństwa

W celu uniknięcia incydentu bezpieczeństwa polegającego na wykonaniu nieautoryzowanych czynności należy trzymać “złotych” zasad: Nie ufaj osobom o nie zweryfikowanej tożsamości. Zalecane jest przeciwstawianie się prośbom. Wszelkie czynności, które wykonujesz w imieniu innych osób, mogą doprowadzić do naruszenia zasobów firmy. Weryfikuj, weryfikuj i jeszcze raz weryfikuj.

Polityka bezpieczeństwa systemu IT na przykładzie konfiguracji Firewall i DNS

Polityka bezpieczeństwa systemu IT na przykładzie konfiguracji Firewall i DNS

Poniższy artykuł jest próbą zaadresowania tematyki tworzenia polityki bezpieczeństwa na przykładzie systemu firewall i DNS. Może on zostać wykorzystany w Twojej firmie w całości lub jako wzór do dalszego rozwoju. Firewall 1.  Firewall ma na celu zwiększenie bezpieczeństwa organizacji za pomocą:    Blokowanie prób nieuprawnionego dostępu (kontrola i ograniczenie dostępu… Continue reading

Przykładowa procedura bezpieczeństwa systemu IT

Przykładowa procedura bezpieczeństwa systemu IT

Poniższy artykuł jest próbą zaadresowania tematyki tworzenia procedur bezpieczeństwa. Może on zostać wykorzystany w Twojej firmie w całości lub jako wzór do dalszego rozwoju. Procedura bezpieczeństwa powinna być swoistą instrukcją gdzie czytający ją będzie prowadzony niejako za rączkę po kolejnych wymaganych wdrożenia działań. Obszary w których należy wdrożyć odpowiednie mierniki… Continue reading

Przykładowy raport z rzeczywistego testu penetracyjnego

Przykładowy raport z rzeczywistego testu penetracyjnego

W ramach swojej pracy magisterskiej miałem okazję przeprowadzić pełny test penetracyjny komercyjnej aplikacji webowej napisanej z użyciem ASP.NET. Wynikiem moich badań jest raport, którym postanowiłem podzielić się w “zaciemnionej” formie z szerszym gronem osób. Materiały tego typu w naszym ojczystym języku są towarem deficytowym. W zasadzie jedyny, który znam z… Continue reading

Jak powinien wyglądać dobry raport z testu penetracyjnego?

dobry raport z testu penetracyjnego

Doświadczony pentester, wie że dobrze napisany raport cechuję się tym, że po jego prezentacji klient nie ma żadnych dodatkowych pytań. Aby było to możliwe powinien on zawierać co najmniej cztery podstawowe sekcje z informacjami przeznaczonymi dla różnej grupy odbiorców. Sekcja 1: Ogólne informacje i statystyki Podczas, gdy programista mający naprawić… Continue reading

Fazy przeprowadzania testu penetracyjnego

Fazy przeprowadzania testu penetracyjnego

Podczas przeprowadzenia testu penetracyjnego aplikacji web można wyogólnić kilka etapów. Każdy z nich charakteryzuje się wykorzystaniem innych narzędzi i tym samym otrzymanym rezultatem. Można także zauważyć że poszczególne fazy nie zawsze występują ściśle po sobie. Najczęściej jednak wyniki uzyskane z jednego etapu są często danymi wejściowymi dla etapu kolejnego. Na… Continue reading

Najczęstsze podatności aplikacji webowych

Najczęstsze podatności aplikacji webowych

Zgodnie ze statystykami prowadzonymi przez organizację OWASP (Open Web Application Security Project) zajmującą się tematyką bezpieczeństwa aplikacji internetowych można wyróżnić dziesięć najczęściej występujących błędów bezpieczeństwa. Grafika poniżej przedstawia częstość wykrywania tych podatności podczas wstępnej oceny ryzyka przez organizację Veracode zajmującej się badaniem bezpieczeństwa aplikacji internetowych. Częstość wykrywania podatności z listy… Continue reading

Kilka słów wstępu…

Statystyki ataków internetowych według Kaspersky Lab

Ważną rolę we współczesnym świecie odgrywa szybkość przesyłu informacji. Rozwój technologii spowodował konieczność funkcjonowania w ciągłym pośpiechu, w rzeczywistości gdzie „każda minuta jest na wagę złota”. Przykładem tego zjawiska są domy maklerskie, które budują swoje siedziby jak najbliżej głównych serwerów giełdowych, aby zminimalizować czas potrzebny na wysłanie i odbieranie danych transakcyjnych. Tutaj… Continue reading