Kompleksowy przegląd zagadnień z zakresu IT Security
Najbliższe terminy tego szkolenia
Standardy JSystems
- Wszyscy nasi trenerzy muszą być praktykami i osiągać średnią z ankiet minimum 4.75 na 5. Nie ma wśród nas trenerów-teoretyków. Każdy trener JSystems ma bogate doświadczenie komercyjne w zakresie tematów z których prowadzi szkolenia.
- Wszystkie szkolenia mają format warszatowy. Każde zagadnienie teoretyczne jest poparte rzędem warsztatów w ściśle określonym formacie.
- Terminy gwarantowane na 100%. Jeśli jakiś termin jest oznaczony jako gwarantowany, oznacza to że odbędzie się nawet jeśli część grupy wycofa się z udziału. Ryzyko ponosimy my jako organizator.
- Do każdego szkolenia które wymaga jakiegokolwiek oprogramowania dostarczamy skonfigurowane, gotowe hosty w chmurze. Dzięki temu uczestnik nie musi nic instalować na swoim komputerze (i bić się z blokadami korporacyjnymi). Połączenie następuje przez zdalny pulpit lub SSH - w zależności od szkolenia.
Program szkolenia
- Czym jest (cyber)bezpieczeństwo / bezpieczeństwo informacji.
- Definicje cyberbezpieczeństwa z ustaw i regulacji międzynarodowych
- KSC - odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy.
- NIS - "bezpieczeństwo sieci i systemów informatycznych" oznacza odporność sieci i systemów informatycznych, przy danym poziomie zaufania, na wszelkie działania naruszające dostępność, autentyczność, integralność lub poufność przechowywanych lub przekazywanych, lub przetwarzanych danych lub związanych z nimi usług oferowanych lub dostępnych poprzez te sieci i systemy informatyczne;
- Definicja incydentu – według KSC oraz OIN
- Konsekwencje wystąpienia incydentu
- Wyciek danych
- Zatrzymanie systemów produkcyjnych
- Utrata przewagi konkurencyjnej
- Kary finansowe i administracyjne
- Zniszczenie infrastruktury
- Upadek organizacji
- Podejście kompleksowe do bezpieczeństwa
- Uwzględnianie bezpieczeństwa we wszystkich aspektach działalności.
- Ryzyko dla informacji to nie tylko IT.
- Środki ochrony
- Proceduralne / administracyjne
- Fizyczne
- Techniczne
- Definicje cyberbezpieczeństwa z ustaw i regulacji międzynarodowych
- Normy prawne
- Rozporządzenie RODO.
- Ustawa o KSC.
- Dyrektywa NIS (DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii) oraz Dyrektywa NIS2.
- Podstawowe zasady bezpieczeństwa w IT
- Strategia "wiedzy uzasadnionej".
- Strategia "dogłębnej obrony".
- Strategia „minimalnych uprawnień”.
- Atrybuty bezpieczeństwa
- Omówienie podstawowych atrybutów
- Poufność
- Definicja – ochrona
- Sposoby realizacji
- Ochrona danych w spoczynku / w ruchu
- Integralność
- Definicja
- Sposoby realizacji
- Dostępność
- Definicja
- Sposoby realizacji
- Poufność
- Omówienie rozszerzonych atrybutów
- Rozliczalność
- Autentyczność
- Niezaprzeczalność
- Omówienie podstawowych atrybutów
- Bezpieczeństwo proceduralne/administracyjne
- Polityka bezpieczeństwa
- Dlaczego jest potrzebna
- Zasady konstrukcji i elementy składowe
- Omówienie przykładowych polityk
- Konstruowanie polityk na potrzeby organizacji
- Zarządzanie ryzykiem
- Wprowadzenie do ryzyka
- Dlaczego trzeba zarządzać ryzykiem i jak to robić?
- Wyznaczanie właścicieli ryzyka
- Analiza ryzyka
- Metody i metodyki przeprowadzania analiz ryzyka
- Przykładowe analizy ryzyka
- Jak wykonywać analizę ryzyka w praktyce
- Postępowanie z ryzykiem
- Taktyki postępowania z ryzykiem
- Akceptacja ryzyka szczątkowego
- Procedury eksploatacyjne
- Dlaczego jest potrzebna
- Delegacja uprawnień
- Zasady konstrukcji i elementy składowe
- Procedury ogólne oraz szczegółowe
- Zarządzanie zasobami
- Inwentaryzacja zasobów informatycznych
- Dlaczego niezbędna jest inwentaryzacja
- Metody inwentaryzacji zasobów
- Identyfikacja ukrytych zasobów organizacji
- Ciągłe utrzymywanie zasobów
- Wycofywanie zasobów
- Polityka bezpieczeństwa
- Użytkownicy
- Najsłabsze ogniwo czy pierwsza linia obrony
- Postępowania sprawdzające
- NDA oraz zakazy konkurencji
- Pierwszy dzień oraz terminacja
- Szkolenia uświadamiające
- Zarządzanie konfiguracją
- Bezpieczeństwo dostawców
- Dostawcy usług
- Dostawcy sprzętu i oprogramowania
- Dostawcy mediów
- Bezpieczeństwo infrastruktury
- Infrastruktura sieciowa
- Komponenty aktywne
- Komponenty pasywne
- Sieci bezprzewodowe
- Infrastruktura serwerowa
- Infrastruktura chmurowa
- Infrastruktura sieciowa
- Bezpieczeństwo komunikacji
- Komunikacja VOIP
- Sieci VPN
- Zarządzanie podatnościami
- Podatności
- Zagrożenia
- Neutralizacja
- Bezpieczeństwo fizyczne
- Bezpieczeństwo stacji końcowych
- Zarządzanie tożsamością
- Cykl życia tożsamości
- Identyfikacja i uwierzytelnienie
- Autoryzacja
- Monitorowanie i pomiary
- Zasady monitorowania
- Propozycje wskaźników
- Kryptografia
- Audyty i kontrola
- Cel audytów i ich wpływ na bezpieczeństwo.
- Audyty wewnętrzne
- Audyty zewnętrzne
- Postępowanie z incydentami i zarządzanie incydentem
- Plany awaryjne i ciągłość działania
- Analiza BIA
- Odporność i tolerancja na błędy
- Trusted Recovery
- Fail-open
- Fail-secure
- Ręczne odzyskiwanie, a automatyczne odzyskiwanie
- Kopie zapasowe
- Planowanie zachowania ciągłości działania
- Zatwierdzenia
- Ramy bezpieczeństwa
- ISO/IEC 2700x – przeznaczony do budowy systemu zarządzania bezpieczeństwem informacji (ISMS)
- NIST Cybersecurity Framework – przeznaczony do budowy kompleksowego systemu identyfikacji podatności.
- PCI DSS – przeznaczony do systemów w których odbywa się przetwarzania danych kart kredytowych
- COBIT – przeznaczony dla organizacji notowanych w amerykańskich rynkach papierów wartościowych
- CIS Controls – przeznaczony dla systemów w celu ochrony przez zagrożeniami
Opis szkolenia
Szkolenie odbywa się na żywo z udziałem trenera. Nie jest to forma kursu video!O szkoleniu w skrócie
Niniejsze szkolenie to przegląd kwestii związanych z bezpieczeństwem systemów teleinformatycznych. Poruszone podczas jego trwania kwestie wprowadzą uczestnika w podstawowe pojęcia związane z bezpieczeństwem informacji i zarządzania nim. W ramach szkolenia pokazane zostanie jak wprowadzić zarządzanie bezpieczeństwem informacji do ładu korporacyjnego i dlaczego jest to niezbędne. Omówione zostaną kwestie związane z identyfikacją zasobów w organizacji, ich klasyfikacją oraz doborze środków ochronnych jak również temat użytkownika w systemie, jego bezpieczeństwa, identyfikacji, uwierzytelniania i autoryzacji. Poruszone zostanie znaczenie kontroli, monitorowania i testowania dla zapewnienia ochrony jak również znaczenia uwzględnienia kwestii bezpieczeństwa w całym cyklu życia rozwiązania. Omówione zostanie postępowanie w sytuacjach awaryjnych i tworzenie planów na takie sytuacje. Szkolenie będzie prowadzone w formie wykładowo-warsztatowej. Poszczególne części zostaną zaprezentowane i omówione, następnie przedstawione zostaną przypadki do analizy i rozwiązania, po czym udzielone odpowiedzi zostaną wspólnie podsumowane i wyjaśnione.
Prowadzący szkolenie: Artur Zięba-Kozarzewski
Z wykształcenia matematyk, absolwent Wydziału Matematyki i Nauk Informacyjnych Politechniki Warszawskiej, z zawodu i zainteresowań specjalista ds. bezpieczeństwa systemów informatycznych. Szeroki zakres wiedzy w tym obszarze potwierdził uzyskaniem certyfikatu CISSP. Współtworzył i wdrażał rozwiązania zabezpieczające jedne z największych systemów ochrony informacji niejawnych w Polsce, m.in. Policyjną Sieć Transmisji Danych Niejawnych i systemy Straży Granicznej. Brał udział w projektach naukowo badawczych z zakresu bezpieczeństwa teleinformatycznego. Uczestniczył w międzynarodowych Ćwiczeniach NATO CWIX (Coalition Warrior Interoperability eXercise) oraz w konferencjach organizowanych przez Agencja NATO ds. Łączności i Informatyki (NCIA). Prelegent na konferencjach z zakresu Security, m.in The Hack Summit oraz Semafor. Przewodził pracy zespołowi badawczo-rozwojowego projektującemu nowe rozwiązania do ochrony systemów IT/ICS. Aktualnie związany z firmą KRYPTON Polska. Sp. z o.o. na stanowisku architekta ds. cyberbezpieczeństwa. Członek stowarzyszeń ISSA Polska oraz ISC2. Aktywnie działa w celu poszerzania świadomości otocznia na zagrożenia związane z systemami informatycznymi.
Gdy na jakiś termin zgłosi się minimalna liczba osób, termin oznaczamy jako gwarantowany.
Jeśli jakiś termin oznaczony jest jako gwarantowany to oznacza to, że na 100% się odbędzie we wskazanym czasie i miejscu.
Nawet gdyby część takiej grupy zrezygnowała lub przeniosła się na inny termin, raz ustalony termin gwarantowany takim pozostaje.
Ewentualne ryzyko ponosimy my jako organizator.
Przejdź do terminów tego szkolenia
Sprawdź, co mówią o nas ci, którzy nam zaufali
Trenerzy kategorii Cyberbezpieczeństwo
W ciągu ostatnich 6 lat przeszkolił:
- ponad 3900 osób z zakresu zagrożeń cybernetycznych,
- ponad 1500 dzieci z zakresu zagrożeń internetowych, kariery w IT, poznawania technologii,
- 40 działów IT z zakresu budowania świadomości cyberzagrożeń oraz cyberbezpieczeństwa w organizacji,
- 160 trenerów cyberbezpieczeństwa.
- Cyber Security Consultant w Trecom Group – doradztwo w zakresie rozwiązań, konsultacje, inicjator, konsultant i koordynator projektów związanych z bezpieczeństwem.
- Pomysłodawca, trener, szkoleniowiec, właściciel projektu „cyberkurs.online szkolenia, cyberbezpieczeństwo”.
- Członek ISSA Polska: Stowarzyszenie do spraw Bezpieczeństwa Systemów Informacyjnych.
- Konsultant w: Miękko o it – wykorzystanie miękkich umiejętności w projektach it
- Dyrektor ds. Projektu Cyfrowy Skaut ISSA Polska, lider projektu Cyfrowy Skaut.
- Twórca lokalnej społeczności ISSA Polska Poznań .local #ISSAPolskaPoznań.local