Dyskusja:16-02.01: Różnice pomiędzy wersjami
Z WSTOIn
| Linia 27: | Linia 27: | ||
# Dlaczego wykorzystano statystyki z roku 2014 i dlaczego tylko raport firmy Symantec? | # Dlaczego wykorzystano statystyki z roku 2014 i dlaczego tylko raport firmy Symantec? | ||
| − | Bezpieczeństwo to proces a nie produkt. | + | Bezpieczeństwo to proces a nie produkt.<br /> |
| + | ==========================================================================================<br /> | ||
| + | Generalnie dokument bardzo mi się podoba.<br /> | ||
| + | Str. 3 – nie wymieniono zjawiska Crime as a service<br /> | ||
| + | Str. 4 - odnośnie ryzyk brak jest też publikacji statystyk incydentów o które oprzeć można by analizę ryzyka<br /> | ||
| + | Str. 6 – w p. 1 dodałbym „w tym procedur ich zgłaszania. Zdarzyło mi się zgłosić incydent do Cert Nasku – bez reakcji, chciałem zgłosić do Cert rządowego ale formularz i konieczność jego szyfrowania skutecznie mnie zniechęcił | ||
| + | W p. 3 Kategorii 1 dodałbym odbiór i oczyszczanie ścieków i nieczystości bytowych<br /> | ||
| + | Str. 7 – nie bardzo rozumiem kategorię 3 – jakiego systemu, w kategorii 5 też oczekiwałbym sprecyzowania jakich serwisów i usług dotyczy<br /> | ||
| + | Str. 11 lista punktowana – na pierwszym miejscu wstawiłbym „wykryj sprawdź i przekaż informację o ataku….”<br /> | ||
| + | Str. 12 – izolowanie systemu – należy zbadać czy izolowanie takie jest obecnie możliwe oraz oszacować koszty i czas niezbędny do wdrożenia odpowiednich mechanizmów<br /> | ||
| + | Str. 17 – może zaproponować prawny obowiązek zgłaszania ataków („ciemne ataki”<br /> | ||
| + | Alternatywny system łączności należy pochwalić<br /> | ||
| + | Str. 20 „userfiendly” – czy naprawdę nie ma polskiego odpowiednika?<br /> | ||
| + | Str. 21czy weryfikacja producentów tylko dla jednostek państwowych? A co z samorządami i przedsiębiorstwami infrastruktury krytycznej? W tym samym kontekście na str 31 mówi się już o instytucjach publicznych<br /> | ||
| + | Str. 24 można sypnąć garścią wyników z badań KRI i zapowiedzieć przekazanie raportu w drugij połowie marca<br /> | ||
| + | Str. 25 Należy podkreślić konieczność prezentowania informacji o zagrożeniach w czytelnej formie. Statystyki ARAKIS nie dla każdego są czytelne<br /> | ||
| + | Uwagi generalne:<br /> | ||
| + | Niejasne jest kto będzie tworzył LZR, szczególnie w instytucjach publicznych. Czy wszystkich? Badania wskazują że samorządy nie są w stanie realizować zapisów KRI a co dopiero tworzyć LZR.<br /> | ||
| + | Na poziomie operacyjnym zabrakło wskazanie roli zwykłego obywatela, który często znacznie szybciej doświadcza nieprawidłowości związanych z atakiem na instytucje publiczne. <br /> | ||
| + | Podobnie pasjonaci hakerzy nie mają centralnego punktu zgłaszania odkrytych podatności. Zgłaszanie ich producentom ma zaś różny skutek.<br /> | ||
| + | --[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 21:19, 25 lut 2016 (CET) | ||
