Dyskusja:16-02.01: Różnice pomiędzy wersjami

Z WSTOIn
Skocz do: nawigacji, wyszukiwania
Linia 27: Linia 27:
 
# Dlaczego wykorzystano statystyki z roku 2014 i dlaczego tylko raport firmy Symantec?
 
# Dlaczego wykorzystano statystyki z roku 2014 i dlaczego tylko raport firmy Symantec?
  
Bezpieczeństwo to proces a nie produkt.
+
Bezpieczeństwo to proces a nie produkt.<br />
 +
==========================================================================================<br />
 +
Generalnie dokument bardzo mi się podoba.<br />
 +
Str. 3 – nie wymieniono zjawiska Crime as a service<br />
 +
Str. 4 - odnośnie ryzyk brak jest też publikacji statystyk incydentów o które oprzeć można by analizę ryzyka<br />
 +
Str. 6 – w p. 1 dodałbym „w tym procedur ich zgłaszania. Zdarzyło mi się zgłosić incydent do Cert Nasku – bez reakcji, chciałem zgłosić do Cert rządowego ale formularz i konieczność jego szyfrowania skutecznie mnie zniechęcił
 +
W p. 3  Kategorii 1 dodałbym odbiór i oczyszczanie ścieków i nieczystości bytowych<br />
 +
Str. 7 – nie bardzo rozumiem kategorię 3 – jakiego systemu, w kategorii 5 też oczekiwałbym sprecyzowania jakich serwisów i usług dotyczy<br />
 +
Str. 11 lista punktowana – na pierwszym miejscu wstawiłbym „wykryj sprawdź i przekaż  informację o ataku….”<br />
 +
Str. 12 – izolowanie systemu – należy zbadać czy izolowanie takie jest obecnie możliwe oraz oszacować koszty i czas niezbędny do wdrożenia odpowiednich mechanizmów<br />
 +
Str. 17 – może zaproponować prawny obowiązek zgłaszania ataków („ciemne ataki”<br />
 +
Alternatywny system łączności należy pochwalić<br />
 +
Str. 20 „userfiendly” – czy naprawdę nie ma polskiego odpowiednika?<br />
 +
Str. 21czy weryfikacja producentów tylko dla jednostek państwowych? A co z samorządami i przedsiębiorstwami infrastruktury krytycznej? W tym samym kontekście na str 31 mówi się już o instytucjach publicznych<br />
 +
Str. 24 można sypnąć garścią wyników z badań KRI i zapowiedzieć przekazanie raportu w drugij połowie marca<br />
 +
Str. 25 Należy podkreślić konieczność prezentowania informacji o zagrożeniach w czytelnej formie. Statystyki ARAKIS nie dla każdego są czytelne<br />
 +
Uwagi generalne:<br />
 +
Niejasne jest kto będzie tworzył LZR, szczególnie w instytucjach publicznych. Czy wszystkich? Badania wskazują że samorządy nie są w stanie realizować zapisów KRI a co dopiero tworzyć LZR.<br />
 +
Na poziomie operacyjnym zabrakło wskazanie roli zwykłego obywatela, który często znacznie szybciej doświadcza nieprawidłowości związanych z atakiem na instytucje publiczne. <br />
 +
Podobnie pasjonaci hakerzy nie mają centralnego punktu zgłaszania odkrytych podatności. Zgłaszanie ich producentom ma zaś różny skutek.<br />
 +
--[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 21:19, 25 lut 2016 (CET)

Wersja z 20:19, 25 lut 2016