6. Charakteryzowanie psychofizycznych i społecznych aspektów rozwoju człowieka
Bezpieczny i niezawodny system IT w organizacji - przegląd kluczowych aspektów bezpieczeństwa i...
-
Upload
grzegorz-dlugajczyk -
Category
Business
-
view
104 -
download
0
description
Transcript of Bezpieczny i niezawodny system IT w organizacji - przegląd kluczowych aspektów bezpieczeństwa i...
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
BIN GIGACON – Bezpieczeństwo i Niezawodność Systemów IT
Grzegorz Długajczyk
ING Bank Śląski
Katowice, 25 czerwca 2014r.
Ochrona danych firmowych - jak przygotować bezpieczny system i infrastrukturę IT w organizacji -
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Cel dzisiejszego wystąpienia?
Jak przygotować „BEZPIECZNY”
system i infrastrukturę IT w organizacji ?
Jak ING BANK dba o „BEZPIECZEŃSTWO” ?
1
2
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Kto jest źródłem „incydentów bezpieczeństwa” w firmie?
Źródło: http://www.pwc.pl/pl/publikacje/assets/pwc_giss_2014_polska.pdf
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Co to znaczy „BEZPIECZNY” system i infrastruktura IT?
Technologia Procesy
Ludzie Bazy danych Serwery
BYOD WEB Serwis
Aplikacje
NGFW
Zarząd ,
Kierownictwo
Administratorzy
Użytkownicy
Procesy Sterujące
Procesy Biznesowe
Procesy Wspierające
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Kiedy uwzględniać aspekty „BEZPIECZEŃSTWA”?
FUNKCJONALNOŚĆ BUDŻET CZAS
Definiowanie Projektowanie Wykonywanie Wdrożenie
Etap decyzyjny
Etap realizacji
WYMAGANIA BEZPIECZEŃSTWA
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet
6
Czego się wystrzegać myśląc o „BEZPIECZEŃSTWIE”?
Zarząd firmy
(Sponsor) Kierownik projektu (PM)
Wykonawca
(Programista)
Mam dobry Zespół, on
zapewni mi bezpieczeństwo
Wykonawca to
doświadczona firma
Ten projekt kosztuje za
dużo, jest zapewne bardzo
bezpieczny
Nigdy jeszcze nie padłem
ofiarą przestępstwa hakera
Zatrudniam doświadczonych
Programistów i znanych
Wykonawców usług na rynku
Nie otrzymałem żadnych
szczegółowych wytycznych
bezpieczeństwa
Z pewnością Wykonawca
„zaproponuje coś bezpiecznego”
Pewne ryzyko i tak trzeba
zaakceptować w projekcie
Po co pytać i szukać kłopotów
Bezpieczeństwo zapewnia
„framework” i technologia
Nie otrzymałem dokładnych
wytycznych od Zamawiającego
Zawsze wszystko tworzyłem
bezpiecznie
Po co dokumentacja i testy –
ważne, że działa!
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Jakie zadania z obszaru BEZPIECZEŃSTWA?
Architektura IT połączenia
Analiza ryzyka „całość” (ITRA)
Umowa i jej klauzule bezpieczeństwa
Klasyfikacja (BIA)
Przygotowanie wymagań
bezpieczeństwa do RFP / SIWZ
Weryfikacja wymagań
Procedury / matryce dostępu
Dokumenty OSG
Testy wydajnościowe
Przegląd kodu źródłowego
Przygotowanie SIEM
Przygotowanie DRP / BCP
Testy bezpieczeństwa
-
Weryfikacja klasyfikacji (BIA)
Weryfikacja podatności / luk
Przegląd konfiguracji
Testy zgodności z OSG
Przeprowadzenie szkoleń ‚security’
Zdefiniowanie planu naprawczego
Monitorowanie niezgodności
Definiowanie Projektowanie
Wykonywanie Wdrożenie
Etap realizacji
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Co to jest klasyfikacja (BIA)?
Definiowanie Projektowanie Wdrożenie Wykonywanie
Business Impact Analysis (BIA)
Wycena i określenie odpowiednich poziomów
ochrony zasobów informacji (danych)
w odniesieniu do związanych z nim ryzyk.
Wykonanie klasyfikacji BIA
Identyfikacja danych
Wycena zagrożeń dla strat (CIA)
Właścicielstwo danych
USTALENIA Z WYNIKU (BIA)
Przygotowanie wymagań do (SIWZ/RFP)
Nie wszystkie zasoby informacji (dane) mają taką samą wartość
i krytyczność dla organizacji (firmy)!
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Jak identyfikujemy dane ?
Definiowanie Projektowanie Wdrożenie Wykonywanie
Identyfikacja danych
Określenie wszystkich zasobów informacji
(danych), które będą przetwarzane lub
przechowywane
CRM SCM
HCM MRM
Amazon Web Services
IBM
GoGrid Joyent
Hosting.com Tata Communications
Datapipe Alterian Hyland
LimeLight NetDocuments NetReach
OpenText
HP
EMC Qvidian Sage
salesforce.com Xactly
Zoho Ariba
CCC DCC
Cost Management Order Entry
Product
Configurator Bills of Material Engineering Inventory
Manufacturing Projects
Quality Control Lifestyle
Music
Unisys
Burroughs Hitachi
NEC
Taleo Workscape
Cornerstone onDemand
OpSource
PPM
PaperHost Xerox Microsoft SLI Systems
IntraLinks
SugarCRM
Volusion
Adobe
Avid Corel
Microsoft
Serif
Yahoo CyberShift
Saba
Softscape Sonar6
Yahoo!
Quadrem
Elemica
Kinaxis SCM ADP VirtualEdge
CyberShift
Kenexa Saba
Softscape
Sonar6
Exact Online FinancialForce.com
Intacct NetSuite
SAP
NetSuite
Plex Systems
Database
ERP HCM
PLM
Claim Processing
Bull Fijitsu
Cash Management
Accounts
Receivable
Fixed Assets Costing Billing
Time and Expense
Activity
Management
Payroll Training
Time &
Attendance
Rostering Sales tracking &
Marketing Commissions Service Data Warehousing
Finance
box.net
Facebook LinkedIn
Atlassian
SmugMug Amazon iHandy
Snapfish Urban
Scribd. Pandora
AppFog
Bromium
kaggle SolidFire
Quickbooks Foursquare
buzzd
Dragon Diction eBay
SuperCam
UPS Mobile
Scanner Pro
Rackspace
Jive Software
Paint.NET
Business
Entertainment
Games Navigation
News
Photo & Video
Productivity
Social Networking
Utilities
Workbrain
SuccessFactors
Workday
TripIt
Zynga
Zynga
Baidu
Twitter Yammer Atlassian
MobilieIron SmugMug
Atlassian
Amazon PingMe
Associatedcontent
Flickr
YouTube
Answers.com
Tumblr. MobileFrame.com
Mixi
CYworld Qzone
Renren
Yandex
Yandex Heroku
RightScale
New Relic
CloudSigma
cloudability nebula
Zillabyte
dotCloud
BeyondCore
Mozy
Viber
Fring Toggl
MailChimp
Hootsuite
Fed Ex Mobile
DocuSign
HP ePrint iSchedule
Khan Academy
BrainPOP
myHomework
Cookie Doodle Ah! Fasion Girl
Dane osobowe
Dane finansowe
Dane strategiczne
Dane informacyjne
Dane transakcyjne
Dokumentacje
Dokumenty niejawne Archiwa/backupy
W zależności od przyjętej klasyfikacji (BIA) inne będą koszty ich zabezpieczenia i ochrony
Wykonanie klasyfikacji BIA
Identyfikacja danych
Określenie zagrożeń i strat (CIA)
Właścicielstwo danych
USTALENIA Z WYNIKU (BIA)
Przygotowanie wymagań do (SIWZ/RFP)
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Jak określamy zagrożenia i wycenę strat?
Definiowanie Projektowanie Wdrożenie Wykonywanie
Integralność
Wykonanie klasyfikacji BIA
Identyfikacja danych
Określenie zagrożeń i strat (CIA)
Właścicielstwo danych
USTALENIA Z WYNIKU (BIA)
Przygotowanie wymagań do (SIWZ/RFP)
Zagrożenia dla wizerunku / marki
Zagrożenia związane z kradzieżą danych
Reputacja
Oszustwo
Zagrożenia związane z roszczeniami prawnymi
Prawo
Zagrożenia związane z „twardą” własnością
intelektualną firmy (np. strategiczne plany, dane ksiąg
finansowych, transakcje płatnicze, kontrahenci, itd.
Konkurencja
Zagrożenia związane z „miękką” własnością
intelektualną firmy (np. procesy, procedury, instrukcje)
Decyzje kierownictwa
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Kto uczestniczy w klasyfikacji (BIA)
Definiowanie Projektowanie Wdrożenie Wykonywanie
Właściciel Biznesowy – przekazuje informacje związane
z aspektami biznesowymi aplikacji oraz funkcjonalnością
Właściciel Zasobów – przekazuje informacje istotne
z obszaru przyszłego zarządzania systemem/aplikacją
oraz wspiera Właściciela Biznesowego
Ekspert IT – przekazuje informacje związane z
technologią, konfiguracją, administracją, architekturą IT
oraz wspiera Właściciela Biznesowego
Expert Bezpieczeństwa – przekazuje informacje
związane z obszaru bezpieczeństwa systemu / danych
i koordynuje ocenę ryzyka
Wykonanie klasyfikacji BIA
Identyfikacja danych
Określenie zagrożeń i strat (CIA)
Właścicielstwo danych
USTALENIA Z WYNIKU (BIA)
Przygotowanie wymagań do (SIWZ/RFP)
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Co zostanie ustalone w trakcie klasyfikacji (BIA)
Definiowanie Projektowanie Wdrożenie Wykonywanie
gdzie będą znajdować się dane
czy będą przetwarzane dane osobowe lub inne dane wrażliwe
kto będzie Właścicielem danych (jaka jednostka wewnętrzna firmy/przedsiębiorstwa)
jakie dane będzie przetwarzał i przechowywał przedmiotowy system /aplikacja
jaką istotność dla organizacji, klientów i procesów biznesowych będzie pełnił przedmiotowy system /aplikacja
jak dużą stratę może spowodować ryzyko ujawnienia danych
jakie duży wpływ na działalność operacyjną może mieć potencjalna modyfikacja danych
jak utrata danych bądź niedostępność systemu wpłynie na kluczowe procesy/ludzi w organizacji
kto może mieć dostęp do danych
jaki powinien być maksymalny czas odtworzenia danych po awarii (RPO)
z jakiego okresu czasu dopuszczalna jest trwała utrata danych (RTO)
„Warunki brzegowe” do zdefiniowania istotnych wymagań bezpieczeństwa
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Jakie dobieramy wymagania „bezpieczeństwa”?
Definiowanie Projektowanie Wdrożenie Wykonywanie
PRZYGOTOWANIE WYMAGAŃ DO RFP / SIWZ
• W jaki sposób techniczny będzie spełniony wymóg dot. zgodności z wymaganiami ustawy o ochronie
danych osobowych, (jeżeli będą przetwarzane dane osobowe)?
• W jaki sposób będzie zapewniona kontrola dostępu logicznego do systemów IT?
• W jaki sposób dane zawarte w systemie IT będą chronione przed utratą poufności i integralności (np. zapewnienie szyfrowania danych w ruchu i spoczynku, MAC, itd.)
• W jaki sposób dostawca zapewni bezpieczeństwo rozwoju i utrzymania systemu IT?
• W jaki sposób zapewniona będzie rozliczalność działań użytkowników i reakcje na nieuprawnione działania. (np. logowanie zdarzeń ACS, integracja z systemami SIEM, itd.)
• W jaki sposób zapewniona będzie ciągłość działania i odporność na awarie
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Architektura IT (…) jaka chronić infrastrukturę przed atakiem ‚DDOS’?
Internet Service Provider
Chmura publiczna (tzw. scrabbing )
Niezawodna infrastruktura IT
TIER „3”
TIER „2”
TIER „1”
Projektowanie Definiowanie Wdrożenie Wykonywanie
Przekierowanie ruchu
do chmurze publicznej
Wielu różnych operatorów
Ochrona DDOS operatora
Load balancer
DDOS protector
NO SPoF
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Co to jest analiza ryzyka „ITRA”?
Projektowanie Definiowanie Wdrożenie Wykonywanie
Information Technology Risk Analysis (ITRA)
Określone działanie skierowane do obniżenia
wpływu ryzyka na Zasoby Informacji (dane)
i podejmowanie odpowiednich środków
przeciwdziałania i minimalizacji ryzyka
Wykonanie analizy ryzyka „ITRA”
obszar kontroli
obszar oceny
Definicja zaleceń lub akceptacja ryzyka
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet
Obszar techniczny:
• Kontrola dostępu
(autentykacja/autoryzacja)
• Ochrona danych
(przesyłanie/przechowywanie)
• Konfiguracja infrastruktury/systemów/DB
• Monitoring i logowanie zdarzeń
• Role systemowe/stanowiskowe
• Technologia/architektura
• Hosting/Cloud Computing
• Zdalne wsparcie
Co powinna obejmować analiza ryzyka „ITRA” - obszar kontroli?
Obszar organizacyjny:
• Polityki bezpieczeństwa
• Standardy/Dobre praktyki
• Ustawy/Rozporządzenia/Regulacje
• Procedury
• Normy
• Instrukcje/Wytyczne organizacji
• Umowy/porozumienia
„Ocena” zagrożeń, podatności, wycena ryzyk i zdefiniowanie działań naprawczych
„Kontrola” spełnienia wymagań bezpieczeństwa (techniczna i organizacyjna)
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet
Działania mitygujące powinny zostać określone w
trakcie analizy ryzyka i najlepiej wykonane przed
uruchomieniem produkcyjnym systemu IT, usługi
Wielkość ryzyka - określa kombinacją podatności i
prawdopodobieństwa, które może wynikać z
zagrożenia i spowodować straty, określone w
klasyfikacji BIA (np. wysokie, średnie, niskie)
Prawdopodobieństwo zdarzenie – szacowane
następstwo, które może wystąpić w określonym
czasie (np. możliwe, prawdopodobne, itd.)
Określenie zagrożeń i potencjalnych
podatności
Zagrożenie – zjawisko wywołane wskutek
istnienia podatności
Podatność - luka, błąd która może zostać
wykorzystana przez dane zagrożenie
Określenie prawdopodobieństwa
wystąpienia zdarzenia
Określenie wielkości ryzyka, wpływu na
organizację i jego szczegółowej wyceny
Zdefiniowanie planu naprawczego (działań
mitygujących ryzyko) lub ich akceptację
„Ocena” zagrożeń, podatności, wycena ryzyk i zdefiniowanie działań naprawczych
Co powinna obejmować analiza ryzyka „ITRA” – obszar oceny?
„Kontrola” spełnienia wymagań bezpieczeństwa (techniczna i organizacyjna)
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet
Umowa poufności (NDA)
Uzgodnienie zasad fizycznego dostęp do danych (serwerownie, poruszanie się po budynku)
Uzgodnienie logicznego dostępu do danych (dane zaciemniane, tylko logi, monitoring, itd)
Uzgodnienie sposobu zdalnego dostęp do danych ( w jaki sposób, kiedy, do czego i jak)
Uzgodnienie dot. zlecania prac podwykonawcą – (kto, jaki zakres , do czego, itd.)
Uzgodnienie listy osób i prawo do weryfikacji tzw. „PES” (kompetencje, referencje, itd.)
Uzgodnienie sposobu przekazywania danych i zasad komunikacji
Uzgodnienie sposobu ochrony powierzanych danych
Uzgodnienie procedur reagowania na incydenty/zdarzenia bezpieczeństwa np. atak DDOS
Uzgodnienie zasad zwrotu przekazanych danych (po zakończeniu współpracy/wdrożenia )
Uzgodnienie prawa do przeprowadzenia audytu Dostawcy w zakresie przedmiotu umowy
Uzgodnienie planów awaryjnych w przypadku hosting oraz SLA
Uzgodnienie procesu zarządzania zmianami (dostarczanie poprawek, nowych wersji, itd.)
Umowa i jej klauzule „BEZPIECZEŃSTWA” - jakie i kiedy?
UMOWY – wsparcia, hostingu, consultingu, wdrożenie, itd.
Projektowanie Definiowanie Wdrożenie Wykonywanie
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Działania realizowane w trakcie fazy wykonywania
Wykonywanie Definiowanie Wdrożenie Projektowanie
Procedury / matryce dostępu
Dokumenty OSG
Testy penetracyjne
Testy wydajnościowe
Przegląd kodu źródłowego
Przygotowanie do SIEM /ACS
Przygotowanie DRP / BCP
-
Wykonywanie
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Działania realizowane w trakcie fazy wdrożenia
Wdrożenie Definiowanie Wykonywanie Projektowanie
Wdrożenie
Weryfikacja klasyfikacji (BIA)
Weryfikacja podatności / luk
Przegląd konfiguracji
Testy zgodności z OSG
Wdrożenie skanowania podatności
Wdrożenie SIEM
Przeprowadzenie szkoleń ‚security’
Zdefiniowanie planu naprawczego
Monitorowanie niezgodności
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Co właściwie oznacza „bezpieczeństwo” w praktyce?
Klasyfikacja
BIA
Analiza Ryzyka
ITRA
Przegląd wymagań bezpieczeństwa
Monitorowanie
ryzyka
Identyfikacja danych
i ich wycena
biznesowa
Ocena zagrożeń,
podatności,
prawdopodobieństwa
wystąpienia zdarzenia
Definicja zaleceń do
realizacji i naprawy
Cykliczna kontrola
zaleceń
naprawczych
Przegląd zaleceń
naprawczych
Plan naprawczy
(nowe zalecenia lub
akceptacja ryzyka)
1 2 3 4
PROCES – identyfikacji, analizy oraz działań ograniczających i monitorujących potencjalne
ryzyko, który powinien być rozpoczęty i trwać w fazie definiowania, projektowania,
wykonywania i wdrożenia zamierzonego przedsięwzięcia biznesowego
INHERENT RISK MANAGED RISK RESIDUAL RISK
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Jak ING BANK dba o bezpieczeństwo?
Foundation
User Access
Change Management
Platform Security
Security Monitoring
IT Resiliance
IT Sourcing
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Dziękuję za uwagę.
Grzegorz Długajczyk
ING Bank Śląski
ul. Sokolska 34, 40-090 Katowice