Inteligentne bezpieczeństwo. Praktyczne aspekty bezpieczeństwa AMI
|
|
- Irena Chrzanowska
- 8 lat temu
- Przeglądów:
Transkrypt
1 Inteligentne bezpieczeństwo. Praktyczne aspekty bezpieczeństwa AMI Autor: Tomasz Szałach - ekspert ds. Strategii oraz Zarządzania Bezpieczeństwem Systemów Przemysłowych, EY Business Advisory ("Energia Elektryczna" - 11/2016) Wraz z rozwojem cyfryzacji oraz automatyzacji, a także w związku z wykładniczym wzrostem wydajności oraz funkcjonalności rozwiązań teleinformatycznych, coraz więcej organizacji sięga po inteligentne systemy. Czyni tak nie tylko w celu zmniejszenia kosztów czy zwiększenia efektywności, ale również, aby dostarczyć nową wartość swoim klientom. Dzisiejsze trendy, prowadzące do cyfrowej transformacji przedsiębiorstw i zmieniające ich dotychczasowe modele biznesowe, dotykają również branżę energetyczną. Oferują coraz bardziej zaawansowane rozwiązania, mające sprawić, by nasza sieć elektroenergetyczna stała się bardziej inteligentna wzmacniając przy tym bezpieczeństwo energetyczne oraz poprawiając jakość dostaw energii. Inteligencja przejawia się przede wszystkim w zdolności do rzetelnego oraz bezpiecznego przetwarzania (zbierania, przechowywania i analizy) oraz odpowiedniego wykorzystania danych z różnych źródeł w sposób autonomiczny. Jednym z fundamentalnych elementów sieci inteligentnych jest zaawansowana infrastruktura pomiarowa (Advanced Metering Infrastructure, AMI). Infrastruktura AMI umożliwia m.in.: - zdalny odczyt energii elektrycznej, - dostarczenie informacji w czasie rzeczywistym na temat zużycia energii, pozwalając bilansować obciążenie sieci, - dynamiczne ustalanie cen, taryf, - monitorowanie sieci niskiego napięcia. Oprócz oczywistych korzyści dla operatorów sieci, infrastruktura AMI dostarcza również wartość odbiorcom. Umożliwia im rolę prosumenta, mającego aktywny wpływ na zarządzanie obciążeniem sieciowym, a w konsekwencji również wysokością rachunku za zużycie energii elektrycznej. Tak duża zmiana niesie ze sobą jednak pewien bagaż typowy dla cyfrowej rewolucji. Jest nim cała gama ryzyk cyberbezpieczeństwa, które wynikają z technicznej charakterystyki oraz strategicznej roli infrastruktury AMI. Z punktu widzenia AMI jako systemu, jego podatność na cyberataki uwarunkowana jest przez rozproszoną, łatwo dostępną infrastrukturę połączoną w sieć. Dodatkowo, istotny jest znaczny wpływ społeczny oraz ekonomiczny, wynikający z potencjalnego ataku na infrastrukturę AMI, jako elementu infrastruktury krytycznej państwa.
2 Rys. 1. Wykaz krytycznych sektorów oferujących usługi krytyczne System elektroenergetyczny kręgosłupem infrastruktury krytycznej System elektroenergetyczny jest centralnym i najbardziej istotnym elementem infrastruktury krytycznej. To od jego stabilności oraz ciągłości działania zależy możliwość dostarczenia krytycznych usług niezbędnych do odpowiedniego funkcjonowania państwa. Krytyczny wpływ na społeczne oraz ekonomiczne aspekty państwa sprawia, że infrastruktura AMI jest ważna nie tylko z punktu widzenia samego przedsiębiorstwa, ale również bezpieczeństwa narodowego. Zapewnienie bezpieczeństwa infrastruktury AMI staje się tym samym niezwykle złożonym procesem determinującym często zakres oraz formę jego wykorzystania przez firmy energetyczne. Co tak naprawdę chronimy? Rozważając liczne strategie bezpieczeństwa infrastruktury AMI, istotne jest zapewnienie jej kompleksowego podejścia. Nasz system bezpieczeństwa jest przecież tak silny, jak jego najsłabszy element. Warto w tym miejscu odnieść się do podstaw bezpieczeństwa oraz jego nadrzędnego celu, jakim jest zapewnienie integralności, dostępności oraz poufności przetwarzanych danych. Następnie warto zastanowić się, jak te cele skutecznie osiągnąć. Dostępność W jaki sposób chronię swój system przed nieautoryzowanym dostępem do danych?
3 Integralność W jaki sposób chronię swój system przed nieautoryzowaną aktualizacją firmware? Poufność W jaki sposób zapewniam bezpieczeństwo przetwarzanych danych? Chroniąc infrastrukturę AMI, nie chronimy jedynie danych. Obiektem ochrony staje się również ciągłość procesu dystrybucji energii, środki trwałe (liczniki), jak również reputacja oraz zaufanie do operatora. Zapewnienie podstawowych atrybutów bezpieczeństwa oraz obszarów ochrony należy nałożyć na każdy z elementów infrastruktury. Rys. 2. Atrybuty bezpieczeństwa Perspektywa bezpieczeństwa architektury AMI W celu uchwycenia złożoności problematyki bezpieczeństwa infrastruktury AMI należałoby wyjść od analizy poszczególnych jej komponentów, a następnie zastanowić się, co tak naprawdę chronimy. Zakładając, że podstawowym atrybutem, który chronimy są dane w różnej postaci, wyróżnić można trzy źródła dostępu do nich. [A] Liczniki. Pierwszym źródłem dostępu do danych w infrastrukturze AMI jest element pomiarowy, czyli licznik i/lub koncentrator danych. Największą słabością tego elementu, z punktu widzenia bezpieczeństwa, jest stosunkowo łatwy dostęp do niego. Możliwość obejścia zabezpieczeń, otwarcia pokrywy licznika może pozwolić atakującemu na dosyć dokładną
4 analizę funkcjonowania danego urządzenia. Zwiększa to również szansę na przeprowadzenie skutecznego ataku. Brak odpowiedniego szyfrowania i komunikacji pomiędzy modułami samego urządzenia lub brak szyfrowania pamięci mogą doprowadzić do przechwycenia danych (np. kluczy kryptograficznych) pozwalających na podszycie się pod licznik i wykonywanie niepożądanych czynności. [B] Sieci. Kolejnym wektorem ataku, jak również obszarem do zabezpieczenia, jest warstwa sieci komunikacyjnych. Komunikacja w infrastrukturze AMI odbywa się z wykorzystaniem różnych technologii zarówno przewodowych (PLC), jak i bezprzewodowych (radio, mesh, G3/GPRS). Jednym z najistotniejszych zagadnień w tym obszarze jest szyfrowanie komunikacji (np. AES-128bit). Odpowiedni dobór szyfrowania często powiązany jest z praktycznymi możliwościami wybranego standardu oraz protokołu. Należy pamiętać o zapewnieniu odpowiednich mechanizmów bezpieczeństwa na każdym etapie wymiany danych zaczynać od domowej sieci HAN, poprzez sieci osiedlowe (NAN), techniczne (TAN), sieci bezprzewodowe dostawców zewnętrznych, a kończąc na sieci operacyjnej, odpowiedzialnej za sterowanie i nadzór, z której w łatwy sposób można dostać się do najbardziej krytycznych elementów systemu (SCADA), umożliwiając np. zdalne otwarcie wyłączników. [A] [B] [C] Rys. 3. Typowa architektura AMI oraz wektory ataku [C] Systemy. Kolejnym źródłem dostępu do danych jest system oraz aplikacja HES (Headend system) wraz z powiązanym środowiskiem systemów przemysłowych. W tym przypadku istotne jest zapewnienie odpowiednich mechanizmów ochrony oraz detekcji, a także reagowania na incydenty. Mechanizmy ochrony mają zapewnić wysoki poziom bezpieczeństwa samego rozwiązania, jak i sieci wewnętrznej w celu ochrony przed przejęciem krytycznych systemów sterowania i nadzoru. Monitorowanie oraz detekcja
5 dotyczą ciągłego monitorowania ruchu sieciowego w celu wykrycia niepożądanych zachowań. W celu zaadresowania bezpieczeństwa infrastruktury krytycznej należy również zapewnić, aby krytyczne systemy przemysłowe były odpowiednio odseparowane od systemów w sieci biurowej. Wynika to z filozofii defense in depth, według której należy zapewnić wiele warstw bezpieczeństwa, a mechanizmy należy dobrać odpowiednio do krytyczności danej warstwy. Coraz częstsze ataki typu APT (Advanced Persistant Threat) wykorzystują podatności słabiej chronionej warstwy/sieci biurowej (np. poprzez phishing), a następnie przedostają się do sieci produkcyjnej, skąd już przeprowadzany jest skrupulatnie przygotowany atak. Rodzaje ataków na infrastrukturę AMI Czym zatem może skutkować naruszenie dostępności, integralności lub poufności danych w warstwie [A] licznik, [B] sieci komunikacyjne lub [C] systemy? Najbardziej popularne skutki ataków na infrastrukturę AMI to: - kradzież danych personalnych dotyczących konsumentów, - fizyczne włamanie na podstawie wzorców zużycia energii, - oszustwa związane ze zmianą wartości zużycia energii elektrycznej, - nieautoryzowane przyłączenie, odłączenie odbiorcy energii, - naruszenie integralności danych pomiarowych, - przerwanie dostawy energii na dużą skalę. Do najczęściej spotykanych typów ataków zalicza się: - man-in-the-middle podszycie się pod licznik, - nadpisanie firmware licznika podczas zdalnej aktualizacji, - przepełnienie bufora wyłączenie pojedynczego lub grupy liczników. Coraz częściej jednak traktujemy infrastrukturę AMI jako element infrastruktury krytycznej, gdzie ataki bywają bardziej zaawansowane, zawierając elementy ataków cybernetycznych, socjotechnicznych, jak również fizycznych. Te z kolei wykorzystują jedynie infrastrukturę AMI jako furtkę do bardziej krytycznych systemów sterowania, skąd efekty ataku mogą być dużo bardziej szkodliwe. Kompleksowe podejście do bezpieczeństwa Aby zapewnić kompleksowe bezpieczeństwo każdego systemu, w tym również systemu AMI, należy zapewnić sprawne mechanizmy w każdym z trzech podstawowych filarów: organizacyjnym, proceduralnym oraz technicznym. Polityki oraz procedury powinny określać pryncypia bezpieczeństwa, a także zapewnić powtarzalność oraz ujednolicenie procesów związanych z zarządzaniem infrastrukturą AMI. Spełnienie pryncypiów bezpieczeństwa oraz zgodność z politykami powinna zapewnić sprawnie działająca organizacja, podejmująca
6 szybkie oraz uzasadnione decyzje oparte na rzetelnych danych. Natomiast u podstaw wszystkiego zawsze leży technologia, będąca często źródłem wielu podatności oraz podstawowym medium ataku. Nałożenie na siebie dotychczas omawianych wymiarów bezpieczeństwa infrastruktury AMI pozwoli nam ująć jego kompleksowość. Rys. 4. Trzy filary bezpieczeństwa Rys. 5. Wymiary bezpieczeństwa systemu AMI
7 Pierwszy krok w kierunku zapewnienia bezpieczeństwa AMI Podnoszenie bezpieczeństwa AMI to ciągły proces, który powinien być wpisany w cykl życia systemu. Zanim przejdziemy do ustanowienia kompleksowego programu bezpieczeństwa, warto odpowiedzieć na kilka istotnych pytań: 1. Czy znam swoją sieć (protokoły, urządzenia, architektura i ich podatności)? 2. Czy znam ryzyka związane z moim środowiskiem AMI? 3. Czy mam możliwość monitorowania środowiska AMI? 4. Czy wystarczająco współpracuję ze swoimi dostawcami (standardy bezpieczeństwa, SLA)? 5. Czy jestem gotowy odpowiednio zareagować na incydenty bezpieczeństwa (plany reagowania, plany ciągłości działania)? Odpowiedzi na te pytania pozwolą uświadomić sobie, na jakim poziomie dojrzałości jesteśmy i jak wiele pracy jeszcze jest przed nami. Zapewnienie odpowiedniego poziomu bezpieczeństwa środowiska AMI to ciągły proces, nie mający swojego początku ani końca. Jego ramy powinny być stałe, jednak mechanizmy powinny się zmieniać wraz z postępem technologii. Ciągły proces zapewnienia bezpieczeństwa AMI można w łatwy sposób ująć w strukturze DMAIC procesie zapewnienia jakości znanego z metodyki Six Sigma. Typowe kroki w procesie zapewnienia bezpieczeństwa przedstawimy poniżej. Rys. 6. Proces DMAIC w kontekście bezpieczeństwa AMI
8 Identyfikuj - Identyfikacja zasobów technicznych oraz informacyjnych (zarządzanie zasobami). - Identyfikacja zagrożeń. - Identyfikacja podatności oraz ryzyk w obszarze liczników, architektury sieci oraz aplikacji (testy penetracyjne, analiza ryzyka). Mierz - Mierzenie poziomu ryzyka. - Dokumentacja minimalnych wymagań bezpieczeństwa. - Standaryzacja bezpieczeństwa. Analizuj - Analiza rozbieżności w obszarze technologii, - procesów, - organizacji. Usprawniaj - Ciągłe usprawnianie technicznych zabezpieczeń w infrastrukturze AMI. - Ciągłe usprawnianie organizacyjnych oraz procesowych mechanizmów bezpieczeństwa. Kontroluj - Zapewnienie monitorowania środowiska AMI. - Przeprowadzanie regularnych przeglądów bezpieczeństwa. Podsumowanie Inteligentne sieci oraz AMI, jako element infrastruktury krytycznej, potrzebują inteligentnego podejścia do bezpieczeństwa. Takie podejście nie może być oparte na modnym żargonie (np. szyfrowanie równa się bezpieczeństwo) czy wyrywkowym traktowaniu bezpieczeństwa. Dotyczy to między innymi takiego dobrania technologii oraz procesów, które nie pozwolą na wyłączenie funkcji bezpieczeństwa, w przypadku gdy cierpi wydajność lub zasięg naszej infrastruktury pomiarowej. Aby jednak w pełni wykorzystać potencjał AMI w przyszłości, operatorzy muszą zadbać o zaufanie użytkowników do oferowanych przez siebie rozwiązań. Aby to osiągnąć, inteligentne bezpieczeństwo musi się znaleźć w DNA całego środowiska AMI.
Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski
Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz
Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk
Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja
Bezpieczeństwo systemów SCADA oraz AMI
Bezpieczeństwo systemów SCADA oraz AMI Podejście do weryfikacji bezpieczeństwa i badania podatności. innogy BS Polska Bartłomiej Szymczak, Wojciech Cholewa SIWE'16 1 Dlaczego? 2 Co robimy 3 SCADA 4 AMI
Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora
Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania
PROJEKTY SMART GRID W POLSCE SMART METERING & ADVANCED METERING INFRASTRUCTURE
PROJEKTY SMART GRID W POLSCE SMART METERING & ADVANCED METERING INFRASTRUCTURE Liczniki zdalnego odczytu Kalisz ENERGA Operator Czas trwania projektu: 2010 2012 Cel projektu: instalacja liczników zdalnego
Ochrona biznesu w cyfrowej transformacji
www.pwc.pl/badaniebezpieczenstwa Ochrona biznesu w cyfrowej transformacji Prezentacja wyników 4. edycji badania Stan bezpieczeństwa informacji w Polsce 16 maja 2017 r. Stan cyberbezpieczeństwa w Polsce
Reforma ochrony danych osobowych RODO/GDPR
Reforma ochrony danych osobowych RODO/GDPR Reforma ochrony danych osobowych (RODO/GDPR) wyzwania dla organów państwa, sektora publicznego i przedsiębiorców. Marek Abramczyk CISA, CRISC, CISSP, LA 27001,
Cyberbezpieczeństwo w Obiektach Przemysłowych na Przykładzie Instalacji Nuklearnych. Monika Adamczyk III FBST
Cyberbezpieczeństwo w Obiektach Przemysłowych na Przykładzie Instalacji Nuklearnych Monika Adamczyk III FBST Narodowe Centrum Badań Jądrowych Największy polski instytut badawczy (1100 pracowników, 70 profesorów,
Kompleksowe Przygotowanie do Egzaminu CISMP
Kod szkolenia: Tytuł szkolenia: HL949S Kompleksowe Przygotowanie do Egzaminu CISMP Certificate in Information Security Management Principals Dni: 5 Opis: Ten akredytowany cykl kursów zawiera 3 dniowy kurs
Nowe liczniki energii w Kaliszu Nowe możliwości dla mieszkańców. Adam Olszewski
Nowe liczniki energii w Kaliszu Nowe możliwości dla mieszkańców Adam Olszewski Kalisz, 10 kwietnia 2013 Czym jest AMI AMI, czyli inteligentne opomiarowanie, to system pozwalający na dwustronny przepływ
SZCZEGÓŁOWY HARMONOGRAM KURSU
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I - WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na wyjaśnieniu których szczególnie
Bezpieczeństwo danych w sieciach elektroenergetycznych
Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW 09.00 09.05 Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na Wyjaśnieniu których
Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.
Zagrożenia bezpieczeństwa informacji dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o. Czym jest bezpieczeństwo informacji? Bezpieczeństwo informacji to: (teoretycznie) stan wolny od
Wymiana doświadczeń Jarosław Pudzianowski - Pełnomocnik do Spraw Zarządzania Bezpieczeństwem
Wymiana doświadczeń Jarosław Pudzianowski - Pełnomocnik do Spraw Zarządzania Bezpieczeństwem Warszawa, 2017-04-21 1. BEZPIECZEŃSTWO PRZETWARZANIA INFORMACJI W SYSTEMACH INFORMATYCZNYCH Bezpieczeństwo informacji
MINISTERSTWO ADMINISTRACJI I CYFRYZACJI
MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych
ENERGIA 4. Energia 4 system wsparcia efektywności energetycznej. WALDEMAR BULICA Lublin, r.
ENERGIA 4 Energia 4 system wsparcia efektywności energetycznej WALDEMAR BULICA Lublin, 15.11.2017r. KIM JESTEŚMY? P R A C O W N I A I N F O R M AT Y K I N U M E R O N Z A R Z Ą D Z A N I E Z U Ż Y C I
Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa
Juliusz Brzostek Dyrektor NC Cyber w NASK Październik 2016 r. Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa Powody powołania NC Cyber luty 2013 Strategia bezpieczeństwa cybernetycznego
Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji
2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa
System ienergia -narzędzie wspomagające gospodarkę energetyczną przedsiębiorstw
System ienergia -narzędzie wspomagające gospodarkę energetyczną przedsiębiorstw Pracownia Informatyki Numeron Sp. z o.o. ul. Wały Dwernickiego 117/121 42-202 Częstochowa Pracownia Informatyki Numeron Sp.
Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej
Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej Michał Kurek, Partner KPMG, Cyber Security Forum Bezpieczeństwo Sieci Technologicznych Konstancin-Jeziorna, 21 listopada
Urząd Regulacji Energetyki
Urząd Regulacji Energetyki Źródło: http://www.ure.gov.pl/pl/urzad/informacje-ogolne/aktualnosci/5464,stosowanie-inteligentnego-opomiarowania-w-parze-z-och rona-prywatnosci-odbiorcow-.html Wygenerowano:
Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011
Architektura informacji w ochronie zdrowia Warszawa, 29 listopada 2011 Potrzeba Pomiędzy 17 a 19 kwietnia 2011 roku zostały wykradzione dane z 77 milionów kont Sony PlayStation Network. 2 tygodnie 25 milionów
Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych
Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych Obszar System Zarządzania Bezpieczeństwem Informacji Polityki bezpieczeństwa. Opracowano ogólną
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Copyright 2016 BSI. All rights reserved. Tak było Na dokumentację,
Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej
Zał. nr 2 do zawiadomienia o kontroli Kwestionariusz dotyczący działania teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej Poz. Obszar / Zagadnienie Podstawa
Doświadczenia w zakresie wdrażania Smart Grid
Doświadczenia w zakresie wdrażania Smart Grid Warszawa, 8 marca 2012 Agenda Projekt Smart Grid w Energa Operator Proces wdrożenia Systemu AMI w Energa Operator Dotychczasowe doświadczenia Z perspektywy
Zagrożenia związane z udostępnianiem aplikacji w sieci Internet
Zagrożenia związane z udostępnianiem aplikacji w sieci Internet I Ogólnopolska Konferencja Informatyki Śledczej Katowice, 8-9 stycznia 2009 Michał Kurek, Aleksander Ludynia Cel prezentacji Wskazanie skali
Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE
Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE AGENDA: Plan prezentacji Wstęp Charakterystyka zagrożeń, zasobów i zabezpieczeń Założenia bezpieczeństwa
ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia r.
KOMISJA EUROPEJSKA Bruksela, dnia 30.1.2018 r. C(2018) 471 final ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia 30.1.2018 r. ustanawiające zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE)
Sieci bezprzewodowe WiFi
Sieci bezprzewodowe WiFi przegląd typowych ryzyk i aspektów bezpieczeństwa IV Konferencja Bezpieczeństwa Informacji Katowice, 25 czerwca 2013r. Grzegorz Długajczyk ING Bank Śląski Czy sieci bezprzewodowe
Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014
1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)
ISO 27001. bezpieczeństwo informacji w organizacji
ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie
Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )
Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych
BAKER TILLY POLAND CONSULTING
BAKER TILLY POLAND CONSULTING Wytyczne KNF dla firm ubezpieczeniowych i towarzystw reasekuracyjnych w obszarze bezpieczeństwa informatycznego An independent member of Baker Tilly International Objaśnienie
USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI
USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013r. STRONA 1 USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013 Spis Treści 1 O Nas pointas.com.pl 2 Kadra i Kwalifikacje 3 Audyty i konsulting
Bezpieczeństwo cyfrowe zaawansowanej infrastruktury pomiarowej
Bezpieczeństwo cyfrowe zaawansowanej infrastruktury pomiarowej dr inż. Krzysztof Billewicz Instytut Energoelektryki Politechniki Wrocławskiej www.krzysztofbillewicz.pl Dwa podejścia podczas rozpatrywania
Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.
Polityka Bezpieczeństwa Informacji Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o. Przedmiot ochrony Czym jest informacja? Miejsca przechowywania Regulacje prawne Zarządzanie bezpieczeństwem
Koncepcja wdrożenia systemu AMI w ENERGA-OPERATOR
Koncepcja wdrożenia systemu AMI w ENERGA-OPERATOR Rafał Czyżewski Wiceprezes Zarządu, Dyrektor ds. Rozwoju Warszawa, 22 lipca 2010 Inteligentne opomiarowanie (AMI) w kontekście strategii Grupy Energa (slajd
Księgarnia PWN: Kevin Kenan - Kryptografia w bazach danych. Spis treści. Podziękowania O autorze Wprowadzenie... 15
Księgarnia PWN: Kevin Kenan - Kryptografia w bazach danych Spis treści Podziękowania... 11 O autorze... 13 Wprowadzenie... 15 CZĘŚĆ I. Bezpieczeństwo baz danych... 19 Rozdział 1. Problematyka bezpieczeństwa
WDROŻENIE RSA NETWITNESS SUITE W BRANŻY E-COMMERCE
WDROŻENIE RSA NETWITNESS SUITE W BRANŻY E-COMMERCE Oczekiwania Klienta Założeniem projektu było wdrożenie takiego systemu klasy SIEM, który będzie również platformą threat huntingową pozwalającą na aktywne
Energa-Operator: Praktyczne doświadczenia projektu AMI
Energa-Operator: Praktyczne doświadczenia projektu AMI Autorzy: Robert Masiąg; Tomasz Piasecki- ENERGA-OPERATOR SA Budowa infrastruktury inteligentnego opomiarowania jest flagowym projektem inwestycyjnym
ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)
W dzisiejszej części przedstawiamy dalsze informacje związane z polityką bezpieczeństwa, a dokładnie przeczytacie Państwo o sposobie przepływu danych pomiędzy poszczególnymi systemami; na temat określenia
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved. Tak
Bezpieczeństwo w sieciach bezprzewodowych WiFi. Krystian Baniak Seminarium Doktoranckie Październik 2006
Bezpieczeństwo w sieciach bezprzewodowych WiFi Krystian Baniak Seminarium Doktoranckie Październik 2006 Wprowadzenie Agenda Problemy sieci bezprzewodowych WiFi Architektura rozwiązań WiFi Mechanizmy bezpieczeństwa
Projekt wymagań bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3- fazowych liczników energii elektrycznej:
Projekt wymagań bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3- fazowych liczników energii elektrycznej: Lp. 1. Wymagania ogólne Wymaganie techniczne 1.1 Licznik musi posiadać aktywną funkcję
Metody ochrony przed zaawansowanymi cyberatakami
Metody ochrony przed zaawansowanymi cyberatakami Michał Kurek, Partner KPMG, Szef Zespołu Cyberbezpieczeństwa Warszawa, 26.09.2019 2019 2017 KPMG in Poland 1 Agenda 1 Cyberbezpieczeństwo w cyfrowym świecie
Marcin Soczko. Agenda
System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie
Bezpieczeństwo dziś i jutro Security InsideOut
Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle
Pracownia Informatyki Numeron Sp. z o.o Częstochowa ul. Wały Dwernickiego 117/121 tel. (34) fax. (34)
Pracownia Informatyki Numeron Sp. z o.o. 42-202 Częstochowa ul. Wały Dwernickiego 117/121 tel. (34) 361 00 86 fax. (34) 366 50 03 www.numeron.pl Pracownia Informatyki Numeron Sp. z o.o. Istniejemy w branży
System Zarządzania Energią według wymagań normy ISO 50001
System Zarządzania Energią według wymagań normy ISO 50001 Informacje ogólne ISO 50001 to standard umożliwiający ustanowienie systemu i procesów niezbędnych do osiągnięcia poprawy efektywności energetycznej.
Szkolenie otwarte 2016 r.
Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie
Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych
Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych Daniel Suchocki Dyrektor Generalny Maciej Karmoliński Dyrektor Operacyjny 1. Przepisy i procedury Incydenty naruszenia bezpieczeństwa
Krzysztof Świtała WPiA UKSW
Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany
Promotor: dr inż. Krzysztof Różanowski
Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof
Smart Metering Smart Grid Ready charakterystyka oczekiwań Regulatora w formie pakietu stanowisk
Smart Metering Smart Grid Ready charakterystyka oczekiwań Regulatora w formie pakietu stanowisk dr inż. Tomasz Kowalak, Stanowisko ds Koordynacji Rozwoju Inteligentnych Sieci AGH 2 Kraków, 28 stycznia
Bezpieczeństwo IT w środowisku uczelni
Bezpieczeństwo IT w środowisku uczelni Teleinformatica - Wide Area Networking & Security (Grupa SECURITY.PL) Warszawa, 25 kwietnia 2017 O czym będę mówił? Bezpieczeństwo IT specyfika środowiska akademickiego
OFERTA DLA MIAST, GMIN, INSTYTUCJI FINANSOWYCH I PODMIOTÓW KOMERCYJNYCH DOTYCZĄCA ZAGADNIEŃ ZWIĄZANYCH Z CYBERBEZPIECZEŃSTWEM
OFERTA DLA MIAST, GMIN, INSTYTUCJI FINANSOWYCH I PODMIOTÓW KOMERCYJNYCH DOTYCZĄCA ZAGADNIEŃ ZWIĄZANYCH Z CYBERBEZPIECZEŃSTWEM Naszym celem nadrzędnym jest dostarczenie wysoce specjalistycznych usług obejmujących
Przyjaciel Wrocławia. Projekt AMIplus Smart City Wrocław
Przyjaciel Wrocławia Projekt AMIplus Smart City Wrocław 2013-2017 Agenda Informacja ogólna 1. Dyrektywa UE 2. AMI w TAURON Projekt AMIplus Smart City Wrocław 3. Postępowanie przetargowe 4. Wykonawca projektu
Rozpędź produkcję zmniejszając koszty energii!
: moŝliwości i bezpośrednie korzyści Kompleksowe rozwiązanie dla zakładów zuŝywających większe ilości mediów: energii elektrycznej, gazu, wody, ciepła, pary, spręŝonego powietrza i innych. Obecne koszty
2016 Proget MDM jest częścią PROGET Sp. z o.o.
Proget MDM to rozwiązanie umożliwiające administrację urządzeniami mobilnymi w firmie takimi jak tablet czy telefon. Nasza platforma to także bezpieczeństwo danych firmowych i prywatnych: poczty email,
8 Przygotowanie wdrożenia
1 Krok 8 Przygotowanie wdrożenia Wprowadzenie Przed rozpoczęciem wdrażania Miejskiego Programu Energetycznego administracja miejska powinna dokładnie przygotować kolejne kroki. Pierwszym jest powołanie
Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny
Audyt procesu zarządzania bezpieczeństwem informacji Prowadzący: Anna Słowińska audytor wewnętrzny Audyt wewnętrzny Definicja audytu wewnętrznego o o Art. 272.1. Audyt wewnętrzny jest działalnością niezależną
Opis merytoryczny. Cel Naukowy
WNIOSEK O PORTFOLIO: Opracowanie koncepcji organizacji systemów zarządzania energią EMS w systemach automatyki budynkowej i analiza ich wpływu na efektywność energetyczną budynków Autorzy: Jakub Grela,
Normalizacja dla bezpieczeństwa informacyjnego
Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem
Ciepło z lokalnych źródeł gazowych
Ciepło z lokalnych źródeł gazowych Ciepło z lokalnych źródeł gazowych Kotłownie gazowe to alternatywne rozwiązanie dla Klientów, którzy nie mają możliwości przyłączenia się do miejskiej sieci ciepłowniczej.
Program szkolenia: Bezpieczny kod - podstawy
Program szkolenia: Bezpieczny kod - podstawy Informacje: Nazwa: Kod: Kategoria: Grupa docelowa: Czas trwania: Forma: Bezpieczny kod - podstawy Arch-Sec-intro Bezpieczeństwo developerzy 3 dni 75% wykłady
Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie
Załącznik nr 1 do zapytania ofertowego z dn. 19.07.2017 r. SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie 1. Dokonanie oceny zgodności
Cena za 100% akcji PLN 90 m (korekta o dług netto na dzień zamknięcia) Finansowanie: dług bankowy, środki własne Zgoda UOKiK
1 Wprowadzenie Aktualizacja strategii rozwoju GK Apator czerwiec listopad 2013 roku Weryfikacja inicjatyw rozwojowych m.in. rozpoczęcie rozmów z akcjonariuszami Elkomtech S.A. Podpisanie Przedwstępnej
Malware przegląd zagrożeń i środków zaradczych
Malware przegląd zagrożeń i środków zaradczych Tomasz Gierszewski Politechnika Gdańska Energa-Operator S.A. Plan prezentacji Definicje malware Motywacja napastników Klasyfikacja malware Cykl życia Wykrywanie
Zarządzanie łańcuchem dostaw
Społeczna Wyższa Szkoła Przedsiębiorczości i Zarządzania kierunek: Zarządzanie i Marketing Zarządzanie łańcuchem dostaw Wykład 1 Opracowanie: dr Joanna Krygier 1 Zagadnienia Wprowadzenie do tematyki zarządzania
Rola inspektora ochrony danych w zabezpieczeniu systemu informatycznego. Podejście oparte na ryzyku
RISK RODO GDPR Rola inspektora ochrony danych w zabezpieczeniu systemu informatycznego. Podejście oparte na ryzyku GIODO oraz INP PAN 14 luty 2017 Mariola Więckowska 2 Agenda 1. UODO: Analiza ryzyka systemów
DLA SEKTORA INFORMATYCZNEGO W POLSCE
DLA SEKTORA INFORMATYCZNEGO W POLSCE SRK IT obejmuje kompetencje najważniejsze i specyficzne dla samego IT są: programowanie i zarządzanie systemami informatycznymi. Z rozwiązań IT korzysta się w każdej
Spis treści. Analiza Ryzyka Instrukcja Użytkowania
Maj 2013 Spis treści 1. Wprowadzenie... 3 2. Podstawy prawne... 4 3. Zasada działania programu... 6 4. Zgodność z analizą zagrożeń... 7 5. Opis programu... 8 5.1. Menu Górne... 9 5.2. Status... 10 5.3.
Zapewnienie dostępu do Chmury
Zapewnienie dostępu do Chmury O bezpiecznym i sprawnym dostępie do Chmury i danych w Chmurze. Marcin Tynda Business Development Manager Grupa Onet S.A. Warszawa, 24.06.2013 1 Kto jest kim Klient? Kim jest
Automatyka SZR. Korzyści dla klienta: [ Zabezpieczenia ] Seria Sepam. Sepam B83 ZASTOSOWANIE UKŁADY PRACY SZR
1 Automatyka SZR Sepam B83 ZASTOSOWANIE Sepam B83 standard / UMI Konieczność zachowania ciągłości dostaw energii elektrycznej do odbiorców wymusza na jej dostawcy stosowania specjalizowanych automatów
Realizacja idei OpenADR dwukierunkowa komunikacja dostawcy energii-odbiorcy rozwój i implementacja niezbędnej infrastruktury systemowej i programowej
Realizacja idei OpenADR dwukierunkowa komunikacja dostawcy energii-odbiorcy rozwój i implementacja niezbędnej infrastruktury systemowej i programowej dr inŝ. Andrzej OŜadowicz Wydział Elektrotechniki,
więcej niż system HR
więcej niż system HR Wspieramy ludzi i biznes Od 2010 roku wspieramy lokalne i globalne organizacje, wdrażając w działach HR rozwiązania IT pozwalające na sprawne zarządzanie kapitałem ludzkim. Efektem
Pakiet zawiera. Pakiet Interoperacyjny Urząd. E-learning. Asysta merytoryczna. Oprogramowanie. Audyt. Certyfikacja.
Pakiet Interoperacyjny Urząd Oferujemy kompleksowy pakiet wdrożenia Krajowych Ram Interoperacyjności w Urzędzie. W skład pakietu wchodzi 6 modułów: e-learning, audyt, wzory dokumentów, asysta merytoryczna,
Zespół do spraw Transformacji Przemysłowej Departament Innowacji
Zespół do spraw Transformacji Przemysłowej 26.07.2016 Departament Innowacji Kierunki transformacji polskiej gospodarki 5 Filarów rozwoju gospodarczego Polski Reindustrializacja Rozwój innowacyjnych firm
Certified IT Manager Training (CITM ) Dni: 3. Opis:
Kod szkolenia: Tytuł szkolenia: HK333S Certified IT Manager Training (CITM ) Dni: 3 Opis: Jest to trzydniowe szkolenie przeznaczone dla kierowników działów informatycznych oraz osób, które ubiegają się
WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji
Kierownik projektu. Imię i Nazwisko
Imię i Nazwisko Współautorzy Kierownik projektu mgr inż. Maciej Andrzejewski mgr Bożena Dobrowiecka mgr inż. Krzysztof Broda mgr inż. Andrzej Jaworski mgr inż. Zdzisław Kołodziejczyk mgr inż. Tadeusz Kozłowski
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem
ODBIORCY KOŃCOWI NA RYNKU ENERGII ELEKTRYCZNEJ W POLSCE:
ODBIORCY KOŃCOWI NA RYNKU ENERGII ELEKTRYCZNEJ W POLSCE: 1997-2016-2030 TARGI ENERGII Panel: Rynek energii elektrycznej zadania odbiorców końcowych, operatorów systemu i przedsiębiorstw energetycznych:
Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?
Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku? Badanie Cyberbezpieczeństwo Firm Warszawa, 2 marca 2017 The better the question. The better the answer. The better the world works.
kierunkową rozwoju informatyzacji Polski do roku 2013 oraz perspektywiczną prognozą transformacji społeczeństwa informacyjnego do roku 2020.
Z A T W I E R D Z A M P R E Z E S Polskiego Komitetu Normalizacyjnego /-/ dr inż. Tomasz SCHWEITZER Strategia informatyzacji Polskiego Komitetu Normalizacyjnego na lata 2009-2013 1. Wprowadzenie Informatyzacja
CYBERBEZPIECZEŃSTWO krytycznej infrastruktury elektroenergetycznej
CYBERBEZPIECZEŃSTWO krytycznej infrastruktury elektroenergetycznej dr Łukasz Kister Pełnomocnik Zarządu ds. Ochrony Infrastruktury Krytycznej Dyrektor Departamentu Audytu i Bezpieczeństwa ELEKTROENERGETYKA
Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?
Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA Dlaczego DNS jest tak ważny? DNS - System Nazw Domenowych to globalnie rozmieszczona usługa Internetowa. Zapewnia tłumaczenie nazw domen
Koncepcja cyfrowej transformacji sieci organizacji publicznych
Koncepcja cyfrowej transformacji sieci organizacji publicznych Kierownik Zakładu Systemów Informacyjnych SGH Agenda prezentacji 1 2 3 4 5 Cyfrowa transformacja jako szczególny rodzaj zmiany organizacyjnej
6 Metody badania i modele rozwoju organizacji
Spis treści Przedmowa 11 1. Kreowanie systemu zarządzania wiedzą w organizacji 13 1.1. Istota systemu zarządzania wiedzą 13 1.2. Cechy dobrego systemu zarządzania wiedzą 16 1.3. Czynniki determinujące
Cyber Threat Intelligence (CTI) nowy trend w dziedzinie cyberbezpieczeństwa
Cyber Threat Intelligence (CTI) nowy trend w dziedzinie cyberbezpieczeństwa Tomasz Łużak Paweł Krawczyk Informacja chroniona w Exatel 1 Czym jest Cyber Threat Intelligence? Cyber Threat Intelligence (CTI)
XII Targi Energii Jachranka 2015 Nowelizacja Ustawy o efektywności energetycznej i jej wpływ na odbiorców przemysłowych
XII Targi Energii Jachranka 2015 Nowelizacja Ustawy o efektywności energetycznej i jej wpływ na odbiorców przemysłowych Jachranka, 24 września 2015 roku mgr inż. Katarzyna Zaparty Makówka Menadżer ds.
URE na rzecz wdrożenia inteligentnych sieci. Marek Woszczyk Prezes Urzędu Regulacji Energetyki
URE na rzecz wdrożenia inteligentnych sieci. Marek Woszczyk Prezes Urzędu Regulacji Energetyki Warszawa 18 września 2012 Działania na rzecz budowy inteligentnej sieci (1) Fundamentalne cele: poprawa bezpieczeństwa
Ocena kosztów zakłóceń dostaw energii elektrycznej i ich wpływ na system elektroenergetyczny, gospodarkę oraz społeczeństwo w Polsce.
Ocena kosztów zakłóceń dostaw energii elektrycznej i ich wpływ na system elektroenergetyczny, gospodarkę oraz społeczeństwo w Polsce. IV. Medialna Międzynarodowa Konferencja Naukowa Decyzje w sytuacjach
PORÓWNYWARKA CEN ENERGII ELEKTRYCZNEJ ZOBACZ ILE MOŻESZ ZAOSZCZĘDZIĆ
PORÓWNYWARKA CEN ENERGII ELEKTRYCZNEJ ZOBACZ ILE MOŻESZ ZAOSZCZĘDZIĆ PORÓWNYWARKA JAK OBNIŻYĆ RACHUNKI za energię elektryczną? Wybór sprzedawcy prądu jest Twoim prawem! Od 2007 roku możesz swobodnie wybierać
Projekt: PROLOG wzrost potencjału przedsiębiorstw logistycznych województwa pomorskiego
Projekt ProLog - wzrost potencjału przedsiębiorstw logistycznych województwa pomorskiego jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego. Projekt: PROLOG wzrost