System Zarządzania Procesami Bezpieczeństwa - CRIMSON. Warszawa, luty 2017

Podobne dokumenty
Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Ochrona biznesu w cyfrowej transformacji

Cyberbezpieczeństwo w Obiektach Przemysłowych na Przykładzie Instalacji Nuklearnych. Monika Adamczyk III FBST

OT integracja i rozwój czy bezpieczeństwo?

AUREA BPM HP Software. TECNA Sp. z o.o. Strona 1 z 7

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Bezpieczeństwo systemów SCADA oraz AMI

ISO w Banku Spółdzielczym - od decyzji do realizacji

HP Service Anywhere Uproszczenie zarządzania usługami IT

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa

Kompleksowe Przygotowanie do Egzaminu CISMP

Specyfikacja usług. 1. Zakup usług informatycznych dla realizacji dostępu do systemu dla obsługi relacji B2B.

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Bezpieczeństwo danych w sieciach elektroenergetycznych

Vulnerability Management. Vulnerability Assessment. Greenbone GSM

Dobór systemów klasy ERP

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Monitorowanie Bezpieczeństwa Sieci Technologicznej

Win Admin Replikator Instrukcja Obsługi

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

ZAMAWIAJĄCY. CONCEPTO Sp. z o.o.

BCC ECM Autorskie rozwiązanie BCC wspomagające zarządzanie dokumentami oraz procesami biznesowymi

Prezentacja firmy

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Studia podyplomowe PROGRAM NAUCZANIA PLAN STUDIÓW

SiR_13 Systemy SCADA: sterowanie nadrzędne; wizualizacja procesów. MES - Manufacturing Execution System System Realizacji Produkcji

SZCZEGÓŁOWY HARMONOGRAM KURSU

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Model referencyjny doboru narzędzi Open Source dla zarządzania wymaganiami

DLA SEKTORA INFORMATYCZNEGO W POLSCE

INFORMATYKA Pytania ogólne na egzamin dyplomowy

Laboratorium demonstrator bazowych technologii Przemysłu 4.0 przykład projektu utworzenia laboratorium przez KSSE i Politechnikę Śląską

Kierunki rozwoju usług monitorowania. Outsourcing stacji monitorowania. Optymalizacja kosztów

produkować, promować i sprzedawać produkty, zarządzać i rozliczać przedsięwzięcia, oraz komunikować się wewnątrz organizacji.

Projektowanie Infrastruktury Sieciowej v2 2012/09/01

Aplikacja inteligentnego zarządzania energią w środowisku domowym jako usługa Internetu Przyszłości

FORMULARZ OFERTOWY. Termin dostarczenia dokumentu 1

Kurs Projektowanie i programowanie z Distributed Safety. Spis treści. Dzień 1. I Bezpieczeństwo funkcjonalne - wprowadzenie (wersja 1212)

! Retina. Wyłączny dystrybutor w Polsce

RADA WYDZIAŁU Elektroniki i Informatyki. Sprawozdanie z realizacji praktyk studenckich na kierunku Informatyka w roku akademickim 2017/18

System TEO Kompleksowa obsługa energetyki trakcyjnej prądu stałego

Nowe zagrożenia skuteczna odpowiedź (HP ArcSight)

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

System Profesal. Zarządzanie przez fakty

Wsparcie dla działań na rzecz poprawy efektywności energetycznej ze strony systemów informatycznych

Reforma ochrony danych osobowych RODO/GDPR

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Piotr Krząkała. Dyrektor Handlowy ds. Kluczowych Klientów

Szczegółowy harmonogram rzeczowy realizacji prac systemu B2B

Opis merytoryczny. Cel Naukowy

Opis Przedmiotu Zamówienia

Kurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Maciej Byczkowski ENSI 2017 ENSI 2017

Prezentacja Grupy Atende

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

rekrutacja, luty 2017

Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata znaczenie i najbliższe działania

Nowe spojrzenie na systemy monitoringu i sterowania sieciami ciepłowniczymi

Sąsiedzi: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich. Maciej Kaniewski

2016 Proget MDM jest częścią PROGET Sp. z o.o.

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

Konieczne inwestycje z obszaru IT w sektorze elektroenergetycznym Integracja Paweł Basaj Architekt systemów informatycznych

Systemy Monitorowania Produkcji EDOCS

Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL

SIŁA PROSTOTY. Business Suite

Bezpieczeństwo IT w środowisku uczelni

ZAPYTANIE OFERTOWE. Zamawiający. Przedmiot zapytania ofertowego. Wrocław, dnia r.

Opis Przedmiotu Zamówienia

Projekty Innowacyjne w PGE Dystrybucja S.A.

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

Razem godzin w semestrze: Plan obowiązuje od roku akademickiego 2016/17 - zatwierdzono na Radzie Wydziału w dniu r.

Popularyzacja podpisu elektronicznego w Polsce

Instrukcja do opracowania Koncepcji technicznej projektu

Krzysztof Tomkiewicz Bydgoszcz, 26 października 2009 r.

Bezpieczeństwo dziś i jutro Security InsideOut

mediów produkcyjnych System wdrożony przez firmę PRO-CONTROL w roku 2016 w jednym z dużych zakładów produkcji kosmetycznej.

POLITECHNIKA LUBELSKA Wydział Elektrotechniki Kierunek: INFORMATYKA II stopień niestacjonarne i Informatyki. Część wspólna dla kierunku

Win Admin Replikator Instrukcja Obsługi

Leszek Dziubiński Damian Joniec Elżbieta Gęborek. Computer Plus Kraków S.A.

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

SYSTEM VILM ZARZĄDZANIE CYKLEM ŻYCIA ŚRODOWISK WIRTUALNYCH. tel: +48 (032)

PureSystems zautomatyzowane środowisko aplikacyjne. Emilia Smółko Software IT Architect

Nie o narzędziach a o rezultatach. czyli skuteczny sposób dokonywania uzgodnień pomiędzy biznesem i IT. Władysławowo, 6 października 2011 r.

Nowoczesne narzędzia HR. Waldemar Lipiński DMZ-CHEMAK sp. z o.o.

Wybór ZSI. Zakup standardowego systemu. System pisany na zamówienie

Wykorzystanie danych AMI w zarządzaniu siecią nn Projekt UPGRID

Zarządzanie testowaniem wspierane narzędziem HP Quality Center

pilotażowe staże dla nauczycieli i instruktorów kształcenia zawodowego w przedsiębiorstwach

Wielowymiarowość zapewnienia bezpieczeństwa danych rynku ubezpieczeń

Monitoring stanu zagrożeń dla bezpieczeństwa teleinformatycznego Polski

Promotor: dr inż. Krzysztof Różanowski

PARTNER.

Nowoczesne aplikacje mobilne i ich rola w podnoszeniu jakości danych

GLOBAL4NET Agencja interaktywna

Systemy bezpieczeństwa i ochrony zaprojektowane dla obiektów logistycznych.

Transkrypt:

System Zarządzania Procesami Bezpieczeństwa - CRIMSON Warszawa, luty 2017

To dopiero początek RODO Dyrektywa NIS eprivacy Swobodny przepływ danych Dostępność stron i aplikacji mobilnych Ochrona własności intelektualnej Zatwierdzone Zatwierdzone Propozycja Propozycja Zatwierdzone Od 25.05.2018 Od 09.05.2018 01.2017 01.2017 Od 23.09.2018 Wszyscy Infrastruktura Krytyczna Wszyscy Wszyscy Sektor Publiczny Współpraca przy tworzeniu kodeksów postępowania Współpraca z partnerami Firmami konsultingowymi Firmami prawnymi Twórcami rozwiązań IT 2 Warszawa, listopad 2017

Zarządzanie bezpieczeństwem 3 Warszawa, listopad 2017

Zabezpieczenie systemów sterowania 4 Warszawa, listopad 2017

Podstawowe podejście do bezpieczeństwa 5 Warszawa, listopad 2017

Metodyka 6 Warszawa, listopad 2017

Obszar kompetencji Atende. 7 Warszawa, listopad 2017

Security GAP 8 Warszawa, listopad 2017

Zabezpieczenie systemów sterowania 1 2 Dedykowane rozwiązania Nowe podejście Wyjście ze schematu Brak kompleksowości Łatwa integracja Brak monitoringu Gaz Uniwersalne podejście Doświadczenie klienta Dynamiczny rynek 9 Warszawa, listopad 2017

Zabezpieczenie systemów IT 10 Warszawa, listopad 2017

Podatność systemów IT/OT na włamania 11 Warszawa, listopad 2017

Podatność systemów IT/OT na włamania Techniki ataków są adoptowane ze świata IT Podatność systemów OT w każdej warstwie jest większa niż systemów IT. Skutki ataku są potencjalnie bardzo groźne. Dodatkowe zagrożenia Niska świadomość na zagrożenia u personelu Szkolenie operatorów w reakcji na inne zagrożenie niż cybernetyczne. Logistycznie skomplikowany proces aktualizacji w systemach OT. Naturalne dążenie do dostępności systemów sterowania procesów z każdego miejsca i dla każdego uprawnionego Internet rzeczy, chmurny, zdalne centra eksperckie 12 Warszawa, listopad 2017

Wektory Ataku Warstwa I Systemy IT Sieci. Systemy operacyjne. Aplikacje Warstwa II Systemy ICS Systemy DCS Systemy SCADA Sterowniki PAC/PLC Systemy bezpieczeństwa SIS, Awaryjne zatrzymanie instalacji ESD Panele sterownicze HMI. Itp.. Warstwa III Urządzenia Obiektowe Zawory regulacyjne Napędy elektryczne Pomiary wielkości fizycznych itp. 13 Warszawa, listopad 2017

Zabezpieczenia Zagrożenie pochodzi z IT? Obrona także technikami IT? Fire-Wall Kryptografia / Szyfrowanie VPN Separacja i Segmentacja sieci Skanery i analizatory ruchu (IDS/IPS) Rozwiązania są znane i dostępne na rynku Są znane atakującym. Zostały przynajmniej raz złamane Zabezpieczenia tworzono o specyfikę rynku IT. 14 Warszawa, listopad 2017

Organizacja i Nadzór Priorytety dla IT i OT 15 Warszawa, listopad 2017

Zabezpieczenie systemów sterowania TECHNOLOGIA SIEĆ I TELEKOMUNIKACJA WIRTUALIZACJA 16 Warszawa, listopad 2017

Punkty styku 17 Warszawa, listopad 2017

Zabezpieczenie systemów sterowania Sieci innych podmiotów gazowniczych Połączenia z innymi systemami zarządzania Internet CPD Sieć biurowa Sieć CPD Sieć TAN rezerwowa Sieć Technologiczna TAN Sieć TAN podstawowa Dyspozycja Połączenia z siecią biurową i CPD Sieć Dyspozytorska Obiekty gazownicze 18 Warszawa, listopad 2017

Zabezpieczenie systemów sterowania 1 Zdefiniuj zdefiniuj luki, określ wymagania Testowanie krytycznych procesów produkcyjnych 2 Wymyśl zrozum wektory zagrożeń, wymyśl mechanizm zabezpieczeń Testowanie rozległych instalacji 3 Zaprojektuj Zaprojektuj nowoczesną architekturę 4 Testuj Przetestuj funkcjonalność, potwierdź założenia 19 Warszawa, listopad 2017

Zabezpieczenie systemów sterowania PoC Budowa poprzez Proof of Concepts Doskonalenie poprawa istniejących mechanizmów bezpieczeństwa i wprowadzanie innowacji Korzyści Skalowanie wdrażanie sprawdzonych rozwiązań cybernetycznych Cyber odporność Niezawodność Bezpieczeństwo Procesowe Efektywność operacyjna Implementacja skalowalne koncepcje architektury bezpieczeństwa następnej generacji 20 Warszawa, listopad 2017

Opis rozwiązania (2/4) - architektura 21 Warszawa, listopad 2017

Kontekst System powstał jako produkt projektu realizowanego dla MON przez konsorcjum: Atende, Atende Software i NASK. Projekt trwał 24 miesiące i był finansowany przez NCBIR Produktem jest prototyp IX stopnia gotowości. System kompletny funkcjonalnie, przetestowany i gotowy do wdrożenia Wymagania zdefiniowane przez MON, pokrywające się w większości z dyrektywą NIS Zespół Atende nabył kompetencje w zakresie rozwiązań związanych z bezpieczeństwem IT 22 Warszawa, listopad 2017

Opis rozwiązania (3/4) - funkcjonalności Obsługa cyklu życia elementu infrastruktury: projektowanie, wdrożenie, monitorowanie działania, wycofanie Ewidencja infrastruktury i oprogramowania Monitorowanie infrastruktury pod kątem zgodności z przyjętymi politykami bezpieczeństwa i obecnością podatności; wskazanie oceny ryzyka Import bazy o podatnościach/politykach bezpieczeństwa z systemów zewnętrznych oraz możliwość wprowadzania przez użytkownika 23 Warszawa, listopad 2017

Opis rozwiązania (4/4) funkcjonalności cd Obsługa incydentów Alarmy wynikające z działania agenta Integracja z systemami zewnętrznymi przy użyciu protokołu syslog Integracja z systemem n6 Import/eksport z pomiędzy zewnętrznymi zespołami typu CERT Możliwość wprowadzania przez operatora Podział ze względu na priorytet/wagę; obsługa potencjalnie przez różne zespoły Raportowanie Wizualizacja danych na mapie (integracja OpenStreetMaps) 24 Warszawa, listopad 2017

Zgodność z uznanymi standardami (1/2) System oparty jest o grupę standardów Security Content Automation Protocol (SCAP) rozwijanych przez NIST (USA) Języki: OVAL (Open Vulnerability and Assessment Language) 5.x standard określający format danych bazujący na XML i służący opisywaniu podatności oraz błędów w oprogramowaniu, testów ich występowania i sposobów zapobiegania, oraz raportowaniu o nich XCCDF (Extensible Configuration Checklist Description Format) 1.2 standard określający sposób wyrażania wymagań co do systemu i raportowania wyników oceny zgodności w języku XML OCIL (Open Checklist Interactive Language) 2.0 standard opisu kwestionariuszy, pozwalających na dostosowanie do polityki bezpieczeństwa IODEF (Incident Object Description and Exchange Format) standard przeznaczony do opisu i wymiany informacji o incydentach pomiędzy zespołami CERT/CSIRT nie wchodzi w skład SCAP, ale uzupełnia go 25 Warszawa, listopad 2017

Korzyści Dobrze określony i sprawdzony model danych Możliwość automatycznej wymiany danych o incydentach z zewnętrznymi zespołami CSIRT Możliwość wymiany danych o podatnościach (automatyczny import z zewnętrznych baz podatności) Jednoznaczna identyfikacja podatności i zmiennych konfiguracyjnych (słowniki) Możliwość półautomatycznej weryfikacji podatności spoza obszaru IT, np. bezpieczeństwo fizycznie Agregacja danych z wielu źródeł - raportowanie w jednym miejscu Wykorzystanie powszechnie rozpoznawanej skali ważności dla podatności Możliwość szybkiego rekonfigurowania procesów biznesowych Niski koszt środowiska (wykorzystanie narzędzi opartych o wolne licencje) 26 Warszawa, listopad 2017

Dziękuję za uwagę. 27 Warszawa, listopad 2017