Wpisz Nazwę Spółki. Grupa Lotos S.A.

Podobne dokumenty
ZARZĄDZANIE KRYZYSOWE PODSTAWOWE POJĘCIA, PODSTAWY PRAWNE

Wdrożenie wymagań ustawy o krajowym systemie cyberbezpieczeństwa jako operator usługi kluczowej - omówienie działań

ZARZĄDZANIE KRYZYSOWE W ŚWIETLE NOWYCH UWARUNKOWAŃ PRAWNYCH

Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa

Miejsce NASK w systemie cyberbezpieczeństwa państwa. Juliusz Brzostek Dyrektor NC Cyber NASK Państwowy Instytut Badawczy

Ustawa o Krajowym Systemie Cyberbezbieczeństwa

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Infrastruktura Krytyczna Miejskiego Przedsiębiorstwa Wodociągów i Kanalizacji w m. st. Warszawie Spółka Akcyjna

- o zmianie ustawy o zarządzaniu kryzysowym.

CYBERBEZPIECZEŃSTWO krytycznej infrastruktury elektroenergetycznej

Kazimierz Kraj. Katedra Bezpieczeństwa Wewnętrznego WSIiZ Rzeszów. Katowice 29 listopada 2013 r.

Ochrona biznesu w cyfrowej transformacji

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

REGULAMIN POWIATOWEGO CENTRUM ZARZĄDZANIA KRYZYSOWEGO W NOWYM SĄCZU

Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata znaczenie i najbliższe działania

System Zarządzania Procesami Bezpieczeństwa - CRIMSON. Warszawa, luty 2017

Reforma ochrony danych osobowych RODO/GDPR

Monitorowanie Bezpieczeństwa Sieci Technologicznej

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP

Rozporządzenie Wykonawcze Komisji (UE) 2018/151

Malware przegląd zagrożeń i środków zaradczych

Metryka dokumentu: RFC-2350 CERT Alior Data wydania pierwszej wersji: wydania kolejnej jego wersji.

31. Organem właściwym w sprawach zarządzania kryzysowego na terenie województwa jest a) wojewoda, b) Marszałek województwa, c) Sejmik województwa.

RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI

Funkcjonowanie KSC oraz plany jego rozwoju. Tomasz Wlaź

Aviation Cyber Security. Cyberbezpieczeństwo w lotnictwie Szkolenie Międzynarodowego Stowarzyszenia Przewoźników Lotniczych IATA

Rozdział I Postanowienia Ogólne

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Analiza ryzyka eksploatacji urządzeń ciśnieniowych wdrażanie metodologii RBI w Grupie LOTOS S.A

NARODOWA PLATFORMA CYBERBEZPIECZEŃ STWA

Opracowano na podstawie ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym Zarządzanie kryzysowe

Ochrona infrastruktury krytycznej a zagrożenia asymetryczne

epolska XX lat później Daniel Grabski Paweł Walczak

Zaufanie i bezpieczeństwo w Europejskiej Agendzie Cyfrowej. Od idei do wdrożenia. Sesja Europejska droga do nowego ładu informacyjnego

Kto zapłaci za cyberbezpieczeństwo przedsiębiorstwa?

ZARZĄDZENIE Nr 99/2014 Starosty Limanowskiego z dnia 30 września 2014 r.

Zdrowe podejście do informacji

DZIENNIK URZĘDOWY. Warszawa, 17 kwietnia 2019 r. Poz. 20. ZARZĄDZENIE Nr 20 MINISTRA GOSPODARKI MORSKIEJ I ŻEGLUGI ŚRÓDLĄDOWEJ 1)

Zarządzanie bezpieczeństwem informacji w urzędach pracy

System Zachowania Ciągłości Funkcjonowania Grupy KDPW Polityka SZCF (wyciąg)

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Warszawa, dnia 13 sierpnia 2018 r. Poz. 1560

Szkolenie otwarte 2016 r.

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

WYTYCZNE WÓJTA - SZEFA OBRONY CYWILNEJ GMINY

Zintegrowany system zarządzania

Jak zorganizować bezpieczeństwo informacji w praktyce. Miłosz Pacocha

REALIZACJA PRZEZ PODMIOTY PAŃSTWOWE ZADAŃ W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP. Wstępne wyniki kontroli przeprowadzonej w 2014 r.

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Cyberbezpieczeństwo w Obiektach Przemysłowych na Przykładzie Instalacji Nuklearnych. Monika Adamczyk III FBST

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

BEZPIECZEŃSTWO CYBERPRZESTRZENI REKOMENDACJE STOWARZYSZENIA EURO-ATLANTYCKIEGO

Audytowane obszary IT

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Zespół do spraw Transformacji Przemysłowej Departament Innowacji

Monitoring stanu zagrożeń dla bezpieczeństwa teleinformatycznego Polski

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia r.

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL

Usprawnienia zarządzania organizacjami (normy zarzadzania)

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów

System Zachowania Ciągłości Funkcjonowania Grupy KDPW

Warunki organizacyjne Zarówno podmiot, który świadczy usługi z zakresu cyberbezpieczeństwa, jak i wewnętrzna struktura operatora

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

USTAWA. z dnia. o krajowym systemie cyberbezpieczeństwa. Rozdział 1. Przepisy ogólne

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Warsztaty FRAME. Sygnatura warsztatu: W1 (W3) Czas trwania: 3 dni

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

REGULAMIN PRACY MIEJSKIEGO ZESPOŁU ZARZĄDZANIA KRYZYSOWEGO MIASTA RADOMIA (MZZK) Rozdział I Postanowienia wstępne

Dr Michał Tanaś(

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

Krajowy System Cyberbezpieczeństwa. Krzysztof Silicki p.o. Dyrektora NASK PIB, Wiceprzewodniczący Rady Zarządzającej ENISA

System Zachowania Ciągłości Funkcjonowania Krajowego Depozytu Papierów Wartościowych S.A. Dokument Główny (wyciąg)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Bezpieczeństwo systemów SCADA oraz AMI

2.3 Jakie procesy zarządzanie bezpieczeństwem i higieną pracy można zidentyfikować i opisać w przedsiębiorstwie?

Projekty realizowane przez CPI MSWiA

Aspekty cyberbezpieczeństwa w jednostkach samorządu terytorialnego

Kodeks Cyfrowy. zakres regulacji / wstępna koncepcja /

SZCZEGÓŁOWY HARMONOGRAM KURSU

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

POWIATOWY PLAN ZARZĄDZANIA KRYZYSOWEGO

Czas na implementację Dyrektywy do porządków prawnych państw członkowskich upływa 9 maja 2018 roku.

Test_zarządzanie kryzysowe

Metody ochrony przed zaawansowanymi cyberatakami

POLITYKA ZARZĄDZANIA RYZYKIEM

Wspólny obszar bezpieczeństwa w wymiarze ponadsektorowym

Bezpieczeństwo Automatyki Przemysłowej w kontekście Infrastruktury Krytycznej

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Zarządzanie łańcuchem dostaw

Trwałość projektów 7 osi PO IG

OT integracja i rozwój czy bezpieczeństwo?

Aktualne i przyszłe rozwiązania prawne w zakresie rozwiązań technicznych stosowanych przy przetwarzaniu danych pomiarowych

OFERTA NA AUDYT ZGODNOŚCI Z REKOMENDACJĄ D WYMAGANĄ PRZEZ KNF

Systemy informatyczne w samorządzie. Łódź, czerwca 2016

Regulacje prawne. Artur Sierszeń

Transkrypt:

Grupa Lotos S.A. Ochrona przed zagrożeniami cybernetycznymi istotnym warunkiem zapewnienia bezpieczeństwa i ciągłości działania w przemyśle petrochemicznym Dr Roman Marzec Dyrektor ds. Bezpieczeństwa i Kontroli Wewnętrznej 1

USTAWA z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych (Dz.U.2016.904 z dnia 2016.06.24) Art. 2. [Definicje] Ilekroć w ustawie jest mowa o: ( ) 4) infrastrukturze krytycznej - należy przez to rozumieć infrastrukturę krytyczną, o której mowa w art. 3 pkt 2 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz. U. z 2013 r. poz. 1166, z 2015 r. poz. 1485 oraz z 2016 r. poz. 266); 2

Infrastruktura krytyczna - należy przez to rozumieć systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców. Infrastruktura krytyczna obejmuje systemy: a) zaopatrzenia w energię, surowce energetyczne i paliwa, b) łączności, c) sieci teleinformatycznych, d) finansowe, e) zaopatrzenia w żywność, f) zaopatrzenia w wodę, g) ochrony zdrowia, h) transportowe, i) ratownicze, j) zapewniające ciągłość działania administracji publicznej, k) produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych; 3

INFSTRAKTURA KRYTYCZNA NA PODSTAWIE NARODOWEGO PROGRAMU OCHRONY INFRASTRUKTURY KRYTYCZNEJ Wpisz Nazwę Spółki 4

Narodowy Program ochrony infrastruktury krytycznej Uchwała nr 210/2015 Rady Ministrów z dnia 2 listopada 2015 r. w sprawie przyjęcia Narodowego Programu Ochrony Infrastruktury Krytycznej z uwzględnieniem Uchwały nr 61/2016 Rady Ministrów z dnia 1 czerwca 2016 r. zmieniającej uchwałę w sprawie przyjęcia Narodowego Programu Ochrony Infrastruktury Krytycznej. 5

6

W Polsce, podobnie jak i w innych krajach, działająca sprawnie i w sposób niezakłócony infrastruktura krytyczna ma coraz większy wpływ na obywateli, struktury administracji i gospodarkę. Administracja i przedsiębiorcy stają się współzależni. Powstaje wspólna infrastruktura realizująca procesy na rzecz obydwu stron. Prowadzi to do uzależnienia się w takim stopniu, że dysfunkcja tej infrastruktury może prowadzić do skutków wykraczających poza granice władającej nią organizacji. 7

Tym samym konieczne staje się uznanie ochrony IK jako procesu ukierunkowanego na ochronę ciągłości świadczenia określonej usługi oraz odtworzenia jej w razie potrzeby. Dlatego, identyfikując te wyzwania, w należy określić zadania mające pomóc w ustaleniu skali współzależności i podjęciu skutecznych działań celem zredukowania ryzyka zakłócenia funkcjonowania IK. 8

ochrona IK zgodnie z art. 3 pkt 3 ustawy o zarządzaniu kryzysowym wszelkie działania zmierzające do zapewnienia funkcjonalności, ciągłości działań i integralności infrastruktury krytycznej w celu zapobiegania zagrożeniom, ryzykom lub słabym punktom oraz ograniczenia i neutralizacji ich skutków oraz szybkiego odtworzenia tej infrastruktury na wypadek awarii, ataków oraz innych zdarzeń zakłócających jej prawidłowe funkcjonowanie, ochrona obowiązkowa ochrona obszarów, obiektów, urządzeń i transportów ważnych dla obronności, interesu gospodarczego państwa, bezpieczeństwa publicznego i innych ważnych interesów państwa prowadzona przez specjalistyczne uzbrojone formacje ochronne lub odpowiednie zabezpieczenie techniczne, zgodnie z przepisami ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz. U. z 2014 r. poz. 1099 oraz z 2015 r. poz. 1505), 9

str. 28/48 Narodowy Program Ochrony Infrastruktury Krytycznej Rys. 4. Proces ochrony IK w cyklu Deminga. Proces ochrony IK w cyklu Deminga.

Model współpracy w zakresie OIK Współpraca w ochronie infrastruktury krytycznej Poziom strategiczny Krajowe forum OIK wspierane przez Systemowe fora OIK, Regionalne fora OIK Poziom operacyjny Mechanizm ochrony OIK Poziom zarządczy Szkolenia konferencje, doradztwo i ćwiczenia

Potencjalne źródła ataków w obszarze cyber Ataki przypadkowe niekierunkowe: - każdy może stać się celem ataku, poprzez wykorzystanie luki lub błędów obsługi oprogramowania uniwersalnego, lecz relatywnie krótki czas rozpoznania celu Ataki kierunkowe: - wykorzystują złożoność całości systemu oraz różnorodność interakcji między elementami, poprzedzone zwykle długim rozpoznaniem obiektu ataku oraz zastosowanych rozwiązań informatycznych 12

Przyczyny Skala, w jakiej działają rozwiązania OT sprzyja napastnikom Niedokładna lub brak separacji stacji roboczych IT/OT Rozproszenie geograficzne obiektów OT bezpieczeństwo fizyczne rozpoczyna łańcuch zaufania, a połączenie obiektów siecią teleinformatyczną sprzyja kompromitacji zdalnej 13

Propozycje rozwiązań budowa kultury bezpieczeństwa Wpisz Nazwę Spółki Potwierdzenie, że środki bezpieczeństwa mają wspólny cel, jakim jest ochrona ludzkiego życia i zdrowia oraz środowiska. Wprowadzenie kultury bezpieczeństwa chemicznego ułatwi spójny i synergiczny rozwój, wdrożenie i zarządzanie wymogami bezpieczeństwa i ochrony, w tym współpracy dwustronnej i wielostronnej. Kultura bezpieczeństwa jest integralną częścią powstawania technologii i zaangażowania, podczas gdy kultura bezpieczeństwa jest opóźnionym rozwojem, opracowanym niedawno w odpowiedzi na nowe zagrożenia zewnętrzne i wewnętrzne. W tym sensie kultura bezpieczeństwa podąża śladami kultury bezpieczeństwa. Kulturę bezpieczeństwa chemicznego można uznać za zbiór przekonań, postaw i wzorców zachowań, które wzmocnią i / lub uzupełnią narzędzia twarde (wyposażenie) i miękkie (zasady i przepisy) w ich misji zmierzającej do osiągnięcia zamierzonych celów bezpieczeństwa. 14

Bezpieczeństwo zakorzenione w kulturze organizacji Kultura bezpieczeństwa chemicznego mogłaby czerpać mocne i słabe strony z ogólnej kultury organizacyjnej na poziomie poszczególnych zakładów chemicznych. Związek między kulturą bezpieczeństwa a ogólną kulturą organizacyjną jest dwukierunkowy, gdzie kultura bezpieczeństwa może znacząco wzmocnić lub osłabić tę organizacyjną. Kompleksowe podejście do lepszego bezpieczeństwa wykracza poza granice tej tezy i wymaga wysiłków w celu rozszerzenia zakresu promocji kultury bezpieczeństwa na wszystkich odpowiednich zewnętrznych interesariuszy. Zagrożenie w fabrykach / obiektach chemicznych jest podobnym wyzwaniem dla cyberbezpieczeństwa, ale konkretne narzędzia potrzebne do radzenia sobie z nim różnią się w każdym z obszarów tychże zagrożeń. 15

Propozycje rozwiązań Inspekcja ruchu sieciowego w punkcie styku z siecią Internet rozwiązania Firewall, relatywnie mało rozwiązań poddających analizie protokoły OT - najczęściej analiza jedynie ruchu w relacji pionowej Rozwiązania ochrony przed zagrożeniami DoS ochrona konkretnego punktu, usługi dedykowane dla popularnych usług sieciowych Rozwiązania gromadzenia i korelacji zdarzeń bezpieczeństwa SIEM - wartością jest prawidłowe wdrożenie przewidywanie znanych zagrożeń 16

Propozycje rozwiązań c.d. Utwardzanie systemów często niedostępne dla rozwiązań OT, w szczególności systemów wbudowanych Rozwiązania Anti-APT - detekcja ukierunkowana na oprogramowanie uniwersalne, Rozwiązania gromadzenia śladu w ruchu sieciowym - problem ograniczonego horyzontu czasowego 17

Punkty sytku Punkty styku przenoszą różnorodne protokoły sieciowe Rozwiązania bezpieczeństwa trudne w zarządzaniu, w szczególności pomiędzy podmiotami, wzajemne uwierzytelnianie stron, uwierzytelnianie wieloskładnikowe oraz uprawnienia nadawane przyrostowo Wykorzystywanie ruchu szyfrowanego utrudnia, co inspekcję oraz detekcję anomalii 18

Trudności z zabezpieczeniem styku Większość systemów bezpieczeństwa opartych o rozwiązania sygnaturowe - zasadnicza trudność detekcji zagrożeń o charakterze APT(ang. Advanced Persistent Threats) Duża zróżnicowanie uprawnień Problem zasilenia systemów wartościowymi informacjami Problem fałszywych alarmów Problem dzielenia się wiedzą/doświadczeniami 19

Nowe rozwiązania Istniejące rozwiązania bezpieczeństwa posiadają ograniczone wsparcie dla protokołów OT W wielu przypadkach stosowane są jedynie mechanizmy sygnaturowe do detekcji zagrożeń Standardy komunikacyjne dla systemów OT zakładają wdrożenie mechanizmów bezpieczeństwa zróżnicowane zależnie od obszaru Rodzina standardów IEC 62351 w przypadku rozwiązań SCADA Szereg mechanizmów bezpieczeństwa jest wdrażanych z dużym opóźnieniem ze względu na charakter funkcjonowania (24/7/365) oraz skalę rozwiązań wybudowanie infrastruktury laboratoryjnej Symulowanie sieci technologicznej Symulowanie punktu styku z sieciami IT Możliwość analizy współczesnych zagrożeń związanych z systemami IT 20

Rozwiązania realizowane przez GL LOTOS S.A. bieżące i perspektywiczne Budowa Soc perspektywa CERT Współpraca z NASK Współpraca z www.cert.gov.pl Współpraca z RCB Współpraca z ICCSS audyt stanu bezpieczeństwa w obszarze cyber 21

Ustawa o krajowym systemie cyberbezpieczeństwa 28 sierpnia br. weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa, wdrażająca wymagania europejskiej dyrektywy NIS. Do 09.11.2018 powstanie rejestr operatorów usług kluczowych. Ustawa narzucać będzie pewne obowiązki na tego typu podmioty w określonych ramach czasowych. 22

W terminie trzech miesięcy operatorzy usług kluczowych będą musieli: powołać wewnętrzne struktury do zarządzania cyberbezpieczeństwem (ew. wsparte usługami zewnętrznymi na podstawie podpisanych umów outsourcingowych), W Grupie LOTOS S.A. powołano zespół ds. bezpieczeństwa informatycznego, wspierany przez firmę zewnętrzną, uruchomiono program poprawy Cyberbezpieczeństwa w ramach, którego wypracowana zostanie koncepcja Centrum Monitorowania Bezpieczeństwa pracującego w trybie 24/7/365, wdrożyć program systematycznej analizy ryzyka i zarządzania ryzykiem, (mamy na poziomie Grupy) 23

uruchomić sprawnie funkcjonujący proces zarządzania incydentami bezpieczeństwa, pozwalający m.in. na zgłaszanie poważnych incydentów do krajowego zespołu CSIRT w czasie nieprzekraczającym 24 godzin od ich wykrycia, wyznaczyć osobę odpowiedzialną za kontakty z podmiotami krajowego systemu cyberbezpieczeństwa, wdrożyć program edukacji użytkowników usługi kluczowej w zakresie cyberbezpieczeństwa Termin 24 godzin na zgłoszenie incydentu wymaga bardzo sprawnie działającego procesu zarządzania incydentami. W celu odpowiednio szybkiej klasyfikacji takiego incydentu, konieczny jest uporządkowany i dobrze zorganizowany proces jego analizy. Warto pamiętać, że każdorazowy brak terminowej notyfikacji może wiązać się z karami finansowymi (do 20 tys. zł). 24

W terminie do sześciu miesięcy operatorzy usług kluczowych muszą: wdrożyć zabezpieczenia proporcjonalne do oszacowanego ryzyka, obejmujące m.in. wdrożenie planów ciągłości działania, czy objęcie systemów informatycznych monitorowaniem w trybie ciągłym, uruchomić sprawny proces zarządzania podatnościami i gromadzenia wiedzy na temat cyberzagrożeń, opracować i zapewnić aktualność dokumentacji dotyczącej cyberbezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usługi kluczowej. (w rozporządzeniach wykonawczych, które nie weszły jeszcze w życie jest nawiązanie do dokumentacji wymaganej przez ISO 27001) Po uporządkowaniu wszystkiego trzeba będzie przeprowadzić w terminie jednego roku zewnętrzny audyt bezpieczeństwa. Później audyty będą musiały być realizowane co dwa lata. Brak wywiązania się z tego obowiązku może kosztować operatora usługi kluczowej 200 tys. zł. 25

Dziękuję za uwagę

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres