NARODOWA PLATFORMA CYBERBEZPIECZEŃ STWA

Podobne dokumenty
Ustawa o Krajowym Systemie Cyberbezbieczeństwa

Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Krajowy System Cyberbezpieczeństwa. Krzysztof Silicki p.o. Dyrektora NASK PIB, Wiceprzewodniczący Rady Zarządzającej ENISA

Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa

Warszawa, dnia 13 sierpnia 2018 r. Poz. 1560

Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata znaczenie i najbliższe działania

Miejsce NASK w systemie cyberbezpieczeństwa państwa. Juliusz Brzostek Dyrektor NC Cyber NASK Państwowy Instytut Badawczy

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

USTAWA. z dnia. o krajowym systemie cyberbezpieczeństwa. Rozdział 1. Przepisy ogólne

Ustawa o krajowym systemie cyberbezpieczeństwa - ciągłość świadczenia usług kluczowych.

DZIENNIK URZĘDOWY. Warszawa, 17 kwietnia 2019 r. Poz. 20. ZARZĄDZENIE Nr 20 MINISTRA GOSPODARKI MORSKIEJ I ŻEGLUGI ŚRÓDLĄDOWEJ 1)

Funkcjonowanie KSC oraz plany jego rozwoju. Tomasz Wlaź

Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa.

z dnia. o krajowym systemie cyberbezpieczeństwa

Rozporządzenie Wykonawcze Komisji (UE) 2018/151

Kto zapłaci za cyberbezpieczeństwo przedsiębiorstwa?

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP

Reforma ochrony danych osobowych RODO/GDPR

Wpisz Nazwę Spółki. Grupa Lotos S.A.

Warunki organizacyjne Zarówno podmiot, który świadczy usługi z zakresu cyberbezpieczeństwa, jak i wewnętrzna struktura operatora

Polityka Ochrony Cyberprzestrzeni RP

Czas na implementację Dyrektywy do porządków prawnych państw członkowskich upływa 9 maja 2018 roku.

SZCZEGÓŁOWY HARMONOGRAM KURSU

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

PRZEDSIĘWZIĘCIA MORSKIE W KRAJOWYM PROGRAMIE KOSMICZNYM

Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa.

Asseco dla Zdrowia r.

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Analiza Ustawa o krajowym systemie cyberbezpieczeństwa 27 sierpnia 2018

Welcome. to Space4GDPR. Platforma Space4GDPR jest narzędziem dedykowanym. do sprawnego zarządzania ochroną danych osobowych

Budowanie kompetencji cyberbezpieczeństwa w administracji

Monitoring stanu zagrożeń dla bezpieczeństwa teleinformatycznego Polski

z dnia. o krajowym systemie cyberbezpieczeństwa 1) Rozdział 1 Przepisy ogólne

Dyrektywa NIS i jej znaczenie dla cyberbezpieczeństwa

Ochrona biznesu w cyfrowej transformacji

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Zadania PCSS w Polskiej Platformie Bezpieczeństwa Wewnętrznego

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia r.

Bezpieczeństwo systemów SCADA oraz AMI

Program ochrony cyberprzestrzeni RP założenia

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Ustawa o krajowym systemie cyberbezpieczeństwa

Opis przedmiotu zamówienia

Wpływ nowych regulacji prawnych na dopuszczalność outsourcingu procesów biznesowych.

HELIOS - Integracja rejestrów publicznych z wykorzystaniem Krajowej Szyny Usług

Ochrona danych osobowych w biurach rachunkowych

Zintegrowana Platforma Identyfikacji i Weryfikacji Zjawisk Przestępczości Ubezpieczeniowej: Funkcjonalności i korzyści dla Zakładów Ubezpieczeń

Tytuł prezentacji. Naukowa i Akademicka Sieć Komputerowa Transgraniczny Węzeł eidas Commonsign październik 2016 r. WIEDZA I TECHNOLOGIA

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

z dnia 2017 r. w sprawie funkcjonowania schematu płatniczego

Maciej Byczkowski ENSI 2017 ENSI 2017

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Szkolenie otwarte 2016 r.

Uchwała wchodzi w życie z dniem uchwalenia.

Projekty realizowane przez CPI MSWiA

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Zarządzanie informacją i wiedzą w usługach o podwyŝszonym poziomie bezpieczeństwa. Poznań,

Stan przygotowania i wdrożenia P1, P2, P4 oraz projekty w nowej perspektywie finansowej UE

Wiarygodna elektroniczna dokumentacja medyczna dr inż. Kajetan Wojsyk

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Cybersecurity Forum 2018 SPOTKANIE MENADŻERÓW CYBERBEZPIECZEŃSTWA

ZARZĄDZENIE Nr 14 /2013. w sprawie przeprowadzenia samooceny kontroli zarządczej

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

REALIZACJA PRZEZ PODMIOTY PAŃSTWOWE ZADAŃ W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP. Wstępne wyniki kontroli przeprowadzonej w 2014 r.

Rekomendacje Stowarzyszenia Euro-Atlantyckiego dotyczące cyberprzestrzeni RP

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Regulamin zarządzania ryzykiem. Założenia ogólne

Kodeks Cyfrowy. zakres regulacji / wstępna koncepcja /

OFERTA NA AUDYT ZGODNOŚCI Z REKOMENDACJĄ D WYMAGANĄ PRZEZ KNF

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

System kontroli wewnętrznej w Łużyckim Banku Spółdzielczym w Lubaniu będącym uczestnikiem Spółdzielni Systemu Ochrony Zrzeszenia BPS

STRATEGICZNE MYŚLENIE - WYKORZYSTANIU NARZĘDZI IT KONTROLA ZARZĄDCZA PRZY. Szczyrk, 2-3 czerwiec 2016

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

Bezpieczeństwo Automatyki Przemysłowej w kontekście Infrastruktury Krytycznej

SYSTEM WYMIANY INFORMACJI BEZPIECZEŃSTWA ŻEGLUGI (SWIBŻ)

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

Promotor: dr inż. Krzysztof Różanowski

SYSTEM KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W LUBARTOWIE

Kwestionariusz samooceny kontroli zarządczej

Praktyczne aspekty wdrożenia RODO Data Protection Impact Assessment (DPIA)

risk AB ZARZĄDZANIE RYZYKIEM OPERACYJNYM Dodatkowe możliwości programu: RYZYKO BRAKU ZGODNOŚCI PRALNIA

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

USTAWA O KRAJOWYM SYSTEMIE CYBERBEZPIECZEŃSTWA

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

Robert Meller, Nowoczesny audyt wewnętrzny

Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni RP

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

Założenia i stan realizacji projektu epuap2

System kontroli wewnętrznej w Banku Spółdzielczym w Jordanowie

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Krzywdzie

Zarządzanie informacją i wiedzą w usługach o podwyŝszonym poziomie bezpieczeństwa. Maciej Stroiński stroins@man.poznan.pl

Zarządzenie Nr 38/2015 Wójta Gminy Michałowice z dnia 24 lutego 2015 roku w sprawie ustalenia wytycznych kontroli zarządczej.

Inicjatywy MZ w zakresie informatyzacji, terminy ustawowe, projekty CSIOZ, Projekty NFZ, rejestry medyczne

Transkrypt:

Ń STWA

WYZWAIA

Kontekst krajowy i międzynarodowy wyzwania 3 Dyrektywa Rady 2008/114/WE w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dyrektywa IS) Ustawa o ochronie danych osobowych (RODO) US Department of Homeland Security: ational Infrastructure Protection Plan

Ustawa o Krajowym Systemie Cyberbezpieczeństwa 4 28 SIERPIA 2018 Ustawa wprowadzająca nowe pojęcia, obowiązki, zasady działania: Operator kluczowych usług (ESP essential service providers) jest podmiot, który dostarcza kluczowe usługi w danym sektorze, usługi zależne od sieci teleinformatycznych. Pojęcie kluczowych usług (tzw. essential services) oznacza usługi, które są niezbędne do zapewnienia kluczowych funkcji społecznych i ekonomicznych kraju w różnych sektorach gospodarki. Dostawcą usług cyfrowych (DSP digital service providers) jest podmiot, który świadczy usługę cyfrową, czyli taką, która jest realizowana na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług, oraz która jest klasyfikowana jako internetowa platforma handlowa, wyszukiwarka internetowa lub usługa przetwarzania w chmurze. Progów istotności skutku zakłócającego określone w Rozporządzeniu Rady Ministrów w sprawie progów uznania incydentu za poważny.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa 5 28 SIERPIA 2018 Ustawa ma na celu i obejmuje: Art. 3. 1. Krajowy system cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów. Art. 4. Krajowy system cyberbezpieczeństwa obejmuje m.in. operatorów usług kluczowych i dostawców usług cyfrowych; CSIRT MO; CSIRT ASK; CSIRT GOV; organy publiczne oraz jednostki je obsługujące w tym : jednostki sektora finansów publicznych spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej sądy i trybunały; arodowy Bank Polski; Bank Gospodarstwa Krajowego Rządowe Centrum Bezpieczeństwa

Ustawa o Krajowym Systemie Cyberbezpieczeństwa Obowiązki podmiotów wg ustawy o KSC: W terminie 3 m-cy operatorzy usług kluczowych będą musieli: powołać wewnętrzne struktury do zarządzania cyberbezpieczeństwem (ew. wsparte usługami zewnętrznymi na podstawie podpisanych umów outsourcingowych), wdrożyć program systematycznej analizy ryzyka i zarządzania ryzykiem, uruchomić sprawnie funkcjonujący proces zarządzania incydentami bezpieczeństwa, pozwalający m.in. na zgłaszanie poważnych incydentów do krajowego zespołu CSIRT w czasie nieprzekraczającym 24 godzin od ich wykrycia, wyznaczyć osobę odpowiedzialną za kontakty z podmiotami krajowego systemu cyberbezpieczeństwa, wdrożyć program edukacji użytkowników usługi kluczowej w zakresie cyberbezpieczeństwa. 6 W terminie do 6-ciu miesięcy operatorzy usług kluczowych muszą: wdrożyć zabezpieczenia proporcjonalne do oszacowanego ryzyka, obejmujące m.in. wdrożenie planów ciągłości działania, czy objęcie systemów informatycznych monitorowaniem w trybie ciągłym, uruchomić sprawny proces zarządzania podatnościami i gromadzenia wiedzy na temat cyberzagrożeń, opracować i zapewnić aktualność dokumentacji dotyczącej cyberbezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usługi kluczowej. W terminie 1roku przeprowadzenie zewnętrznego audytu bezpieczeństwa. Później audyty co 2 lata.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa I Rozporządzenia już opublikowane 7 17 Września 2018 Rozporządzenie Ministra Cyfryzacji w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo 21 Września 2018 26 Września 2018 Rozporządzenia Rady Ministrów w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych Rozporządzenia Ministra Cyfryzacji w sprawie kryteriów uznania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług 18 Października 2018 Rozporządzenie Ministra Cyfryzacji w sprawie wykazu certyfikatów uprawniających do przeprowadzania audytu

Architektura Krajowego Systemu Cyberbezpieczeństwa WSPÓŁPRACA MIĘDZY SIEĆ CSIRT GRUPY WSPÓŁPRACY PREZES RADY MIISTRÓW KOLEGIUM DS. ŃSTWA PEŁOMOCIK DS. ŃSTWA POJEDYŃCZY PUKT KOTAKTOWY SEKTORY BAKI / Finanse ORGAY WŁAŚCIWE MF POLICJA PROKURATURA ZESPOŁY CSIRT POZIOMU KRAJOWEGO CSIRT MO CSIRT ABW CSIRT ASK EERGIA IF. CYFRFOWA + DUC TRASPORT ZDROWIE ME MC MliB + MGMiŻŚ MZ WODO- KAALIZACYJY MŚ OBYWATELE SEKTOROWE ZESPOŁY REAGOWAIA PODMIOTY ŚWIADCZĄCE USŁUGI ŃSTWA SEKTOR TELKO ADMIISTRACJA PUBLICZA UKE MS

Krajowy System Cyberbezpieczeństwa widziany RCB ZESPOŁY CSIRT POZIOMU KRAJOWEGO Policja CSIRT MO CSIRT GOV CSIRT ASK Prokuratura Pojedynczy Punkt Kontaktu SEKTOROWE CETRUM CYBER SEKTOROWE CETRUM CYBER SEKTOROWE CETRUM CYBER Operatorzy Usług Podmioty Kluczowych Usług Kluczowych Podmioty Usług Kluczowych Dostawcy Usług Dostawcy Dostawcy CyfrowychUsług Cyfrowych Spółki Użyteczności publicznej Spółki Użyteczności Publicznej Spółki Użyteczności Publicznej Organy Publiczne Organy Publiczne Organy Publiczne BP BGK Podmioty Wspomagające Usługi Kluczowe Podmioty Wspomagające Usługi Cyfrowe Podmioty Wspomagające Jednostki Sektora Publicznego Inne Podmioty Wspomagające Społeczeństwo RP

PC

Zakres projektu PC 11 Projekt badawczo - rozwojowy, którego celem jest zbudowanie prototypu zintegrowanego systemu monitorowania, obrazowania i ostrzegania o zagrożeniach w cyberprzestrzeni państwa. KOSORCJUM REALIZUJĄCE PROJEKT: Termin realizacji: 01.09.2017 31.08.2020 Rozwiązanie będzie miało za zadanie min.: zapobieganie, wykrywanie oraz minimalizowanie skutków incydentów naruszających bezpieczeństwo systemów teleinformatycznych istotnych dla funkcjonowania Państwa, stworzenie warunków do współdzielenia się wiedzą o zagrożeniach z państwami UE. ISTYTUCJA FIASUJĄCA:

Główne cele projektu PC 12 01 02 03 budowa prototypu zintegrowanego system monitorowania, obrazowania i ostrzegania o zagrożeniach w cyberprzestrzeni Państwa opracowanie mechanizmów integracji systemów ochrony stosowanych w różnych instytucjach i sektorach infrastruktury krytycznej z PC zapewnienie informacji o stanie bezpieczeństwa w cyberprzestrzeni w Polsce: o bezpieczne udostępnianie informacji o zagrożeniach i podatnościach o tworzenie obrazu sytuacyjnego na poziomie państwa ocena występujących zagrożeń i ich potencjalnych skutków reagowanie na incydenty komputerowe na poziomie krajowym

Praktyczne rezultaty projektu PC 13 Prototyp interaktywnego systemu monitorowania, obrazowania i ostrzegania o zagrożeniach interfejs operatora z wielowymiarowym obrazowaniem zjawisk występujących w przestrzeni cybernetycznej, uwzględniający różnorodność typów informacji, przynależność sektorową i geograficzną, stopień krytyczności zagrożeń Metody dynamicznej i statycznej analizy ryzyka metody i narzędzia korelacji zdarzeń, analizy sytuacyjnej Ekspercki system wspomagania decyzji identyfikacji kluczowych usług oraz zależności między usługami i podmiotami w kluczowych sektorach arzędzia detekcji podatności i zagrożeń dla sieci teleinformatycznych, środowiska IoT i systemów automatyki przemysłowej

Model połączeń z Platformą PC 14 CETRUM OPERACYJE UCZESTICY PLATFORMY SIEĆ WYMIAY IFORMACJI

Model współpracy z Uczestnikami Platformy 15

Architektura Platformy PC Centrum Operacyjne 16 Monitorowanie i przetwarzanie informacji o zdarzeniach bezpieczeństwa w cyberprzestrzeni Uczestników Analiza i symulacja propagacji ryzyka Ostrzeganie o zagrożeniach i ryzykach Wizualizacja zagregowanych informacji na poziomie państwa/sektora Analiza jakościowa i ilościowa zdarzeń bezpieczeństwa Integracja informacji z różnych źródeł informacje o podatnościach, IoC, incydentach, obserwacjach

Architektura Platformy PC System Brzegowy Uczestnika Platformy Udostępnienie Uczestnikowi API do integracji PC z systemami Uczestnika 17 Udostępnienie GUI do interakcji z systemem PC Udostępnienie wybranych zasobów informacyjnych Centrum Operacyjnego Monitorowanie i rejestrowanie aktywności Użytkowników Platformy Zapewnienie rozliczalności i niezaprzeczalności wymienianych informacji

Korzyści z wdrożenia PC dla Uczestnika Platformy 01 automatyczny mechanizm wymiany informacji o ryzykach, podatnościach pomiędzy uczestnikami a PC 18 02 03 mechanizmy wymiany informacji zapewniające podmiotom uczestniczącym ochronę interesów, tajemnicy przedsiębiorstwa, ochronę wizerunku oraz innych ważnych wartości integracja informacji o podatnościach z wielu źródeł - szacowanie ryzyka i identyfikacja urządzeń, systemów wymagających natychmiastowych działań 04 informacja o stwierdzonych podatnościach do wszystkich uczestników. System raportowania o istotnych incydentach naruszających bezpieczeństwo teleinformatyczne

Korzyści z wdrożenia PC dla Uczestnika Platformy 19 05 06 07 spójna metodyka określająca wymogi bezpieczeństwa teleinformatycznego dla wyznaczonych sektorów wielowymiarowe obrazowanie zjawisk występujących w cyberprzestrzeni graf/mapa powiązań, zależności usług kluczowych w poszczególnych sektorach, obszarach geograficznych ich odziaływanie rozwiązanie, budujące świadomość sytuacji cyberprzestrzeni Uczestnika

Architektura Platformy PC przyjęte założenia 20 Modularność Skalowalność Rozliczalność działań użytkowników Jednolita skala czasu Wysoka dostępność Monitorowanie pracy Kontrola dostępu Uniwersalna architektura systemów funkcjonalnych Bezpieczeństwo komunikacji i danych Adaptowalność do wymogów wynikających z Ustawy o KSC Scentralizowane zarządzanie

Kamienie milowe projektu 21 Architektura PC PROJEKT WYKOAWCZY npc-et EKSPERCKI SYSTEM WSPOMAGAIA DECYZJI IMPLEMETACJA KOMPOETÓW CETRUM OPERACYJEGO, SYSTEMU BRZEGOWEGO UCZESTIKA PLATFORMY 1Q/2018 1Q/2019 3Q/2018 4Q/2018 Opracowanie dokumentacji Instalacja i weryfikacja Instalacja i powykonawczej, PC na platformie weryfikacja PC w procedur badawczej środowisku operacyjnych oraz operacyjnym wytycznych w 2Q/2019 zakresie pełnego wdrożenia i dalszego 2Q/2020 rozwoju PC 3Q/2020

A w PRAKTYCE

Ankieta do identyfikacji kluczowych usług, powiązań miedzy usługami, podmiotami, sektorami 23

Moduł ankietowania Funkcjonalność modułu 24 Identyfikacja zależności między usługami kluczowymi, podmiotami, sektorami Zebranie danych do budowy grafu powiązań Zbieranie danych do analizy ryzyka Danych do wyznaczania poziomu krytyczności Danych do analiz symulacyjnych WHAT IF

Metody i mechanizmy oceny ryzyka 25 Ryzyko całkowite sektora suma ważona ryzyka wszystkich usług w sektorze, gdzie wagami są znormalizowane wartości krytyczności zagregowanej. k R c S = i i ω A,S U R i i c ω A,S ~ K A i Ryzyko całkowite dla cyberprzestrzeni suma ważona ryzyka wszystkich usług, gdzie wagami są znormalizowane wartości krytyczności zagregowanej. k R c CS = i i ω A,CS U R i i c ω A,CS ~ K A i

Wizualizacja grafu powiązań 26

Usługa Gromadzenia i Udostępniania Danych e-usługa Rejestry Rejestry Centralne / Rejestry Branżowe Pozyskiwanie Gromadzenie Przetwarzanie Udostępnianie Aplikacja 1 Aplikacja 2 Aplikacja 3 Aplikacja 4 Aplikacja 5 Systemy Wspomagania Decyzji Bazy Danych Serwery Sieć WA Sieć LA Data Center

Podsumowanie 28 01 02 Pojęcia: UKSC / usługi kluczowe / operatorzy usług kluczowych / usługi cyfrowe / dostawcy usług cyfrowych Obowiązki wg U KSCW do 3 m-cy : struktury do cyber. / analizy ryzyka i zarządz. ryzykiem / proces zarządzania incydentami bezpieczeństwa (zgłosz. poważnych incydentów do krajowego CSIRT w czasie do 24h) / osoba odpowiedzialna za kontakty z podmiotami krajowego systemu, wdrożenie programu edukacji użytkowników usługi kluczowej w zakresie cyberbezpieczeństwa, do 6-ciu miesięcy operatorzy usług kluczowych muszą: zabezpieczenia proporcjonalne do oszacowanego ryzyka, plany ciągłości działania, monitorowaniem w trybie ciągłym, proces zarządzania podatnościami i gromadzenia wiedzy na temat cyberzagrożeń, dokumentacja zasobów teleinformatycznych wykorzystywanych do świadczenia usługi kluczowej. 03 Projekt PC (arodowa Platforma Cyberbezpieczeństwa) : analiza i mapa powiązań między usługami / metoda analizy ryzyka (statycznego/dynamicznego) / wymiana informacji o ryzykach i podatnościach / prototyp interaktywnego systemu monitorowania, obrazowania i ostrzegania o zagrożeniach

Dziękuję za Uwagę Ń STWA krzysztof.biniek@nask.pl (48) 602 415 570