Bezpieczeństwo infrastruktury systemów teleinformatycznych

Podobne dokumenty
Budowa przełączników modularnych. Piotr Głaska Senior Product Manager Enterprise Networking Solutions

Rapid wydzielona, dyspozytorska sieć LTE

epolska XX lat później Daniel Grabski Paweł Walczak

Bezpieczeństwo systemów SCADA oraz AMI

Ochrona biznesu w cyfrowej transformacji

SNP SNP Business Partner Data Checker. Prezentacja produktu

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Efektywna ochrona danych jako skutek wdrożenia systemu Data Loss Prevention Maciej Iwanicki

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Grupa DEKRA w Polsce Cyberbezpieczeństwo. GLOBALNY PARTNER na rzecz BEZPIECZNEGO ŚWIATA 2019 DEKRA

Proces implementacji BIM z perspektywy firmy wdrażającej

Warstwa ozonowa bezpieczeństwo ponad chmurami

Zagadnienia normatywne oraz ich praktyczne implikacje w zakresie stosowania technologii

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Grupa DEKRA w Polsce. ZDROWIE I MEDYCYNA oferta dla BRANŻY MEDYCZNEJ 2017 DEKRA

PLATFORMA COMARCH SECURITY. Rozwiązania Comarch dla bezpiecznego urzędu

ISO w Banku Spółdzielczym - od decyzji do realizacji

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

SNP Business Partner Data Checker. Prezentacja produktu

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Zarządzanie relacjami z dostawcami

Product Design Suite. AutoCAD. Mechanical. Showcase. Autodesk. Autodesk. Designer. SketchBook. Autodesk. Mudbox Vault. Autodesk. Ultimate.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Prezentacja firmy

POLITYKA PRYWATNOŚCI / PRIVACY POLICY

Monitorowanie Bezpieczeństwa Sieci Technologicznej

SERWERY KOMUNIKACYJNE ALCATEL-LUCENT

Instrukcja użytkownika portalu MyDevice

Krajowe Forum Konsultacyjne

Water Stewardship: Zarządzanie gospodarką wodną zapewniające długoterminową rentowność biznesu

Jak skutecznie zarządzać informacją?

Praktyczne korzyści dla Organizacji, Najlepsze praktyki płynące z BS Anti-bribery Management System. Joanna Bańkowska Dyrektor Zarządzający BSI

Interaktywne uwzględnienie potrzeb Klienta w procesie projektowania i ofertowania

Adam Dolega Architekt Rozwiązań Biznesowych Microsoft

Prezentacja Grupy Atende 2017

Zapewnienie bezpieczeństwa w całym cyklu życia aplikacji (czyli dlaczego lepiej zapobiegać chorobom, niż leczyć je w zaawansowanym stadium)

Kompleksowe Przygotowanie do Egzaminu CISMP

Collaborate more. Praca grupowa nad dokumentacją i komunikacja pomiędzy zespołami. Rzecz o mobilnej pracy w administracji publicznej

czynny udział w projektowaniu i implementacji procesów produkcyjnych

Prezentacja Grupy Atende

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

ISO 9000/9001. Jarosław Kuchta Jakość Oprogramowania

Dropbox a RODO Zgodność Wdrażanie RODO

Industry 4.0. Costs. Virtual. Networking. Internet of Things. Electrification Innovation Cyber physical systems

Wdrożenie archiwum ELO w firmie z branży mediowej. Paweł Łesyk

17-18 listopada, Warszawa

Metody ochrony przed zaawansowanymi cyberatakami

Jak aplikacje Infor Food & Beverage ułatwiają spełnienie wymogów certyfikacji bezpieczeństwa żywności i pomagają chronić markę produktu?

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zwiększenie EFEKTYWNOŚCI przedsiębiorstwa - Connected Enterprise

Ustawa o krajowym systemie cyberbezpieczeństwa - ciągłość świadczenia usług kluczowych.

Marzena Kanclerz. Microsoft Channel Executive. Zachowanie ciągłości procesów biznesowych. z Windows Server 2012R2

Platforma Office 2010

Collaborate more. Praca grupowa nad dokumentacją i komunikacja pomiędzy zespołami. Rzecz o mobilnej pracy w administracji publicznej

Fundusze europejskie na projekty informatyzacji w jednostkach samorządu terytorialnego

REKOMENDACJA D Rok PO Rok PRZED

Portfolio produktowe DELL w zastosowaniach systemów GIS

Oblicza konwergentnej infrastruktury czyli przypadki kiedy = 3

Bezpieczeństwo specjalne

Cyber Threat Intelligence (CTI) nowy trend w dziedzinie cyberbezpieczeństwa

Standardy zarządzania jakością dla producentów żywności aktualne zagadnienia. dr inż. Ilona Błaszczyk Politechnika Łódzka

! Retina. Wyłączny dystrybutor w Polsce

Projekt współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego. 1. Cel szkolenia

IATF - International Automotive Task Force Zasady uzyskania i utrzymania uprawnień IATF IATF Zasady, wydanie piąte Zatwierdzone Interpretacje

Informacja o firmie i oferowanych rozwiązaniach

Uzyskaj dostęp do oprogramowania, którego potrzebujesz, w sposób, który wybierzesz

CLOUD ADOPTION PROGRAM

Energia, która napędza Huawei. Sylwester Chojnacki Dyrektor Sprzedaży do Sektora Energetycznego Huawei Enterprise Business Group

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Zarządzanie jakością, środowiskiem oraz bezpieczeństwem w praktyce gospodarczej. Maciej Urbaniak.

Zespół do spraw Transformacji Przemysłowej Departament Innowacji

Usługa: Testowanie wydajności oprogramowania

I. Informacja na temat pięciu najlepszych systemów wykonywania zleceń klienci detaliczni

Definicja, rodzaje chmur obliczeniowych oraz poziomy usług

ANALITYK BEZPIECZEŃSTWA IT

Bezpieczeństwo informacji - działania organizacyjne. Przyszłe wyzwania

Aviation Cyber Security. Cyberbezpieczeństwo w lotnictwie Szkolenie Międzynarodowego Stowarzyszenia Przewoźników Lotniczych IATA

Do wszystkich Wykonawców uczestniczących w postępowaniu

Zasady ochrony danych i prywatności Usługi Przetwarzania w Chmurze IBM

Skuteczne zastosowanie BIM w infrastrukturze i efektywne wykorzystanie narzędzi Autodesk

Leszek Dziubiński Damian Joniec Elżbieta Gęborek. Computer Plus Kraków S.A.

Zarządzanie projektami a zarządzanie ryzykiem

19 kwietnia 2016 O wdrożeniu zarządzania projektami słów kilka. na przykładzie projektu Operational Excellence in Project Management (OPEX PM)

CENTRAL EUROPE PROGRAMME

Bezpieczeństwo aplikacji Czy musi być aż tak źle? OWASP The OWASP Foundation

ROZWÓJ SYSTEMÓW SZTUCZNEJ INTELIGENCJI W PERSPEKTYWIE "PRZEMYSŁ 4.0"

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Model funkcjonowania MPTI

Oferta programu COSME

Total Economic Impact (TEI). Ocena efektywności technologii i projektów IT oczami klientów i użytkowników.

Promotor: dr inż. Krzysztof Różanowski

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Software Asset Management SAM

Collaborate more. Praca grupowa nad dokumentacją i komunikacja pomiędzy zespołami. Rzecz o mobilnej pracy w administracji publicznej

POLITYKA JAKOŚCI I ŚRODOWISKOWA

z kapitałem polskim Zatrudnienie 1 10 osób osób 2,27% osób 11,36% osób osób powyżej osób 20,45% 50,00% 13,64%

Podpis elektroniczny dla firm jako bezpieczna usługa w chmurze. mgr inż. Artur Grygoruk

Globalny monitoring na rzecz środowiska i bezpieczeństwa (GMES) Anna Badurska 12 czerwca 2008

Kradzież danych przez pracowników czy można się przed tym ustrzec? Damian Kowalczyk

Kontrola dostępu do informacji w administracji publicznej

Transkrypt:

Bezpieczeństwo infrastruktury systemów teleinformatycznych Tomasz Piasecki Senior Energy Expert for Global Markets (HQ) email: tomasz.piasecki@huawei.com IV Konferencja Naukowo-Techniczna PTPiREE Pomiary i diagnostyka w sieciach elektroenergetycznych 28-29 maja 2019, Kołobrzeg

Jak powiedzieć o bezpieczeństwie w 15 minut?

Huawei jako globalny dostawca systemów IT/ICT sytuacja wizerunkowa Huawei na świecie i w Polsce konsekwencje napięć USA Chiny jak (od)budować zaufanie klientów?

Otwartość i transparentność trzy metody (od)budowy zaufania*: 1. komunikacja 2. laboratoria bezpieczeństwa 3. testy *uwaga na marginesie opisane działania nie są reakcją na ostatnie kryzysy wizerunkowe, są w praktyce stosowane od co najmniej roku 2010

Cyber Security and Privacy Lab P&S / 2012 Lab Cyber Security Office Supply Chain Cyber Security Office Procurement Cyber Security Office USA CSO UK CSO Canada CSO Australia CSO Germany CSO France CSO Netherlands CSO Wbudowana strategia cyberbezpieczeństwa w każdy aspekt działalności firmy GSPC Ken Hu CEO Ren Zhengfei GSPC zatwierdzanie strategii, planowanie, polityka, mapa drogowa i inwestycje; ustalanie strategicznych priorytetów, audyt. Cyber Security Transparency Center GSPO John Suffolk GSPO Office Internal Cyber Security Lab GSPO Biuro GSPO prowadzenie zespołu do opracowania strategii bezpieczeństwa; wewnętrzne wdrażanie gwarancji cyberbezpieczeństwa; zewnętrzne wsparcie dla GR/PR oraz globalnych klientów. koordynacja szczegółowych operacji; wsparcie strategii i wdrożenia; audyt i monitorowanie wdrożenia. PACD LA MKT REGION CHR BP&IT Audit Carrier Network BG Cyber Security Officer Enterprise BG Cyber Security Officer Consumer BG Cyber Security Officer Region/BG/BU CSOs opracowanie strategii i planowanie cyberbezpieczeństwa regionu/bu/bg oraz prowadzenie wdrożeń; współpraca z GSPO w celu identyfikacji zmian w procesach BG/BU/departamentów, aby zapewnić pełne wdrożenie strategii i wymagań bezpieczeństwa cybernetycznego.

Komunikacja pracownicy R&D zaangażowani w bezpieczeństwo Canada/Finland Security Team Device security technologies Cloud security technologies Emergency response Beijing Security Team Device security technologies Security tools Security certifications 1400 Helsinki Cloud security technologies eksperci bezpieczeństwa z tytułem doktora lub profesora 350 5G: liczba zaakceptowanych zgłoszeń dot. bezpieczeństwa 1 miejsce w świecie 144 Toronto Waterloo North America Security Team Cloud security technologies Security policies and solutions Security certifications Germany Security Team Munich Darmstadt Forward-looking security technology research Shield Lab Cloud security technologies Emergency response Beijing Singapore Shanghai / Hangzhou Shenzhen Shenzhen Security Team Device security technologies Security engineering Device security technologies Security tools Security certifications Hangzhou/Shanghai Security Team Security tools Security standards Huawei zainwestuje w bezpieczeństwo 2 mld USD w ciągu najbliższych 5 lat

Komunikacja Cyberbezpieczeństwo R&D Pięć kluczowych filarów cyberbezpieczeństwa i prywatności Cyberbezpieczeństwo dostaw Cyberbezpieczeństwo usług Cyberbezpieczeństwo HR Zarządzanie i informowanie o lukach bezpieczeństwa aktywny udział w organizacjach normalizacyjnych integracja procesów cyklu życia IPD wykorzystanie najlepszych praktyk w zakresie bezpieczeństwa przemysłowego (OpenSAMM, BSIMM, Microsoft SDL itp.) kontrola całego łańcucha dostaw, począwszy od materiałów przez produkcję, aż po dostawę do klienta globalne zarządzanie logistyką i dostawcami bezpieczeństwo infrastruktury, aplikacji, danych i personelu weryfikacja pod kątem odpowiedzialności kodeks postępowania w zakresie bezpieczeństwa i ochrony prywatności personel o nieposzlakowanej opinii budowanie świadomości odpowiedzialne informowanie o wykrytych lukach terminowa reakcja 2017: Huawei sklasyfikowany w czołowej 8 firm zgodnie z oceną BSIMM 2018: Huawei uzyskuje certyfikat ISO 28000 2017: Huawei uzyskuje certyfikaty ISO 20000 oraz ISO 27001 2018: laboratorium Huawei ICSL uzyskuje certyfikat ISO/IEC 17025 rozwój wiedzy na temat najlepszych praktyk w branży w zakresie zarządzania lukami: CVSS, CPE, CVRF, itp.

Laboratoria bezpieczeństwa Internal Cyber Security Lab (ICSL) powołane w 2010 roku w celu dbania o jakość i bezpieczeństwo produktów ulokowane w kampusie Dongguan na północ od Shenzhen trzykrotnie certyfikowane na zgodność z ISO 17025 prawo veta przy wprowadzaniu produktu na rynek (w ok. 100 przypadkach miało zastosowanie) roczny budżet ok. 9 mln EUR testy black box, white box (testy penetracyjne, analiza kodu źródłowego ) zakres działania: o o o zapoznanie ze strategią i podejściem Huawei do bezpieczeństwa demonstracja narzędzi, metod, procedur udostępnia platformę wykonywania testów: wydzielona i niezależna przestrzeń biurowa, odseparowana sieć, drobiazgowa kontrola dostępu itp. https://www.usine-digitale.fr/article/entre-investissements-et-communications-huawei-essaie-de-rassurer-loccident-au-sujet-de-sa-politique-en-matiere-de-cybersecurite.n833215

Laboratoria bezpieczeństwa European Cyber Security Transparency Centre (ECSTC) powołane w 2019 roku Rue Guimard 9, 1000 Bruxelles centrum komunikacji związanej z bezpieczeństwem kompleksowa platforma wiedzy wykorzystywana w komunikacji zewnętrznej, stosowana do prowadzenia polityki informacyjnej, zacieśniania współpracy i zwiększenia wzajemnego zaufania oraz prezentacji korporacyjnych wartości centrum wystawowe związane z aspektami bezpieczeństwa prezentacja strategii i podejścia Huawei do zagadnień cyberbezpieczeństwa, stosowanych rozwiązań bezpieczeństwa oraz zasobów R&D laboratorium testów bezpieczeństwa udostępnia klientom platformę dostępu do ICSL w celu umożliwienia np. testów typu white box, black box https://www.itproportal.com/news/huawei-launches-european-cybersecurity-centre/

Laboratoria bezpieczeństwa Linie produkcyjne prezentacja aspektów cyberbezpieczeństwa w odniesienia do procesów łańcucha dostaw i produkcji (zapobieganie naruszeniom, weryfikacja integralności, kontrola antywirusowa itd.) w rzeczywistym środowisku linii produkcyjnej Huawei IQC PCBA ICT FT Incoming quality control Printed circuit board assembly In-circuit test Functional test

Laboratoria bezpieczeństwa Współpraca zamiast izolacji: Huawei Cyber Security Evaluation Centre (HCSEC) UK otwarte w 2010 efekt uzgodnień rządu UK i Huawei: zarządzania postrzeganymi ryzykami wynikającymi z zaangażowania Huawei w części krytycznej infrastruktury krajowej w Wielkiej Brytanii. zapewnienie oceny bezpieczeństwa dla szeregu produktów używanych na brytyjskim rynku telekomunikacyjnym jako jedyni wdrożyliśmy taki mechanizm weryfikacji, z którego powstaje publiczny raport procent wykrytych podatności: znacznie poniżej branżowej średniej https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/790270/ HCSEC_OversightBoardReport-2019.pdf

Laboratoria bezpieczeństwa Współpraca zamiast izolacji: Germany-Huawei Cyber Security Innovation Lab otwarte w 2018 efekt uzgodnień rządu Niemiec i Huawei z 2017 roku, które finalnie doprowadziło do podpisania porozumienia o współpracy strona rządowa: zatwierdza i wystawia odpowiednie certyfikaty definiuje wymogi bezpieczeństwa dla nowych technologii Huawei: zapewnia platformę i wsparcie dla prowadzonych badań, weryfikuje i rozwiązuje problemy

Testy udostępniane zasoby: narzędzia i środowisko testowe dokumentacja projektowa kod źródłowy oprogramowania

Testy Huawei zapewnia zasoby dostarcza produkty do badań udostępnia dokumentację Porozumienie (umowa handlowa) klient definiuje wymagania chroni IPR Huawei przeprowadza testy black box lub white box weryfikuje istnienie problemów w raportach innych firm rozwiązuje wszystkie zidentyfikowane problemy w produktach (samodzielnie lub poprzez firmę trzecią) może użyć własnych narzędzi programistycznych musi zgłosić Huawei wszelkie luki lub anomalie wykryte podczas oceny HECSC kod źródłowy jest przechowywany w siedzibie firmy Huawei, klienci mogą przeglądać i testować kod źródłowy zdalnie za pośrednictwem cienkiego klienta na platformie HECSC zapewnia niezbędne szkolenie dotyczące produktu i środowiska

Cyberbezpieczeństwo R&D szczególna rola standardów w produktach: potwierdzenie bezpieczeństwa przez zgodność oferowanych rozwiązań z międzynarodowymi normami publikowanie własnych innowacyjnych specyfikacji jako międzynarodowe standardy

Zgodność ze standardami przykład PLC-IoT szerokopasmowa komunikacja PLC (2-12 MHz) przepływności do 3,47Mbps (basic) / 24,65 Mbps (extended) zastosowanie standardów: specyfikacja Huawei PLC-IoT opublikowana 7 maja 2018 roku jako międzynarodowy standard IEEE 1901.1 algorytmy szyfrujące bazujące na AES-256 (AES opisane jako międzynarodowy standard FIPS-197 od roku 2001) dziedziczenie zaawansowanych mechanizmów bezpieczeństwa z IEEE 1901 (specyfikacja opublikowana 30 grudnia 2010)

Uwagi końcowe stosowanie powszechnie stosowanych komponentów open source / third party może być (słusznie) postrzegane jako ryzyko: przykład: luka w bezpieczeństwie bibliotek OpenSSL [2014] niewiele firm na świecie jest w stanie postępować do tego stopnia otwarcie i transparentnie jak Huawei, by udostępnić do audytu kod źródłowy rozwiązań funkcjonujących w infrastrukturze krytycznej: pytanie#1: czy kraj pochodzenia dostawcy powinien być kluczową przesłanką kwestionującą bezpieczeństwo rozwiązania? pytanie#2: czy najlepszą metodą rozstrzygania wątpliwości nie powinna być możliwość weryfikacji kodu źródłowego (vide: _NSAKEY [1999] )?

Q&A

Thank you. 把数字世界带入每个人 每个家庭 每个组织, 构建万物互联的智能世界 Bring digital to every person, home, and organization for a fully connected, intelligent world. Copyright 2018 Huawei Technologies Co., Ltd. All Rights Reserved. The information in this document may contain predictive statements including, without limitation, statements regarding the future financial and operating results, future product portfolio, new technology, etc. There are a number of factors that could cause actual results and developments to differ materially from those expressed or implied in the predictive statements. Therefore, such information is provided for reference purpose only and constitutes neither an offer nor an acceptance. Huawei may change the information at any time without notice.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres