Bezpečnost IT - od technologie k procesům

Bezpečnost IT - od technologie k procesům Konference e-government 20:10, Mikulov Filip Jasz, 9. 9. 2014

© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Agenda 

Úvod



Zákon o kybernetické bezpečnosti a (nejen) jeho dopady



Řešení pro pokrytí požadavků zákona

2

© Copyright 2014 Hewlett-Packard Development Company, L.P.reserved. The information containedare herein is subject to change without notice. of their respective owners. Copyright © 2013 HP Autonomy. All rights Other trademarks registered trademarks and the properties

Možné přístupy k řešení bezpečnosti • Systematický, proaktivní • • • • • •

Analýza rizik a hrozeb Návrhy a sestavení procesů, postupů Definice odpovědností Doporučení na zlepšení – co, kde a jak řešit Spuštění a provedení projektů na zlepšení Trvalý monitoring a trvalé zlepšování bezpečnosti firmy

• Ad-hoc, jednorázový • • •

• Kombinace obou • •

3

Potřeba rychle změnit stávající stav Zpravidla po bezpečnostním incidentu Rychlá reakce, spuštění projektu na vyřešení známého problému

Rychlé spuštění projektu na vyřešení akutního problému Zahájení systematického přístupu analýzou, procesy, odpovědnosti


Doporučení HP – kombinace obou přístupů • Rychlé spuštění projektu na vyřešení známého problému • Zahájení systematického přístupu • • • • • • •

4

ITSM – IT Security management na bázi ISO 27001:2005-2013 Řídící orgány bezpečnosti, odpovědnosti Procesy a postupy, bezpečnostní incident, životní cyklus BI Analýza rizik, vyhodnocení dopadů Návrh postupu na zlepšení stavu – možná řešení (alternativy) Posouzení výhodnosti jednotlivých variant Detailní návrh projektů k řešení


Agenda 

Úvod



Zákon o kybernetické bezpečnosti a (nejen) jeho dopady Řešení pro pokrytí požadavků zákona



5

© Copyright 2014 Hewlett-Packard Development Company, L.P.reserved. The information containedare herein is subject to change without notice. of their respective owners. Copyright © 2013 HP Autonomy. All rights Other trademarks registered trademarks and the properties

Historie Zákona o kybernetické bezpečnosti Legislativní opatření v oblasti kybernetické bezpečnosti • Vláda ČR říjnu 2011 schválila usnesení č. 781 a ustanovila NBÚ gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast. • Není o kybernetické kriminalitě či terorismu. • Na základě přijatého usnesení vzniklo Národní centrum kybernetické bezpečnosti (NCKB), jako součást Národního bezpečnostního úřadu, se sídlem v Brně. • Schválen věcný záměr zákona o kybernetické bezpečnosti – březen 2012. • Zpracováno paragrafové znění – Q1 2013. • ZKB schválen a vyšel ve Sbírce zákonů v srpnu 2014 pod číslem 181/2014 Sb. 6


Významné informační systémy Významnými informačními systémy jsou informační systémy: •

•

•

které slouží k výkonu činnosti prvku kritické infrastruktury určeného na základě odvětvových kritérií v odvětví veřejná správa a které nejsou kritickou informační infrastrukturou, které jsou nezbytné pro výkon rozhodujících činností orgánu veřejné moci, zejména zajišťování klíčových správních agend a centrální funkce IS celostátního nebo regionálního významu, u kterých ohrožení nebo omezení činnosti má negativní dopad 1. na poskytování služeb (a informací) obyvatelstvu, 2. na životní prostředí 3. na hospodaření orgánu veřejné moci 4. na fungování jiných informačních systémů, nebo 5. na veřejné zájmy, dobré jméno nebo dobrou pověst

7


Významné informační systémy Mezi VIS rozhodně patří: •

Základní registry

•

Datové schránky

•

Portál veřejné správy

•

agendové informační systémy, jejichž prostřednictvím editoři zapisují referenční údaje do základních registrů

•

evidence Rejstříku trestů, centrální registr silničních vozidel, centrální

registr

řidičů,

registr

pojištěnců

zdravotního pojištění, ... 8


všeobecného

Zákon o kybernetické bezpečnosti Časování. Máme dost času? Zákon do sněmovny

Zákon platný

březen 2013

Příprava zadání

9

První kontrola

Zákon účinný

srpen 2014

1.1. 2015 2015

Veřejná soutěž

Implementace


1.1.2016

Agenda 

Úvod



Zákon o kybernetické bezpečnosti a (nejen) jeho dopady



Řešení pro pokrytí požadavků zákona

Development Company, L.P.reserved. The information containedare herein is subject to change without notice. of their respective owners. Copyright © 2013 HP Autonomy. All rights Other trademarks registered trademarks and the properties 10 © Copyright 2014 Hewlett-Packard

Dopady Zákona o kybernetické bezpečnosti Co musím dělat, abych byl v souladu se zákonem?

• Mít implementovánu zákonem požadovanou úroveň bezpečnosti • Mít schopnost detekovat definované incidenty • Umět podávat hlášení na NCKB • Umět přijímat požadavky na protiopatření • Umět protiopatření zavést

11 © Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Dopady Zákona o kybernetické bezpečnosti Co musím dělat, abych byl v souladu se zákonem?

• Mít implementovánu zákonem požadovanou úroveň bezpečnosti • Mít schopnost detekovat definované incidenty • Umět podávat hlášení na NCKB • Umět přijímat požadavky na protiopatření • Umět protiopatření zavést Opatření a protiopatření

Vyhodnocení

Komunikační rozhraní


HP řešení pro informační bezpečnost Portfolio produktů (výběr)


HP řešení pro informační bezpečnost Portfolio produktů (výběr) HP ArcSight •

skupina produktů pro správu, zpracování a archivaci událostí

HP TippingPoint •

síťové IPS systémy

HP Fortify & WebInspect •

rodina produktů pro bezpečnostní testování aplikací


HP řešení pro informační bezpečnost Portfolio produktů (výběr) HP ArcSight •

skupina produktů pro správu, zpracování a archivaci událostí

HP TippingPoint •

síťové IPS systémy

HP Enterprise View •

systém pro výpočet rizik

HP Fortify & WebInspect •

rodina produktů pro bezpečnostní testování aplikací


HP řešení pro informační bezpečnost Portfolio služeb (výběr) • HP má schopnosti a zkušenosti ve zhodnocení stavu připravenosti IT na požadavky Zákona o kybernetické bezpečnosti • HP umí řešit navazující problematiku jak procesně, tak produktově • HP má široké portfolio v oblasti implementace vlastních bezpečnostních produktů pro pokrytí požadavků zákona o kybernetické bezpečnosti – ArcSight, TippingPoint, Fortify, Webinspect, Dataprotector, CVAS • HP disponuje certifikovanými odborníky a jasnou představou řešení 13 © Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

HP řešení pro informační bezpečnost

Analýza za účelem zavedení ISO 27001

Procesní Aplikační

Bezpečnostní testování Datová Management Informací a událostí (SIEM)

Hardwarová Řešení prevence útoků (IPS)


Komunikační

infrastruktura

Analýza stávajícího stavu a návrh opatření

Děkuji za pozornost


Bezpečnost IT - od technologie k procesům

Recommend Documents