CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe
Ing. Aleš Špidla Ředitel odboru bezpečnostní politiky MPSV Člen rady Českého institutu manažerů informační bezpečnosti
[email protected],
[email protected]
Okruhy
Prováděcí předpis – velmi stručně
Jak a kde začít Jak neskončit
Prováděcí předpis k zákonu o kybernetické bezpečnosti ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací (ISMS) Řízení rizik Bezpečnostní politika Organizační bezpečnost Stanovení bezpečnostních požadavků pro dodavatele Řízení aktiv Bezpečnost lidských zdrojů Řízení provozu a komunikací Řízení přístupu a bezpečné chování uživatelů Akvizice, vývoj a údržba Zvládání kybernetických bezpečnostních událostí a incidentů Řízení kontinuity činností Kontrola a audit
Prováděcí předpis k zákonu o kybernetické bezpečnosti TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost Nástroj pro ochranu integrity komunikačních sítí Nástroj pro ověřování identity uživatelů Nástroj pro řízení přístupových oprávnění Nástroj pro ochranu před škodlivým kódem Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů Nástroj pro detekci kybernetických bezpečnostních událostí Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí Aplikační bezpečnost Kryptografické prostředky Nástroje pro zajišťování vysoké úrovně dostupnosti Bezpečnost průmyslových a řídicích systémů
Prováděcí předpis k zákonu o kybernetické bezpečnosti BEZPEČNOSTNÍ DOKUMENTACE
zprávy z auditů a přezkoumání ISMS metodiku pro identifikaci a hodnocení rizik zprávu o hodnocení rizik prohlášení o aplikovatelnosti plán zvládání rizik plán rozvoje bezpečnostního povědomí systém zvládání kybernetických bezpečnostních incidentů strategii řízení kontinuity činností přehled obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků
Prováděcí předpis k zákonu o kybernetické bezpečnosti KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT Typy kybernetických bezpečnostních incidentů Kategorie kybernetických bezpečnostních incidentů Kategorie III – velmi závažný kybernetický bezpečnostní incident Kategorie II – závažný kybernetický bezpečnostní incident Kategorie I – méně závažný kybernetický bezpečnostní incident Forma a náležitosti hlášení kybernetických bezpečnostních událostí a incidentů Protiopatření
Prováděcí předpis k zákonu o kybernetické bezpečnosti ODBORNÁ KVALIFIKACE OSOB Kvalifikace manažera a architekta kybernetické bezpečnosti Kvalifikace auditora kybernetické bezpečnosti
Jak a kde začít při aplikaci ZKB
Přijmout výzvu a rizika z toho plynoucí (i osobní) Pojmout kybernetickou bezpečnost jako nedílnou součást bezpečnostní kultury instituce – propojenou s ostatními oblastmi bezpečnosti a řízenou v rámci jednotného systému řízení bezpečnosti Přesvědčit vedení Zmapovat stav – technologie, lidé, procesy (spousta překvapení) Zajistit využívání možností nalezených zařízení a služeb – definovat příjemce (to lze téměř okamžitě) Při minimálních investicích zvýšit efektivitu využívání zařízení a služeb (vybudování zárodku dohledového centra – střednědobý horizont)
Postupně naplnit literu (ale nejen to) zákona o kybernetické bezpečnosti se vším všudy … a hlavně nikdy nepřestat
Jak (ne)skončit
Zřejmé versus vedení Plnění versus vyplňování Sebezáchovná lež Vnější dokonalý interface versus vnitřní chaos Bitva s „…vždycky jsme to tak dělali“
Závěr
Děkuji za pozornost
[email protected] [email protected] +420 778 404 807 +420 724 939 876