Řízení kybernetické a informační bezpečnosti

Vysoká škola osobností

Řízení kybernetické a informační bezpečnosti Martin Hanzal předseda sekce Kybernetická a informační bezpečnost AOBP

CEVRO Institut, 22. dubna 2014 www.cevroinstitut.cz


Sekce Kybernetická a informační bezpečnost Je nevládní, nezávislou, nepolitickou,

neziskovou a neobchodní organizací sdružující firmy obranného a bezpečnostního průmyslu. • Platforma pro komunikaci státní správy s odbornými firmami v oblasti kybernetické a informační bezpečnosti, především při návrhu a realizaci projektů z pohledu bezpečnosti. • Provádění osvětové činnosti směrem k vrcholovému vedení organizací. • Společná podpora českých firem v zahraničí.

www.cevroinstitut.cz


Cyberspace – kybernetický prostor Cyberspace – kybernetický prostor Nehmotný svět informací, který vzniká propojením informačních a komunikačních systémů a umožňuje vytvářet, uchovávat, využívat a vzájemně vyměňovat informace. Tento prostor v sobě zahrnuje počítače, aplikace, databáze, procesy, pravidla a komunikační prostředky.

CYBER SPACE

Lisabonský summit NATO na podzim roku 2010 uznal Cyberspace jako pátý bojový prostor.



Rozdělení jednotlivých bezpečnostních oblastí

National Cyber Security Framework Manual a ISO/IEC 27032:2012 Guidelines for cybersecurity www.cevroinstitut.cz


Informační bezpečnost

INFORMATION SECURITY Zajistit informacím důvěrnost, integritu a dostupnost (Confidetiality, Integrity, Availability). Informace není dostupná nebo není odhalena neautorizovaným jednotlivcům, entitám nebo procesům, je zajištěna její přesnost, úplnost a je přístupná a použitelná na žádost autorizované entity.



Kybernetická bezpečnost

CYBERSECURITY Schopnost odolávat úmyslně i neúmyslně vyvolaným kybernetickým útokům a zmírňovat jejich následky včetně obrany proti probíhajícímu kybernetickému útoku a zmírňování jeho následků díky odolnosti kybernetického prostoru a schopnosti se účinně bránit.



Data a informace organizace Osobní údaje

Data organizace

 Údaje o zaměstnancích

 Know-how organizace

 Údaje o klientech

 Strategické plány

 Zvláště citlivé údaje o klientech

 Klíčové aktivity na kterých je organizace postavena

Pracovní data  Zpracovávané dokumenty jednotlivými pracovníky v různých formátech  Komunikace pracovníků

Porušení důvěrnosti, integrity a dostupnosti těchto dat vede k finanční ztrátě, ztrátě konkurenceschopnosti, dobrého jména organizace či porušení zákona

Zakotveno v zákoně č. 101 na ochranu osobních údajů Ochrana soukromí §86, obchodní tajemství §504 NOZ Standard ČSN ISO 27001 – ISMS (celá řada ISO 27tis) Od 1.1.2015 zákon o kybernetické bezpečnosti www.cevroinstitut.cz


Ochrana osobních údajů Správce a zpracovatel  Správce a zpracovatel jsou zodpovědni za způsob nakládání s osobními údaji  Za organizaci je zodpovědný statutátrní zástupce, který deleguje povinnosti na svoje podřízené

Zabzpečení osobních údajů §13 zák.  Povětšinou mylná domněnka, že to je věc IT oddělení  IT oddělení je zodpovědno za porovoz informačních systémů

 Bezpečnostní politika je věc vrcholového vedení

Postih a sankce  Za porušení až 5mil Kč pokuta  Za porušení u zvláště citlivých osobních údajů až 10mil Kč  Zatím největší pokuta byla 3,5mil Kč

Incidenty a postihy v roce 2013 Dle předběžné zprávy celkem 24 pravomocných zjištění porušení zákona. Za porušení §13 pokuta 1,8mil Kč pro KB Penzijní společnost (prosinec 2013).



Řízení kybernetické bezpečnosti organizace Výbor pro kybernetickou bezpečnost Tří až pěti-členný vrcholový orgán složený z členů vrcholového vedení organizace

Manažer kybernetické bezpečnosti – CSIRT/CIRC Zodpovědná osoba za řízení kybernetické bezpečnosti včetně zvládání kybernetických incidentů

První etapa Čtvrtá etapa

Plánování

ČSN ISO 27001 ISMS Zlepšování

Třetí etapa

Druhá etapa Realizace

Kontrola



Řízení kybernetické bezpečnosti – ČSN ISO 27001 ISMS První etapa  Plánování a určení rozsahu

 Analýza rizik

Čtvrtá etapa  Sledování trendu a sdílených zkušeností jiných organizací a subjektů  Zjednodušování a zkvalitňování systému řízení bezpečnosti informací

 Bezpečnostní politika  Definice bezpečnotních pravidel a opatření

Třetí etapa  Provádění interních auditů a vyhodnocování systému řízení bezpečnosti

Druhá etapa  Stanovení dílčích plánů na zvládání rizik  Definování a řízení bezpečnostních projektů  Vysvětlování a stálá „edukace“ účastníků

 Zpřesnění dalších cílů  Schválení vedením organizace



Řízení kybernetické bezpečnosti – stavy organizace Manažer kybernetické bezpečnosti – CSIRT/CIRC Zodpovědná osoba za řízení kybernetické bezpečnosti včetně zvládání kybernetických incidentů

Normální stav  Řízení rizik  Zavádění organizačních a technických opatření  Monitorování, sledování a vyhodnocování bezpečnostních událostí v organizace  Příprava na možný krizový stav

Krizový stav  Probíhá kybernetický útok, který výrazně omezuje a ohružuje organizaci

 Činost organizace je věnována především na kybernetickou obranu a rychlé zotavení činností organizace  CSIRT hlavním místem kybernetické obrany

Post-krizový stav  Co nejrychlejší změna z krizového do normálního stavu  Vyhodnocení krizového stavu  Zlepšení řízení kybernetické bezpečnosti do další krize  Realizace nápravných procesů



Závěrečné shrnutí

Nemusíme s řešením čekat na žádný zákon Kybernetická bezpečnost musí vycházet z podpory vrcholového vedení

ICT odbor nebo oddělení není automaticky zodpovědné za kybernetickou bezpečnost www.cevroinstitut.cz


Kontakt

Děkuji za pozornost Martin Hanzal ASOCIACE OBRANNÉHO A BEZPEČNOSTNÍHO PRŮMYSLU předseda sekce Kybernetická a informační bezpečnost Washingtonova 25, Praha 1 Email: [email protected] Mobil: +420 602 702 780


Řízení kybernetické a informační bezpečnosti

Recommend Documents