Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Národní bezpečnostní úřad

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

30.5.2013 30.5.2013

Jaroslav Šmíd Tel.: 420 257 283 333 e-mail: [email protected]

1

1


Internet – hybná síla globální ekonomiky

30.5.2013 30.5.2013

2

2



30.5.2013 30.5.2013

3

3



30.5.2013 30.5.2013

4

4


Bezpečnost kybernetického prostoru

30.5.2013 30.5.2013

5

5


Hrozí nám kybernetický kolaps?

30.5.2013 30.5.2013

6

6


Nutnost stanovení pravidel chování v kyberprostoru

30.5.2013 30.5.2013

7

7


Kybernetická válka již začala?

30.5.2013 30.5.2013

8

8



30.5.2013 30.5.2013

9

9



30.5.2013 30.5.2013

10

10


Od mediálně atraktivních útoků k nákladným sofistikovaným operacím

30.5.2013 30.5.2013

11

11


Od mediálně atraktivních útoků k nákladným sofistikovaným operacím

30.5.2013 30.5.2013

12

12


Dočkáme se pravidel chování v kyberprostoru?

30.5.2013 30.5.2013

13

13


Strategie kybernetické bezpečnosti

30.5.2013 30.5.2013

14

14


Budování kybernetické bezpečnosti v ČR Usnesení vlády ze dne 19. října 201 č. 781

30.5.2013

15


Co je/bude Národní centrum kybernetické bezpečnosti - NCKB  Organizační složka NBÚ  Součást systému státu chránícího kybernetický prostor  Má 2 části:  Vládní CERT  Oddělení teoretické podpory, vzdělávání a výzkumu  Úlohou centra je koordinace spolupráce na národní i mezinárodní úrovni při předcházení kybernetickým útokům i při návrhu a přijímání opatření při řešení incidentů i proti probíhajícím útokům.

30.5.2013

16


Hlavní činnosti NCKB Plnit roli vrcholového pracoviště KB na úrovni státu Provozovat Vládní CERT České republiky Spolupráce s ostatními národními pracovišti CERT / CSIRT Spolupráce s mezinárodními pracovišti CERT / CSIRT Zastupování ČR v mezinárodních organizacích Příprava bezpečnostních standardů pro jednotlivé kategorie organizací v ČR  Osvěta a podpora vzdělávání v oblasti kybernetické bezpečnosti  Výzkum a vývoj v oblasti kybernetické bezpečnosti      

30.5.2013

17


Co je/bude Vládní CERT  Specializovaný technický team  Klíčová role při ochraně informačních systémů veřejné správy a Kritické informační infrastruktury  Reakce na bezpečnostní incidenty  Koordinace činností při řešení incidentů  Účelně působit při předcházení incidentům  Prvotní zdroj bezpečnostních informací  Zvyšování vzdělanosti v oblasti bezpečnosti na internetu 30.5.2013

18


Kompetence Vládního CERTu  Správci IS veřejné správy  Správci systémů kritické informační infrastruktury Jejich základní povinnosti: • oznámit NBÚ kontaktní údaje pro okamžité předávání informací o kybernetických bezpečnostních událostech; • chránit své informační systémy bezpečnostními opatřeními, jejichž náležitosti stanoví NBÚ vyhláškou; • hlásit výskyt bezpečnostních incidentů NBÚ a provádět protiopatření, která jim NBÚ stanoví.

30.5.2013

19


Integrace kybernetické bezpečnosti státu  Kybernetická dimenze musí být standardní součástí posouzení rizik  Ochrana kyberprostoru musí integrovat a koordinovat již existující schopnosti: • Provozovatel vládního CERTu • Policie • Zpravodajské služby • Obrana • Komerční sektor • Akademická sféra

30.5.2013

20


Průzkum kybernetické bezpečnosti ve veřejné správě v roce 2012  2 etapy průzkumu dotazníkovou metodou  Rozdělení systémů na Kritické a Významné  Oslovili jsme 44 subjektů (ministerstva, ústřední orgány, samospráva)  Evidujeme 173 významných a 38 kritických systémů  Výsledky obsahem zprávy pro vládu 30.5.2013

21


Průzkum kybernetické bezpečnosti ve veřejné správě v roce 2012 -shrnutí + 98% subjektů má zaveden systém evidence a zvládání bezpečnostních incidentů

+ 74% subjektů má již nyní zcela, nebo částečně zavedeno ISMS (systém řízení bezpečnosti informací)

+ 99% subjektů má vytvořenou a schválenou bezpečnostní politiku + 80% subjektů již nyní využívá ISO řady 27000 30.5.2013

22


Průzkum kybernetické bezpečnosti ve veřejné správě v roce 2012 -shrnutí

- 26% subjektů spravujících DICT státu nemá relevantní informace o rizicích spojených s jejich provozem a správou

- 35% subjektů spravujících DICT státu neprovedlo nikdy žádný bezpečnostní audit

- 35% subjektů investuje do bezpečnosti ICT méně než 3% svého IT rozpočtu 30.5.2013

23


Věcný záměr zákona o kybernetické bezpečnosti

Usnesení vlády ze dne 30. května 2012 č. 382 k návrhu věcného záměru zákona o kybernetické bezpečnosti.

• ukládá řediteli Národního bezpečnostního úřadu zpracovat na základě věcného záměru zákona uvedeného v bodě I tohoto usnesení a předložit vládě do 31. července 2013 návrh zákona o kybernetické bezpečnosti. 30.5.2013

24


Hlavní zásady a pilíře návrhu zákona

• minimalizace zásahů do práv soukromoprávních subjektů • individuální odpovědnost za bezpečnost vlastní sítě • bezpečnostní opatření (standardizace) • hlášení kybernetických bezpečnostních incidentů • protiopatření

25


Zákon o kybernetické bezpečnosti (ZKB) Předmět úpravy § 1 • Předmětem je úprava práv a povinností orgánů veřejné moci, fyzických a právnických osob, stanovení působnost orgánů státní správy a jejich vzájemná spolupráce v oblasti kybernetické bezpečnosti. • Tento zákon se nevztahuje na informační nebo komunikační systémy, které nakládají s utajovanými informacemi. • Výjimka zohledňující specifika činnosti zpravodajských služeb České republiky v § 24. 30.5.2013

26


Pojmy ZKB Kybernetický prostor § 2 písm. a)

Kybernetickým prostorem se rozumí digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy a službami a sítěmi elektronických komunikací.

30.5.2013

27


Pojmy ZKB Kybernetická bezpečnost § 2 písm. b)

Kybernetickou bezpečností se rozumí souhrn právních, organizačních, technických a vzdělávacích prostředků směřujících k zajištění nerušeného a bezvadného fungování kybernetického prostoru. 30.5.2013

28


Pojmy ZKB Kritická informační infrastruktura § 2 písm. c)

Kritickou informační infrastrukturou se rozumí kritická infrastruktura v odvětví komunikační a informační systémy určená Národním bezpečnostním úřadem. 30.5.2013

29


Povinné osoby ZKB § 3 písm. a) a b)

Povinnými osobami v oblasti kybernetické bezpečnosti jsou a) poskytovatelé služeb elektronických komunikací a subjekty zajišťující sítě elektronických komunikací, b) poskytovatelé služeb elektronických komunikací a subjekty zajišťující sítě elektronických komunikací spravující páteřní sítě, pokud nespadají pod písmeno c), 30.5.2013

30


Povinné osoby ZKB Kritická informační infrastruktura § 3 písm. c) a d) Významný IS § 3 písm. e)

Povinnými osobami v oblasti kybernetické bezpečnosti jsou c) správci komunikačních systémů zařazených do kritické informační infrastruktury, d) správci informačních systémů zařazených do kritické informační infrastruktury a e) správci významných informačních systémů. Správcem se rozumí u informačních systémů ten subjekt, který určuje účel zpracování informací a podmínky jeho provozování, komunikačních systémů ten subjekt, který určuje účel KS a podmínky jeho provozování.

30.5.2013

31


Systém k zajištění kybernetické bezpečnosti §4 Systém zajištění kybernetické bezpečnosti tvoří: • bezpečnostní opatření, • hlášení kybernetických bezpečnostních incidentů, • protiopatření, • oznamování kontaktních údajů a • činnost dohledových pracovišť. 30.5.2013

32


Systém k zajištění kybernetické bezpečnosti Kybernetická bezpečnostní událost a kybernetický bezpečnostní incident § 8 až § 12

• Kybernetickou bezpečnostní událostí je událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací. • Kybernetickým bezpečnostním incidentem je událost, která představuje narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací. • Stanovena povinnost detekce a hlášení kybernetických bezpečnostních incidentů.

30.5.2013

33


Systém k zajištění kybernetické bezpečnosti Dohledová pracoviště § 19 až § 23

Národní CERT - soukromoprávní subjekt – právnická osoba. Vládní CERT - provozuje Úřad.

30.5.2013

34


Stav kybernetického nebezpečí § 25

• Stav mimořádný, speciální oproti mimořádným stavům vyhlašovaným podle ústavního zákona č. 110/1998 Sb. o bezpečnosti České republiky nebo podle krizového zákona č. 240/2000 Sb. • Možno vyhlásit pokud je ve velkém rozsahu ohrožena bezpečnost informací v IS, bezpečnost služeb nebo sítí elektronických komunikací a tím dojde k ohrožení nebo porušení zájmu České republiky. • Stav KN vyhlašuje předseda vlády na návrh ředitele NBÚ. • Musí jej schválit vláda do 24 hod jinak jej zruší. • Vyhlašován na dobu nejdéle 7 dnů – prodloužení jen se souhlasem vlády.

30.5.2013

35


Účinnost § 37

Předpokládaná účinnost je dnem 1. ledna 2015.

30.5.2013

36


Metody ochrany před kybernetickými hrozbami a útoky

• individuální odpovědnost – individuální ochrana • outsourcing specializovanými společnostmi

• CERT/CSIRT

30.5.2013 30.5.2013

37

37

Národní bezpečnostní úřad Computer Emergency Response Team – CERT

30.5.2013 30.5.2013

38

38

Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti -

začlenění ve státní správě

30.5.2013 30.5.2013

39

39


Vládní CERT -

technické a programové zabezpečení

• Spolehlivé dostatečně kapacitní napojení na Internet • Linky pro příjem informací o incidentech • Síť senzorů • Incident handling systém • Vývojové a testovací prostředí •… 30.5.2013 30.5.2013

40

40


Děkuji za pozornost a případné dotazy rád zodpovím v diskusi.

Jaroslav Šmíd Tel.: 420 257 283 333 e-mail: [email protected] 30.5.2013 30.5.2013

41

41

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Recommend Documents