Kybernetická bezpečnost Ondřej Steiner, S.ICZ a. s.
25.9.2014
www.i.cz
1
Obsah ► Zákon – co přináší nového ? ► Nové pojmy ► KII vs VIS – Příklady ► Povinnosti ► Jak naplnit požadavky ► Proč implementovat ? ► Bezpečnostní opatření ► Aktuální stav a harmonogram www.i.cz
2
Zákon – co přináší nového ? Zákon o kybernetické bezpečnosti ► Zákon č. 181/2014 Sb. ► + 2 vyhlášky a nařízení vlády
3 základní pilíře ZOKB ► Hlášení bezpečnostních incidentů CERTům (NBÚ) ► Povinnost zavedení bezpečnostních opatření (pro ochranu významných informačních systémů a systémů kritické infrastruktury) ► Vytvoření legislativního rámce pro stav kybernetického nebezpečí www.i.cz
3
Nové pojmy ► Kritická informační infrastruktura (KII) ● Prvek nebo prvky kritické infrastruktury v odvětví komunikační a informační systémy ● Prvek je určen (vládou, ministerstvem) na základě nařízení vlády nebo opatřením obecné povahy
► Významný informační systém (VIS) ● IS orgánu veřejné moci potřebný pro výkon působnosti ● Určující kritéria, naplněním se IS stane automaticky VIS (vyhláška)
► Povinné osoby ● Provozovatelé výše uvedených IS (provozovatelé sítí) www.i.cz
4
KII vs VIS - Příklady ► Kritická informační infrastruktura ● IS současných prvků kritické infrastruktury (datová centra, technický dispečink, …) ● Oblasti: distribuce elektřiny, plynu a další utility, …
► Významný informační systém ● Základní registry (ZR) ● Editační AIS pro ZR ● Portál veřejné správy, informační systém datových schránek ● Centrální AIS ● … a další důležité IS (až úroveň krajů) www.i.cz
5
Povinnosti ► Kdo: povinné osoby ● Správci významných informačních systémů ● Správci systémů zařazených do kritické informační infrastruktury ● (Provozovatelé sítí)
► Co ● Hlásit kontaktní údaje NBÚ ● Zpracovávat bezpečnostní dokumentaci a zavádět bezpečnostní opatření (ochranná) ● Detekovat kybernetické bezpečnostní události ● Hlásit kybernetické bezpečnostní incidenty NBÚ ● Provádět ad-hoc opatření vydaná NBÚ (reaktivní) www.i.cz
6
Jak naplnit požadavky ► Jak naplnit požadavky ● Splnění všech požadavků zákona a návazné vyhlášky (následně kontroluje NBÚ) ● Zavedení ISMS podle ČSN ISO/IEC 27001 a jeho certifikace (kontroluje auditor a následně NBÚ)
► Několik způsobů implementace ● Základní – formální organizační (levné, málo funkční) ● Použití open source řešení (středně levné, odpovídající funkčnost) ● Použití komerčního řešení (drahé, maximální funkčnost) www.i.cz
7
Proč implementovat ? ► Zákonná povinnost ● Zákon se musí dodržovat ● Vyšší odpovědnost za škodu v případě incidentu
► Kontroly ze strany NBÚ ● Návazné pokuty
► Má to smysl ● Systematický přístup k bezpečnosti a následné zvýšení úrovně bezpečnosti ● Incident se dříve nebo později stane anebo se již stal a dopady je vhodné analyzovat www.i.cz
8
Bezpečnostní opatření – organizační Povinná dokumentace (výběr pro VIS) ► Bezpečnostní politika ► Metodika pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik ► Zpráva o hodnocení rizik ► Prohlášení o aplikovatelnosti ► Plán zvládání rizik ► Plán rozvoje bezpečnostního povědomí ► Dokumentace zvládání kybernetických bezpečnostních incidentů ► Strategie řízení kontinuity činností www.i.cz
9
Bezpečnostní opatření technická Příklady: ► Firewall, IDS/IPS ► Identifikace a autentizace, řízení přístupu ► Antivirus ► Záznam činností (logování), přesný čas a SIEM ► Penetrační testy (aplikační bezpečnost) ► Kryptografické prostředky ► Vysoká dostupnost ► Oddělení průmyslových a řídících systémů ► Fyzická bezpečnost www.i.cz
10
Aktuální stav ► Vydán zákon (č. 181/2014 Sb.) ► Potřeba prováděcí právní předpisy ● Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) ● Vyhláška, kterou se stanoví významné informační systémy a jejich určující kritéria
● Novela nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury
www.i.cz
11
Harmonogram ► Známé termíny ● 1.9.2014 – vydání zákona ● 2014 – finalizace a vydání vyhlášek (naříz. vlády) ● 1.1.2015 – počátek platnosti zákona ● 31.12.2015 – konec přechodného období
► Rozvrh činností ● 2014 - Identifikace chybějících bezpečnostních opatření + příprava rozpočtu na rok 2015 ● 2015 – Implementace bezpečnostních opatření www.i.cz
12
Děkuji za pozornost Ondřej Steiner
[email protected] +420 222 271 260 S.ICZ a.s. (Sekce bezpečnost) www.i.cz
www.i.cz
13
