KyBez na MPO …aneb zavádění Zákona o kybernetické bezpečnosti
KyBez na MPO …aneb zavádění zákona o kybernetické bezpečnosti
Ing. Miloslav Marčan Ředitel odboru informatiky
‹#›
Úvod Dlouhodobě kladený důraz na bezpečnost ICT Bezpečnostní politika informačních a komunikačních systémů (2007 - vycházela z filozofie norem řady ISO 27000) Před zákonem č. 181/2014 Sb., o kybernetické bezpečnosti opora v zákoně č. 365/2000 Sb., o informačních systémech veřejné správy Součást nových projektů ISMS Havarijní plány kritických aplikací SIEM Varonis
KyBez na MPO …aneb zavádění zákona o kybernetické bezpečnosti
Ing. Miloslav Marčan Ředitel odboru informatiky
‹#›
Dokumentace Cyklus PDCA – nekonečný příběh
Plan
Act Revize a aktualizace stávajících dokumentů Nová analýza rizik Check Analýza probíhající také v resortních organizacích
KyBez na MPO …aneb zavádění zákona o kybernetické bezpečnosti
Ing. Miloslav Marčan Ředitel odboru informatiky
Do
‹#›
Určení VIS a KII Významné IS na MPO: Registr živnostenského podnikání Ekonomický informační systém
Určování významných IS a kritické informační infrastruktury v podřízených organizacích
KyBez na MPO …aneb zavádění zákona o kybernetické bezpečnosti
Ing. Miloslav Marčan Ředitel odboru informatiky
‹#›
Organizace SŘBI Vedení resortu
Výbor pro řízení kybernetické bezpečnosti MPO s rozšířenou působností
Auditor kybernetické bezpečnosti resortu MPO
Vedení organizace
Výbor pro řízení kybernetické bezpečnosti
Garanti aktiv
Vedení ICT organizace
Manažer kybernetické bezpečnosti
Architekt kybernetické bezpečnosti
Úroveň resortu
Úroveň organizace
Vedoucí zaměstnanec útvaru
Úroveň útvaru
KyBez na MPO …aneb zavádění zákona o kybernetické bezpečnosti
Ing. Miloslav Marčan Ředitel odboru informatiky
Vrcholová politika SŘBI resortu MPO
Stanovení rozsahu SŘBI v organizaci
Politiky, směrnice, specifikace
Útvarové směrnice, specifikace
‹#›
Výbor pro řízení KB MPO – Výbor pro řízení KB s rozšířenou působností Zástupci MPO Členové Výborů pro řízení KB z podřízených organizací
Jmenování členů Řízení podřízených organizací
KyBez na MPO …aneb zavádění zákona o kybernetické bezpečnosti
Ing. Miloslav Marčan Ředitel odboru informatiky
‹#›
Akční plán Náročné aktivity pro pokračování aktivit: Zajištění organizace SŘBI – celkem 83 aktivit ve 14 oblastech Aktualizace Bezpečnostní politiky Nastavení kontrolních mechanismů řízení informační bezpečnosti Analýza informačních aktiv Analýza rizik informační bezpečnosti … Nasazení nástrojů zapojených do procesu zvládání kybernetických incidentů Přizpůsobení aplikací tak, aby bylo možné tyto nástroje využívat Implementace procesu zvládání kybernetických incidentů do provozu, včetně interakce s NBÚ
KyBez na MPO …aneb zavádění zákona o kybernetické bezpečnosti
Ing. Miloslav Marčan Ředitel odboru informatiky
‹#›
Akční plán Zpracován ve formě xls tabulky Včetně křížových vazeb na jednotlivé dokumenty resp. opatření
KyBez na MPO …aneb zavádění zákona o kybernetické bezpečnosti
Ing. Miloslav Marčan Ředitel odboru informatiky
‹#›
Řízení rizik Pravidelné provádění identifikace a hodnocení aktiv a rizik Aktualizace seznamu primárních a podpůrných aktiv a jejich ohodnocení Aktualizace seznamu hrozeb Aktualizace seznamu zranitelností Aktualizace seznamu rizik Ohodnocení dopadu rizik na konkrétní podpůrné aktivum Posouzení závažnosti rizik a zvážení jejich akceptace či návrhu relevantních opatření Aktualizace plánu zvládání rizik Aktualizace prohlášení o aplikovatelnosti Aktualizace bezpečnostní a provozní dokumentace
KyBez na MPO …aneb zavádění zákona o kybernetické bezpečnosti
Ing. Miloslav Marčan Ředitel odboru informatiky
‹#›
Řízení rizik Rovněž zpracován ve formě xls tabulky Nízké nebo střední dopady Identifikováno celkem 537 rizik, Nízké (489 rizik) Střední (48 rizik)
Identifikace rizika
R035
R036
SA02 - Servery TMobile (OS)
SA04 - IS RŽP (včetně databáze)
R037
SA02 - Servery TMobile (OS)
R038
SA04 - IS RŽP (včetně databáze)
Hodnoceni rizika
Stav rizika a následné kroky
Typ hrozby
Zranitelnost
Komentář
Pravděpodobnos t hrozby (1-4)
Závažnost zranitelnosti (1-4)
Dopad (1-4)
Riziko
Hodnocení rizika (Nízké - Kritické)
H05 - Kybernetický útok z komunikační sítě.
Z22 - Nejsou v dostatečné míře prováděny kontroly účinnosti bezpečnostních opatření a audity bezpečnosti
Z důvodu nedostatečného provádění kontrol účinnosti bezpečnostních opatření a auditů bezpečnosti získá útočník neautorizovaný přístup k citlivým informacím.
4
3
2
24
Střední
H05 - Kybernetický útok z komunikační sítě.
Z22 - Nejsou v dostatečné míře prováděny kontroly účinnosti bezpečnostních opatření a audity bezpečnosti
Z důvodu nedostatečného provádění kontrol účinnosti bezpečnostních opatření a auditů bezpečnosti získá útočník neautorizovaný přístup k citlivým informacím.
4
3
2
24
Střední
I - Integrita
H05 - Kybernetický útok z komunikační sítě.
Z22 - Nejsou v dostatečné míře prováděny kontroly účinnosti bezpečnostních opatření a audity bezpečnosti
Z důvodu nedostatečného provádění kontrol účinnosti bezpečnostních opatření a auditů bezpečnosti provede útočník neautorizované změny dat v systému.
4
3
2
24
Střední
I - Integrita
H05 - Kybernetický útok z komunikační sítě.
Z22 - Nejsou v dostatečné míře prováděny kontroly účinnosti bezpečnostních opatření a audity bezpečnosti
Z důvodu nedostatečného provádění kontrol účinnosti bezpečnostních opatření a auditů bezpečnosti provede útočník neautorizované změny dat v systému.
4
3
2
24
Střední
IDDotčené podpůrné aktivum Typ ohrožení C/I/A
C - Důvěrnost
C - Důvěrnost
KyBez na MPO …aneb zavádění zákona o kybernetické bezpečnosti
Ing. Miloslav Marčan Ředitel odboru informatiky
Stav
Nápravné opatření
‹#›
Audit NBÚ Metodický audit Vyžádán ze strany MPO před vlastním schválením dokumentů - březen 2016 Zaměřen na IS RŽP Hladký průběh, profesionální přístup auditorů Z celkem 77 kontrolovaných položek nalezeno 72 shod 2 neshody organizačně-administrativního charakteru 2 potenciální rizika 1 příležitost ke zlepšení – bylo napraveno již během kontroly
KyBez na MPO …aneb zavádění zákona o kybernetické bezpečnosti
Ing. Miloslav Marčan Ředitel odboru informatiky
‹#›
Závěrečné shrnutí ZKB není KB Rizika Nebezpečí formalistického přístupu auditorů Klady Důraz na osobní zodpovědnost vedení úřadů Vybudování NCKB Příležitosti Získat finanční prostředky – Výzva č. 10 Kybernetická bezpečnost Sjednocení postupů – na základě metodického vedení NBÚ Sdílení zkušeností
KyBez na MPO …aneb zavádění zákona o kybernetické bezpečnosti
Ing. Miloslav Marčan Ředitel odboru informatiky
‹#›
Děkuji za pozornost
KyBez na MPO …aneb zavádění zákona o kybernetické bezpečnosti
Ing. Miloslav Marčan Ředitel odboru informatiky
‹#›
