Legislativa kybernetické bezpečnosti Kritická informační infrastruktura a Významné informační systémy Ing. Dušan Navrátil Ředitel
Václav Borovička
Legislativa kybernetické bezpečnosti o Existuje množství právních předpisů, které mají dopad na kybernetickou bezpečnost o občanské, obchodní, správní, trestní, ústavní
o V užším slova smyslu - zákon č. 181/2014 Sb., o kybernetické bezpečnosti, a související předpisy o Cílem prezentace je poskytnout přehled právních základů kybernetické bezpečnosti České republiky v
Základní milníky související se ZKB v čase
Proces určování/ posuzování KII/VIS
Proces implementace ZKB
2015
20 14
2013
2 012
Provádění ICT bezpečnosti (PDCA)
Kybernetické předpisy o Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících předpisů (dále také „ZKB“) o Základní zákon zajištění kybernetické bezpečnosti České republiky o Stanovuje okruh subjektů, které jsou povinny zavádět bezpečnostní opatření, vykonávat opatření vydaná NBÚ nebo hlásit kybernetické bezpečnostní incidenty o Vymezuje dohledová pracoviště Vládní CERT a Národní CERT a jejich působnost o Zavádí stav kybernetického nebezpečí jako krizový stav sui generis o Stanovuje kontrolu dodržování ZKB
Kybernetické předpisy o Vyhláška č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) (dále také „VKB“) o vyhláškou jsou konkretizována bezpečnostní opatření uvedené v § 5 ZKB, a je stanoven rozsah a struktura bezpečnostní dokumentace o vychází z obecných principů řízení bezpečnosti informací dle ISO 27001 o stanoven rozdílný rozsah opatření pro subjekty KII a VIS o stanovuje také náležitosti hlášení kybernetických bezpečnostních incidentů, kontaktních údajů apod.
Kybernetické předpisy o Vyhláška č. 317/2014 Sb., kterou se stanoví významné informační systémy a jejich určující kritéria o Stanovuje konkrétně určené VIS v příloze č. 1 o Stanovuje kritéria pro posouzení dalších informačních systémů správci ve smyslu VIS
o Novelizované nařízení vlády ze dne 22. prosince 2010 č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury o novelou doplněna odvětvová kritéria pro oblast kybernetické bezpečnosti
Kybernetické předpisy Související o Zákon č. 127/2005 Sb., o elektronických komunikacích o jednak stanovuje určitou míru opatření pro zajištění funkčnosti veřejných sítí elektronických komunikací o ZKB na něj odkazuje při určování povinných subjektů, konkrétně poskytovatelů služeb elektronických komunikací a subjektů zajišťující sítě elektronických komunikací [§ 3 písm. a) ZKB]
o Zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (dále také „KrZ“) o ZKB navazuje KII na KrZ, zejména pak proces jejího určování o KII je vždy i KI ve smyslu KrZ
Legislativa kybernetické bezpečnosti Vládní usnesení o Usnesení vlády ČR ze dne 19. října 2011 č. 781 o Udělena gesce NBÚ pro oblast kybernetické bezpečnosti o NBÚ ustanoven národní autoritou pro oblast kybernetické bezpečnosti o Uloženo vybudování Národního centra kybernetické bezpečnosti v Brně
o Usnesení vlády ČR ze dne 23. května 2012 č. 364 o Přijata aktualizovaná Strategie pro oblast kybernetické bezpečnosti ČR na období let 2012 až 2015 a na ni navazující Akční plán
Legislativa kybernetické bezpečnosti Vládní usnesení o Usnesení vlády ČR ze dne 16. února 2015 č. 105 o Schválena nová Národní strategie kybernetické bezpečnosti České republiky na období let 2015 až 2020 (dále „NSKB“) o Schválení Akčního plánu k NSKB o Dne 25.5. 2015 byl Akční plán schválen vládou ČR a je dostupný na webových stránkách www.govcert.cz
Kritická informační infrastruktura (KII) o Komplex informačních a komunikačních systémů (naplňující stanovená průřezová kritéria a odvětvová kritéria v oblasti kybernetické bezpečnosti), jejichž nefunkčnost by mohla způsobit závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu. o Pozor!: stejně jako KI - týká se veřejnoprávních i soukromoprávních subjektů.
KII – proces určování Splněny podmínky pro KII
Jsou dána průřezová (dopadová) kritéria Jsou dána odvětvová kritéria v oblasti kybernetické bezpečnosti Může narušení bezpečnosti informací způsobit ALESPOŇ jedno z průřezových kritérií?
NE
Jste OSS? NE
ANO Splňuje Váš IS nebo KS ALESPOŇ jedno z odvětvových kritérií?
Nesplněny podmínky pro KII
NE
KII určeno OOP ANO KII určeno usnesením vlády
ANO
KII – průřezová (dopadová) kritéria (Průřezová kritéria podle § 1 nařízení vlády č. 432/2010 Sb., ve znění novely č. 315/2014 Sb.)
a) Více než 250 mrtvých nebo více než 2 500 osob s následnou hospitalizací delší než 24 hodin. b) Mezní hodnota hospodářské ztráty je větší než 0,5 % HDP (např. v r. 2013 = 19,4 mld. Kč). c)
Omezení poskytování nezbytných služeb nebo jiný závažný zásah do každodenního života postihující více než 125 000 osob.
KII – proces určování Splněny podmínky pro KII
Jsou dána průřezová (dopadová) kritéria Jsou dána odvětvová kritéria v oblasti kybernetické bezpečnosti Může narušení bezpečnosti informací způsobit ALESPOŇ jedno z průřezových kritérií?
NE
Jste OSS? NE
ANO Splňuje Váš IS nebo KS ALESPOŇ jedno z odvětvových kritérií?
Nesplněny podmínky pro KII
NE
KII určeno OOP ANO KII určeno usnesením vlády
ANO
KII – odvětvová kritéria – oblast kybernetické bezpečnosti a) Ovlivňuje Váš IS významně nebo zcela činnost určeného prvku KI a zároveň je nahraditelný jen při vynaložení nepřiměřených nákladů nebo v časovém období delším jak 8 hodin? b) Ovlivňuje Váš KS významně nebo zcela činnost určeného prvku KI a zároveň je nahraditelný jen při vynaložení nepřiměřených nákladů nebo v časovém období delším jak 8 hodin? c) Je Váš IS spravovaný orgánem veřejné moci obsahující osobní údaje o více než 300 tis. osobách? d) Je Váš systém komunikačním systémem, který zajišťuje připojení nebo propojení prvku KI spravovaným orgánem veřejné moci s kapacitou přenosu min. 1 Gbit/s? e) Odvětvová kritéria pro určení prvku KI uvedená v písm. A. – F., odvětví VI. přílohy nařízení vlády č. 432/2010 Sb., ve znění novely č. 315/2014 Sb., se použijí přiměřeně pro oblast KB, pokud je ochrana prvku naplňujícího tato kritéria nezbytná pro zajištění kybernetické bezpečnosti.
Predikce a současný stav určování KII prvků v daných oblastech 150
SOUKROMÝ SEKTOR
25 0 30
OSTATNÍ ORGANIZAČNÍ SLOŽKY STÁTU
2 0 30
ÚSTŘEDNÍ SPRÁVNÍ ORGÁNY
2 14 45
MINISTERSTVA
2 31 0
20
predikce celkového počtu Určené KII
40
60
80
100
120
140
prvky KII v procesu určení
160
Předpokládaný poměr prvků KII v daných oblastech (predikce)
ministerstva
17%
ústřední správní orgány 12%
ostatní organizační složky státu
59% 12%
soukromý sektor
26.5.2016
26.6.
1.1.2015
25.5.2015 Určení 45 prvků KII (usnesením vlády)
Plnění povinností – KII (časová osa)
0. Proces určování prvků KII (oboustranné jednání) – viz. schéma na www.govcert.cz 1. Lhůta pro nahlášení kontaktních údajů 2. Přechodná lhůta (implementace bezpečnostních opatření podle vyhlášky č. 316/2014 Sb.) 3. Plnění povinností podle ZKB (hlášení kybernetických bezpečnostních incidentů, provádění bezp. opatření) 4. Možnost státního dozoru (auditu) ze strany NBÚ – kontrola souladu se zákonem o kybernetické bezpečnosti
Významné informační systémy (VIS) o VIS je informační systém spravovaný orgánem veřejné moci, který není KII a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci. o VIS naplňují kritéria daná vyhláškou č. 317/2014 Sb. o Pozn.: Správcem VIS nemohou být obce (stanoveno ve vyhlášce) o Naplnění kritérií posuzuje správce
Predikce a současný stav počtu VIS
235 VÝZNAMNÉ INFORMAČNÍ SYSTÉMY
110
0
50
predikce celkového počtu
100
150
200
nahlášené VIS
250
Plnění povinností – VIS (časová osa)
1. Lhůta pro nahlášení kontaktních údajů 2. Přechodná lhůta (implementace bezpečnostních opatření podle vyhlášky č. 316/2014 Sb.) Pozn.: již během přechodné lhůty je nutné plnit případná opatření ze strany NBÚ 3. Plnění povinností podle ZKB (hlášení kybernetických bezpečnostních incidentů, provádění bezp. opatření) 4. Možnost kontroly zavedení bezpečnostních opatření podle vyhlášky č. 316/2014 Sb. ze strany NBÚ
Nabízené služby z oblasti KII a VIS o Určování prvků kritické informační infrastruktury o Podpora při posuzování významných informačních systémů o Metodická podpora související s problematikou kybernetické bezpečnosti v: o legislativně-právní oblasti, o v oblasti managementu kybernetické bezpečnosti, o v technické oblasti. o Provádění auditů kybernetické bezpečnosti v rámci kontrol dodržování zákona
Další činnosti NCKB v oblasti KII a VIS o Spolupráce s dalšími institucemi i firmami na mezinárodní i národní úrovni o Vzdělávání v oblasti problematiky zákona o kybernetické bezpečnosti o Příprava podpůrných materiálů o Publikace o Pořádání osvětových akcí a mnoho dalších …
Děkuji za pozornost