LEX UNO ORE OMNES ALLOQUITUR JUDr. Jaroslav Strouhal náměstek ministra vnitra pro řízení sekce informačních a komunikačních technologií 1. 6. 2015, Praha
od BS 7799 do současnosti
od BS 7799 do současnosti • v roce 1995 vydán britský standard BS 7799 • formalizoval nejlepší praktiky pro zabezpečení dat BS 7799 → ISO 27 XXX bezpečnostní standardy aplikovatelné na jakékoli ICT systémy
• stal se celosvětovým standardem
VÝCHODISKA
VÝCHODISKA
Data a informace jsou v současné době nejcennějším aktivem, které musíme chránit Hardware se dá nahradit, software přeinstalovat, nicméně ztráta dat může být pro mnoho organizací fatální
Narušení důvěrnosti informací patří mezi nejvyšší rizika, stejně jako neoprávněná modifikace
BEZ VĚTŠÍCH PROBLÉMŮ/INCIDENTŮ
BEZ VĚTŠÍCH PROBLÉMŮ/INCIDENTŮ
ZATÍM…
Naše teze Ministerstvo vnitra si je vědomo své klíčové řídící a strategické role v oblasti ICT státu, a proto usiluje o jednotnost a centralizaci základních služeb eGovernmentu, zejména prostřednictvím budování centralizovaných informačních, komunikačních a dohledových systémů.
VÝCHODISKA
VÝCHODISKA
• Zákon o kybernetické bezpečnosti se ve většině případů týká systémů státní správy, která - a to si přiznejme – má v oblasti kybernetické bezpečnosti znatelný deficit. • Nové projekty – například projekt elektronické identity nebo základní registry vyžadují vysoké zabezpečení, které zajistí maximální důvěru lidí ve státní správu.
VÝCHODISKA
VÝCHODISKA
• Státní instituce mají vazbu nejen mezi sebou, ale i na další např. evropské orgány • Proto chápeme kybernetický zákon v širším měřítku • MVČR šlo příkladem při přípravě svých systémů na aplikaci zákona
Kritická informační infrastruktura v rámci MV
Kritická informační infrastruktura v rámci MV Informační systém základních registrů + Formulářový agendový IS
Informační systém – Registr obyvatel
Integrovaná telekomunikační síť – ITS
Radiokomunikační síť PEGAS
Agendový informační systém evidence cestovních dokladů
Agendový informační systém evidence osob
Vízový informační systém
Schengenský informační systém
Centrální místo služeb 1.0 – komunikační uzel
Agendový informační systém cizinců
Informační systém CZECH Point
Agendový informační systém elektronických občanských průkazů
Informační systém – Registr práv a povinností
Centrální registr zbraní
Informační systém datových schránek Informační systém PČR služby cizinecké a pohraniční policie
Nástroj pro zpracování žádostí na přidělení certifikátů pomocí datových schránek
GINIS
Významné informační systémy v rámci MV
GINIS
Významné informační systémy v rámci MV Informační systém Policie ČR
Rejstřík politických stran
Portál veřejné správy (PVS)
Ústřední evidence nabytí a pozbytí státního občanství České republiky
VIS určené MV, nejdříve od 1/7/2015 GINIS
EKIS
Budujeme dohledové centrum MV pro provoz ICT systémů a kybernetickou bezpečnost
SOCCR Security Operation Center for Continuous Reliability
SOCCR (Security Operation Center for Cyber Reliability) DOHLEDUJE BEZPEČNOST ICT SYSTÉMŮ RESORTU MV JE V SOULADU ISO 27001 ISO 22301 ISO 20000
PODPORUJE ŘÍZENÍ RIZIK A KONTINUITY ŘÍDÍ BEZPEČNO ST JE MODULÁRNÍ A PŘIPRAVEN NA DALŠÍ ROZVOJ
IDENTIFIKUJE, VYHODNOCUJE A HLÁSÍ INCIDENTY DO NCKB (NBÚ)
24x7
TÝM SOCCR
POSKYTUJE PROVOZNÍ A BEZPEČNOSTNÍ REPORTING SKENUJE ZRANITELNO STI
PROVOZUJE ČPOZ
DCeGOV Dohledové centrum eGovernmentu Dohledové centrum eGovernmentu má za cíl centralizovat a sjednotit provozní a bezpečnostní dohledy prostřednictvím vybudování bezpečnostního dohledového centra SOCCR (Security Operational Centre for Cyber Reliability) a provozního dohledového centra NOC (Network Operation Centre)
Dohledové centrum MV pro provoz ICT systémů a kybernetickou bezpečnost
Dohledové centrum MV pro provoz ICT systémů a kybernetickou bezpečnost projekt DCeGov provozně i bezpečnostně zajistí rozšíření jednotného centrálního dohledu i nad systémy ITS, KSP, NIS a ITS NGN Jeho architektura je dostatečně variabilní a robustní pro další rozšiřování
Cílem je vybudovat jedno dohledové centrum přes celý resort pro zajištění integrace provozních a bezpečnostních dohledů MV, PČR, SZR a dalších organizací.
DCeGOV - SOCCR Cíle 2015 – 2016 + 2015 Definovat rozhraní pro připojené systémy Připravit typové projekty pro konektory na SOCCR Implementovat technologie a procesy Zahájit provoz dohledového centra SOCCR 2016 Rozšířit pro korelaci interních událostí v systémech MV s podezřelými událostmi v externím prostředí Získávat informace o všech hrozbách z různých zdrojů a koncentrovat úsilí na relevantní nebezpečné případy Vytvořit SOCCR Intelligence Database – shromažďuje a koreluje všechny události v systémech MV Automatizovat procesy řízení rizik a kontinuity systémů MV Rozšířit bezpečnostní reporting o stavu systémů
Děkuji za pozornost
[email protected]
