NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81
Mgr. Jiří Malý duben 2014, PRAHA
Gesce kybernetické bezpečnosti Usnesení vlády ze dne 19. října 2011 č. 781 o ustavení Národního bezpečnostního úřadu gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast. • ustavuje Národní bezpečnostní úřad gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast; • zřizuje Radu pro kybernetickou bezpečnost – poradní orgán předsedy vlády, • schvaluje vznik Národního centra kybernetické bezpečnosti, jako součásti Národního bezpečnostního úřadu, současně stanoví i podmínky jeho financování
•Ukládá řediteli Národního bezpečnostního úřadu a) vypracovat a do 31. března 2012 předložit vládě návrh věcného záměru zákona o kybernetické bezpečnosti, b) vybudovat do 31. prosince 2015 plně funkční Národní centrum kybernetické bezpečnosti a jako jeho součást vládní koordinační místo pro okamžitou reakci na počítačové incidenty (vládní CERT - Computer Emergency Response Team), c) ve spolupráci s ministry vnitra a obrany a ředitelem Bezpečnostní informační služby vládě do 31. července 2013 předložit návrh zákona o kybernetické bezpečnosti, d) vedoucím ústředních orgánů státní správy a řediteli Bezpečnostní informační služby vyvíjet potřebnou součinnost při plnění úkolů Rady pro kybernetickou bezpečnost.
Právní rámec - Věcný záměr zákona o kybernetické bezpečnosti VZ vypracován úřadem od převzetí gesce (11/2011) a předložen do MPŘ přelom 2/3 2012 - Usnesení vlády ze dne 30. května 2012 č. 382 k návrhu věcného záměru zákona o kybernetické bezpečnosti. • schvaluje návrh věcného záměru zákona o kybernetické bezpečnosti; • ukládá řediteli Národního bezpečnostního úřadu zpracovat na základě věcného záměru zákona o kybernetické bezpečnosti a předložit vládě do 31. července 2013 návrh zákona o kybernetické bezpečnosti s tím, že budou do tohoto návrhu zapracovány připomínky, uvedené ve stanovisku Legislativní rady vlády.
Právní rámec - Zákon o kybernetické bezpečnosti • Předmětem zákona je úprava práv a povinností fyzických a právnických osob a působnost a pravomoc orgánů veřejné moci. • Tento zákon se nevztahuje na informační nebo komunikační systémy, které nakládají s utajovanými informacemi. • Určitá výjimka zohledňující specifika činnosti zpravodajských služeb České republiky
Hlavní zásady a pilíře ZKB minimalizace zásahů do práv soukromoprávních subjektů
individuální odpovědnost za bezpečnost vlastní sítě princip technologické neutrality
bezpečnostní opatření
hlášení kybernetických bezpečnostních incidentů opatření Úřadu
SYSTEMATIKA ZKB • ČÁST PRVNÍ – Hlava první - Základní ustanovení • Hlava druhá – Systém k zajištění kybernetické bezpečnosti • Hlava třetí – Stav kybernetického nebezpečí • Hlava čtvrtá – Výkon státní správy
• Hlava pátá– Kontrola, nápravná opatření a správní delikty • Hlava šestá – Závěrečná ustanovení
• ČÁST DRUHÁ – změna zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti •Část TŘETÍ– změna zákona o elektronických komunikacích •Část ČTVRTÁ – změna zákona o svobodném přístupu k informacím
Pojmy ZKB Kybernetický prostor § 2 písm. a)
Kybernetickým prostorem se rozumí digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy, a službami a sítěmi elektronických komunikací.
Pojmy ZKB Kritická informační infrastruktura § 2 písm. b)
Kritickou informační infrastrukturou se rozumí prvek nebo systém prvků kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti. Kritická informační infrastruktura bude určována postupem, který je stanoven v krizovém zákonu (zákon č. 240/2000 Sb.)
Pojmy ZKB Bezpečnost informací § 2 písm. c)
Bezpečností informací se rozumí zajištění důvěrnosti, integrity, dostupnosti informace.
Pojmy ZKB Významný informační systém § 2 písm. d)
Významným informačním systémem se rozumí informační systém spravovaný orgánem veřejné moci, který není součástí kritické informační infrastruktury a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci. Významné informační systémy a jejich určující kritéria stanoví prováděcí právní předpis.
Povinné osoby ZKB Orgány a osoby, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti § 3 písm. a) a b) – povinné osoby I V oblasti kybernetické bezpečnosti jde o tyto orgány a osoby a) poskytovatel služeb elektronických komunikací a subjekt zajišťující sítě elektronických komunikací, pokud není orgánem nebo osobou podle písmene b) b) Orgán nebo osoba zajišťující významnou síť pokud nejsou správcem komunikačního systému podle písmene d),
Povinné osoby ZKB Orgány a osoby, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti § 3 písm. c) až e) - povinné osoby II V oblasti kybernetické bezpečnosti se jedná dále o tyto orgány a osoby c) správci informačních systémů zařazených do kritické informační infrastruktury, d) správci komunikačních systémů zařazených do kritické informační infrastruktury a e) správci významných informačních systémů. Přičemž správcem se rozumí a) U informačních systémů ten subjekt, který určuje účel zpracování informací a podmínky jeho provozování b) U komunikačních systémů ten subjekt, který určuje účel KS a podmínky jeho provozování
Systém k zajištění kybernetické bezpečnosti a) Národní CERT b) Vládní CERT • Národní CERT je k výkonu své činnosti oprávněn na základě veřejnoprávní smlouvy uzavírané s Úřadem. • Národní CERT je pracoviště provozované zpravidla soukromoprávním subjektem, které zajišťuje a zprostředkovává sdílení informací v národním i mezinárodním kontextu.
Systém k zajištění kybernetické bezpečnosti Národní CERT – podmínky pro výběr Provozovatelem národního CERTu může být pouze právnická osoba, která má zkušenosti s provozem informačních systémů a služeb a sítí elektronických komunikací, • nevyvíjí ani nevyvíjela činnost proti zájmu ČR •má technické předpoklady v oblasti kybernetické bezpečnosti, • podílí se na mezinárodní spolupráci s organizacemi působícími v oblasti kybernetické bezpečnosti v zahraničí – je členem nadnárodní organizace působící v oblasti kybernetické bezpečnosti • plní finanční povinnosti vůči státu, fyzickým a právnickým osobám, • je bezúhonná, •Výběr formou řízení o návrh podle správního řádu
Systém k zajištění kybernetické bezpečnosti Národní CERT • přijímá oznámení kontaktních údajů od orgánů a osob uvedených v § 3 písm. a) a b) a tyto údaje eviduje a uchovává, • přijímá hlášení o kybernetických bezpečnostních incidentech od orgánů a osob uvedených v § 3 písm. b) a tyto údaje eviduje, uchovává a chrání, • vyhodnocuje kybernetické bezpečnostní incidenty u povinných osob uvedených § 3 písm. b), • poskytuje orgánům a osobám uvedeným v § 3 písm. a) a b) metodickou podporu a pomoc, • poskytuje součinnost orgánům a osobám uvedeným v § 3 písm. a) a b) při výskytu kybernetického bezpečnostního incidentu, • působí jako kontaktní místo pro orgány a osoby uvedené v § 3 písm. a) a b), • provádí analýzu zranitelnosti a • předává vládnímu CERTu údaje o kybernetických bezpečnostních incidentech bez uvedení ohlašovatele kybernetického bezpečnostního incidentu. • Národní CERT při plnění těchto povinností koordinuje svou činnost s Úřadem.
Systém k zajištění kybernetické bezpečnosti Vládní CERT Vládní CERT je pracoviště Úřadu, které • přijímá oznámení kontaktních údajů od orgánů a osob uvedených v § 3 písm. c) až e), • přijímá hlášení o kybernetických bezpečnostních incidentech od orgánů a osob uvedených v § 3 písm. c) až e), • vyhodnocuje údaje o kybernetických bezpečnostních incidentech z kritické informační infrastruktury a z významných informačních systémů, • poskytuje součinnost orgánům a osobám uvedeným v § 3 písm. c) až e) při výskytu kybernetického bezpečnostního incidentu a kybernetické bezpečnostní události, • přijímá podněty a hlášení o kybernetických bezpečnostních událostech a kybernetických bezpečnostních incidentech od subjektů, které nejsou uvedeny v § 3, a tyto údaje vyhodnocuje, • přijímá údaje o kybernetických bezpečnostních incidentech od provozovatele národního CERTu a tyto údaje vyhodnocuje, •přijímá hlášení o kybernetických bezpečnostních událostech a kybernetických bezpečnostních incidentech od orgánů, které vykonávají působnost v oblasti kybernetické bezpečnosti v zahraničí, a tyto údaje vyhodnocuje,
Systém k zajištění kybernetické bezpečnosti Bezpečnostní opatření
Bezpečnostním opatřením se rozumí souhrn úkonů, jejichž cílem je zajištění bezpečnosti informací a dostupnosti a spolehlivosti služeb a sítí elektronických komunikací v kybernetickém prostoru.
a) organizační opatření a b) technická opatření Povinnost zavést a provádět bezpečnostní opatření zákon ukládá orgánům a osobám podle § 3 písm. c) až e) - KII a VIS
Systém k zajištění kybernetické bezpečnosti Organizační opatření jsou stanoveny v ZKB, jejich obsah je svěřen prováděcímu právnímu předpisu, jde zejména o • systém řízení bezpečnosti informací, • řízení rizik, • bezpečnostní politika, jež určuje cíle, pravidla a požadavky bezpečnosti informací, • organizační bezpečnost, která určuje strukturu, role a funkce řízení bezpečnosti informací, • stanovení bezpečnostních požadavků pro dodavatele, • řízení aktiv, • bezpečnost lidských zdrojů, • řízení provozu kritické informační infrastruktury nebo významného informačního systému, • řízení přístupu osob ke kritické informační infrastruktuře nebo k významnému informačnímu systému, •akvizice, vývoj a údržba kritické informační infrastruktury a významných informačních systémů, • systém zvládání kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů, • řízení kontinuity činností, • kontrola a audit kritické informační infrastruktury a významných informačních systémů.
Systém k zajištění kybernetické bezpečnosti Technická opatření jsou zejména • fyzická bezpečnost, • nástroje pro ověřování identity uživatelů, • nástroje pro řízení přístupových oprávnění, • nástroj pro ochranu před škodlivým kódem, • nástroje pro zaznamenávání činnosti kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a správců, • nástroje pro detekci kybernetických bezpečnostních událostí, • nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí, • stanovení minimálních požadavků a pravidel pro používání kryptografických prostředků, • nástroje pro zajišťování úrovně dostupnosti informací, • bezpečnost průmyslových a řídicích systémů (SCADA).
• Zákon předpokládá vedení bezpečnostní dokumentace, která bude obsahovat souhrn všech bezpečnostních opatření
Systém k zajištění kybernetické bezpečnosti • ZKB předpokládá jiný rozsah bezpečnostních opatření pro správce významných informačních systémů. • Správci IS a KS kritické informační infrastruktury musí zavést a provádět všechna technická a organizační opatření, pro správce významných jsou povinnosti v zásadě mírnější. • Předpokládáme zavedení principu, že nebudeme vynucovat striktní dodržení struktury bezpečnostní dokumentace, když nám správce systému prokáže, že obsah je zachován i v jiné formě – musíme reagovat na skutečnost, že někteří správci bezpečnost již dávno řídí. • Povinnost zavedení BO podle § 4 ZKB splní i ten, kdo předloží, že jeho systém je certifikován podle normy ISO/IEC 27001/2013 a předloží patřičnou dokumentaci
Systém k zajištění kybernetické bezpečnosti Kybernetická bezpečnostní událost a kybernetický bezpečnostní incident
• Kybernetickou bezpečnostní událostí je událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací. • Kybernetickým bezpečnostním incidentem je událost, která představuje narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetického bezpečnostního incidentu. • Stanovena povinnost detekce kybernetických bezpečnostních událostí pro povinné osoby podle § 3 písm. b) až e)
Systém k zajištění kybernetické bezpečnosti Hlášení kybernetického bezpečnostního incidentu • Povinné osoby uvedené v § 3 písm. b) hlásí kybernetické bezpečnostní incidenty provozovateli národního CERT. • Povinné osoby uvedené v § 3 písm. c) až e) hlásí kybernetické bezpečnostní incidenty Úřadu.
Systém k zajištění kybernetické bezpečnosti Evidence Úřad vede evidenci kybernetických bezpečnostních incidentů, která obsahuje • hlášení kybernetického bezpečnostního incidentu, • identifikační údaje systému, ve kterém se kybernetický bezpečnostní incident vyskytl, • údaje o zdroji kybernetického bezpečnostního incidentu a • postup řešení kybernetického bezpečnostního incidentu, jeho výsledek a použitá protiopatření. • součástí evidence mohou být i údaje shromážděné národním CERT
Stanovení povinnosti mlčenlivosti – zprošťuje ředitel Úřadu, poskytování údajů z evidencí výlučně vůči OVM pro výkon jejich působnosti
Systém k zajištění kybernetické bezpečnosti Opatření Opatřeními se rozumí úkony, jichž je třeba k ochraně informačních systémů nebo služeb a sítí elektronických komunikací před hrozbou v oblasti kybernetické bezpečnosti nebo před kybernetickým bezpečnostním incidentem. Druhy opatření: •varování •reaktivní opatření •ochranné opatření Reaktivní opatření jsou povinny provádět povinné osoby podle § 3 písm. c) až e) vždy a povinné osoby podle § 3 písm. a) a b) za stavu kybernetického nebezpečí nebo za nouzového stavu vyhlášeného podle § 21 odst. 6 Ochranné opatření jsou povinny provádět pouze orgány a osoby podle § 3 písm. c) a ž e)
Systém k zajištění kybernetické bezpečnosti Varování
• Úřad vydá varování, dozví-li se zejména z hlásí předběžné protiopatření, dozví-li se zejména z vlastní činnosti nebo z podnětu provozovatele národního CERT anebo od orgánů, které vykonávají působnost v oblasti kybernetické bezpečnosti v zahraničí, o hrozbě v oblasti kybernetické bezpečnosti.
•Úřad zveřejní varování na svých internetových stránkách a oznámí jej orgánům a osobám, jejichž kontaktní údaje jsou vedeny v evidenci kontaktních údajů.
Systém k zajištění kybernetické bezpečnosti Reaktivní opatření
• Reaktivním opatřením se rozumí úkony, které Úřad ukládá za účelem řešení kybernetického bezpečnostního incidentu anebo k zabezpečení informačních systémů nebo sítí a služeb elektronických komunikací před kybernetickým bezpečnostním incidentem.
• Úřad vydá reaktivní opatření rozhodnutím nebo opatřením obecné povahy. Stanovena povinnost oznámit provedení reaktivního opatření a jeho výsledek Úřadu.
Systém k zajištění kybernetické bezpečnosti Ochranné opatření
• Ochranným opatřením se rozumí úkony, které Úřad ukládá na základě analýzy již vyřešeného kybernetického bezpečnostního incidentu za účelem zvýšení ochrany informačních systémů nebo služeb a sítí elektronických komunikací. • Úřad vydá ochranné protiopatření opatřením obecné povahy
Systém k zajištění kybernetické bezpečnosti Kontaktní údaje Kontaktními údaji se rozumí • u právnické osoby obchodní firma nebo název včetně odlišujícího dodatku nebo dalšího označení, adresa sídla, identifikační číslo osoby nebo obdobné číslo přidělované v zahraničí, • u podnikající fyzické osoby obchodní firma nebo název včetně odlišujícího dodatku nebo dalšího označení, adresa místa podnikání a identifikační číslo osoby, • u orgánu veřejné moci jeho název, adresa sídla, identifikační číslo,
• a údaje o fyzické osobě, která je za orgán nebo osobu uvedenou v § 3 pověřena jednat ve věcech upravených tímto zákonem, v rozsahu jméno, příjmení, telefonní číslo a adresa elektronické pošty. Stanovení povinnosti oznamovat rovněž změny v kontaktních údajích
Stav kybernetického nebezpečí • Stav mimořádný, speciální oproti mimořádným stavům vyhlašovaným podle ústavního zákona č. 110/1998 Sb. o bezpečnosti České republiky nebo podle krizového zákona č. 240/2000 Sb. • Možno vyhlásit pokud je ve velkém rozsahu ohrožena bezpečnost informací v IS, bezpečnost služeb nebo bezpečnost a integrita sítí elektronických komunikací a tím by mohlo dojít nebo došlo k ohrožení nebo porušení zájmu České republiky. • Stav KN vyhlašuje ředitel NBÚ. • Vyhlašován na dobu nejdéle 7 dnů , lze prodloužit, ale celková doba nesmí přesáhnout 30 dnů. • není –li možné odvrátit ohrožení bezpečnosti v rámci stavu kybernetického nebezpečí, požádá ředitel NBÚ vládu o vyhlášení nouzového stavu
Kontrola, nápravná opatření a sankce • Výkon státní správy v oblasti kybernetické bezpečnosti vykonává NBÚ. •Kontrola bude probíhat podle pravidel stanovených kontrolním řádem. • Lze předpokládat i společné kontroly s ČTÚ.
Přechodná ustanovení • Pro povinnost oznámit kontaktní údaje – 30 dnů ode dne účinnosti zákona. • Pro povinnost zavést bezpečnostní opatření - 1 rok ode dne určení systému kritickou informační infrastrukturou nebo 1 rok ode dne naplnění určujících kritérií • Pro povinnost hlásit kybernetické bezpečnostní incidenty - 1 rok ode dne účinnosti zákona nebo 1 rok ode dne určení systému kritickou informační infrastrukturou anebo 1 rok ode dne naplnění určujících kritérií. • Pro povinnost provádět opatření - 1 rok ode dne účinnosti zákona.
Účinnost Předpokládaná účinnost je dnem 1. ledna 2015.
ZKB povinnosti - shrnutí 1.
2. 3.
4. 5. 6. 7. 8. 9. 10. 11. 12. 13.
Povinnost oznámit kontaktní údaje a jejich změny (všechny povinné osoby podle § 3). Povinnost detekovat kybernetické bezpečnostní události(povinné osoby podle § 3 písm. b) až d). Povinnost hlásit kybernetické bezpečnostní incidenty (povinné osoby podle § 3 písm. b) až d). Povinnost provádět reaktivní opatření (podle situace jen § 3 písm. c) až e) nebo celý § 3) Povinnost provádět ochranná opatření (povinné osoby podle § 3 písm. c) až e) Povinnost zavést a provádět bezpečnostní opatření (povinné osoby podle § 3 písm. c) až e) Povinnost chránit shromážděné údaje(Úřad a Národní CERT) Povinnost zachovávat mlčenlivost – zaměstnanci Úřadu Povinnost strpět výkon kontroly (povinné osoby podle § 3) Povinnost provést nápravné opatření (povinné osoby podle § 3) Povinnost vybrat provozovatele národního CERT (Úřad) Povinnost navrhnout a určit KII (Úřad) Povinnost oznámit výsledek reaktivního opatření (povinné osoby podle § 3 písm. c) až e).
Prováděcí právní předpisy • Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti • Vyhláška o určujících kritériích významných informačních systémů
Změny právních předpisů • Změna zákona č. 106/1999 Sb., o svobodném přístupu k informacím • Změna zákona č. 127/2005., o elektronických komunikacích • Změna nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury. • Změna zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti.
Děkuji za pozornost.
