2 - SAS
Transkript
2 - SAS
Kybernetický zákon z pohledu dat a informací SAS VS Roadshow 2014 15. 10. 2014 | Praha Agenda • Úvod do problematiky • Právní normy • Subjekty, kterých se zákon týká • Základní relevantní pojmy 1 2 3 • Bezpečnostní opatření • Jak to vlastně funguje? © 2014 Deloitte Česká republika 2 Zákon o kybernetické bezpečnosti • Zákon č. 181/2014 Sb. O kybernetické bezpečnosti ze dne 23. 7. 2014 1 2 • Účinnost 1. 1. 2015 3 • Upravuje práva a povinnosti osob a působnost a pravomoci orgánů veřejné moci v oblasti kybernetické bezpečnosti • Připravují se prováděcí vyhlášky © 2014 Deloitte Česká republika 3 Orgány a osoby, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti • Orgán nebo osoba zajišťující významnou síť 2) • Správce informačního systému kritické informační infrastruktury, • Správce komunikačního systému kritické informační infrastruktury • Správce významného informačního systému. 1) 2) 1 Zavedení bezpečnostních opatření Plnění povinností • Poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací1) 2 3 Do 1 roku od účinnosti zákona Do 1 roku od určení jejich IS KII Do 1 roku od určení jejich KS KII Do 1 roku ode dne naplnění určujících kritérií VIS pokud není orgánem nebo osobou podle písmene b), pokud nejsou správcem komunikačního systému podle písmene d) © 2014 Deloitte Česká republika 4 Orgány veřejné moci v oblasti kybernetické bezpečnosti • Státní správu v oblasti kybernetické bezpečnosti vykonává Národní bezpečnostní úřad 1 2 3 • Součástí NBÚ je Vládní CERT • NBÚ uzavírá smlouvy s Národními CERTy • Pravomoci a odpovědnosti jednotlivých orgánů veřejné moci jsou vyjmenované v zákoně o kritické bezpečnosti • CERT = Computer Emergency Response Team © 2014 Deloitte Česká republika 5 Kritická informační infrastruktura • Prvek nebo systém prvků kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti, 1 2 3 • Kritická infrastruktura upravena zákonem č. 240/2000 Sb. Zákon o krizovém řízení a o změně některých zákonů (krizový zákon) • Kritickou infrastrukturou je prvek kritické infrastruktury nebo systém prvků kritické infrastruktury, narušení jehož funkce by mělo závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu, • Prvkem kritické infrastruktury je zejména stavba, zařízení, prostředek nebo veřejná infrastruktura, určené podle průřezových a odvětvových kritérií • Subjektem kritické infrastruktury provozovatel prvku kritické infrastruktury • Nařízení vlády č. 432/2010 Sb. o kritériích pro určení prvku kritické infrastruktury – připravuje se novela, kterou se změní kritéria pro určení prvku kritické infrastruktury – pro KII relevantní nově navrhovaná odvětvová kritéria pro komunikační a informační systémy © 2014 Deloitte Česká republika 6 Významný informační systém (VIS) • Informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci, 1 2 3 • Národní bezpečnostní úřad a Ministerstvo vnitra stanoví vyhláškou VIS a jejich určující kritéria • Národní bezpečností úřad stanoví vyhláškou: • Obsah a strukturu bezpečnostní dokumentace, obsah bezpečnostních opatření a rozsah bezpečnostních opatření podle § 6 písm. a) až c), • Typy a kategorie kybernetických bezpečnostních incidentů a náležitosti a způsob hlášení kybernetického bezpečnostního incidentu podle § 8 odst. 4, • Náležitosti oznámení o provedení reaktivního opatření a jeho výsledku podle § 13 odst. 4 a • Vzor oznámení kontaktních údajů a jeho formu podle § 16 odst. 6. © 2014 Deloitte Česká republika 7 Kybernetická bezpečnostní událost x kybernetický bezpečnostní incident • Kybernetická bezpečnostní událost (KBU) • 1 2 událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací. 3 • Kybernetický bezpečnostní incident (KBI) • narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací1) v důsledku kybernetické bezpečnostní události. • Povinné osoby/orgány mají povinnost DETEKCE kybernetických bezpečnostních událostí. • Povinné osoby/orgány mají povinnost HLÁSIT kybernetické bezpečností incidenty. © 2014 Deloitte Česká republika 8 Bezpečnostní opatření podle zákona Organizační opatření Technická opatření • Systém řízení bezpečnosti informací • Fyzická opatření • Řízení rizik • • Bezpečnostní politika (ISO 27K) Nástroje pro ochranu integrity komunikačních sítí • Organizační bezpečnost – nové role: • Nástroj pro ověřování identity uživatelů • Manažer kybernetické bezpečnosti • Nástroj pro řízení přístupových oprávnění • Architekt kybernetické bezpečnosti • Nástroj pro ochranu před škodlivým kódem • Auditor • • Garant aktiv Nástroj pro zaznamenávání činnosti KII a VIS, jejich uživatelů, administrátorů Stanovení bezpečnostních požadavků pro dodavatele • Nástroj pro detekci KBU • Nástroj pro sběr a vyhodnocení KBU • Řízení aktiv • Aplikační bezpečnost • Bezpečnost lidských zdrojů • Kryptografické prostředky • Řízení provozu a komunikací KII/VIS • • Řízení přístupu ke KII/VIS Nástroj pro zajišťování úrovně dostupnosti informací • Akvizice, vývoj a údržba KII/VIS • Bezpečnost průmyslových a řídících systémů • Zvládání KBU/KBI • Řízení kontinuity činností • Kontrola a audit KII a VIS • © 2014 Deloitte Česká republika 1 2 3 9 Technická opatření – prostředky k naplnění požadavků zákona Technická opatření • § 17 Nástroje pro ochranu integrity komunikačních sítí • § 18 Nástroj pro ověřování identity uživatelů • § 19 Nástroj pro řízení přístupových oprávnění • § 20 Nástroj pro ochranu před škodlivým kódem • § 21 Nástroj pro zaznamenávání činnosti KII a VIS, jejich uživatelů, administrátorů • § 22 Nástroj pro detekci KBU • § 23 Nástroj pro sběr a vyhodnocení KBU • § 24 Aplikační bezpečnost • § 25 Kryptografické prostředky • § 26 Nástroj pro zajišťování úrovně dostupnosti informací © 2014 Deloitte Česká republika Firewall, Směřovače (segmentace sítě) Vhodné bezdrátové přístupové body (podporující dostatečnou úroveň šifrování) DLP, IDS/IPS VPN, SSH 1 2 Identity Management System 3 Antivirus Provozní monitoring Syslog server IDS/IPS SIEM – automatické vyhodnocování Syslog – manuální vyhodnocování Penetrační testy Vulnerability management systém Aplikační firewall Šifrátor, Site-2-site VPN PKI BCP, DRP HA instalace kritické infrastruktury Zálohovací zařízení Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti bezpečnosti (vyhláška o kybernetické bezpečnosti) 10 Jak to vlastně funguje? Kybernetické hrozby Subjekt podle zákona o KB KBU Firewall KBI 1 IT systém 2 Manažer KB SIEM IT Sec 3 Garant aktiv Architekt KB Auditor KB MONITORING DETEKCE KBU DETEKCE KBI VYHODNOCOVÁNÍ DAT ZVLÁDÁNÍ KBI NBÚ/CERT PROVÁDĚNÍ KONTROL KATEGORIZACE KBI Rozhodnutí Databáze EVIDENCE KBI ANALÝZY EVIDENCE KBI OPATŘENÍ Opatření obecné povahy Reaktivní opatření © 2014 Deloitte Česká republika Hlášení KBI Oznámení o provedení opatření Varování Ochranná opatření URČENÍ DOPADU STAV KYBERNETICKÉ NOUZE 11 Co z toho plyne v oblasti dat? • Monitorovat provoz a bezpečnost IT infrastruktury 1 2 • Monitorovat kybernetické hrozby a útoky 3 • Detekovat kybernetické bezpečnostní události • Hlásit kybernetické bezpečnostní incidenty – manuálně/automaticky formou předepsaného hlášení • Udržovat ISMS – aktiva, analýza rizik…. © 2014 Deloitte Česká republika 12 Děkuji za pozornost Q&A Vlastimil Červený Deloitte Advisory Senior Manager Security&Privacy [email protected] @deloittece.com © 2014 Deloitte Česká republika 13 Deloitte označuje jednu či více společností Deloitte Touche Tohmatsu Limited, britské privátní společnosti s ručením omezeným zárukou („DTTL“), jejích členských firem a jejich spřízněných subjektů. Společnost DTTL a každá z jejích členských firem představuje samostatný a nezávislý právní subjekt. Společnost DTTL (rovněž označovaná jako „Deloitte Global“) služby klientům neposkytuje. Podrobný popis právní struktury společnosti Deloitte Touche Tohmatsu Limited a jejích členských firem je uveden na adrese www.deloitte.com/cz/onas. Společnost Deloitte poskytuje služby v oblasti auditu, daní, poradenství a finančního a právního poradenství klientům v celé řadě odvětví veřejného a soukromého sektoru. Díky globálně propojené síti členských firem ve více než 150 zemích a teritoriích má společnost Deloitte světové možnosti a poskytuje svým klientům vysoce kvalitní služby v oblastech, ve kterých klienti řeší své nejkomplexnější podnikatelské výzvy. Přibližně 200 000 odborníků usiluje o to, aby se společnost Deloitte stala standardem nejvyšší kvality. Společnost Deloitte ve střední Evropě je regionální organizací subjektů sdružených ve společnosti Deloitte Central Europe Holdings Limited, která je členskou firmou sdružení Deloitte Touche Tohmatsu Limited ve střední Evropě. Odborné služby poskytují dceřiné a přidružené podniky společnosti Deloitte Central Europe Holdings Limited, které jsou samostatnými a nezávislými právními subjekty. Dceřiné a přidružené podniky společnosti Deloitte Central Europe Holdings Limited patří ve středoevropském regionu k předním firmám poskytujícím služby prostřednictvím více než 3 900 zaměstnanců ze 34 pracovišť v 17 zemích. © 2014 Deloitte Česká republika