2 - SAS

Kybernetický zákon
z pohledu dat a informací
SAS VS Roadshow 2014
15. 10. 2014 | Praha
Agenda
• Úvod do problematiky
•
Právní normy
•
Subjekty, kterých se zákon týká
•
Základní relevantní pojmy
1
2
3
• Bezpečnostní opatření
• Jak to vlastně funguje?
© 2014 Deloitte Česká republika
2
Zákon o kybernetické bezpečnosti
• Zákon č. 181/2014 Sb. O kybernetické bezpečnosti ze dne 23. 7. 2014
1
2
• Účinnost 1. 1. 2015
3
• Upravuje práva a povinnosti osob a působnost a pravomoci orgánů veřejné moci
v oblasti kybernetické bezpečnosti
• Připravují se prováděcí vyhlášky
© 2014 Deloitte Česká republika
3
Orgány a osoby, kterým se ukládají povinnosti
v oblasti kybernetické bezpečnosti
• Orgán nebo osoba zajišťující významnou síť 2)
• Správce informačního systému kritické
informační infrastruktury,
• Správce komunikačního systému kritické
informační infrastruktury
• Správce významného informačního systému.
1)
2)
1
Zavedení bezpečnostních opatření
Plnění povinností
• Poskytovatel služby elektronických
komunikací a subjekt zajišťující síť
elektronických komunikací1)
2
3
Do 1 roku od účinnosti zákona
Do 1 roku od určení jejich IS KII
Do 1 roku od určení jejich KS
KII
Do 1 roku ode dne naplnění
určujících kritérií VIS
pokud není orgánem nebo osobou podle písmene b),
pokud nejsou správcem komunikačního systému podle písmene d)
© 2014 Deloitte Česká republika
4
Orgány veřejné moci v oblasti kybernetické
bezpečnosti
• Státní správu v oblasti kybernetické bezpečnosti vykonává Národní
bezpečnostní úřad
1
2
3
• Součástí NBÚ je Vládní CERT
• NBÚ uzavírá smlouvy s Národními CERTy
• Pravomoci a odpovědnosti jednotlivých orgánů veřejné moci jsou vyjmenované v
zákoně o kritické bezpečnosti
• CERT = Computer Emergency Response Team
© 2014 Deloitte Česká republika
5
Kritická informační infrastruktura
• Prvek nebo systém prvků kritické infrastruktury v odvětví komunikační
a informační systémy v oblasti kybernetické bezpečnosti,
1
2
3
• Kritická infrastruktura upravena zákonem č. 240/2000 Sb. Zákon o krizovém
řízení a o změně některých zákonů (krizový zákon)
•
Kritickou infrastrukturou je prvek kritické infrastruktury nebo systém prvků kritické
infrastruktury, narušení jehož funkce by mělo závažný dopad na bezpečnost státu,
zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku
státu,
•
Prvkem kritické infrastruktury je zejména stavba, zařízení, prostředek nebo veřejná
infrastruktura, určené podle průřezových a odvětvových kritérií
•
Subjektem kritické infrastruktury provozovatel prvku kritické infrastruktury
• Nařízení vlády č. 432/2010 Sb. o kritériích pro určení prvku kritické
infrastruktury – připravuje se novela, kterou se změní kritéria pro určení prvku
kritické infrastruktury – pro KII relevantní nově navrhovaná odvětvová kritéria pro
komunikační a informační systémy
© 2014 Deloitte Česká republika
6
Významný informační systém (VIS)
• Informační systém spravovaný orgánem veřejné moci, který není kritickou
informační infrastrukturou a u kterého narušení bezpečnosti informací může
omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci,
1
2
3
• Národní bezpečnostní úřad a Ministerstvo vnitra stanoví vyhláškou VIS a jejich
určující kritéria
• Národní bezpečností úřad stanoví vyhláškou:
•
Obsah a strukturu bezpečnostní dokumentace, obsah bezpečnostních opatření
a rozsah bezpečnostních opatření podle § 6 písm. a) až c),
•
Typy a kategorie kybernetických bezpečnostních incidentů a náležitosti a způsob
hlášení kybernetického bezpečnostního incidentu podle § 8 odst. 4,
•
Náležitosti oznámení o provedení reaktivního opatření a jeho výsledku podle § 13
odst. 4 a
•
Vzor oznámení kontaktních údajů a jeho formu podle § 16 odst. 6.
© 2014 Deloitte Česká republika
7
Kybernetická bezpečnostní událost x kybernetický
bezpečnostní incident
• Kybernetická bezpečnostní událost (KBU)
•
1
2
událost, která může způsobit narušení bezpečnosti informací v informačních
systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí
elektronických komunikací.
3
• Kybernetický bezpečnostní incident (KBI)
•
narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti
služeb anebo bezpečnosti a integrity sítí elektronických komunikací1) v důsledku
kybernetické bezpečnostní události.
• Povinné osoby/orgány mají povinnost DETEKCE kybernetických bezpečnostních
událostí.
• Povinné osoby/orgány mají povinnost HLÁSIT kybernetické bezpečností
incidenty.
© 2014 Deloitte Česká republika
8
Bezpečnostní opatření podle zákona
Organizační opatření
Technická opatření
•
Systém řízení bezpečnosti informací
•
Fyzická opatření
•
Řízení rizik
•
•
Bezpečnostní politika (ISO 27K)
Nástroje pro ochranu integrity komunikačních
sítí
•
Organizační bezpečnost – nové role:
•
Nástroj pro ověřování identity uživatelů
•
Manažer kybernetické bezpečnosti
•
Nástroj pro řízení přístupových oprávnění
•
Architekt kybernetické bezpečnosti
•
Nástroj pro ochranu před škodlivým kódem
•
Auditor
•
•
Garant aktiv
Nástroj pro zaznamenávání činnosti KII a VIS,
jejich uživatelů, administrátorů
Stanovení bezpečnostních požadavků pro
dodavatele
•
Nástroj pro detekci KBU
•
Nástroj pro sběr a vyhodnocení KBU
•
Řízení aktiv
•
Aplikační bezpečnost
•
Bezpečnost lidských zdrojů
•
Kryptografické prostředky
•
Řízení provozu a komunikací KII/VIS
•
•
Řízení přístupu ke KII/VIS
Nástroj pro zajišťování úrovně dostupnosti
informací
•
Akvizice, vývoj a údržba KII/VIS
•
Bezpečnost průmyslových a řídících systémů
•
Zvládání KBU/KBI
•
Řízení kontinuity činností
•
Kontrola a audit KII a VIS
•
© 2014 Deloitte Česká republika
1
2
3
9
Technická opatření – prostředky k naplnění
požadavků zákona
Technická opatření
•
§ 17 Nástroje pro ochranu integrity
komunikačních sítí
•
§ 18 Nástroj pro ověřování identity uživatelů
•
§ 19 Nástroj pro řízení přístupových oprávnění
•
§ 20 Nástroj pro ochranu před škodlivým
kódem
•
§ 21 Nástroj pro zaznamenávání činnosti KII a
VIS, jejich uživatelů, administrátorů
•
§ 22 Nástroj pro detekci KBU
•
§ 23 Nástroj pro sběr a vyhodnocení KBU
•
§ 24 Aplikační bezpečnost
•
§ 25 Kryptografické prostředky
•
§ 26 Nástroj pro zajišťování úrovně dostupnosti
informací
© 2014 Deloitte Česká republika
Firewall, Směřovače (segmentace sítě)
Vhodné bezdrátové přístupové body
(podporující dostatečnou úroveň šifrování)
DLP, IDS/IPS
VPN, SSH
1
2
Identity Management System
3
Antivirus
Provozní monitoring
Syslog server
IDS/IPS
SIEM – automatické vyhodnocování
Syslog – manuální vyhodnocování
Penetrační testy
Vulnerability management systém
Aplikační firewall
Šifrátor, Site-2-site VPN
PKI
BCP, DRP
HA instalace kritické infrastruktury
Zálohovací zařízení
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních
opatřeních a o stanovení náležitostí podání v oblasti bezpečnosti (vyhláška o kybernetické bezpečnosti)
10
Jak to vlastně funguje?
Kybernetické
hrozby
Subjekt podle zákona o KB
KBU Firewall
KBI
1
IT systém
2
Manažer KB
SIEM
IT Sec
3
Garant aktiv
Architekt KB
Auditor KB
MONITORING
DETEKCE KBU
DETEKCE KBI
VYHODNOCOVÁNÍ
DAT
ZVLÁDÁNÍ KBI
NBÚ/CERT
PROVÁDĚNÍ
KONTROL
KATEGORIZACE KBI
Rozhodnutí
Databáze
EVIDENCE KBI
ANALÝZY
EVIDENCE KBI
OPATŘENÍ
Opatření obecné
povahy
Reaktivní opatření
© 2014 Deloitte Česká republika
Hlášení KBI
Oznámení o
provedení
opatření
Varování
Ochranná opatření
URČENÍ DOPADU
STAV KYBERNETICKÉ
NOUZE
11
Co z toho plyne v oblasti dat?
• Monitorovat provoz a bezpečnost IT infrastruktury
1
2
• Monitorovat kybernetické hrozby a útoky
3
• Detekovat kybernetické bezpečnostní události
• Hlásit kybernetické bezpečnostní incidenty – manuálně/automaticky formou
předepsaného hlášení
• Udržovat ISMS – aktiva, analýza rizik….
© 2014 Deloitte Česká republika
12
Děkuji za pozornost
Q&A
Vlastimil Červený
Deloitte Advisory
Senior Manager Security&Privacy
[email protected]
@deloittece.com
© 2014 Deloitte Česká republika
13
Deloitte označuje jednu či více společností Deloitte Touche Tohmatsu Limited, britské privátní společnosti s ručením omezeným zárukou („DTTL“), jejích
členských firem a jejich spřízněných subjektů. Společnost DTTL a každá z jejích členských firem představuje samostatný a nezávislý právní subjekt.
Společnost DTTL (rovněž označovaná jako „Deloitte Global“) služby klientům neposkytuje. Podrobný popis právní struktury společnosti Deloitte Touche
Tohmatsu Limited a jejích členských firem je uveden na adrese www.deloitte.com/cz/onas.
Společnost Deloitte poskytuje služby v oblasti auditu, daní, poradenství a finančního a právního poradenství klientům v celé řadě odvětví veřejného
a soukromého sektoru. Díky globálně propojené síti členských firem ve více než 150 zemích a teritoriích má společnost Deloitte světové možnosti a poskytuje
svým klientům vysoce kvalitní služby v oblastech, ve kterých klienti řeší své nejkomplexnější podnikatelské výzvy. Přibližně 200 000 odborníků usiluje o to,
aby se společnost Deloitte stala standardem nejvyšší kvality.
Společnost Deloitte ve střední Evropě je regionální organizací subjektů sdružených ve společnosti Deloitte Central Europe Holdings Limited, která je členskou
firmou sdružení Deloitte Touche Tohmatsu Limited ve střední Evropě. Odborné služby poskytují dceřiné a přidružené podniky společnosti Deloitte Central
Europe Holdings Limited, které jsou samostatnými a nezávislými právními subjekty. Dceřiné a přidružené podniky společnosti Deloitte Central Europe
Holdings Limited patří ve středoevropském regionu k předním firmám poskytujícím služby prostřednictvím více než 3 900 zaměstnanců ze 34 pracovišť
v 17 zemích.
© 2014 Deloitte Česká republika