Kybernetický zákon z pohledu dat a informací
15. 10. 2014 | Praha
SAS VS Roadshow 2014
2© 2014 Deloitte Česká republika
Agenda
• Úvod do problematiky
• Právní normy
• Subjekty, kterých se zákon týká
• Základní relevantní pojmy
• Bezpečnostní opatření
• Jak to vlastně funguje?
123
3© 2014 Deloitte Česká republika
Zákon o kybernetické bezpečnosti
• Zákon č. 181/2014 Sb. O kybernetické bezpečnosti ze dne 23. 7. 2014
• Účinnost 1. 1. 2015
• Upravuje práva a povinnosti osob a působnost a pravomoci orgánů veřejné moci v oblasti kybernetické bezpečnosti
• Připravují se prováděcí vyhlášky
123
4© 2014 Deloitte Česká republika
Orgány a osoby, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti
• Poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací1)
• Orgán nebo osoba zajišťující významnou síť 2)
• Správce informačního systému kritické informační infrastruktury,
• Správce komunikačního systému kritické informační infrastruktury
• Správce významného informačního systému.
1) pokud není orgánem nebo osobou podle písmene b),2) pokud nejsou správcem komunikačního systému podle písmene d)
123
Do 1 roku od určení jejich KS KII
Do 1 roku ode dne naplnění určujících kritérií VIS
Do 1 roku od účinnosti zákona
Do 1 roku od určení jejich IS KII
Zave
dení
bezp
ečno
stní
ch o
patř
ení
Plně
ní p
ovin
nost
í
5© 2014 Deloitte Česká republika
Orgány veřejné moci v oblasti kybernetické bezpečnosti
• Státní správu v oblasti kybernetické bezpečnosti vykonává Národní bezpečnostní úřad
• Součástí NBÚ je Vládní CERT
• NBÚ uzavírá smlouvy s Národními CERTy
• Pravomoci a odpovědnosti jednotlivých orgánů veřejné moci jsou vyjmenované v zákoně o kritické bezpečnosti
• CERT = Computer Emergency Response Team
123
6© 2014 Deloitte Česká republika
Kritická informační infrastruktura
• Prvek nebo systém prvků kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti,
• Kritická infrastruktura upravena zákonem č. 240/2000 Sb. Zákon o krizovém řízení a o změně některých zákonů (krizový zákon)
• Kritickou infrastrukturou je prvek kritické infrastruktury nebo systém prvků kritické infrastruktury, narušení jehož funkce by mělo závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu,
• Prvkem kritické infrastruktury je zejména stavba, zařízení, prostředek nebo veřejná infrastruktura, určené podle průřezových a odvětvových kritérií
• Subjektem kritické infrastruktury provozovatel prvku kritické infrastruktury
• Nařízení vlády č. 432/2010 Sb. o kritériích pro určení prvku kritické infrastruktury – připravuje se novela, kterou se změní kritéria pro určení prvku kritické infrastruktury – pro KII relevantní nově navrhovaná odvětvová kritéria pro komunikační a informační systémy
123
7© 2014 Deloitte Česká republika
Významný informační systém (VIS)
• Informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci,
• Národní bezpečnostní úřad a Ministerstvo vnitra stanoví vyhláškou VIS a jejich určující kritéria
• Národní bezpečností úřad stanoví vyhláškou:
• Obsah a strukturu bezpečnostní dokumentace, obsah bezpečnostních opatření a rozsah bezpečnostních opatření podle § 6 písm. a) až c),
• Typy a kategorie kybernetických bezpečnostních incidentů a náležitosti a způsob hlášení kybernetického bezpečnostního incidentu podle § 8 odst. 4,
• Náležitosti oznámení o provedení reaktivního opatření a jeho výsledku podle § 13 odst. 4 a
• Vzor oznámení kontaktních údajů a jeho formu podle § 16 odst. 6.
123
8© 2014 Deloitte Česká republika
Kybernetická bezpečnostní událost x kybernetický bezpečnostní incident
• Kybernetická bezpečnostní událost (KBU)
• událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací.
• Kybernetický bezpečnostní incident (KBI)
• narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací1) v důsledku kybernetické bezpečnostní události.
• Povinné osoby/orgány mají povinnost DETEKCE kybernetických bezpečnostních událostí.
• Povinné osoby/orgány mají povinnost HLÁSIT kybernetické bezpečností incidenty.
123
9© 2014 Deloitte Česká republika
Bezpečnostní opatření podle zákona
• Systém řízení bezpečnosti informací• Řízení rizik• Bezpečnostní politika (ISO 27K)• Organizační bezpečnost – nové role:
• Manažer kybernetické bezpečnosti
• Architekt kybernetické bezpečnosti
• Auditor
• Garant aktiv
• Stanovení bezpečnostních požadavků pro dodavatele
• Řízení aktiv• Bezpečnost lidských zdrojů• Řízení provozu a komunikací KII/VIS• Řízení přístupu ke KII/VIS• Akvizice, vývoj a údržba KII/VIS• Zvládání KBU/KBI• Řízení kontinuity činností• Kontrola a audit KII a VIS
• Fyzická opatření• Nástroje pro ochranu integrity komunikačních
sítí• Nástroj pro ověřování identity uživatelů• Nástroj pro řízení přístupových oprávnění• Nástroj pro ochranu před škodlivým kódem• Nástroj pro zaznamenávání činnosti KII a VIS,
jejich uživatelů, administrátorů• Nástroj pro detekci KBU• Nástroj pro sběr a vyhodnocení KBU• Aplikační bezpečnost• Kryptografické prostředky• Nástroj pro zajišťování úrovně dostupnosti
informací• Bezpečnost průmyslových a řídících systémů
Organizační opatření Technická opatření
123
10© 2014 Deloitte Česká republika
Technická opatření – prostředky k naplnění požadavků zákona
• § 17 Nástroje pro ochranu integrity komunikačních sítí
• § 18 Nástroj pro ověřování identity uživatelů
• § 19 Nástroj pro řízení přístupových oprávnění
• § 20 Nástroj pro ochranu před škodlivým kódem
• § 21 Nástroj pro zaznamenávání činnosti KII a VIS, jejich uživatelů, administrátorů
• § 22 Nástroj pro detekci KBU
• § 23 Nástroj pro sběr a vyhodnocení KBU
• § 24 Aplikační bezpečnost
• § 25 Kryptografické prostředky
• § 26 Nástroj pro zajišťování úrovně dostupnosti informací
Technická opatření
Firewall, Směřovače (segmentace sítě) Vhodné bezdrátové přístupové body
(podporující dostatečnou úroveň šifrování)DLP, IDS/IPS
VPN, SSH
Identity Management System
Antivirus
Provozní monitoringSyslog server
IDS/IPS
SIEM – automatické vyhodnocováníSyslog – manuální vyhodnocování
Penetrační testyVulnerability management systém
Aplikační firewallŠifrátor, Site-2-site VPN
PKIBCP, DRP
HA instalace kritické infrastrukturyZálohovací zařízení
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti bezpečnosti (vyhláška o kybernetické bezpečnosti)
123
11© 2014 Deloitte Česká republika
Jak to vlastně funguje?
Firewall
Kybernetické hrozby
KBU KBI IT systém
Subjekt podle zákona o KB
EVIDENCE KBI
Hlášení KBI
KATEGORIZACE KBI
URČENÍ DOPADU
SIEM
MONITORINGDETEKCE KBUDETEKCE KBI
VYHODNOCOVÁNÍ DAT
IT SecGarant aktiv
Auditor KBArchitekt KBManažer KB
ZVLÁDÁNÍ KBI
NBÚ/CERT
RozhodnutíDatabázeEVIDENCE KBI
ANALÝZYOpatření obecné
povahyOznámení o
provedení opatření
OPATŘENÍ
VarováníReaktivní opatřeníOchranná opatření STAV KYBERNETICKÉ
NOUZE
PROVÁDĚNÍ KONTROL
123
12© 2014 Deloitte Česká republika
Co z toho plyne v oblasti dat?
• Monitorovat provoz a bezpečnost IT infrastruktury
• Monitorovat kybernetické hrozby a útoky
• Detekovat kybernetické bezpečnostní události
• Hlásit kybernetické bezpečnostní incidenty – manuálně/automaticky formou předepsaného hlášení
• Udržovat ISMS – aktiva, analýza rizik….
123
© 2014 Deloitte Česká republika 13
Děkuji za pozornost
Q&A
Vlastimil ČervenýDeloitte AdvisorySenior Manager Security&[email protected]
@deloittece.com
Deloitte označuje jednu či více společností Deloitte Touche Tohmatsu Limited, britské privátní společnosti s ručením omezeným zárukou („DTTL“), jejích členských firem a jejich spřízněných subjektů. Společnost DTTL a každá z jejích členských firem představuje samostatný a nezávislý právní subjekt. Společnost DTTL (rovněž označovaná jako „Deloitte Global“) služby klientům neposkytuje. Podrobný popis právní struktury společnosti Deloitte Touche Tohmatsu Limited a jejích členských firem je uveden na adrese www.deloitte.com/cz/onas.
Společnost Deloitte poskytuje služby v oblasti auditu, daní, poradenství a finančního a právního poradenství klientům v celé řadě odvětví veřejného a soukromého sektoru. Díky globálně propojené síti členských firem ve více než 150 zemích a teritoriích má společnost Deloitte světové možnosti a poskytuje svým klientům vysoce kvalitní služby v oblastech, ve kterých klienti řeší své nejkomplexnější podnikatelské výzvy. Přibližně 200 000 odborníků usiluje o to, aby se společnost Deloitte stala standardem nejvyšší kvality.
Společnost Deloitte ve střední Evropě je regionální organizací subjektů sdružených ve společnosti Deloitte Central Europe Holdings Limited, která je členskou firmou sdružení Deloitte Touche Tohmatsu Limited ve střední Evropě. Odborné služby poskytují dceřiné a přidružené podniky společnosti Deloitte Central Europe Holdings Limited, které jsou samostatnými a nezávislými právními subjekty. Dceřiné a přidružené podniky společnosti Deloitte Central Europe Holdings Limited patří ve středoevropském regionu k předním firmám poskytujícím služby prostřednictvím více než 3 900 zaměstnanců ze 34 pracovišť v 17 zemích.
© 2014 Deloitte Česká republika