Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Transkript

1 Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla Prezident Českého institutu manažerů informační bezpečnosti ales.spidla@cimib.cz Vedoucí oddělení NAKIT, s.p. ales.spidla@nakit.cz

2 Novela zákona o kybernetické bezpečnosti navazující na NIS GDPR - General data protection regulation - Obecné nařízení o ochraně osobních údajů (plus eprivacy důvěrnost elektronických komunikací - jako doplněk GDPR) eidas - Nařizeni Evropského parlamentu o elektronicke identifikaci a službach vytvářejících důvěru pro elektronické transakce na vnitřním (evropském) trhu

3 Novela zákona o kybernetické bezpečnosti navazující na NIS Nové povinné subjekty Provozovatel ( ke správci ) Provozovatel základní služby 1. energetika, 2. doprava, 3. bankovnictví, 4. infrastruktura finančních trhů, 5. zdravotnictví, 6. vodní hospodářství, 7. digitální infrastruktura, 8. chemický průmysl, Vyhláška o určování PZS Poskytovatel digitální služby e-shop vyhledávač poskytovatel cloudu

4 Novela zákona o kybernetické bezpečnosti navazující na NIS Dodavatelské vztahy a zacházení s daty - 4 ZoKB (5) Orgány a osoby uvedené v 3 písm. c) až g), které jsou orgány veřejné moci, jsou povinny si ve smlouvě s poskytovatelem služeb cloud computingu zejména zajistit, že budou dodržována bezpečnostní pravidla pro poskytování služeb cloud computingu stanovená Úřadem, a že budou mít na základě své žádosti bez zbytečného odkladu k dispozici informace a data, která pro ně poskytovatel služeb cloud computingu uchovává včetně možnosti kontroly uchovávaných informací a dat v reálném čase. Dalšími nezbytnými náležitostmi smlouvy jsou a) zakotvení povinnosti poskytovatele služeb respektovat bezpečnostní politiku odběratele služeb, b) stanovení úrovně poskytovaných služeb, c) systém schvalování subdodavatelů služby cloud computingu, d) podmínky ukončení smluvního vztahu z pohledu bezpečnosti, e) řízení kontinuity činností v souvislosti s poskytovanou službou cloud computingu, f) určení vlastníka uchovávaných dat, g) dohoda o důvěrnosti smluvního vztahu, h) stanovení úrovně ochrany dat z pohledu důvěrnosti, dostupnosti a integrity, i) pravidla zákaznického auditu, j) stanovení povinnosti poskytovatele služeb informovat odběratele o kybernetických bezpečnostních incidentech souvisejících s plněním smlouvy. (6) Poskytovatel služby cloud computingu a orgány a osoby uvedené v 3 písm. c) až g), které jsou orgány veřejné moci, si ve smlouvě dále dohodnou způsob a výši úhrady účelně vynaložených nákladů na zavedení bezpečnostních pravidel. (7) Zohlednění požadavků vyplývajících z bezpečnostních pravidel, bezpečnostních opatření a dalších podmínek sjednaných ve smlouvě podle odstavce 5, které jsou nezbytné pro splnění povinností podle tohoto zákona, nelze považovat za nezákonné omezení hospodářské soutěže nebo neodůvodněnou překážku hospodářské soutěži.

5 (2) Náležitosti prokazatelného informování podle odst. 1 písm. c) jsou a) identifikace správce, b) identifikace informačního a komunikačního systému, c) identifikace významného dodavatele, d) vyrozumnění o skutečnosti, že dodavatel je pro správce významným dodavatelem e) informaci o skutečnosti, že významný dodavatel je zároveň provozovatelem podle 2 písm. g) zákona, plní-li i tuto definici, f) pravidla podle odst.1 písm. a). Novela zákona o kybernetické bezpečnosti navazující na NIS Dodavatelské vztahy a zacházení s daty - 7 návrhu VKB (1) Orgán a osoba uvedená v 3 písm. c) až g) zákona, která je správcem a) zavede pravidla pro významné dodavatele, která zohledňují požadavky systému řízení bezpečnosti informací, b) identifikuje své významné dodavatele, c) prokazatelně informuje své významné dodavatele o jejich identifikaci podle písm. b), o jejich roli a seznamuje je s pravidly podle písm. a), d) vyžaduje po dodavatelích plnění pravidel podle písm. a), e) u dodavatelů dále 1) v rámci výběrového řízení a před uzavřením smlouvy provádí hodnocení rizik podle Přílohy č. 2 k této vyhlášce, 2) v rámci uzavíraných smluvních vztahů stanoví způsoby a úrovně realizace bezpečnostních opatření a určí vztah vzájemné smluvní odpovědnosti za zavedení a kontrolu bezpečnostních opatření a 3) provádí pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních opatření u poskytovaných plnění a zjištěné nedostatky odstraňuje nebo po dohodě s dodavatelem zajistí jejich odstranění f) v souvislosti s hodnocením rizik u dodavatelů zajistí, aby smlouvy uzavírané s dodavateli obsahovaly relevantní oblasti uvedené v Příloze č. 7 této vyhlášky.

6 GDPR - General data protection regulation - Obecné nařízení o ochraně osobních údajů Správce osobních údajů určuje účel, rozsah, způsob a prostředky zpracování osobních údajů provádí za jím stanoveným účelem jejich shromažďování, zpracování a uchování. Správce zodpovídá za ochranu osobních údajů Zpracovatel osobních údajů fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který jménem správce zpracovává osobní údaje

7 GDPR - General data protection regulation - Obecné nařízení o ochraně osobních údajů Článek 32 1.S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně: a) pseudonymizace a šifrování osobních údajů; b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; c) schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů; d) procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování. 2.Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim. 3.Jedním z prvků, jimiž lze doložit soulad s požadavky stanovenými v odstavci 1 tohoto článku, je dodržování schváleného kodexu chování uvedeného v článku 40 nebo uplatňování schváleného mechanismu pro vydávání osvědčení uvedeného v článku Správce a zpracovatel přijmou opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Unie nebo členského státu.

8 eidas Nařizeni Evropského parlamentu o elektronicke identifikaci a službach vytvářejících důvěru pro elektronické transakce na vnitřním (evropském) trhu - Účinnost od přechodné období pro ČR 2 roky Uznávání prostředků pro elektronickou identifikaci fyzických (el.podpis) a právnických (el.pečeť) osob Vytvoření Národní identitní autority - stát garantuje vaši identitu v kyberprostoru je to něco nového? Pravidla pro služby vytvářející důvěru, Úplné elektronické podání

9 ZoKB, GDPR, eidas co mají společného Správce Provozovatel Správce Zpracovatel Podobný přístup k implementaci Identifikace organizačních opatření, procesů a systémů na které budou mít dopad Popis technologií, organizační struktury a procesů Analýzy rizik Klasifikace dopadů Implementace opatření Nastavení kontrolních mechanismů Zavedení systému pro hodnocení účinnosti opatření Rozvoj opatření Zavedení systému vzdělávání

10 DĚKUJI ZA POZORNOST