Bezpečnost IT - od technologie k procesům

Rozměr: px

Začít zobrazení ze stránky:

Download "Bezpečnost IT - od technologie k procesům"

Markéta Staňková
před 8 lety
Počet zobrazení:

1 Bezpečnost IT - od technologie k procesům Konference e-government 20:10, Mikulov Filip Jasz,

2 Agenda Úvod Zákon o kybernetické bezpečnosti a (nejen) jeho dopady Řešení pro pokrytí požadavků zákona 2 Copyright 2014 Hewlett-Packard Copyright 2013 Development HP Autonomy. Company, All rights L.P. reserved. The information Other trademarks contained are herein registered subject trademarks to change and without the properties notice. of their respective owners.

3 Možné přístupy k řešení bezpečnosti Systematický, proaktivní Analýza rizik a hrozeb Návrhy a sestavení procesů, postupů Definice odpovědností Doporučení na zlepšení co, kde a jak řešit Spuštění a provedení projektů na zlepšení Trvalý monitoring a trvalé zlepšování bezpečnosti firmy Ad-hoc, jednorázový Potřeba rychle změnit stávající stav Zpravidla po bezpečnostním incidentu Rychlá reakce, spuštění projektu na vyřešení známého problému Kombinace obou Rychlé spuštění projektu na vyřešení akutního problému Zahájení systematického přístupu analýzou, procesy, odpovědnosti 3

Ad-hoc, jednorázový Potřeba rychle změnit stávající stav Zpravidla po bezpečnostním incidentu Rychlá reakce, spuštění projektu na vyřešení

4 Doporučení HP kombinace obou přístupů Rychlé spuštění projektu na vyřešení známého problému Zahájení systematického přístupu ITSM IT Security management na bázi ISO 27001: Řídící orgány bezpečnosti, odpovědnosti Procesy a postupy, bezpečnostní incident, životní cyklus BI Analýza rizik, vyhodnocení dopadů Návrh postupu na zlepšení stavu možná řešení (alternativy) Posouzení výhodnosti jednotlivých variant Detailní návrh projektů k řešení 4

odpovědnosti Procesy a postupy, bezpečnostní incident, životní cyklus BI Analýza rizik, vyhodnocení dopadů Návrh

5 Agenda Úvod Zákon o kybernetické bezpečnosti a (nejen) jeho dopady Řešení pro pokrytí požadavků zákona 5 Copyright 2014 Hewlett-Packard Copyright 2013 Development HP Autonomy. Company, All rights L.P. reserved. The information Other trademarks contained are herein registered subject trademarks to change and without the properties notice. of their respective owners.

6 Historie Zákona o kybernetické bezpečnosti Legislativní opatření v oblasti kybernetické bezpečnosti Vláda ČR říjnu 2011 schválila usnesení č. 781 a ustanovila NBÚ gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast. Není o kybernetické kriminalitě či terorismu. Na základě přijatého usnesení vzniklo Národní centrum kybernetické bezpečnosti (NCKB), jako součást Národního bezpečnostního úřadu, se sídlem v Brně. Schválen věcný záměr zákona o kybernetické bezpečnosti březen Zpracováno paragrafové znění Q ZKB schválen a vyšel ve Sbírce zákonů v srpnu 2014 pod číslem 181/2014 Sb. 6

Na základě přijatého usnesení vzniklo Národní centrum kybernetické bezpečnosti (NCKB), jako součást Národního bezpečnostního úřadu, se sídlem v Brně.

7 Významné informační systémy Významnými informačními systémy jsou informační systémy: které slouží k výkonu činnosti prvku kritické infrastruktury určeného na základě odvětvových kritérií v odvětví veřejná správa a které nejsou kritickou informační infrastrukturou, které jsou nezbytné pro výkon rozhodujících činností orgánu veřejné moci, zejména zajišťování klíčových správních agend a centrální funkce IS celostátního nebo regionálního významu, u kterých ohrožení nebo omezení činnosti má negativní dopad 1. na poskytování služeb (a informací) obyvatelstvu, 2. na životní prostředí 3. na hospodaření orgánu veřejné moci 4. na fungování jiných informačních systémů, nebo 5. na veřejné zájmy, dobré jméno nebo dobrou pověst 7

klíčových správních agend a centrální funkce IS celostátního nebo regionálního významu, u kterých ohrožení nebo omezení činnosti má negativní dopad 1.

8 Významné informační systémy Mezi VIS rozhodně patří: Základní registry Datové schránky Portál veřejné správy agendové informační systémy, jejichž prostřednictvím editoři zapisují referenční údaje do základních registrů evidence Rejstříku trestů, centrální registr silničních vozidel, centrální registr řidičů, registr pojištěnců všeobecného zdravotního pojištění,... 8

referenční údaje do základních registrů evidence Rejstříku trestů, centrální registr

9 Zákon o kybernetické bezpečnosti Časování. Máme dost času? Zákon do sněmovny Zákon platný Zákon účinný První kontrola březen srpen Příprava zadání Veřejná soutěž Implementace 9

10 Agenda Úvod Zákon o kybernetické bezpečnosti a (nejen) jeho dopady Řešení pro pokrytí požadavků zákona 10 Copyright 2014 Hewlett-Packard Copyright 2013 Development HP Autonomy. Company, All rights L.P. reserved. The information Other trademarks contained are herein registered subject trademarks to change and without the properties notice. of their respective owners.

11 Dopady Zákona o kybernetické bezpečnosti Co musím dělat, abych byl v souladu se zákonem? Mít implementovánu zákonem požadovanou úroveň bezpečnosti Mít schopnost detekovat definované incidenty Umět podávat hlášení na NCKB Umět přijímat požadavky na protiopatření Umět protiopatření zavést 11

Mít implementovánu zákonem požadovanou úroveň bezpečnosti Mít schopnost

12 Dopady Zákona o kybernetické bezpečnosti Co musím dělat, abych byl v souladu se zákonem? Mít implementovánu zákonem požadovanou úroveň bezpečnosti Mít schopnost detekovat definované incidenty Umět podávat hlášení na NCKB Umět přijímat požadavky na protiopatření Umět protiopatření zavést Opatření a protiopatření Vyhodnocení Komunikační rozhraní 11

Mít implementovánu zákonem požadovanou úroveň bezpečnosti Mít schopnost detekovat

13 HP řešení pro informační bezpečnost Portfolio produktů (výběr) 12

14 HP řešení pro informační bezpečnost Portfolio produktů (výběr) HP ArcSight skupina produktů pro správu, zpracování a archivaci událostí HP TippingPoint síťové IPS systémy HP Fortify & WebInspect rodina produktů pro bezpečnostní testování aplikací 12

archivaci událostí HP TippingPoint síťové IPS systémy HP

15 HP řešení pro informační bezpečnost Portfolio produktů (výběr) HP ArcSight skupina produktů pro správu, zpracování a archivaci událostí HP TippingPoint síťové IPS systémy HP Enterprise View systém pro výpočet rizik HP Fortify & WebInspect rodina produktů pro bezpečnostní testování aplikací 12

TippingPoint síťové IPS systémy HP Enterprise View systém pro výpočet

16 HP řešení pro informační bezpečnost Portfolio služeb (výběr) HP má schopnosti a zkušenosti ve zhodnocení stavu připravenosti IT na požadavky Zákona o kybernetické bezpečnosti HP umí řešit navazující problematiku jak procesně, tak produktově HP má široké portfolio v oblasti implementace vlastních bezpečnostních produktů pro pokrytí požadavků zákona o kybernetické bezpečnosti ArcSight, TippingPoint, Fortify, Webinspect, Dataprotector, CVAS HP disponuje certifikovanými odborníky a jasnou představou řešení 13

portfolio v oblasti implementace vlastních bezpečnostních produktů pro pokrytí požadavků zákona o kybernetické bezpečnosti

17 HP řešení pro informační bezpečnost Analýza stávajícího stavu a návrh opatření Procesní Analýza za účelem zavedení ISO Management Informací a událostí (SIEM) Bezpečnostní testování Aplikační Datová Hardwarová infrastruktura Řešení prevence útoků (IPS) Komunikační 14

Management Informací a událostí (SIEM) Bezpečnostní testování

18 Děkuji za pozornost

Podobné dokumenty

TRANSPARENTNOST A KYBERNETICKÁ BEZPEČNOST VE STÁTNÍ SPRÁVĚ. Radek Holý, Manažer ISMS

TRANSPARENTNOST A KYBERNETICKÁ BEZPEČNOST VE STÁTNÍ SPRÁVĚ Radek Holý, Manažer ISMS AGENDA Transparentnost v oblasti VZ Elektronizace agend Procesní modely Uživatele Role v systému PKI Elektronické dokumenty