Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra

Transkript

1 Kybernetická bezpečnost resortu MV ČR 209 Varování NÚKIB JAK POSTUPOVALO MV ČR Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra

2 Program! Působnost Ministerstva vnitra. Legislativní ukotvení. Strategická role MV v oblasti ICT.! Kybernetická bezpečnost resortu MV. Odbor kybernetické bezpečnosti a koordinace ICT. Organizace KB v resortu MV.! Systém řízení bezpečnosti informací resortu MV. Rozsah ISMS resortu MV. Dokumentace ISMS resortu MV. Sjednocené informační prostředí resortu MV.! Aktualizace dokumentace ISMS resortu MV. Metodika identifikace a hodnocení aktiv a rizik. Poznatky při aktualizaci.! Úskalí zajišťování kybernetické bezpečnosti.! Vývoj kybernetických bezpečnostní událostí a incidentů v letech

3 Kybernetická bezpečnost resortu MV

4 Kybernetická bezpečnost resortu MV 4! Cílem a úlohou kybernetické bezpečnosti resortu MV je zabezpečení kybernetického prostoru proti vnějším a vnitřním kybernetickým hrozbám prostřednictvím organizačních a technických opatření a minimalizace možných důsledků případných kybernetických událostí nebo incidentů.! Bezpečnost kybernetického prostoru resortu MV je řízena průběžně zdokonalovaným Systémem řízení bezpečnosti informací (ISMS) a primárně zaměřena dle zákona o kybernetické bezpečnosti na kritickou informační infrastrukturu a významné informační systémy.

5 Organizace KB v resortu MV STRATEGIE OPERATIVA TAKTIKA A OPERATIVA Správce KII a VIS resortu MV Výbor pro řízení kybernetické bezpečnosti resortu MV Odbor kybernetické bezpečnosti a koordinace ICT Architekt KB Styčný manažer KB Manažer KB Technický správce KII a VIS Garant primárních aktiv Administrátor Auditor KB Věcný správce KII a VIS Provozovatel KII a VIS Garant podpůrných aktiv Ministr vnitra PŘEDSEDA První náměstek ministra vnitra pro řízení sekce vnitřní bezpečnosti a policejního vzdělávání MÍSTOPŘEDSEDA Náměstek ministra vnitra pro řízení sekce informačních a komunikačních technologií ČLENOVÉ Policejní prezident. Generální ředitel Hasičského záchranného sboru České republiky. Náměstci ministra vnitra. Státní tajemník v Ministerstvu vnitra. Ředitelé vybraných odborů. Ředitel Správy základních registrů. Ředitel státního podniku Národní agentura pro komunikační a informační technologie, s. p. 5

6 Systém řízení bezpečnosti informací resortu MV

7 Kybernetická bezpečnost resortu MV VNĚJŠÍ HROZBY VNĚJŠÍ HROZBY KYBERNETICKÝ PROSTOR RESORTU PRIMÁRNÍ MV AKTIVA VNITŘNÍ PERIMETR INFORMACE SLUŽBY VNĚJŠÍ PERIMETR INTERNÍ UŽIVATELÉ VNITŘNÍ HROZBY VNITŘNÍ HROZBY DODAVATELÉ EXTERNÍ UŽIVATELÉ 7

8 ISMS DOKUMENTACE ISMS K0 Pegas K02 ISDS K03 CZP K04 AIS EO K05 AIS ECD K06 AIS EOP K07 ISZR/FAIS K08 ROB K09 RPP K AIS C K2 CIS K3 VIS K4 SIS K5 CRZ K6 ITS K7 CMS K8 58 K9 JITKA K20 DCeGOV V0 AIS PČR V02 PVS V03 EKIS V04 AZYl II V05 DP-2 V06 GINIS V09 ISoSS V0 IS ÚESO V RAZR V2 NIA V3 AIS ZBRANĚ 98 SPOLEČNÁ A OSTATNÍ ICT AKTIVA 99 INFRASTRUKTURNÍ PLATFORMA Rozsah ISMS resortu MV 8

9 0 KII Legislativa VIS Politika ISMS ISMS resortu MV x Organizace ISMS Bezpečnostní politiky KII OSTATNÍ (Systémy 98 ) Nx Záznamy x VIS

10 Stránky KB na portálu SIP 0

11 ! ISMS certifikace ISO/IEC 2700:203 ISMS resortu MV

12 Kontinuální rozvoj KB Požadavky Očekávání Legislativa A jednej Udržování, aktualizace a zlepšování ISMS a stanovených bezpečnostních parametrů P plánuj Stanovení ISMS a bezpečnostních parametrů pro jednotlivé KII a VIS C kontroluj Monitorování, přezkoumání a vyhodnocování ISMS a bezpečnostních parametrů D dělej Implementace, udržování ISMS a bezpečnostních parametrů Zabezpečení KII a VIS 2

13 Aktualizace dokumentace ISMS

14 Metodika identifikace a hodnocení aktiv a rizik! Nástroj pro hodnocení aktiv a rizik.! Hodnocení aktiv: D= MAX(Du; In; Do)! Výpočet míry rizika: MR= D Z H Zkratka Popis Vysvětlení D! Legenda: Dopad (hodnota aktiva) / Du Důvěrnost Zhodnocení dopadu neautorizovaného vyzrazení dat. In Integrita Zhodnocení dopadu neautorizované úpravy dat. Do Dostupnost Zhodnocení dopadu ztráty přístupu k datům. MR Míra rizika Možnost, že určitá hrozba využije zranitelnosti aktiva a způsobí škodu. AR Akceptovatelné riziko Riziko, které je přijatelné a není nutné jej zvládat pomocí dalších bezpečnostních opatření. Z Zranitelnost Slabé místo aktiva nebo slabé místo bezpečnostního opatření, které může být zneužito jednou nebo více hrozbami. H Hrozba Potenciální příčina KBU nebo KBI, která může způsobit škodu a která působí na jeden nebo více atributů informační bezpečnosti 4

15 Míra akceptovatelnosti rizik 5 Úroveň Hranice míry rizika Popis Od Do Nízká 20 % Riziko je považováno za přijatelné akceptovatelné. 3 Střední 48 % Riziko může být sníženo méně náročnými opatřeními nebo v případě vyšší náročnosti opatření je riziko akceptovatelné na základě schválení Výboru KB. 4 3 Vysoká 73 % Riziko je dlouhodobě nepřípustné a musí být zahájeny systematické kroky k jeho odstranění Kritická Riziko je nepřípustné a musí být neprodleně zahájeny kroky k jeho odstranění Hodnot a aktiva Hrozba zranitelnost

16 Poznatky při aktualizaci DISMS 6! Poznatky při aktualizaci dokumentace ISMS: Slučování dokumentů a jejich provazba. Jasně nastavené procesy a pravidla. Jednotnost zkratek a pojmů. Jednoduchá textace s ohledem na adresáty. Procesní uchopení tvorby dokumentace.! Základní pravidla při tvorbě dokumentace ISMS:. Určení jasných rolí a odpovědností. 2. Neopakovat nic, co už je někde napsáno (pouze tam, kde to má smysl). 3. Nepsat do dokumentace obecné nic neříkající formulace. 4. Psát jasná a jednoznačná pravidla a postupy. 5. Zachovat logičnost dokumentů, tzv. červenou nit. 6. Pokud je to možné a dává to smysl, vytvářet procesní modely.

17 Úskalí zajišťování kybernetické bezpečnosti

18 Legislativní úskalí KB! Příprava nové vyhlášky č. 37/204 Sb., o významných informačních systémech a jejich určujících kritériích. Nevyjasněny personální ani finanční dopady. V rámci resortu MV by došlo k rozšíření z 30 systémů KII a VIS na 200.! Varování Národního úřadu pro kybernetickou a informační bezpečnost o hrozbě ze dne 7. prosince 208. Nejednoznačnost postupu. Těžko uchopitelné: V případě vyloučení společnostní zmíněných ve varování hrozí riziko soudních řízení ze strany Úřadu pro ochranu hospodářské soutěže a soudních řízení ze strany vyloučených společností. V případě nezohlednění varování hrozí riziko sankcí ze strany Národního úřadu pro kybernetickou a informační bezpečnost a případné uskutečnění hrozeb technických a programových prostředků. 8

19 !!! Náročné prosazování změn, negativní přijímání nových pravidel. Kybernetická bezpečnost je vnímána jako něco obtěžujícího. Neochota nést zodpovědnost. Personální úskalí KB 9

20 Vývoj KBU a KBI v letech

21 Vývoj KBU a KBI v letech = =99 206=24! Celkový počet tiketů na DCeGOV: ! Celkový počet bezpečnostních tiketů na DCeGOV: 667.! Počet kybernetických bezpečnostních událostí vzrostl v roce 208 proti roku 207 o 43 % na 276.! Počet kybernetických bezpečnostních incidentů se zvýšil o, konkrétně na KBI KBU KBU a KBI v měsících roku 208, 207 a Leden Březen Květen Červenec Září Listopad

22 70 KBU a KBI ve dnech kalendářního týdne v letech 208, 207 a 206 Vývoj KBU a KBI v letech Pondělí Úterý Středa Čtvrtek Pátek Sobota Neděle = =99 206=24 Největší počet KBU a KBI Nejmenší počet KBU a KBI Pondělí Pondělí Úterý Neděle Neděle Sobota 22

23 2, ,,4 0,7 HROZBY A ÚTOKY Hrozby a útoky KBU KBI HaU KBUU KBII ,9 mil. 0, mil ČAS ,3 mil. 93,6 mil. 283 KBU A KBI 882, ,5 30 Hrozby a události v kybernetickém prostoru resortu MV 23

24 Před čím? Objem a vyspělost kybernetických hrozeb Jak? Investice Investice do do KB kybernetických bezpečnostních opatření v letech Hrozby a investice do zabezpečení Zabezpečení: Závazek a povinnost Kybernetick ý prostor resortu MV 24

25 Diskuze? Q & A 25

26 Děkuji za pozornost a Váš čas. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT