Zákon o kybernetické bezpečnosti a jeho dopad na finanční instituce

Transkript

1 Zákn kybernetické bezpečnsti a jeh dpad na finanční instituce Adam Kučínský Seminář: Kybernetická rizika ve finančních institucích 21. května 2019, Clarin Htel Prague City, Praha 1 Disclaimer Prezentace bsahuje infrmace platné ke dni její realizace, tedy k Infrmace, fakta a údaje bsažené v prezentaci mají infrmační a světvý charakter. Pr zajištění suladu se záknem kybernetické bezpečnsti je nutn vycházet z aktuálně účinné legislativy. Aplikaci takvých infrmací či patření je nutné vždy vztahvat ke knkrétním systémům a institucím. 2 1

2 Nárdní úřad pr kyberneticku a infrmační bezpečnst Ústřední správní rgán pr: kyberneticku bezpečnst chranu utajvaných infrmací v blasti infrmačních a kmunikačních systémů kryptgraficku chranu prblematiku neveřejné služby v rámci družicvéh systému Galile Služby NÚKIB v blasti kybernetické bezpečnsti: prvz Vládníh CERT České republiky splupráce s statními CERT A CSIRT světa a pdpra vzdělávání chrana utajvaných infrmací v blasti IS/KS kryptgrafická chrana 3 Struktura NÚKIB Oddělení kntrly Interní auditr Ředitel NÚKIB Sekce prvzně právní Sekce bezpečnsti digitalizace, výzkumu a vzdělávání Odbr vzdělávání, výzkumu a prjektů Odbr PRS Odbr bezpečnsti infrmačních a kmunikačních technlgií Sekce technická Odbr infrmačních technlgií Oddělení bezpečnsti Odbr kybernetických bezpečnstních plitik Sekce NCKB Odbr vládní CERT Odbr regulace Adam Kučínský,

3 Odbr kybernetických bezpečnstních plitik Připravuje dluhdbu strategii a pskytuje analýzu, a ptřebnu expertízu, aby ČR plnila všechny stanvené cíle v blasti zajišťvání kybernetické bezpečnsti, a t c nejefektivnějším způsbem Kybernetická cvičení (technická i netechnická - Table Tp) Příprava strategických analýz Zastupvání ČR v EU, NATO, OBSE Tvrba (netechnických) analytických materiálů a strategických briefingů k hrzbám a trendům v blasti KB Adam Kučínský, Vládní CERT Primární zaměření: veřejný sektr, kritická infrmační infrastruktura, prvzvatelé základních služeb Krdinační tým (nejedná se interní typ) Struktura týmu: Zpracvání incidentů Vývj a bezpečnstní testvání Síťvá bezpečnst Analytická skupina Základní služby: Reaktivní: zpracvání a řešení incidentů, zpracvání artefaktů a analýza dat Detekční: detekce anmálií, zpracvání indikátrů kmprmitace Praktivní: krdinace v rámci české bezpečnstní kmunity a sdílení infrmací, penetrační testvání, kybernetická cvičení a další Adam Kučínský,

4 Vládní CERT Hlášené incidenty - přibližně 30 měsíčně Stabilní trend Sběr infrmací 25% Klasifikace incidentů Dstupnst 27% Ostatní 6% Administrati vní 3% Škdlivý bsah 16% Pkus průnik 9% Pdvd 10% Průnik 2% Narušení infrmační bezpečnsti 2% Adam Kučínský, Oddělení kntrly Kntrla pvinnstí pvinných subjektů dle ZKB Metdická pmc Kntrla ddržvání ZKB přistupujeme k ní pdbně jak k auditu systému řízení bezpečnsti infrmací pdle ISO , cž přináší přidanu hdntu i pr regulvané subjekty v rce 2016 byl 80 % kntrlvaných v nesuladu, d té dby jsu patrná významná zlepšení Przatím neprvádíme kntrlu ddržvání ZKB u jiných, než KII/VIS subjektů. 8 Adam Kučínský,

5 Odbr regulace Určvání pvinných sb KII, PZS, pdpra identifikace pskytvatelů digitálních služeb a VIS Výklad zákna kybernetické bezpečnsti a suvisejících právních předpisů Zdpvídání dtazů k prblematice aplikace ZKB Splupráce s OK v zdpvídání dtazů na pžadavky ZKB a VKB Pskytvání metdické pdpry Tvrba pdpůrných materiálů dstupných na webu Adam Kučínský, Vyhláška č. 82/2018 Sb., kybernetické bezpečnsti Adam Kučínský,

6 Zákn kybernetické bezpečnsti Upravuje práva a pvinnsti sb a půsbnst a pravmci rgánů veřejné mci v blasti kybernetické bezpečnsti Obsahuje základní nezbytné definice Transpnuje směrnici NIS Cílem je stanvit: základní úrveň bezpečnstních patření, zlepšit detekci a zavést hlášení kybernetických bezpečnstních incidentů, zavést systém patření k reakci na kybernetické bezpečnstní incidenty upravit činnst dhledvých pracvišť Zavádí stav kybernetickéh nebezpečí Zřizuje Nárdní úřad pr kyberneticku a infrmační bezpečnst (NÚKIB) Adam Kučínský, Dhledvá pracviště v ČR pdle ZKB Vládní CERT a Nárdní CERT Hlavní úkl: vyhdncvání kybernetické bezpečnstní situace v infrmačních a kmunikačních systémech chrana těcht systémů před kybernetickými bezpečnstními incidenty Základním smyslem fungvání dhledvých pracvišť je vyhdncvání infrmací výskytu kybernetických bezpečnstních incidentů z pkud mžn c největšíh mnžství infrmačních a kmunikačních systémů Rzdělení gesce v kyberprstru Sukrmprávní X Veřejnprávní pdstata Splupráce Vedle těcht existují i další CERT Adam Kučínský,

7 Nárdní CERT Osba sukrméh práva Bez nařizvacích neb sankčních pravmcí Kntaktní míst pr některé pvinné sby ZKB zejména pr sby sukrméh práva (ne nutně - viz dále) K vyhdncvání a metdické pdpře subjektů, které aktivně prjeví zájem výhdy klektivní chrany před kybernetickými bezpečnstními incidenty K výknu své činnsti právněn na základě veřejnprávní smluvy uzavírané s Úřadem vybrán Úřadem v řízení výběru žádsti pdle správníh řádu V sučasné dbě jej prvzuje sdružení CZ.NIC Adam Kučínský, Struktura pvinných pdle ZKB 3 ZKB a) pskytvatelé služeb elektrnických kmunikací, subjekt zajišťující sít elektrnických kmunikací b) rgán neb sba zajišťující významnu síť h) Pskytvatel digitálních služeb c) správce a prvzvatel IS KII d) správce a prvzvatel KS KII e) správce a prvzvatel VIS f) správce a prvzvatel IS základní služby g) prvzvatel základní služby NÁRODNÍ CERT CZ.NIC VLÁDNÍ CERT NÚKIB Pzn.: Písmena dpvídají písmenům v ZKB Adam Kučínský,

8 Pskytvatelé služeb el. kmunikací, subjekty zajišťující síť el. kmunikací - 3 písm. a) ZKB Zákn č. 127/2005 Sb., elektrnických kmunikacích 2 písm. f) ZEK zajišťváním sítě elektrnických kmunikací zřízení tét sítě, její prvzvání, dhled nadní nebjejí zpřístupnění 2 písm. n) ZEK službu elektrnických kmunikací služba bvykle pskytvaná za úplatu, která spčívá zcela neb převážně v přensu signálů p sítích elektrnických kmunikací --> ISP Určvání neprbíhá sby definvány zák. el. kmunikacích Sféra Nárdníh CERTu Puze pvinnst hlásit kntaktní údaje Adam Kučínský, Orgán neb sba zajišťující významnu síť 3 písm. b) ZKB Významná síť ( 2 písm. g ZKB) síť elektrnických kmunikací zajišťující přímé zahraniční prpjení d veřejných kmunikačních sítí neb zajišťující přímé připjení ke kritické infrmační infrastruktuře Určvání neprbíhá pvinný subjekt určen přím definicí v ZKB Sféra Nárdníh CERTu Pvinnst hlásit kntaktní údaje Pvinnst detekvat kybernetické bezpečnstí událsti Pvinnst hlásit incidenty Změny v suvislsti s nvelami ZKB neprbíhaly Adam Kučínský,

9 Prvzvatel základní služby Základní službu je: služba, jejíž pskytvání je závislé na infrmačních systémech neb sítích elektrnických kmunikací a jejíž narušení by mhl mít významný dpad na zabezpečení splečenských neb eknmických činnstí v některém z dvětví: energetiky, dpravy, bankvnictví, infrastruktury finančních trhů, zdravtnictví, vdníh hspdářství, digitální infrastruktury neb chemickéh průmyslu. Pstup určení NÚKIB vytipuje s pmcí kritérií ve vyhlášce č. 437/2017 Sb., kritériích pr určení prvzvatele základní služby relevantní subjekty, které slví a zahájí správní řízení jejich určení. Prběhnu jednání mezi NÚKIB a určvaným subjektem. Určvání je správním řízením Adam Kučínský, Přílha vyhlášky č. 437/2017 Sb. 3. Bankvnictví Adam Kučínský,

10 Přílha vyhlášky č. 437/2017 Sb. 4. Infrastruktura finančních trhů Adam Kučínský, Kritická infrmační infrastruktura (KII) KII = Prvek neb systém prvků kritické infrastruktury (KI) v dvětví kmunikační a infrmační systémy v blasti kybernetické bezpečnsti ( 2 písm. b) ZKB) Kmplex infrmačních a kmunikačních systémů, jejichž narušení by mhl způsbit závažný dpad na bezpečnst státu, zabezpečení základních živtních ptřeb byvatelstva, zdraví sb neb eknmiku státu ( 2 písm. g, krizvéh zákna) Určena pdle stanvených průřezvých a dvětvvých kritérií v blasti kybernetické bezpečnsti ( 2 písm. i), krizvéh zákna, NV 432/2010 Sb.,) Stejně jak KI se týká veřejnprávních i sukrmprávních subjektů Adam Kučínský,

11 Kritická infrmační infrastruktura (KII) Systémy důležité pr chd státu a eknmiky Sféra Vládníh CERTu Určuje/navrhuje NÚKIB Nejpřísnější regulace pvinnst plnit celý ZKB: Hlásí kntaktní údaje Detekuje a hlásí incidenty Pvinnst zavést bezpečnstí patření pdle vyhlášky č. 82/2018 Sb. Prvádí chranná a reaktivní patření vydaná NÚKIB Adam Kučínský, Pskytvatel digitální služby (DSP) Pskytvatel digitální služby ( 3 písm. h) ZKB). digitální službu služba infrmační splečnsti pdle zákna upravujícíh některé služby infrmační splečnsti, která spčívá v prvzvání 1. n-line tržiště, 2. internetvéh vyhledávače, 3. clud cmputingu. Určení: rgán neb sba psudí naplnění kritérií a nahlásí se jak pvinná sba Nárdnímu CERT Regulace se netýká malých a mikr pdniků <50 zaměstnanců a rční bilanční suma neb brat <10 mil. Funguje zde princip samurčení naplnění definice = pvinná sba Prváděcí nařízení Kmise č. 2018/151 stanvuje pvinnsti subjektů Maximální harmnizace Adam Kučínský,

12 DSP c je tedy tím On-line tržištěm Za n-line tržiště se pvažují platfrmy, které vystupují jak prstředník mezi prdávajícími pdnikateli (prdávající) a sptřebiteli a pdnikateli (zde v pzici kupujících) a umžňuje prdej zbží či služeb. Jedná se službu, která umžňuje sptřebitelům a pdnikatelům (kupujícím) uzavírat s prdávajícími pdnikateli (prdávající) smluvy přím prstřednictvím n-line tržiště, a t s knečnu platnstí. 23 Za n-line tržiště se nepvažují webvé stránky, které přesměrvávají uživatele na další webvé stránky, aby až tam uzavřeli smluvu (např. srvnávače cen) služí puze k prpjení prdávajících pdnikatelů (prdávajících) se sptřebiteli a prdávajícími (kupující) (např. inzertní webvé stránky) služí prdávajícímu pdnikateli (prdávající) přím k prdeji zbží sptřebitelům a prdávajícím (kupující)(např. nline malbchd). Adam Kučínský, DSP - Internetvý vyhledávač a Clud B. Internetvý vyhledávač umžňuje prvádět vyhledávání v zásadě na všech internetvých stránkách, na základě dtazu uživatele na jakékliv téma v pdbě klíčvéh slva, suslví neb jinéh zadání, služba pskytuje dkazy, na nichž lze nalézt infrmace suvisející s pžadvaným bsahem C. Clud cmputing digitální služba umžňující přístup k rzšiřitelnému a přizpůsbitelnému úlžišti výpčetních zdrjů, které je mžn sdílet. Nepatří sem firemní cludy služící pr uzavřenu skupinu Tent pjem tak zahrnuje různé typy clud cmputingu: IaaS (Infrastructure asa Service), PaaS (Platfrm as a Service) neb SaaS (Sftware as a Service). Více k DSP a jejich identifikaci: Adam Kučínský,

13 Významný infrmační systém Významným infrmačním systémem se rzumí infrmační systém spravvaný rgánem veřejné mci, který není kriticku infrmační infrastrukturu ani infrmačním systémem základní služby a u kteréh narušení bezpečnsti infrmací může mezit neb výrazně hrzit výkn půsbnsti rgánu veřejné mci. Puze státní sektr Pstup určení: rgán neb sba psudí naplnění kritérií dle vyhlášky č. 317/2014 Sb. a nahlásí se jak pvinná sba NÚKIB neb infrmační systém je zahrnut d přílhy vyhlášky č. 317/2014 Sb. Adam Kučínský, Správce a prvzvatel Správcem ( 3 písm. f)) je ten, kd určuje účel zpracvání infrmací a pdmínky jeh prvzvání. tj. ten, kd systém vlastní vždy jen jeden subjekt Prvzvatelem ( 3 písm. f)) je ten, kd zajišťuje funkčnst technických (hardware) a prgramvých (sftware) prstředků jej tvřících. tj. důležití neb hlavní ddavatelé jeden neb více subjektů Puze u KII, VIS, PZS Adam Kučínský,

14 Přehled pvinnstí pdle ZKB Nahlášení kntaktních údajů ( 16 ZKB) Všechny pvinné sby KII, VIS, PZS vládní CERT, Sítě elektrnických kmunikací a významné sítě, DSP Nárdní CERT Hlášení kybernetických bezpečnstních incidentů ( 8 ZKB) KII, VIS, významné sítě, PZS významné sítě, DSP Nárdní CERT Zavedení bezpečnstních patření (standardizace) ( 4 ZKB) KII, VIS, PZS, DSP puze některá patření Opatření vydané NÚKIB ( 11 ZKB) Varvání, reaktivní patření, chranné patření KII, VIS, PZS Významné sítě a pskytvatelé služby el. kmunikací puze za stavu kybernetickéh nebezpečí, puze reaktivní patření Adam Kučínský, Bezpečnstní patření vyhláška kybernetické bezpečnsti Adam Kučínský,

15 Bezpečnstní patření v ZKB ( 4 a 5 ZKB) Bezpečnstním patřením se rzumí suhrn úknů a pstupů, jejichž cílem je zajištění bezpečnsti infrmací a dstupnsti a splehlivsti služeb a sítí v kybernetickém prstru. Druhy bezpečnstních patření: rganizační patření technická patření Bezpečnstní patření specifikvána ve VKB (č. 82/2018 Sb.) Vychází zejména z ISO 27K č. j. materiálu: 265/2018-NÚKIB-E/210 Adam Kučínský, Obsah vyhlášky č. 82/2018 Sb. Vyhláška č. 82/2018 Sb. stanvuje bsah bezpečnstních patření, bsah a strukturu bezpečnstní dkumentace, při kntrle je klíčvý bsah dkumentu nikliv pčet stránek či název, rzsah bezpečnstních patření pr rgány a sby uvedené v 3 písm. c) až f) ZKB. Nahrazuje vyhlášku č. 316/2014 Sb. Kntext Vůdčí rle Plánvání prvzvání Pžadavky pstaveny na rdině nrem ISO 27k. plan d PDCA cyklus act ISO chceck zlepšvání Hdncení výknnsti 30 15

16 Bezpečnstní patření ve VKB C je bezpečnstní patření? ZKB 4 dst. 1) Bezpečnstním patřením se rzumí suhrn úknů, jejichž cílem je zajištění bezpečnsti infrmací v infrmačních systémech a dstupnsti a splehlivsti služeb a sítí elektrnických kmunikací v kybernetickém prstru. Implementace ZKB 4 dst. 2) Orgány a sby uvedené v 3 písm. c) až f) jsu pvinny zavést a prvádět bezpečnstní patření v rzsahu nezbytném pr zajištění kybernetické bezpečnsti infrmačníh systému kritické infrmační infrastruktury, kmunikačníh systému kritické infrmační infrastruktury, infrmačníh systému základní služby a významnéh infrmačníh systému a vést nich bezpečnstní dkumentaci. Princip VKB VKB 3 písm. a) stanví s hledem na pžadavky dtčených stran a rganizační bezpečnst rzsah systému řízení bezpečnsti infrmací, ve kterém určí rganizační části a aktiva, jichž se systém řízení bezpečnsti infrmací týká, VKB 3 písm. b) stanví cíle systému řízení bezpečnsti infrmací, VKB 3 písm. c) pr stanvený rzsah systému řízení bezpečnsti infrmací na základě cílů systému řízení bezpečnsti infrmací, bezpečnstních ptřeb a hdncení rizik zavede přiměřená bezpečnstní patření, 31 Bezpečnstní patření Organizační patření Systém řízení bezpečnsti infrmací Řízení aktiv Řízení rizik Organizační bezpečnst Bezpečnstní rle Řízení ddavatelů Bezpečnst lidských zdrjů Řízení prvzu a kmunikací Řízení změn Řízení přístupu Akvizice, vývj a údržba Zvládání kybernetických bezpečnstních událstí a incidentů Řízení kntinuity činnstí Audit kybernetické bezpečnsti Bezpečnstní plitika a bezpečnstní dkumentace 32 16

17 Systém řízení bezpečnsti infrmací ( 3 VKB) Průřezvý paragraf, prvádění auditu, nastavení rzsahu ISMS, identifikace významných změn, stanvení cílů, aktualizace ISMS. zavádí bezpečnstní patření, řídí rizika, vyhdncení účinnsti, PDCA cyklus: stanvení rzsahu ISMS řízení rizik stanvení bezpečnstních plitik zajištění bezpečnéh prvzu ICT mnitrvání a vyhdncvání účinnsti a vhdnsti prvádění auditu zlepšvání Plan Act D Check 33 Organizační a administrativní zajištění úklů Pvinnst v rámci systému řízení bezpečnsti infrmací Řídit rizika a aktiva Vytvřit a schválit bezpečnstní plitiku Stanvit pžadavky na ddavatele Zavést a řídit rganizační bezpečnst a bezp. lidských zdrjů Prvádět kntrlu a audit Zavádět bezpečnstní patření a vést nich dkumentaci Business Cntinuity Management a další... Nejméně jednu za tři rky neb v suvislsti s prváděnými neb plánvanými změnami aktualizvat hdncení aktiv a rizik, bezpečnstní plitiku, plán zvládání rizik, plán rzvje bezpečnstníh pvědmí Adam Kučínský,

18 Řízení aktiv 4 VKB Stanví metdiku, identifikuje a eviduje aktiva, určí a eviduje garanty aktiv, hdntí a eviduje primární aktiva, určí a eviduje vazby mezi primárními a pdpůrnými aktivy, hdntí pdpůrná aktiva, na základě hdncení aktiv => patření, stanví způsby manipulace, pužití aktiv, určí způsb likvidace. 35 Primární aktiva - infrmace neb služba, t c má pr rganizaci hdntu Pdpůrná aktiva - technická aktiva, zaměstnanci a ddavatelé Hdncení důležitsti aktiv: dstupnst, důvěrnst, Integrita. Z hdnty aktiva se dvzuje dpad. Při hdncení důležitsti primárních aktiv je třeba psudit alespň: rzsah narušení běžných činnstí, rzsah a důležitst sbních údajů, zvláštní kategrie sbních údajů neb bchdníh tajemství, rzsah dtčených právních pvinnstí neb jiných závazků, dpady na pskytvání důležitých služeb, dpady na bezpečnst a zdraví sb,... ISO 27001, A8 Řízení rizik 5 VKB Stanví metdiku, stanví kritéria pr akcept. Rizika, identifikuje relevantní hrzby a zranitelnsti, zpracuje prhlášení aplikvatelnsti, zpracuje plán zvládání rizik, AR je závislá na správném hdncení aktiv. HROZBA chrání před OPATŘENÍ jsu splněny zavedením POŽADAVKY NA OCHRANU zvyšuje snižuje indikuje využívá RIZIKO zvyšuje zvyšuje ZRANITELNOST je vystaven AKTIVUM má HODNOTA Rizik je kmbinací hrzby, zranitelnsti a dpadu. Rizik = hrzba * zranitelnst * dpad Úrveň Nízká Střední Vyská Kritická Ppis Rizik je pvažván za přijatelné. Rizik může být snížen méně nárčnými patřeními neb v případě vyšší nárčnsti patření je rizik přijatelné. Rizik je dluhdbě nepřípustné a musí být zahájeny systematické krky k jeh dstranění. Rizik je nepřípustné a musí být neprdleně zahájeny krky k jeh dstranění. Rizika, která musí být snižvána ISO

19 Plán zvládání rizik, Prhlášení aplikvatelnsti Plán zvládání rizik (Risk Treatment Plan (RTP)) bsahuje: cíle a přínsy bezpečnstních patření pr zvládání rizik, sby zajišťující prsazvání bezpečnstních patření pr zvládání rizik, ptřebné zdrje, termíny zavedení bezpečnstních patření, ppis vazeb mezi riziky a příslušnými bezpečnstními patřeními. Prhlášení aplikvatelnsti (Statement f Applicability (SA)) bsahuje: přehled zavedených a nezavedených bezpečnstních patření, způsby zavedení bezpečnstních patření, důvdy nezavedení bezpečnstních patření. Adam Kučínský, Organizační bezpečnst 6 VKB Míří na vrchlvé vedení, zastávajících bezpečnstní rle, průřezvé pvinnsti k prsazvání, efektivníh systému řízení bezpečnsti infrmací, zajištění zdrjů, určí slžení výbru, zavede bezpečnstní rle, zajistí zastupitelnst bezpečnstních rlí. mlčenlivst administrátrů a sb Zaměstnanci musí vidět pdpru i d vrchlvéh vedení. KII a PZS určí sby pr rle: manažera kybernetické bezpečnsti, architekta kybernetické bezpečnsti, garanta aktiva a auditra kybernetické bezpečnsti. VIS určí sby pr rle: manažera kybernetické bezpečnsti, architekta kybernetické bezpečnsti, statní rle přiměřeně. Zastupitelnst: KII a PZS zajistí zastupitelnst rlí manažera KB a architekta KB, VIS zajistí zastupitelnst rle manažer KB. Výbr pr řízení KB: Má být tvřen sbami s příslušnými pravmcemi a dbrnu způsbilstí pr celkvé řízení a rzvj ISMS a sbami významně se pdílejícími na řízení a krdinaci činnstí spjených s KB, minimálně jeden zástupce vrchlvéh vedení, neb jím pvěřená sba (pvěřená sba musí mít příslušné pravmce), manažerem KB. ISO 27001, A

20 STRATEGICKÁ ÚROVEŇ TAKTICKÁ ÚROVEŇ OPERATIVNÍ ÚROVEŇ Bezpečnstní rle 6 VKB Manažer KB, Architekt KB, Garant aktiva, Auditr KB, praxe 3 rky, neb 1 rk + VŠ, dpručující přílha č. 6. Přílha č. 6 (dpručení): klíčvé činnsti, znalsti, zkušensti, vzdělání praxe, relevantní certifikace, přílha je dpručující. VÝBOR PRO ŘÍZENÍ KYBERNETICKÉ BEZPEČNOSTI MANAŽER KYBERNETICKÉ BEZPEČNOSTI GARANT AKTIVA AUDITOR KYBERNETICKÉ BEZPEČNOSTI ARCHITEKT KYBERNETICKÉ BEZPEČNOSTI 39 zdrj: ISO 27001, A.6.1 Bezpečnstní rle (rganizační bezpečnst) 6 a 7 VKB Výbr pr řízení kybernetické bezpečnsti pvinně KII i VIS i PZS Stanví práva a pvinnsti a určí bezpečnstní rle Definuje strategie, rzhduje financích, kntrluje a řídí na nejvyšší úrvni Celkvé řízení a rzvj KII a VIS Garant aktiva pvinně KII i VIS i PZS Osba pvěřená k zajištění rzvje, pužití a bezpečnsti aktiva Např. veducí zaměstnanec dpvědný za výkn činnsti pr kteru je IS/KS určen Manažer KB zajistí KII, PZS a nvě i VIS Pr KII a PZS navíc pvinnst zřídit i rli architekta KB, auditra KB VIS stanví statní rle přiměřeně Obecně je ptřeba mít někh, kd bude za kyberneticku bezpečnst dpvědný a bude se jí zabývat Adam Kučínský,

21 Řízení ddavatelů 8 VKB Stanvení pravidel pr ddavatele. Seznamuje svje ddavatele s pravidly. Řídí rizika spjená s ddavateli. Eviduje a infrmuje významné ddavatele. Náležitsti smluv v přílze č. 7 (pvinné u významných ddavatelů). Pžadavky na významné ddavatele řízení rizik při výběrvém řízení, nastavení způsbů a úrvní realizace bezp. patření a nastavení dpvědnstí, pravidelná kntrla bezp. Opatření u pskytvaných plnění. Náležitsti smluv: Přílha č. 7 VKB bezpečnst infrmací (C-I-A), právnění užívání dat, autrská práva, zákaznický audit, řetězení ddavatelů, pvinnst ddržvat plitiky, řízení změn, uknčení smluvních vztahů, specifikace frmátů pr předání dat, BCM (zahrnutí ddavatelů), pravidla pr likvidaci dat, významná změna kntrly nad ddavatelem, sankce za prušení pvinnstí. ISO 27001, A Bezpečnst lidských zdrjů 9 VKB Pučení všech jejich pvinnstech. Stanvení plánu rzvje bezp. pvědmí. Plán se vztahuje na: uživatele, administrátry, sby zastávající bezp. Rle. Plán bsahuje: frmu, bsah, rzsah. Stanví zdpvědné sby. Zajistí vstupní a pravidelná šklení. Zaměří se i na dbrná (individuální) šklení. Hdntí účinnst plánu. Nastavení pravidel a pstupů při prušení pravidel. Zajišťuje kntrlu ddržvání bezpečnstní plitiky. Zajištění předání dpvědnstí. Řízená dkumentace. Zajištění ptřebných šklení. Zajištění finančních zdrjů. Občasná kntrla ddržvání pvinnstí. Zajištění dstupnsti ptřebných materiálů pr všechny uživatele. ISO 27001, A

22 Řízení prvzu a kmunikací 10 VKB Stanvení prvzních pravidel a pstupů. Tyt pravidla a pstupy bsahují zejména. Práva a pvinnsti administrátrů, uživatel, sb zastávající bezp. rle. Pravidla a Pstupy pr: spuštění systému, uknčení systému, restart systému p selhání systému, bnvu systému p selhání systému, šetření chybvých stavů, šetření mimřádných jevů, sledvání KBU, nastavení patření k chraně přístupu k záznamům KBU, chranu před škdlivým kódem, schvalvání prvzních změn, sledvání, plánvání a řízení kapacity lidských a technických zdrjů, pr chranu infrmací a dat v průběhu celéh živtníh cyklu, instalaci technických aktiv, zajištění bezpečnsti síťvých služeb. Řízení technických zranitelnstí. Spjení na kntaktní sby. Prvádění pravidelnéh zálhvání a kntrly pužitelnsti prvedených zálh. Tyt pravidla a pstupy je nutné pravidelně aktualizvat v suvislsti s prváděnými neb plánvanými změnami. Oddělení vývjvéh, testvacíh a prvzníh prstředí. Vedení aktuální dkumentace pr řízení a prvz kmunikací. Nelze testvat na systémech v strém prvzu. ISO 27001, A Řízení změn 11 VKB V rámci řízení změn, přezkumává mžné dpady změn, určuje významné změny. Významnu změnu změna, která má neb může mít vliv na kyberneticku bezpečnst a představuje vyské rizik. prvádí analýzu rizik Snižuje nepříznivé dpady spjené s významnu změnu, aktualizuje bezp. plitiku a bezp. dkumentaci, zajistí testvání, zajistí mžnst navrácení d půvdníh stavu, na základě AR rzhdne prvedení penetračníh testvání, U významných změn: dkumentuje jejich řízení. p penetračním testvání reaguje na zjištěné nedstatky. Cíle řízení změn: standardizvat prcesy pr implmentaci změn, Minimalizvat rizika spjená se změnu. Otázky na které je nutné znát dpvěď: Zaznamenání pžadavku na změnu Psuzení pžadavku na změnu Schválení pžadavku na změnu Prč dělám změnu? (kd ji pžaduje?) Jaká jsu rizika spjená s tut změnu? Jaké ptřebuji zdrje k prvedení změny? Kd je za c zdpvědný? Implementace změny Psuzení změny a uknčení změny ISO 27001, A

23 Řízení přístupu 12 VKB Řízení přístupu k IS a KS. Chrání se údaje pužívané pr přihlášení. Řídí přístup na základě skupin a rlí. Všichni uživatelé a administrátři mají jedinečný identifikátr. Zavádí patření pr bezpečné pužívání mbilních a jiných technických zařízení. Omezí přidělvání privilegvaných právnění. Přiděluje debírá přístupvá právnění v suladu s plitiku. Pravidelně přezkumává nastavení přístupvých právnění. Využívá nástrj pr správu a věřvání identity uživatelů a nástrj pr řízení přístupvých právnění. Zajistí změnu právnění při změně pzice. Dkumentuje přidělvání a debírání přístupvých právnění. Živtní cyklus zaměstnance: Nástup dchd Zkušební dba Přerušení výknu práce Změna pzice ISO 27001, A Akvizice vývj údržba 13 VKB V suvislstí s akvizicí vývjem a údržbu IS a KS: pkud je cílem akvizice neb vývje nástrj pr správu a věřvání identity plní pžadavek na 2FA. řídí rizika, řídí významné změny, stanví bezpečnstní pžadavky, bezpečnstní pžadavky zahrne d prjektu, zajistí bezpečnst vývjvéh a testvacíh prstředí, zajistí chranu pužívaných testvacích dat, prvádí bezpečnstní testvání významných změn před jejich zavedením d prvzu, Prvedení analýzy a specifikace pžadavků s hledem na KB, v pžadavcích na nvé IS a KS neb na rzšíření existujících systémů musí být bsaženy i pžadavky týkající se KB. Zajistí bezpečnsti v prcesech vývje a pdpry. Využívá speciální data pr testvání. ISO 27001, A

24 Zvládání KBU a KBI 14 VKB 47 Zavede prces detekce KBU a zvládání KBI. Přidělí dpvědnsti a stanví pstupy pr: detekci a vyhdncvání KBU a KBI, krdinaci a zvládání KBI. Definuje a aplikuje pstupy pr identifikaci, sběr, získání a uchvání věrhdných pdkladů ptřebných pr analýzu KBI. Zajistí detekci KBU. Zajistí, že všichni uživatelé a ddavatelé budu znamvat nebvyklé chvání IS a KS Zajistí psuzení KBU zda klasifikvat jak KBI. Prvázán s technickými patřeními zejména: Zajistí zvládání KBI pdle stanvených pstupů. Přijímá patření pr dvrácení a zmírnění dpadů KBI. Hlásí KBI. Vede záznamy KBI a jejich zvládání Pršetří a určí příčiny KBI. Z prběhléh incidentu se pučí, prvěří bezp. patření, případně aktualizuje bezp. patření, zamezí pakvání KBI. zaznamenávání událstí infrmačníh a kmunikačníh systému, jeh uživatelů a administrátrů, detekce kybernetických bezpečnstních událstí. Dále s paragrafy: kategrizace kybernetických bezpečnstních incidentů, frma a náležitsti hlášení kybernetických bezpečnstních incidentů. ISO 27001, A. 16, ISO Řízení kntinuity činnstí 15 VKB Stanvení práv a pvinnstí pr administrátry a sby zastávající bezpečnstní rle. Na základě AR psudí mžné dpady KBI na kntinuitu činnstí. Stanví minimální úrvně pskytvaných služeb, která je přijatelná pr užívání, prvz a správu infrmačníh a kmunikačníh systému, dby bnvení chdu, během které bude p kybernetickém bezpečnstním incidentu bnvena minimální úrveň pskytvaných služeb infrmačníh a kmunikačníh systému, bdu bnvení dat jak časvé bdbí, za které musí být zpětně bnvena data p kybernetickém bezpečnstním incidentu neb p selhání. Stanví plitiku řízení kntinuity činnstí. Plány kntinuity činnstí a DRP, vypracuje, aktualizuje, pravidelně testuje. Prvzvatel předává výsledky auditu správci Prvázán s technickými patřeními zejména: zajišťvání úrvně dstupnsti infrmací. ISO 22301:2014 ISO A. 17, ISO

25 Audit kybernetické bezpečnsti 16 VKB Prvádí a dkumentuje audit ddržvání bezpečnstní plitiky včetně přezkumání technické shdy. Výsledky auditu zhlední v plánu rzvje bezp. Pvědmí a v plánu zvládání rizik. Psuzuje sulad bezp. Opatření s: nejlepší praxí, právními předpisy, vnitřními předpisy, jinými předpisy, smluvními závazky. Prces auditu příprava auditu, prvádění auditu, příprava zprávy, kntrla nápravných patření. V případě nesuladu určí nápravná patření. Audit je prváděn: při významných změnách v rámci jejich rzsahu, v pravidelných intervalech alespň p 3 letech (VIS), v pravidelných intervalech alespň p 2 letech (KII, PZS), v případech kdy není mžné prvést audit v předepsaných intervalech v celém rzsahu audit musí být prveden nejpzději d 5 let, sbu která splňuje pžadavky definvané pr bezpečnstní rle. ISO směrnice pr auditvání systémů managementu (becná směrnice). 49 ISO Technická patření I. Fyzická bezpečnst ( 17 VKB) Ochrana na úrvni a v rámci bjektů Bezpečnst kmunikačních sítí ( 18 VKB) Vhdně navržená tplgie, aktivní prvky umžňující segmentaci sítě a filtraci prvzu, autentizační mechanismy, šifrvání síťvé kmunikace Správa a věřvání identit ( 19 VKB) Hesla, dvufaktrvá autentizace, - pměrně dst změn v nvele Řízení přístupvých právnění ( 20 VKB ) Pr aplikace i uživatele, definice práv pr čtení, zápis a změny právnění, centralizvaná správa Ochrana před škdlivým kódem ( 21 VKB ) Ověřvání a kntrla kmunikace, síťvý prvz, antiviry, antispy, antivir, pravidelná aktualizace, Zaznamenávání událstí infrmačníh a kmunikačníh systému, jeh uživatelů a administrátrů (22 VKB) Sběr infrmací prvzních a bezpečnstních činnstech, lgvání Adam Kučínský,

26 Technická patření II. Detekce kybernetických bezpečnstních událstí ( 23 VKB) Nastrj pr kntrlu a případně zablkvání kmunikace mezi a v rámci sítí, sndy, skenery zranitelnstí Sběr a vyhdncvání kybernetických bezpečnstních událstí ( 24 VKB) Pskytvání infrmací pr určené bezpečnstní rle detekvaných událstech, Nepřetržité vyhdncvání událstí s cílem identifikace incidentů, SIEM Aplikační bezpečnst ( 25 VKB) Bezpečnstní testy zranitelnsti aplikací, které jsu přístupné zvnějšku, testy aplikací, penetrační testy Kryptgrafické prstředky ( 26 VKB) Stanvení vhdné úrvně šifrvání, pravidel pr šifrvání, správa klíčů, dlné algritmy Zajišťvání úrvně dstupnsti infrmací ( 27 VKB) Kntinuita činnstí, DRP, zálhvání, vhdná tplgie, redundance, virtualizace, Bezpečnst průmyslvých a řídicích systémů ( 28 VKB) Omezení fyzickéh přístupu, prpjení a vzdálenéh přístupu, segmentace, Adam Kučínský, Přílhy VKB 1. Hdncení aktiv 2. Hdncení rizik 3. Zranitelnsti a hrzby 4. Likvidace dat 1. NIST Special Publicatin Guidelines fr Media Sanitizatin 5. Obsah bezpečnstní plitiky a bezpečnstní dkumentace 6. Výbr pr řízení kybernetické bezpečnsti a bezpečnstní rle 1. (dpručující) 7. Řízení ddavatelů bezpečnstní patření pr smluvní vztahy 52 26

27 Varvání pdle 12 ZKB - pužití a dpady Adam Kučínský, Institut Varvání 12 ZKB Varvání (1) Úřad vydá varvání, dzví-li se zejména z vlastní činnsti neb z pdnětu prvzvatele nárdníh CERT aneb d rgánů, které vyknávají půsbnst v blasti kybernetické bezpečnsti v zahraničí, hrzbě v blasti kybernetické bezpečnsti. (2) Varvání Úřad zveřejní na svých internetvých stránkách a známí je rgánům a sbám uvedeným v 3, jejichž kntaktní údaje jsu vedeny v evidenci pdle 16 dst

28 C varvání znamená Prstřednictvím varvání NÚKIB upzrňuje na existenci hrzby v blasti kybernetické bezpečnsti, na kteru je nutné bezprstředně reagvat. Subjekty, které spadají pd zákn ZKB, jsu pvinny se tut hrzbu dále zabývat a zhlednit ji v analýze rizik, kteru v suladu s pžadavky ZKB a příslušné vyhlášky již pravidelně prvádí. Varvání neznamená bezpdmínečný zákaz pužívání daných technických a prgramvých prstředků, ale nutnst zvážit případné bezpečnstní rizik suvisející s jejich užíváním. Dvlí-li t výsledky analýzy rizik, uvedené technické neb prgramvé prstředky je mžné i nadále pužívat. Orgánům a sbám, kterým ZKB neukládá pvinnst zavést a prvádět bezpečnstní patření, stejně tak jak širké veřejnsti, nezakládá varvání NÚKIB žádnu pvinnst, a t ani zprstředkvaně. Tyt subjekty tedy nejsu pdle ZKB pvinny varvání NÚKIB zhlednit. Další krky s tím spjené jsu puze na nich. 55 Implementace varvání KII, VIS a PZS jsu pvinni pdle 5 VKB pr určené IS a KS prvádět pravidelnu analýzu rizik, identifikvat rizika a identifikvaná rizika řídit. Na základě vyhdncení rizik ptm výše uvedené subjekty zavádějí a prvádějí bezpečnstní patření v rzsahu nezbytném pr zajištění kybernetické bezpečnsti v suladu s 4 dst. 2 ZKB. Bezpečnstní patření jsu blíže specifikvána ve VKB. V suvislsti s řízením rizik musejí pdle 5 dst. 1 písm. h) bd 3 VKB tyt subjekty zhlednit mim jiné i patření pdle 11 ZKB, tedy i varvání vydané pdle 12 ZKB. Na základě vydanéh varvání tedy musejí výše zmíněné pvinné sby v rámci zavedenéh řízení rizik prvést analýzu rizik, ve které zhlední hrzbu, a následně na rizik reagvat přijetím bezpečnstních patření, která musí být v suladu s nastavenými metrikami pr akceptvatelnst rizika a hdntu danéh rizika

29 Děkuji Vám za pzrnst Adam Kučínský,