KyBez na MPO. aneb zavádění Zákona o kybernetické bezpečnosti. KyBez na MPO. Ing. Miloslav Marčan Ředitel odboru informatiky

Transkript

1 aneb zavádění Zákona o kybernetické

2 Úvod Dlouhodobě kladený důraz na bezpečnost ICT Bezpečnostní politika informačních a komunikačních systémů ( vycházela z filozofie norem řady ISO 27000) Před zákonem č. 181/2014 Sb., o kybernetické opora v zákoně č. 365/2000 Sb., o informačních systémech veřejné správy Součást nových projektů ISMS Havarijní plány kritických aplikací SIEM Varonis

3 Dokumentace Cyklus PDCA nekonečný příběh Plan Act Revize a aktualizace stávajících dokumentů Nová analýza rizik Analýza probíhající také v resortních organizacích Check Do

4 Určení VIS a KII Významné IS na MPO: Registr živnostenského podnikání Ekonomický informační systém Určování významných IS a kritické informační infrastruktury v podřízených organizacích

5 Organizace SŘBI Úroveň resortu Vedení resortu Výbor pro řízení kybernetické MPO s rozšířenou působností Auditor kybernetické resortu MPO Vrcholová politika SŘBI resortu MPO Vedení organizace Výbor pro řízení kybernetické Garanti aktiv Stanovení rozsahu SŘBI v organizaci Úroveň organizace Vedení ICT organizace Manažer kybernetické Architekt kybernetické Politiky, směrnice, specifikace Úroveň útvaru Vedoucí zaměstnanec útvaru Útvarové směrnice, specifikace

6 Výbor pro řízení KB MPO Výbor pro řízení KB s rozšířenou působností Zástupci MPO Členové Výborů pro řízení KB z podřízených organizací Jmenování členů Řízení podřízených organizací

7 Akční plán Náročné aktivity pro pokračování aktivit: Zajištění organizace SŘBI celkem 83 aktivit ve 14 oblastech Aktualizace Bezpečnostní politiky Nastavení kontrolních mechanismů řízení informační Analýza informačních aktiv Analýza rizik informační Nasazení nástrojů zapojených do procesu zvládání kybernetických incidentů Přizpůsobení aplikací tak, aby bylo možné tyto nástroje využívat Implementace procesu zvládání kybernetických incidentů do provozu, včetně interakce s NBÚ

8 Akční plán Zpracován ve formě xls tabulky Včetně křížových vazeb na jednotlivé dokumenty resp. opatření

9 Řízení rizik Pravidelné provádění identifikace a hodnocení aktiv a rizik Aktualizace seznamu primárních a podpůrných aktiv a jejich ohodnocení Aktualizace seznamu hrozeb Aktualizace seznamu zranitelností Aktualizace seznamu rizik Ohodnocení dopadu rizik na konkrétní podpůrné aktivum Posouzení závažnosti rizik a zvážení jejich akceptace či návrhu relevantních opatření Aktualizace plánu zvládání rizik Aktualizace prohlášení o aplikovatelnosti Aktualizace bezpečnostní a provozní dokumentace

10 Řízení rizik Rovněž zpracován ve formě xls tabulky Nízké nebo střední dopady Identifikováno celkem 537 rizik, Nízké (489 rizik) Střední (48 rizik) Identifikace rizika Hodnoceni rizika Stav rizika a následné kroky IDDotčené podpůrné aktivum Typ ohrožení C/I/A Typ hrozby Zranitelnost Komentář Pravděpodobnos t hrozby (1-4) Závažnost zranitelnosti (1-4) Dopad (1-4) Riziko Hodnocení rizika (Nízké - Kritické) Stav Nápravné opatření R035 SA02 - Servery T- Mobile (OS) C - Důvěrnost H05 - Kybernetický útok z komunikační sítě. Z22 - Nejsou v dostatečné míře prováděny kontroly účinnosti bezpečnostních opatření a audity Z důvodu nedostatečného provádění kontrol účinnosti bezpečnostních opatření a auditů získá útočník neautorizovaný přístup k citlivým informacím Střední R036 SA04 - IS RŽP (včetně databáze) C - Důvěrnost H05 - Kybernetický útok z komunikační sítě. Z22 - Nejsou v dostatečné míře prováděny kontroly účinnosti bezpečnostních opatření a audity Z důvodu nedostatečného provádění kontrol účinnosti bezpečnostních opatření a auditů získá útočník neautorizovaný přístup k citlivým informacím Střední R037 SA02 - Servery T- Mobile (OS) I - Integrita H05 - Kybernetický útok z komunikační sítě. Z22 - Nejsou v dostatečné míře prováděny kontroly účinnosti bezpečnostních opatření a audity Z důvodu nedostatečného provádění kontrol účinnosti bezpečnostních opatření a auditů provede útočník neautorizované změny dat v systému Střední R038 SA04 - IS RŽP (včetně databáze) I - Integrita H05 - Kybernetický útok z komunikační sítě. Z22 - Nejsou v dostatečné míře prováděny kontroly účinnosti bezpečnostních opatření a audity Z důvodu nedostatečného provádění kontrol účinnosti bezpečnostních opatření a auditů provede útočník neautorizované změny dat v systému Střední

11 Audit NBÚ Metodický audit Vyžádán ze strany MPO před vlastním schválením dokumentů - březen 2016 Zaměřen na IS RŽP Hladký průběh, profesionální přístup auditorů Z celkem 77 kontrolovaných položek nalezeno 72 shod 2 neshody organizačně-administrativního charakteru 2 potenciální rizika 1 příležitost ke zlepšení bylo napraveno již během kontroly

12 Závěrečné shrnutí ZKB není KB Rizika Nebezpečí formalistického přístupu auditorů Klady Důraz na osobní zodpovědnost vedení úřadů Vybudování NCKB Příležitosti Získat finanční prostředky Výzva č. 10 Kybernetická bezpečnost Sjednocení postupů na základě metodického vedení NBÚ Sdílení zkušeností

13 Děkuji za pozornost