CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Transkript

1 CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe Ing. Aleš Špidla Ředitel odboru bezpečnostní politiky MPSV Člen rady Českého institutu manažerů informační bezpečnosti Ales.spidla@mpsv.cz, ales.spidla@gmail.com

2 Okruhy Prováděcí předpis velmi stručně Jak a kde začít Jak neskončit

3 Prováděcí předpis k zákonu o kybernetické bezpečnosti ORGANIZAČNÍ OPATŘENÍ Systém řízení bezpečnosti informací (ISMS) Řízení rizik Bezpečnostní politika Organizační bezpečnost Stanovení bezpečnostních požadavků pro dodavatele Řízení aktiv Bezpečnost lidských zdrojů Řízení provozu a komunikací Řízení přístupu a bezpečné chování uživatelů Akvizice, vývoj a údržba Zvládání kybernetických bezpečnostních událostí a incidentů Řízení kontinuity činností Kontrola a audit

4 Prováděcí předpis k zákonu o kybernetické bezpečnosti TECHNICKÁ OPATŘENÍ Fyzická bezpečnost Nástroj pro ochranu integrity komunikačních sítí Nástroj pro ověřování identity uživatelů Nástroj pro řízení přístupových oprávnění Nástroj pro ochranu před škodlivým kódem Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů Nástroj pro detekci kybernetických bezpečnostních událostí Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí Aplikační bezpečnost Kryptografické prostředky Nástroje pro zajišťování vysoké úrovně dostupnosti Bezpečnost průmyslových a řídicích systémů

5 Prováděcí předpis k zákonu o kybernetické bezpečnosti BEZPEČNOSTNÍ DOKUMENTACE zprávy z auditů a přezkoumání ISMS metodiku pro identifikaci a hodnocení rizik zprávu o hodnocení rizik prohlášení o aplikovatelnosti plán zvládání rizik plán rozvoje bezpečnostního povědomí systém zvládání kybernetických bezpečnostních incidentů strategii řízení kontinuity činností přehled obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků

6 Prováděcí předpis k zákonu o kybernetické bezpečnosti KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT Typy kybernetických bezpečnostních incidentů Kategorie kybernetických bezpečnostních incidentů Kategorie III velmi závažný kybernetický bezpečnostní incident Kategorie II závažný kybernetický bezpečnostní incident Kategorie I méně závažný kybernetický bezpečnostní incident Forma a náležitosti hlášení kybernetických bezpečnostních událostí a incidentů Protiopatření

7 Prováděcí předpis k zákonu o kybernetické bezpečnosti ODBORNÁ KVALIFIKACE OSOB Kvalifikace manažera a architekta kybernetické bezpečnosti Kvalifikace auditora kybernetické bezpečnosti

8 Jak a kde začít při aplikaci ZKB Přijmout výzvu a rizika z toho plynoucí (i osobní) Pojmout kybernetickou bezpečnost jako nedílnou součást bezpečnostní kultury instituce propojenou s ostatními oblastmi bezpečnosti a řízenou v rámci jednotného systému řízení bezpečnosti Přesvědčit vedení Zmapovat stav technologie, lidé, procesy (spousta překvapení) Zajistit využívání možností nalezených zařízení a služeb definovat příjemce (to lze téměř okamžitě) Při minimálních investicích zvýšit efektivitu využívání zařízení a služeb (vybudování zárodku dohledového centra střednědobý horizont) Postupně naplnit literu (ale nejen to) zákona o kybernetické bezpečnosti se vším všudy a hlavně nikdy nepřestat

9 Jak (ne)skončit Zřejmé versus vedení Plnění versus vyplňování Sebezáchovná lež Vnější dokonalý interface versus vnitřní chaos Bitva s vždycky jsme to tak dělali

10 Závěr Děkuji za pozornost