Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Rozměr: px

Začít zobrazení ze stránky:

Download "Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P"

Matěj Čech
před 4 lety
Počet zobrazení:

1 Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P R O S T Ř E D Í

2 ZoKB a cloudové služby Je možné zajistit soulad se Zákonem o kybernetické bezpečnosti v cloudovém prostředí? 2

3 Co v prezentaci nebude Části Zákona a návazné Vyhlášky a související zákony Vysvětlení pojmů a požadavků Zákona a Vyhlášky Rozbor jednotlivých opatření Způsob realizace opatření u provozovatelů VIS a KII Proč nestačí koupit SIEM 3

4 O čem tedy bude řeč Studie Ochrana dat v cloudových službách Proč studie vznikla a jaké jsou její cíle Jaký byl zvolen přístup k řešení a jeho vysvětlení ZoKB a cloud Výsledky a poučení z nich Návod Jak postupovat když chci využívat cloudové služby Shrnutí 4

5 Proč studie vznikla a jaké jsou její cíle Cíl: Cílem studie je poskytnou ucelený pohled na působnosti Zákona č. 181/2014 Sb., v prostředích ICT, která zahrnují služby poskytované prostřednictvím cloudových služeb Microsoft Online Services. Předmět: Ochrana dat v cloudových službách Microsoft Online Services Office 365 Microsoft Azure 5

6 Pozadí vzniku studie Zadavatel: Microsoft Přístup k interním informacím a dokumentaci pod NDA Provozní informace o Microsoft cloud services Organizační opatření, Trust portál Technická opatření Partnerství S.ICZ - Microsoft 6

7 Části studie a Scénáře Zadání: Studie se skládá ze dvou částí Identifikace a analýzy požadavků ZoKB při využití cloudových služeb Návrh ochrany dat pro definované scénáře Scénáře: Databázové systémy při použití Microsoft Azure jako IaaS nebo PaaS cloudu Poštovní systém, systém pro skupinovou spolupráci, repositář dokumentů, hlasové a video konference při použití Microsoft Office 365 jako SaaS cloudu Záložní datové centrum - využití Microsoft Azure jako záložního datového centra pro řešení výpadku/havárie on-premise datového centra, nebo jeho části, provozujícího dotčený informační systém 7

8 Zvolený přístup Pro identifikaci a analýzu požadavků Zákona a Vyhlášky vytvořen obecný model informačního systému Microsoft Online Services Internet Uživatelé připojeni do Internetu Azure Office 365 Síťové spojení Intranet 8 Firemní datová centra Uživatelé připojeni do interní sítě

9 Zvolený přístup Dělení operací s daty: Uložení dat umístění dat na trvalém paměťovém úložišti Zpracování dat přenos dat, jejich zpracování procesorem a zobrazení na displeji Rozsah systému řízení: Co je či není (která aktiva) součástí IS a tedy spadá/nespadá pod systém řízení Obsahuje informace Poskytuje služby jiným zařízením nebo více uživatelům Přistupuje ke službám 9

10 Struktura studie co tam najdete Analýza bezpečnostních opatření organizační i technická Identifikace požadavků Zákona a Vyhlášky Shrnutí požadavků pro VIS a KII Analýza identifikovaných požadavků Způsoby implementace opatření pro zajištění pokrytí identifikovaných požadavků Popis implementace opatření v prostředí Microsoft Online Services Ochrana dat dle kategorií přílohy č. 1 Vyhlášky Popis technologií Pokrytí požadavků (důvěrnost, integrita, dostupnost) na opatření technologiemi Úroveň střední Úroveň vysoká Úroveň kritická Návrh ochrana dat pro jednotlivé scénáře 10

11 ZoKB a cloud kdy ho mohu použít? Zohlednění potřeby řízení bezpečnosti informací u dodavatelů Vyhláška 7 Analýza rizik Smlouva Způsob realizace opatření Odpovědnosti Pravidelné hodnocení rizik a kontrola Jak provést analýzu rizik poskytovatele cloudových služeb? Bezpečnostní dokumentace Microsoft Online Services Certifikace dle různých norem (včetně ISO/IEC 27001) Implementovaná opatření a Audity

12 Bezpečnostní požadavky pro dodavatele Stanovisko NBÚ ve věci výkladu vyhlášky č. 316/2014 Sb. Musí být doložena sada skutečností Správná smlouva zahrnující bezpečnost informací a zavedená opatření Metodika hodnocení rizik Výčet zohledněných hrozeb a zranitelností Odpovědnosti za zavedení a kontrolu bezpečnostních opatření Metody zvládání rizik Možnost doložení skutečností vyjádřením nezávislého auditora Požadavky lze ve smlouvě doložit certifikací ISO/IEC Bezpečnostní politika dodavatele Prohlášení o aplikovatelnosti (výčet organizačních a technických opatření uplatněných dodavatelem cloudových služeb) Auditní zpráva z certifikace cloudové služby dle ISO/IEC

13 Technická opatření a stupeň důvěrnosti Na úrovni obecného modelu IS byla nalezena opatření, která umožňují pokrýt požadavky Zákona a Vyhlášky Zkoumáno více než 25 technologií, které lze použít pro vypořádání požadavků přílohy č. 1 Vyhlášky K pokrytí požadavků využito technických i organizačních opatření Včetně důvěrnosti úrovně kritická Opatření realizuje správce IS i provozovatel cloudu Poznámka Při posuzování požadavků systému řízení bezpečnosti je třeba zohlednit skutečnost, že v cloudových službách obecně není možné garantovat výhradní přístup k šifrovacím klíčům umístěným v operační paměti počítačů, protože není možné zajistit výhradní fyzický přístup k počítačům pro vlastníky nebo autorizované uživatele klíčů. BYOK použití vlastních klíčů 13

14 Technická opatření pro jednotlivé scénáře Pro jednotlivé scénáře byla nalezena opatření, která umožňují pokrýt požadavky Zákona a Vyhlášky o oblastech Důvěrnost dat Integrita dat Dostupnost dat 14

15 Závěry Úroveň a způsob realizace bezpečnostních opatření v cloudových službách Microsoft Online Services umožňuje za předpokladu implementace opatření z oblasti organizační a technické bezpečnosti pokrýt požadavky Zákona a Vyhlášky v oblasti sdílených služeb 15

16 Poučení Výsledky není možné aplikovat plošně Vždy je třeba provést analýzu rizik a vyhodnotit zda je úroveň bezpečnosti navrhované architektury informačního systému dostatečná Zjištění Vlastní bezpečnostní opatření realizovaná společností Microsoft v cloudových službách Microsoft Online Services jsou vyspělá a jsou na vysoké úrovni. Vzhledem k úsilí, rozsahu investic a úrovni standardizace těchto opatření bude pro lokální organizace v České republice velmi obtížné realizovat stejná opatření ve srovnatelném rozsahu a kvalitě. 16

17 Jak postupovat když chci využívat cloudové služby Definovat co bude v cloudu Navrhnou správnou architekturu Provést analýzu rizik, navrhnout opatření Ověřit, zda je možné opatření realizovat v cloudu, případně definovat kompenzační opatření Vyvinout a implementovat IS včetně bezpečnostních opatření Včetně smluvních ujednání Součástí provozu IS je i proces řízení bezpečnosti audit, prověřování a testování opatření 17

18 Shrnutí Požadavky ZoKB je možné úspěšně vyřešit i v cloudovém prostředí Každý specifický informační systém je třeba řešit samostatně 18

19 Pomůžeme Vám bezpečnost učesat Společnost S.ICZ je schopna kvalifikovaně řešit problematiku shody s požadavky ZoKB a Vyhlášky i v prostředí externích dodavatelů služeb ICT 19 S.ICZ a.s. Na Hřebenech II 1718/10, Praha 4

20 Děkuji za Vaši pozornost Prostor pro Vaše dotazy 20

21 Petr Hron Tel.:

Podobné dokumenty

Kybernetická bezpečnost

Kybernetická bezpečnost Ondřej Steiner, S.ICZ a. s. 25.9.2014 1 Obsah Zákon co přináší nového? Nové pojmy KII vs VIS Příklady Povinnosti Jak naplnit požadavky Proč implementovat? Bezpečnostní opatření