Kybernetická bezpečnost II. Management kybernetické bezpečnosti



Podobné dokumenty
Kybernetická bezpečnost I. Legislativa a strategie kybernetické bezpečnosti v České republice

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Státní pokladna. Centrum sdílených služeb

Kybernetická bezpečnost resortu MV

Kybernetická bezpečnost MV

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Zkušenosti s implementací ZoKB a problémy, které nás pálí. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Z K B V P R O S T Ř E D Í

Kybernetická bezpečnost III. Technická opatření

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

NEPŘIMĚŘENÉ NÁKLADY. vysvětlení pojmu

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Zákon o kybernetické bezpečnosti. Petr Nižnanský

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Kybernetická bezpečnost

Posuzování na základě rizika

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Nabídka kurzů k systému řízení bezpečnosti informací (ISMS) ČSN ISO/IEC 27001:2014

Návrh VYHLÁŠKA. ze dne 2014

316/2014 Sb. VYHLÁŠKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

b) aktivem primární aktivum a podpůrné aktivum, c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Zákon o kybernetické bezpečnosti

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

VZDĚLÁVÁNÍ V OBLASTI KYBERNETICKÉ BEZPEČNOSTI NA UNIVERZITĚ OBRANY I. ČÁST. pplk. Ing. Petr HRŮZA, Ph.D. petr.hruza@unob.cz Univerzita obrany Brno

TSB a kybernetická bezpečnost SMB a jím ovládaných subjektů

Bezpečnost na internetu. přednáška

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

ČESKÁ TECHNICKÁ NORMA

Enterprise Mobility Management

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Návrh VYHLÁŠKA. ze dne 2014

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Seminář CyberSecurity II

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Management informační bezpečnosti

Zkušenosti z naplňování ZKB: Audit shody se ZKB. Ing. Martin Konečný,

Kybernetická bezpečnost - nový trend ve vzdělávání. pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany Brno, Česká republika

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Dopady zákona o kybernetické bezpečnosti (ZKB) Jan Mareš

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

Systém řízení bezpečnosti informací v praxi

SBÍRKA ZÁKONŮ. Ročník 2014 ČESKÁ REPUBLIKA. Částka 127 Rozeslána dne 19. prosince 2014 Cena Kč 109, O B S A H :

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

egc tým Bezpečnost Hodnocení dopadů a zařazování do bezp. úrovní Závazná bezpečnostní opatření pro dodavatele

MODUL MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI V PODMÍNKÁCH UNIVERZITY OBRANY

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

Úvod - Podniková informační bezpečnost PS1-2

Zkušenosti z nasazení a provozu systémů SIEM

Zákon o kybernetické bezpečnosti

Technické aspekty zákona o kybernetické bezpečnosti

Nadpis presentace. Řízení IT v malých. útvarech aneb Light verze IT governance

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Příloha č. 6 ZD - Požadavky na členy realizačního týmu

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

Bezpečnostní opatření a audit shody se ZKB. Ing. Martin Konečný,

ČESKÁ TECHNICKÁ NORMA

Politika bezpečnosti informací

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Zákon o kybernetické bezpečnosti a související předpisy

Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool

Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost?

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Bezpečnostní politika a dokumentace

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

Zákon o kybernetické bezpečnosti a související předpisy

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Řízení kybernetické a informační bezpečnosti

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

ANECT, SOCA a bezpečnost aplikací

Strana 1 / /2014 Sb. VYHLÁKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

KYBERNETICKÁ BEZPEČNOST V ARMÁDĚ ČR

Mobile Device Management Mobilita v bankovním prostředí. Jan Andraščík, Petra Fritzová,

KYBERNETICKÁ BEZPEČNOST V ORGANIZACÍCH Management kybernetické bezpečnosti + workshop síťové analýzy

srpen 2008 Ing. Jan Káda

Legislativa kybernetické bezpečnosti Kritická informační infrastruktura a Významné informační systémy Ing. Dušan Navrátil Ředitel

MANAGEMENT Systém managementu kvality

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí:

Transkript:

Reg. č. projektu: CZ 1.04/ 4.1.00/A3.00004 Kybernetická bezpečnost II. Management kybernetické bezpečnosti Pracovní sešit Materiál vznikl v rámci řešení projektu Vzdělávání v oblasti základních registrů a dalších kmenových projektů egovernmentu, registrační číslo projektu: CZ 1.04/ 4.1.00/A3.00004, který je financován z prostředků Evropského sociálního fondu ČR, Operačního programu Lidské zdroje a zaměstnanost Zpracovatel Institut pro veřejnou správu Praha Realizátor Ministerstvo vnitra Praha, červenec 2015 1

OBSAH PRACOVNÍHO SEŠITU TENTO PRACOVNÍ SEŠIT: slouží pro opakování a procvičování učiva probraného v teoretické části kurzu aktivizuje účastníky kurzu, usiluje o jejich participaci při plnění cílů výuky obsahuje zadání zpětnovazebních aktivit (otázky a úkoly), které účastníci kurzu řeší ve skupinách nebo individuálně přináší doplňující informace k výkladu (např. odkazy na užitečné webové stránky k tématu, různé přehledy, studijní texty a podobně) může absolventy kurzu inspirovat k aktivitám nejen v rámci prezenční výuky, ale také při následném domácím samostudiu TEORETICKÁ ČÁST: Oblasti k prostudování Slovníček pojmů k ZKB Seznam zkratek Užitečné webové stránky Doporučená odborná literatura PRAKTICKÁ ČÁST: Úkoly Kontrolní otázky 2

A. TEORETICKÁ ČÁST Oblasti k prostudování Níže naleznete přehled klíčových oblastí, které je nutné nastudovat z doporučené literatury a z webových stránek. Zákon o kybernetické bezpečnosti v ČR Prováděcí právní předpisy k zákonu o kybernetické bezpečnosti Řízení rizik, informační aktiva, identifikace a hodnocení aktiv Systém řízení bezpečnosti informací (ISMS) ITIL v3 COBIT Procesní řízení Bezpečnostní role podle ZKB Bezpečnostní opatření Bezpečnostní politika DRP (ISO 22 301) Bezpečnostní dokumentace Audit kybernetické bezpečnosti ITAF 3

SLOVNÍK POJMŮ Pojem Orgán a osoba Systém řízení bezpečnosti informací (ISMS) Aktivum Primární aktivum Podpůrné aktivum Technické aktivum Riziko Hodnocení rizik Řízení rizik Hrozba Zranitelnost Vymezení pojmu Orgán a osoba, které je uložena povinnost v oblasti kybernetické bezpečnosti podle 3, písmene c) až e) zákona č. 181/2014 Sb. (zákon o kybernetické bezpečnosti). Část systému řízení orgánu a osoby, založená na přístupu k rizikům informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, která stanoví způsob ustavení, zavádění, provoz, monitorování, přezkoumání, udržování a zlepšování bezpečnosti informací. Primární a podpůrné aktivum. Informace nebo služba, kterou zpracovává nebo poskytuje informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém. Technické aktivum, zaměstnanci a dodavatelé podílející se na provozu, rozvoji, správě nebo bezpečnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému. Technické vybavení, komunikační prostředky a programové vybavení informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému a objekty, ve kterých jsou tyto systémy umístěny. Možnost, že určitá hrozba využije zranitelnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému a způsobí poškození aktiva. Proces, při němž je určována významnost rizik a jejich přijatelná úroveň. Činnost zahrnující hodnocení rizik, výběr a zavedení opatření ke zvládání rizik, sdílení informací o riziku a sledování a přezkoumání rizik. Potencionální příčina kybernetické bezpečnostní události nebo kybernetického bezpečnostního incidentu, jejímž výsledkem může být poškození aktiva. Slabé místo aktiva nebo bezpečnostního opatření, které může být zneužito jednou nebo více hrozbami. 4

Přijatelné riziko Bezpečnostní politika Garant aktiva Uživatel Administrátor Manažer kybernetické bezpečnosti Architekt kybernetické bezpečnosti Auditor kybernetické bezpečnosti Výbor pro řízení kybernetické bezpečnosti Prostředky fyzické bezpečnosti Nástroj pro ověřování identity uživatelů a administrátorů Riziko zbývající po uplatnění bezpečnostních opatření, jehož úroveň odpovídá kritériím pro přijatelnost rizik. Soubor zásad a pravidel, které určují způsob zajištění ochrany aktiv orgánem a osobou. Fyzická osoba pověřená orgánem a osobou k zajištění rozvoje, použití a bezpečnosti aktiva. Fyzická nebo právnická osoba anebo orgán veřejné moci, která využívá primární aktiva. Fyzická osoba pověřená garantem aktiva odpovědná za správu, provoz, použití, údržbu a bezpečnost technického aktiva. Osoba odpovědná za systém řízení bezpečnosti informací, která je pro tuto činnost řádně vyškolena a prokáže odbornou způsobilost praxí s řízením bezpečnosti informací po dobu nejméně tří let. Osoba odpovědná za návrh a implementaci bezpečnostních opatření, která je pro tuto činnost řádně vyškolena a prokáže odbornou způsobilost praxí s navrhováním bezpečnostní architektury po dobu nejméně tří let. Osoba odpovědná za provádění auditu kybernetické bezpečnosti, která je pro tuto činnost řádně vyškolena a prokáže odbornou způsobilost praxí s prováděním auditů kybernetické bezpečnosti po dobu nejméně tří let. Auditor kybernetické bezpečnosti vykonává svoji roli nestranně a výkon jeho role je oddělen od výkonu rolí manažera, architekta a výboru kybernetické bezpečnosti. Organizovaná skupina tvořená osobami, které jsou pověřeny celkovým řízením a rozvojem informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, anebo se významně podílejí na řízení a koordinaci činností spojených s kybernetickou bezpečností těchto systémů. Prostředky fyzické bezpečnosti jsou zejména: a) mechanické zábranné prostředky, b) zařízení elektrické zabezpečovací signalizace, c) prostředky omezující působení požárů, d) prostředky omezující působení projevů živelních událostí, e) systémy pro kontrolu vstupu, f) kamerové systémy, g) zařízení pro zajištění ochrany před selháním dodávky elektrického napájení a h) zařízení pro zajištění optimálních provozních podmínek. Nástroj pro ověřování identity uživatelů a administrátorů zajišťuje ověření identity uživatelů a administrátorů před zahájením jejich aktivit v informačním systému kritické informační infrastruktury, komunikačním systému kritické informační infrastruktury a významném informačním systému. 5

SEZNAM ZKRATEK Pozn.: seznam zkratek obsahuje pouze nejčastěji užívané zkratky v rámci tohoto kurzu. V případě zájmu, doporučujeme stáhnout si z webu www.govcert.cz Výkladový slovník kybernetické bezpečnosti - třetí vydání. ISMS ZKB VKB KII VIS SIEM IDS IPS Information Security Management System Zákon o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., o kybernetické bezpečnosti Kritická informační infrastruktura Významný informační systém Security Information and Event Management Intrusion Detection System Intrusion Prevention System MDM Mobile Device Management BYOD Bring your own Device BYOS Bring your own Software IoT SDN APT Internet of Things Software Defined Networks Advance Presistent Threat 6

UŽITEČNÉ WEBOVÉ STRÁNKY Vládní CERT - www.govcert.cz Národní CERT - www.csirt.cz Common Criteria Portal - https://www.commoncriteriaportal.org/ Organizace ISACA - www.isaca.org CyberSecurity.cz - http://cybersecurity.cz/ Open Sourced Vulnerability Database - http://osvdb.org/ ENISA - https://www.enisa.europa.eu/ CCDCOE - https://ccdcoe.org/ DOPORUČENÁ ODBORNÁ LITERATURA SMEJKAL, Vladimír a Karel RAIS. Řízení rizik ve firmách a jiných organizacích. 4., aktualiz. a rozš. vyd. Praha: Grada, 2013, 483 s. Expert (Grada). ISBN 978-80-247-4644-9. ONDRÁK, Viktor, Petr SEDLÁK a Vladimír MAZÁLEK. Problematika ISMS v manažerské informatice. Vyd. 1. Brno: Akademické nakladatelství CERM, 2013, 377 s. ISBN 978-80-7204-872-4. DOUCEK, Petr. Řízení bezpečnosti informací: 2. rozšířené vydání o BCM. 2., přeprac. vyd. Praha: Professional Publishing, 2011, 286 s. ISBN 978-80-7431-050-8. DOUCEK, Petr, Luděk NOVÁK a Vlasta SVATÁ. Řízení bezpečnosti informací. 1. vyd. Praha: Professional Publishing, 2008, 239 s. ISBN 9788086946887. ČSN ISO/IEC 27001. Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Požadavky. Praha: Český normalizační institut. WONG, Wei Ning Zechariah a Jianping SHI. Business continuity management system: a complete framework for implementing ISO 22301. xvi, 279 pages. DOUCEK, Petr, Miloš MARYŠKA a Lea NEDOMOVÁ. Informační management v informační společnosti. 1. vyd. Praha: Professional Publishing, 2013, 264 s. ISBN 978-80-7431-097-3. SVATÁ, Vlasta. Audit informačního systému. 2. vyd. Praha: Professional Publishing, 2012, 219 s. ISBN 978-80-7431-106-2. 7

B. PRAKTICKÁ ČÁST Praktická část pracovního sešitu slouží k procvičení a ověření získaných znalostí a dovedností. KONTROLNÍ OTÁZKY 1. Jaký je rozdíl mezi událostí a incidentem? 2. Na jaké úrovni řízení, by měla být řízena bezpečnost? 3. Co znamená PDCA? (popsat vč. jednotlivých fází) 4. Jaké znáte metodiky, knihovny a normy zabývající se ICT bezpečností? 5. Co byste zařadili do organizačních a co do technických opatření? 6. Jaký je rozdíl mezi primárním, podpůrným a technickým aktivem? 7. Jaké bezpečnostní role definuje ZKB? 8. Jaké znáte metody analýzy rizik? 9. Jak jsou rozdělena aktiva podle VKB? 10. Jaký je hlavní rozdíl v přístupu ISMS a ZKB k ochraně informací? 11. Co je to kyberprostor? 12. Jaké znáte typy kybernetických útoků? 13. Řekněte příklad bezpečnostní události a bezpečnostního incidentu. 14. Co v projektovém managementu znamená pojem SMART? 15. Jaký je zásadní rozdíl mezi efektivností a efektivitou? 16. Co definuje rozsah ISMS? 17. Popište roli výboru pro řízení kybernetické bezpečnosti. 18. Popište role auditora, architekta a manažera KB. 19. Popište roli garanta aktiva. 20. Jaké znáte způsoby výpočtu rizika? 21. Co je to registr rizik? 22. Jakým způsobem identifikujete hrozby, zranitelnosti a rizika? 23. Co je to SLA a jakou roli hraje v oblasti kybernetické bezpečnosti? 24. Jaké výhody a nevýhody vidíte u CLOUDových řešení? 25. Jaké typy CLOUDových služeb znáte? 8

ÚKOLY 1) Jakým způsobem byste zajistili ve Vaší organizaci bezpečnost lidských zdrojů? 2) Jakým způsobem byste se rozhodli, zda pořídit nový systém a provozovat jej interně, nebo zda jej outsourcovat? a) Jaké další souvislosti byste společně s tímto rozhodnutím řešili? 3) Pokuste se navrhnout, několika body, strukturu školení pro své zaměstnance, zaměřené na ICT bezpečnost. 4) Sestavte jednoduchou úvahu na téma interní zaměstnanec vs. externí odborník. 5) Pokuste se sestavit jednoduchý DRP plán pro případ: a) Ztráty dat b) Kybernetický útok, zaměřený na webovou aplikaci 6) Pokuste se stručně definovat desatero kybernetické bezpečnosti k interpretaci zaměstnancům 7) Jak myslíte, že by bylo možné předejít kybernetickému útoku ze strany interních zaměstnanců? 8) Pokuste se navrhnout bezpečnou architekturu z těchto prvků (jejich funkce si upřesněte a odůvodněte; jednotlivé prvky můžete použít více krát) firewall, switch, databázový server, aplikační server, domain controller, webový server, e-mailový server, router, wifi router, síťová tiskárna, PC, notebook, tablet, ovládání klimatizace, IP kamera. 9

9) Zamyslete se nad zobrazenou architekturou a pokuste se navrhnout ji správně. INET ROUTER NEZABEZPEČENÁ WIFI SWITCH INTERNÍ WI-FI WPA2/PSK DC DB SERVER WWW E-MAIL PLC (ICS) PLOTTER CNC ROBOT Pozn.: Schema představuje architekturu infrastruktury malého výrobního podniku s poměrně jednoduchou síťovou architekturou. Kromě serverů pro provoz DC, webu a e-mailových služeb společnost vlastní i DB server, který hostuje databázi ERP systému. Na stejné infrastruktuře je připojena i veřejná WiFi síť pro zákazníky prodejny a obráběcí CNC robot. 10

C. POZNÁMKY 11

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář