Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Podobné dokumenty
Václav Borovička. Seminář AFCEA a Policejní akademie ČR Listopad 2014, Praha

Určování Kritické informační infrastruktury. JUDr. et Mgr. Radomír Valica Vedoucí autorského týmu ZKB Národní bezpečnostní úřad 14.

Legislativa kybernetické bezpečnosti Kritická informační infrastruktura a Významné informační systémy Ing. Dušan Navrátil Ředitel

o IS nebo KS naplňující průřezová a odvětvová kritéria v oblasti kybernetické bezpečnosti o Pro určování KII jsou důležité:

Touto vyhláškou se stanoví významné informační systémy a jejich určující kritéria podle 6 písm. d) zákona.

Zkušenosti a výsledky určování KII a VIS

Zákon o kybernetické bezpečnosti a související předpisy

Zákon o kybernetické bezpečnosti a související předpisy

Spisová značka: Brno, 23. května /2019 Vyřizuje: VEŘEJNÁ VYHLÁŠKA NÁVRH OPATŘENÍ OBECNÉ POVAHY

Kybernetická bezpečnost resortu MV

Kybernetická bezpečnost MV

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Národní bezpečnostní úřad

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

Zákon o kybernetické bezpečnosti. Petr Nižnanský

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

IDET AFCEA Květen 2015, Brno

Státní pokladna. Centrum sdílených služeb

Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

Adam Kučínský. Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

Z K B V P R O S T Ř E D Í

Kybernetická bezpečnost

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Zákon o kybernetické bezpečnosti

Jaroslav Šmíd náměstek ředitele

Zákon o kybernetické bezpečnosti

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

Adam Kučínský. Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Zákon o kybernetické bezpečnosti

Zákon o kybernetické bezpečnosti na startovní čáře

Implementace ZKB. Kritická informační infrastruktura a Významné informační systémy. Jaroslav Šmíd náměstek ředitele NBÚ

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

Kybernetická bezpečnost I. Legislativa a strategie kybernetické bezpečnosti v České republice

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Kybernetická bezpečnost ve veřejné správě. Jan Dienstbier Garant platformy KYBEZ

Další postup v řešení. kybernetické bezpečnosti. v České republice

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Evoluce kybernetické bezpečnosti z pohledu státu. Adam Kučínský Vedoucí oddělení regulace Odbor regulace auditu a podpory

Kybernetická bezpečnost

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

TSB a kybernetická bezpečnost SMB a jím ovládaných subjektů

Dopady zákona o kybernetické bezpečnosti (ZKB) Jan Mareš

Aktivity TPEB ČR v oblasti ZKB. Jan.Kepic@tpeb.cz - Praha ÚNMZ 4. února 2015

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Nařízení vlády č. 432/2010 Sb. o kritériích pro určení prvků kritické infrastruktury

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Ochrana osobních údajů a kybernetické bezpečnosti s GINIS. Jan Dienstbier Garant platformy KYBEZ

Kybernetická bezpečnost ve zdravotnictví. Dušan Navrátil ředitel NBÚ

317/2014 Sb. VYHLÁKA

VODÍTKA HODNOCENÍ DOPADŮ

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. srpna 2017

Kybernetické bezpečnostní incidenty a jejich hlášení

Kybernetická bezpečnost ČR aktivity NBÚ. Jaroslav Šmíd náměstek ředitele NBÚ

HLÁŠENÍ KONTAKTNÍCH ÚDAJŮ. Návod k vyplnění formuláře

Právní výzvy v oblasti kybernetické bezpečnosti. Mgr. Petra Vrábliková advokát

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Bezpečnostní politika a dokumentace

VLÁDNÍ NÁVRH ZÁKON. ze dne 2017,

316/2014 Sb. VYHLÁŠKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti

b) aktivem primární aktivum a podpůrné aktivum, c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém

Vyhláška o bezpečnostních pravidlech pro orgány veřejné moci využívající služby cloud computingu (Cloudová vyhláška)

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Návrh VYHLÁŠKA. ze dne 2014

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Synergie všeho Ěskoroě ISSS 2017

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Návrh VYHLÁŠKA. ze dne 2014

ODŮVODNĚNÍ I. ZÁVĚREČNÁ ZPRÁVA Z HODNOCENÍ DOPADŮ REGULACE (RIA)

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Národní bezpečnostní úřad

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Posuzování na základě rizika

Teze vyhlášky o určování provozovatelů základních služeb

Zkušenosti s implementací ZoKB a problémy, které nás pálí. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT

SBÍRKA ZÁKONŮ. Ročník 2018 ČESKÁ REPUBLIKA. Částka 43 Rozeslána dne 28. května 2018 Cena Kč 106, O B S A H :

Bezpečnostní opatření a audit shody se ZKB. Ing. Martin Konečný,

Nabídka kurzů k systému řízení bezpečnosti informací (ISMS) ČSN ISO/IEC 27001:2014

eidas implementace požadavků do IS VVŠ Radek Holý Výpočetní a informační centrum

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

egrc řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s.

NEPŘIMĚŘENÉ NÁKLADY. vysvětlení pojmu

VYHLÁŠKA. ze dne 21. května 2018,

Bezpečnostní politika společnosti synlab czech s.r.o.

METODIKA K VAROVÁNÍ ZE DNE 17. PROSINCE 2018

NÁRODNÍ STRATEGIE KYBERNETICKÉ BEZPEČNOSTI ČESKÉ REPUBLIKY NA OBDOBÍ LET 2015 AŽ Ing. Dušan Navrátil

Problematika kritické infrastruktury

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Implementace systému ISMS

PREZENTACE PRO ŽADATELE K 10. VÝZVĚ IROP KYBERNETICKÁ BEZPEČNOST BRNO Ing. Andrea Jonštová, konzultace dotačních programů

Zkušenosti z naplňování ZKB: Audit shody se ZKB. Ing. Martin Konečný,

Řízení bezpečnosti. Ochrana kritické infrastruktury

Transkript:

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.) Adam Kučínský Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti

Prezentace vzhledem ke svému rozsahu nepostihuje kompletní šíři požadavků vyplývajících ze zákona o kybernetické bezpečnosti, ale pouze vybrané oblasti. 2

o 3 ZKB a) poskytovatelé služeb elektronických komunikací, a subjekt zajišťující sít elektronických komunikací, b) orgán nebo osoba zajišťující významnou síť c) správce IS KII d) správce KS KII e) správce VIS NÁRODNÍ CERT VLÁDNÍ CERT 3

o Kritická informační infrastruktura (KII) o Definována zákonem o KB a zákonem o krizovém řízení o Narušení takového systému by mohlo mít závažný dopad na fungování státu, život a zdraví obyvatel, ekonomiku nebo bezpečnost o KII musí plnit 100 % požadavků vyhlášky č. 316/2014 Sb. o Významný informační systém (VIS) o Definovány pouze zákonem o KB o Narušení takového systému by mohlo mít dopad na výkon působnosti orgánu veřejné moci o VIS musí plnit cca 60 % požadavků vyhlášky č. 316/2014 Sb. 4

o IS nebo KS naplňující průřezová a odvětvová kritéria v oblasti kybernetické bezpečnosti o stejně jako KI se týká veřejnoprávních i soukromoprávních subjektů o určování provádí NBÚ ( 22, odst. 2 písm. m) a n) ZKB) o Pro určování KII jsou důležité: o Zákon č. 181/2014 Sb., o kybernetické bezpečnosti >> definuje KII o Zákon č. 240/2000 Sb., krizový zákon >> stanoví proces určení KII o Nařízení vlády č. 432/2010 Sb. >> stanoví kritéria pro KII 5

o 2 písmeno g) krizového zákona o narušení funkce by mělo závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu o Průřezová kritéria - 1 nařízení vlády č. 432/2010 Sb. o oběti s mezní hodnotou více než 250 mrtvých nebo více než 2500 osob s následnou hospitalizací po dobu delší než 24 hodin, NEBO o ekonomického dopadu s mezní hodnotou hospodářské ztráty státu vyšší než 0,5 % hrubého domácího produktu, NEBO o dopadu na veřejnost s mezní hodnotou rozsáhlého omezení poskytování nezbytných služeb nebo jiného závažného zásahu do každodenního života postihujícího více než 125000 osob. Vždy je hodnoceno narušení bezpečnosti informací IS/KS* *Při posuzování naplnění kritérií je uvažováno narušení dostupnosti/důvěrnosti/integrity 6

o Odvětvová kritéria příloha nařízení vlády č. 432/2010 Sb. a) IS, který významně nebo zcela ovlivňuje činnost určeného prvku KI, a který je nahraditelný jen při vynaložení nepřiměřených nákladů nebo v časovém období přesahujícím 8 hodin -> týká se již určených prvků KI b) KS, který významně nebo zcela ovlivňuje činnost určeného prvku KI, a který je nahraditelný jen při vynaložení nepřiměřených nákladů nebo v časovém období přesahujícím 8 hodin -> týká se již určených prvků KI c) IS spravovaný orgánem veřejné moci obsahující osobní údaje o více než 300 000 osobách -> týká se orgánu veřejné moci d) KS zajišťující připojení nebo propojení prvku kritické infrastruktury, s kapacitou garantovaného datového přenosu nejméně 1 Gbit/s e) odvětvová kritéria pro určení prvku kritické infrastruktury uvedená v písmenech A. až F. se použijí přiměřeně pro oblast kybernetické bezpečnosti, pokud je ochrana prvku naplňujícího tato kritéria nezbytná pro zajištění kybernetické bezpečnosti. -> umožňuje určení KII u subjektů, které nenaplňují kritéria a) d) ale naplní průřezová kritéria a zároveň kritérium z odvětví VI. Komunikační a informační systémy (viz další slide) 7

o Definice VIS dle 2 písm. d) ZKB: o informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci o Pouze IS spravovaný orgánem veřejné moci o Kritéria uvedena ve vyhlášce č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích* o Obce z VIS vyjmuty *VIS musí naplnit alespoň jedno dopadové a zároveň jedno oblastní kritérium 8

a) úplná nebo částečná nefunkčnost IS způsobená narušením bezpečnosti informací by mohla mít negativní vliv na: 1. fungování orgánu veřejné moci 2. poskytování služeb nebo informací orgánem veřejné moci veřejnosti 3. hospodaření orgánu veřejné moci nebo hospodaření orgánu veřejné moci, který je správcem významného informačního systému, anebo hospodaření orgánu nebo osoby, která je správcem informačního nebo komunikačního systému kritické informační infrastruktury 4. provoz jiného významného informačního systému využívajícího služeb hodnoceného informačního systému, který je nefunkční přičemž omezení činnosti takového systému by mohlo mít za následek omezení výkonu působnosti orgánu veřejné moci po dobu delší než 3 pracovní dny, nebo výrazné ohrožení výkonu působnosti orgánu veřejné moci, které lze odvrátit za vynaložení nepřiměřených nákladů na provoz nebo obnovu informačního systému. 4 písm. a) vyhlášky č. 317/2014 Sb. *Při posuzování naplnění kritérií je uvažováno narušení dostupnosti/důvěrnosti/integrity 9

b) úplná nebo částečná nefunkčnost informačního systému způsobená narušením bezpečnosti informací by mohla způsobit: 1. ohrožení nebo narušení prvku kritické infrastruktury 2. oběti na životech s mezní hodnotou více než 10 mrtvých nebo 100 zraněných osob vyžadujících lékařské ošetření, s případnou hospitalizací s dobou delší než 24 hodin 3. finanční nebo materiální ztráty s mezní hodnotou více než 5% stanoveného rozpočtu orgánu veřejné moci 4. zásah do osobního života nebo do práv fyzických nebo právnických osob postihující nejméně 50 000 osob 5. výrazné ohrožení nebo narušení veřejného zájmu přičemž následky podle bodů 1 až 4 nedosáhnou hodnot pro určení prvku kritické infrastruktury podle průřezových kritérií stanovených krizovým zákonem. 4 písm. b) vyhlášky č. 317/2014 Sb. *Při posuzování naplnění kritérií je uvažováno narušení dostupnosti/důvěrnosti/integrity 10

Příloha č. 2 k vyhlášce o významných informačních systémech I. U orgánu veřejné moci 1. vedení správního řízení, 2. databáze obsahující osobní údaje, 3. hospodaření orgánu veřejné moci, 4. výkon spisové služby, 5. státní dozor, 6. kontrolní a inspekční činnost, 7. příprava na krizové situace a jejich řešení, 8. tvorba právních předpisů, 9. elektronická pošta, 10. vedení internetových stránek, 11. mezirezortní spolupráce, 12. mezinárodní spolupráce, 13. zadávání veřejných zakázek, 14. státní statistická služba. II. U orgánu veřejné moci kraje v rámci přenesené působnosti 1. databáze obsahující osobní údaje, 2. vedení správního řízení, 3. hospodaření orgánu veřejné moci, 4. elektronická pošta, 5. vedení internetových stránek, 6. příprava na krizové situace a jejich řešení, 7. mezinárodní spolupráce, 8. státní dozor, 9. kontrolní a inspekční činnost, 10. zadávání veřejných zakázek. 11

o Naplnění určujících kritérií významného informačního systému, který není uveden v příloze č. 1 k této vyhlášce, posuzuje správce informačního systému * ( 3 vyhlášky č. 317/2014) o Zákon výslovně nezmiňuje doklad o posouzení o Ideálně: interní dokument - schválený statutárním zástupcem o Doporučení k obsahu: o Identifikace organizace o Seznam posouzených IS o U IS naplňujících kritéria pro VIS odkaz na naplněná kritéria o Identifikace odpovědné osoby za konkrétní VIS, úkoly, zodpovědnost o Datum schválení, podpis o Případné další informace odkaz na dokumenty, analýzy, atd. *Správce - orgán nebo osoba, které určují účel zpracování informací a podmínky provozování IS 12

o Nahlášení kontaktních údajů ( 16 ZKB) o Do 30 dnů od určení/posouzení o Hlášení kybernetických bezp. incidentů ( 8 ZKB) o Do jednoho roku od určení/posouzení o Stanoveny typy a kategorie o Činit opatření vydané NBÚ ( 11 ZKB) o V případě, je vydáno (varování, reaktivní op., ochranné op.) o Zavést bezpečnostní opatření standardizace o 4 a 5 ZKB > > blíže specifikuje vyhláška č. 316/2014 Sb. o Do jednoho roku od určení/posouzení Kontrola spuštěna v závislosti na určení konkrétního VIS 13

o Zavést systém řízení bezpečnosti informací a v jeho rámci: o Řídit rizika o Stanovit bezpečnostní role o Vytvořit a schválit bezpečnostní politiku o Stanovit bezpečnostní požadavky na dodavatele ( 7 VKB) o Řízení aktiv ( 8 VKB) o Bezpečnost lidských zdrojů ( 9 VKB) o Řízení přístupu a bezpečné chování uživatelů ( 11 VKB) o Akvizice, vývoj a údržba ( 12 VKB) o Řízení kontinuity činností ( 14 VKB) 14

o Řízení rizik o Stanovit metodiku pro identifikaci a hodnocení aktiv a rizik o Identifikovat a hodnotit důležitost primárních aktiv o Identifikovat rizika, při kterých zohlední hrozby a zranitelnosti o Zpracovat prohlášení o aplikovatelnosti (přehled vybraných a zavedených bezpečnostních opatření) o Zpracovat plán zvládání rizik (cíle a přínosy opatření, termíny, ) o Zohlednit případná reaktivní a ochranná opatření vydaná NBÚ o Bezpečnostní politika o oblasti ve kterých má být stanovena uvádí VKB v 5 odst. 2 15

o Výbor pro řízení kybernetické bezpečnosti KII i VIS povinně o Stanoví práva a povinnosti a určí bezpečnostní role o Garant aktiva povinně KII i VIS povinně o Osoba pověřená k zajištění rozvoje, použití a bezpečnosti aktiva o Další bezpečnostní role správce VIS je určí přiměřeně: o manažer kybernetické bezpečnosti o Vyškolení pro tuto činnost + praxe 3 roky v oblasti řízení bezpečnosti informací o architekt kybernetické bezpečnosti, o Vyškolení pro tuto činnost + praxe 3 roky v oblasti navrhování bezp. architektury o auditor kybernetické bezpečnosti neslučitelné s ostatními rolemi o Vyškolení pro tuto činnost + praxe 3 roky v oblasti auditů kybernetické bezpečnosti 16

o VIS je zcela zahrnut do rozsahu systému řízení bezpečnosti informací o Rozsah byl certifikován podle normy ISO 27001 akreditovaným certifikačním orgánem o Správce VIS vede dokumenty obsahující o popis rozsahu systému řízení bezpečnosti informací, o prohlášení politiky a cílů systému řízení bezpečnosti informací o popis použité metody hodnocení rizik a zprávu o hodnocení rizik, o prohlášení o aplikovatelnosti, o certifikát systému řízení bezpečnosti informací splňující požadavky normy, o záznam o přezkoumání systému řízení bezpečnosti informací včetně souvisejících vstupů a výstupů přezkoumání o zprávu z auditů provedených certifikačním orgánem včetně příslušných záznamů o nápravě zjištěných neshod s příslušnou normou, 17

Blokové schéma k zákonu o kybernetické bezpečnosti: http://www.govcert.cz/cs/kii--vis/kii--vis/ Proces určování kritické informační infrastruktury: http://www.govcert.cz/cs/kii--vis/kriticka-informacni-infrastruktura/ Proces určování významných informačních systémů: http://www.govcert.cz/cs/kii--vis/vyznamne-informacni-systemy/ Pomůcka k auditu/kontrole bezpečnostních opatření podle zákona, přehled lhůt pro plnění povinností, povinnosti podle zákona, bezpečnostní role: http://www.govcert.cz/cs/kii--vis/dalsi-materialy-ke-stazeni/ Národní strategie kybernetické bezpečnosti a akční plán: http://www.govcert.cz/cs/informacni-servis/strategie-a-akcni-plan/ Výkladový slovník kybernetické bezpečnosti - třetí vydání: http://www.govcert.cz/cs/informacni-servis/vykladovy-slovnik/ 18

Diskuze a dotazy? Adam Kučínský a.kucinsky@nbu.cz www.nbu.cz www.govcert.cz 19

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář