Kybernetické bezpečnostní incidenty a jejich hlášení

Podobné dokumenty
o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Určování Kritické informační infrastruktury. JUDr. et Mgr. Radomír Valica Vedoucí autorského týmu ZKB Národní bezpečnostní úřad 14.

Václav Borovička. Seminář AFCEA a Policejní akademie ČR Listopad 2014, Praha

Legislativa kybernetické bezpečnosti Kritická informační infrastruktura a Významné informační systémy Ing. Dušan Navrátil Ředitel

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

VODÍTKA HODNOCENÍ DOPADŮ

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Národní bezpečnostní úřad

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Zákon o kybernetické bezpečnosti. Petr Nižnanský

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

Zákon o kybernetické bezpečnosti a související předpisy

Aktivity TPEB ČR v oblasti ZKB. Jan.Kepic@tpeb.cz - Praha ÚNMZ 4. února 2015

Zákon o kybernetické bezpečnosti a související předpisy

Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti

Bezpečnostní opatření a audit shody se ZKB. Ing. Martin Konečný,

Zákon o kybernetické bezpečnosti na startovní čáře

IDET AFCEA Květen 2015, Brno

Kybernetická bezpečnost

Kybernetická bezpečnost

Zákon o kybernetické bezpečnosti

Jaroslav Šmíd náměstek ředitele

Zákon o kybernetické bezpečnosti

Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Kybernetická bezpečnost resortu MV

Návrh VYHLÁŠKA. ze dne 2014

Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL

316/2014 Sb. VYHLÁŠKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Implementace ZKB. Kritická informační infrastruktura a Významné informační systémy. Jaroslav Šmíd náměstek ředitele NBÚ

Touto vyhláškou se stanoví významné informační systémy a jejich určující kritéria podle 6 písm. d) zákona.

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Kybernetická bezpečnost MV

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Nařízení vlády č. 432/2010 Sb. o kritériích pro určení prvků kritické infrastruktury

Zkušenosti z naplňování ZKB: Audit shody se ZKB. Ing. Martin Konečný,

Spisová značka: Brno, 23. května /2019 Vyřizuje: VEŘEJNÁ VYHLÁŠKA NÁVRH OPATŘENÍ OBECNÉ POVAHY

egrc řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s.

Návrh VYHLÁŠKA. ze dne 2014

Zkušenosti a výsledky určování KII a VIS

b) aktivem primární aktivum a podpůrné aktivum, c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém

KYBERBEZPEČNOST POHLEDEM MV ČR

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Kybernetická bezpečnost I. Legislativa a strategie kybernetické bezpečnosti v České republice

Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

Bohdan Lajčuk Mikulov

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Vymezení technické infrastruktury a zajištění její bezpečnosti v krizových situacích Mgr. Daniel Barták

o IS nebo KS naplňující průřezová a odvětvová kritéria v oblasti kybernetické bezpečnosti o Pro určování KII jsou důležité:

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Dopady GDPR a jejich vazby

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

Z K B V P R O S T Ř E D Í

Kybernetický zákon Aspekty a konsekvence zákona o kybernetické bezpečnosti. ISSS 2015 jitesar@cisco.com 14. dubna 2015

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Kybernetická bezpečnost ve veřejné správě. Jan Dienstbier Garant platformy KYBEZ

Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

KYBERNETICKÁ BEZPEČNOST VE SKUPINĚ ČEZ V ROCE 2016

Zkušenosti s implementací ZoKB a problémy, které nás pálí. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT

O2 a jeho komplexní řešení pro nařízení GDPR

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Zákon o kybernetické bezpečnosti

Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

SBÍRKA ZÁKONŮ. Ročník 2014 ČESKÁ REPUBLIKA. Částka 127 Rozeslána dne 19. prosince 2014 Cena Kč 109, O B S A H :

TSB a kybernetická bezpečnost SMB a jím ovládaných subjektů

Řízení bezpečnosti. Ochrana kritické infrastruktury

Co se skrývá v datovém provozu?

Business impact analýza a zvládání rizik spojených s provozem nedůvěryhodných zařízení BVS. František Sobotka NOVICOM s.r.o

Obecné nařízení o ochraně osobních údajů

NÁRODNÍ STRATEGIE KYBERNETICKÉ BEZPEČNOSTI ČESKÉ REPUBLIKY NA OBDOBÍ LET 2015 AŽ Ing. Dušan Navrátil

Ochrana osobních údajů a kybernetické bezpečnosti s GINIS. Jan Dienstbier Garant platformy KYBEZ

Posuzování na základě rizika

Provoz vodárenské infrastruktury v krizové situaci

Seminář CyberSecurity II

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Řízení rizik ICT účelně a prakticky?

NCKB / Institut mezinárodních studií, Fakulta sociálních věd, Univerzita Karlova

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Bezpečnost na internetu. přednáška

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Transkript:

Kybernetické bezpečnostní incidenty a jejich hlášení Lukáš Kintr Národní centrum kybernetické bezpečnosti ČR Libor Široký Risk Analysis Consultants

Přehled hlášení a incidentů 90 80 70 60 50 40 30 20 10 0 Incident report Incident

Dosavadní zkušenosti NCKB s hlášením KBI ve většině případů jsou k dispozici podklady (logy aj.) k následné analýze nedostatečné bezpečnostní povědomí v širší skupině uživatelů ze zkušeností a vzhledem k opakovaným nejasnostem vyvstala potřeba diskuze a ujasnění hranice mezi (kybernetickými) bezpečnostními událostmi a (kybernetickými) bezpečnostními incidenty a hranicí od které mají být hlášeny

Zkušenosti s nastavením procesu hlášení KBI Je každý bezpečnostní incident (BI) také kybernetický bezpečnostní incident? Je opravdu nutné hlásit všechny (kybernetické) bezpečnostní incidenty (KBI)? Může se jednat o stovky až tisíce incidentů ročně za jeden subjekt Za všechny povinné subjekty může jít řádově o desítky až stovky tisíc hlášení ročně Je vůbec v silách NCKB toto množství efektivně zvládnout?

Příklad (kybernetického) bezpečnostního incidentu Neúmyslné překopnutí optického kabelu (prvek KII dle nařízení vlády č. 432/2010 Sb.) -> výpadek datové komunikace do objektu s technologiemi pro služby operátora (prvek KI dle z. č. 240/2000 Sb.) -> výpadek datových i hlasových služeb (více než 125tis. zákazníků) měl by zafungovat PKP [240/2000 Sb.] výpadek tísňových linek - povinnost hlásit ČTU [127/2005 Sb.] dle délky trvání a počtu postižených uživatelů (účastníků) Jedná se o kybernetický bezpečnostní incident? Pokud ANO má být hlášen NCKB?

Co říká zákon č. 181/2014 Sb. Kybernetickou bezpečnostní událostí je událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací. Kybernetickým bezpečnostním incidentem je narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetické bezpečnostní události. Kybernetický bezpečnostní incident to tedy zřejmě je.

Kategorie KBI dle ZKB / 31 v. č. 316/2014 Sb. / Kategorie 0 - Incidenty, které se nehlásí. NEEXISTUJE!!! Kategorie I - méně závažný kybernetický bezpečnostní incident, při kterém dochází k méně významnému narušení bezpečnosti poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje zásahy obsluhy s tím, že musí být vhodnými prostředky omezeno další šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých škod. Kategorie II - závažný kybernetický bezpečnostní incident, při kterém je narušena bezpečnost poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být vhodnými prostředky zabráněno dalšímu šíření kybernetického incidentu včetně minimalizace vzniklých škod. Kategorie III - velmi závažný kybernetický bezpečnostní incident, při kterém je přímo a významně narušena bezpečnost poskytovaných služeb nebo aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být všemi dostupnými prostředky zabráněno dalšímu šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých i potenciálních škod. Všechny KBI v rozsahu KII/VIS se tedy musí hlásit?

Co říká vyhláška č. 316/2014 Sb. Typy kybernetických bezpečnostních incidentů / 30 / kybernetický bezpečnostní incident způsobený porušením organizačních opatření / odst. 1 písm. d) / kybernetický bezpečnostní incident způsobující narušení dostupnosti aktiv / odst. 2 písm. c) / Orgán a osoba uvedená v 3 písm. c) až e) zákona při zvládání kybernetických událostí a incidentů c) provádí klasifikaci kybernetických bezpečnostních incidentů, přijímá opatření pro odvrácení a zmírnění dopadu kybernetického bezpečnostního incidentu, provádí hlášení kybernetického bezpečnostního incidentu podle 32 a zajistí sběr věrohodných podkladů potřebných pro analýzu kybernetického bezpečnostního incidentu / 13 písm. c) / Dle vyhlášky by tedy měl být hlášen!

A co další podobné incidenty? zaměstnanec subjektu spadajícího pod KII vynese data o zákaznících výpadek xdsl internetu - interně provozní incident výpadek zákaznického systému - interně provozní incident výpadky technologií živelné pohromy (blesk, oheň, )... Jedná se o KBI? Má být hlášeno NCKB?

Nepomohlo by upřesnění definice KBI? Kybernetickým bezpečnostním incidentem je narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetické bezpečnostní události ZPŮSOBENÉ KYBERNETICKOU HROZBOU ZPŮSOBÍ NÁSLEDEK S DOPADEM xx... JAK DÁLE UPŘESNIT?

Jak jinak určit hranice mezi BU, KBU, BI a KBI Zpřesnění KBH nepomůže zcela Kategorizace přes dopady možná návaznost na Nařízení vlády č. 432/2010 Sb. o kritériích pro určení prvku kritické infrastruktury snažší uchopitelnost pro běžné uživatele Např.: Průřezová kritéria: dopad na veřejnost s mezní hodnotou rozsáhlého omezení poskytování nezbytných služeb nebo jiného závažného zásahu do každodenního života postihujícího více než 125000 osob

Koncept možného řešení Typy KBI Kategorie KBI dle závažnosti Specifikace hranic a příklady možných situací dle typu a kategorie

Kategorizace incidentů dle odvětví Hranice KBI v konkrétním prostředí

Jak postupovat a co očekávat v budoucnu Potřeba komunikovat a hledat oboustranně akceptovatelná pravidla hlášení Vycházet z dohodnutých pravidel a v případě nejasností se raději obrátit na NCKB Určité typy incidentů (např. Social Engineering) je nutné hlásit vždy, bez ohledu na stanovenou klasifikaci KBI Připravuje se koncept online řešení pro komunikaci mezi NCKB a povinnými osobami

Děkujeme za pozornost! Lukáš Kintr l.kintr@nbu.cz Libor Široký siroky@rac.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář