Regulace v blasti kybernetické bezpečnsti aktuálně Adam Kučínský ddělení regulace Odbr regulace auditu a pdpry CYBERCON 2018, 27. září 2018
Upzrnění: Prezentace byla vytvřena za účelem realizace knference CyberCn 2018. Prezentace bsahuje infrmace platné ke dni její realizace, tedy k 27. září 2018. Infrmace bsažené v prezentaci mají infrmační a světvý charakter. Pr zajištění suladu se záknem kybernetické bezpečnsti je nutn vycházet z aktuálně účinné legislativy. Aplikaci takvých infrmací či patření je nutné vždy vztahvat ke knkrétním systémům a institucím. Prezentace je předmětem chrany pdle autrskéh práva.
Kybernetická bezpečnst v ČR a regulatrní rámec 2011 NBÚ ustanven jak gestr KB vznik Nárdníh centra kybernetické bezpečnsti 2012 2015 Nárdní strategie kybernetické bezpečnsti I. Zákn kybernetické bezpečnsti Nárdní strategie kybernetické bezpečnsti II. 2016 2017 Směrnice NIS Nvela zákna kybernetické bezpečnsti Vznik NÚKIB
Legislativa kybernetické bezpečnsti shrnutí I. Zákn č. 181/2014 Sb., kybernetické bezpečnsti ( ZKB ) Nvelizván nvely účinné d 1. 7. 2017 a d 1. 8. 2017 Vyhláška č. 82/2018 Sb., kybernetické bezpečnsti ( VKB ) Nahrazuje vyhlášku č. 316/2014 Sb. Nvá a lepší Vyhláška č. 317/2014 Sb., významných infrmačních systémech Zatím beze změny nvelizace lets Nařízení vlády č. 432/2010 Sb., kritériích pr určení prvku KI Beze změny Adam Kučínský, 2018 4
Legislativa kybernetické bezpečnsti shrnutí II. Vyhláška č. 437/2017 Sb., kritériích pr určení prvzvatele základní služby Určvací kritéria Účinnst únr 2018 Pvinnsti pr DSP nařízení kmise 2018/151 ze dne 30. ledna 2018 V plánu jsu další vyhlášky: Pžadavky na clud cmputing předlžení 12/2018 Pžadavky na bezpečnu likvidaci dat předlžení 12/2018 Adam Kučínský, 2018 5
Struktura pvinných pdle ZKB stav d 1. 8. 2017 3 NZKB pskytvatelé služeb elektrnických kmunikací, subjekt zajišťující sít elektrnických kmunikací rgán neb sba zajišťující významnu síť Pskytvatel digitálních služeb správce a prvzvatel IS KII správce a prvzvatel KS KII správce a prvzvatel VIS správce a prvzvatel IS základní služby prvzvatel základní služby NÁRODNÍ CERT CZ.NIC VLÁDNÍ CERT NÚKIB Adam Kučínský, 2018 6
Plnění zákna kybernetické bezpečnsti Pčet KII cca 115 systémů u cca 41 subjektů Pčet VIS cca 173 systémů u cca 63 subjektů Celkem pd ZKB spadá cca 290 systémů Prvzvatelé základních služeb určvání spuštěn aktuálně dbíhá ve zdravtnictví a bude pkračvat v dalších dvětvích (zejména tam kde není KI/KII) Pskytvatelé digitálních služeb zaveden, je jich pměrně mál Kntrly d rku 2016 prveden cca 18 kntrl, prbíhají také metdické kntrly dsud jich byl prveden cca 36 Mnh dalších aktivit Kybernetická cvičení, mezinárdní splupráce, EU agendy, vzdělávání Více: Zprava stavu KB ČR za rk 2016 https://nukib.cz/cs/infrmacni-servis/publikace/2612-zprava--stavu-kyberneticke-bezpecnsti-ceske-republiky-2017/ Adam Kučínský, 2018 7
Stav implementace směrnice NIS v ČR NIS Directive 2017 Nárdní strategie kybernetické bezpečnsti ZKB 2015 2017 Nvela ZKB 1. 8. 2017 -> Stanvení bezpečnstních pžadavků na IS/KS Zřídit Cyber Incident Respnse Teams (CSIRT) Ustavit nárdní autritu v blasti KB Stanvit jedntné kntaktní místi pr blast KB Určit PZS * Definvat DSP ** ** Částečně zaveden kritická infrmační infrastruktura ** Nezaveden
Nvé pvinné sby Prvzvatel základní služby (PZS), infrmační systém základní služby (ISZS) Systémy klíčvé pr zajišťvání některých hspdářských a eknmických činnstí Pdbné KII (jsu zde ale rzdíly) Pskytvatel digitální služby (DSP) Zajišťuje služby cludu, internetvéh vyhledávače, e-cmmerce Prvzvatel infrmačníh/kmunikačníh systému KII/VIS/PZS zajišťuje funkčnst technických a prgramvých prstředků tvřících infrmační neb kmunikační systém = klíčvý ddavatel Zařazen d pvinných sb zavádí bezpečnstní patření tam, kde je nemůže zavést správce Důvd úpravy: prblémy se zabezpečením ddavatelů Adam Kučínský, 2018 9
Pskytvatel digitálních služeb (DSP) Adam Kučínský, 2018 10
Pskytvatel digitálních služeb (DSP) - definice 1. pdmínka: Pskytvatel digitální služby pskytuje službu digitální splečnsti (pdle zákna některých službách digitální splečnsti): služba pskytvaná zpravidla za úplatu, na dálku, elektrnicky a na individuální žádst příjemce služeb 2. pdmínka: Pskytvatel digitální služby pskytuje službu: On-line tržiště - umžňuje n-line uzavírat kupní smluvu neb smluvu pskytnutí služeb prstřednictvím internetvé stránky n-line tržiště neb prstřednictvím internetvé stránky prdávajícíh, která využívá službu n-line tržiště Internetvéh vyhledávače Clud cmputingu - umžňuje přístup k rzšiřitelnému a přizpůsbitelnému úlžišti výpčetních zdrjů, jež je mžn sdílet Tyt definice vycházejí přím ze směrnice Regulace se netýká malých a mikr pdniků <50 zaměstnanců a rční bilanční suma neb brat <10 mil. Funguje zde princip samurčení naplnění definice = pvinná sba Adam Kučínský, 2018 11
Pskytvatel digitálních služeb (DSP) Online tržiště A. On-line tržiště - umžňuje n-line uzavírat kupní smluvu neb smluvu pskytnutí služeb prstřednictvím internetvé stránky n-line tržiště neb prstřednictvím internetvé stránky prdávajícíh, která využívá službu n-line tržiště Definice je pněkud divná my ji ale museli převzít, je z NIS Definice je tak divná, že jsme ji řešili na celevrpské úrvni Adam Kučínský, 2018 12
DSP c je tedy tím Online tržištěm Za n-line tržiště se pvažují platfrmy, které vystupují jak prstředník mezi prdávajícími pdnikateli (prdávající) a sptřebiteli a pdnikateli (zde v pzici kupujících) a umžňuje prdej zbží či služeb. jedná se službu, která umžňuje sptřebitelům a pdnikatelům (kupujícím) uzavírat s prdávajícími pdnikateli (prdávající) smluvy přím prstřednictvím nline tržiště, a t s knečnu platnstí Za n-line tržiště se NEpvažují webvé stránky, které přesměrvávají uživatele na další webvé stránky, aby až tam uzavřeli smluvu (např. srvnávače cen); služí puze k prpjení prdávajících pdnikatelů (prdávajících) se sptřebiteli a prdávajícími (kupující) (např. inzertní webvé stránky) služí prdávajícímu pdnikateli (prdávající) přím k prdeji zbží sptřebitelům a prdávajícím (kupující)(např. nline malbchd) Adam Kučínský, 2018 13
DSP - Internetvý vyhledávač a Clud B. Internetvý vyhledávač umžňuje prvádět vyhledávání v zásadě na všech internetvých stránkách, na základě dtazu uživatele na jakékliv téma v pdbě klíčvéh slva, suslví neb jinéh zadání, služba pskytuje dkazy, na nichž lze nalézt infrmace suvisející s pžadvaným bsahem NEJDE databáze bsahující mezený rzsah infrmací (knihvní systémy apd.) C. Clud cmputing digitální služba umžňující přístup k rzšiřitelnému a přizpůsbitelnému úlžišti výpčetních zdrjů, které je mžn sdílet. tent pjem tak zahrnuje různé typy clud cmputingu: IaaS (Infrastructure as a Service), PaaS (Platfrm as a Service), SaaS (Sftware as a Service). NEJDE však cludy určené pr mezenu skupinu, např. firemní clud pr zaměstnance Více k DSP a jejich identifikaci: https://nukib.cz/cs/kyberneticky-zakn/pdpurne-materialy/ Adam Kučínský, 2018 14
Pskytvatel digitálních služeb (DSP) pvinnsti Uplatňuje se princip maximální harmnizace pvinnsti nad rámec NIS se neukládají Kntrla puze při pdezření neplnění pžadavků 4 dst. 3 NZKB: zavést a prvádět vhdná a přiměřená bezpečnstní patření pr sítě a IS, využívané k pskytvání služby 8 dst. 2 NZKB: hlásit kybernetický bezpečnstní incident s významným dpadem na pskytvání jeh služeb NCERTu 16 dst. 2 písm. h) NZKB: znamvat kntaktní údaje NCERTu Opatření musejí dpvídat míře existujícíh rizika Knkretizace bezp. patření - viz prváděcí nařízení EK 2018/151 Adam Kučínský, 2018 15
Prváděcí nařízení kmise 2018/151 ze dne 30. ledna 2018 Plný název: Prváděcí nařízení kmise (EU) 2018/151 ze dne 30. ledna 2018, kterým se stanví pravidla pr uplatňvání směrnice Evrpskéh parlamentu a Rady (EU) 2016/1148, pkud jde bližší upřesnění prvků, které musí pskytvatelé digitálních služeb zhledňvat při řízení bezpečnstních rizik, jimiž jsu vystaveny sítě a infrmační systémy, a parametrů pr psuzvání th, zda je dpad incidentu významný U DSP nemůžeme regulvat nad rámec NIS a prváděcích aktů EK Celkem 5 článků (důležitý je i recitál) Účinnst d 10. května 2018 žádná přechdná lhůta Přím účinné žádná transpzice Nvá vyhláška kybernetické bezpečnsti na nařízení dkazuje Adam Kučínský, 2018 16
Prváděcí nařízení kmise 2018/151 bsah a pvinnsti I. I. Recitál Zdůrazňuje systematický přístup k a přístup zalžený na řízení rizik Zmiňuje budvání bezp. pvědmí a frmalizvaný prcesní přístup Zdůrazňuje řízení bezp. ddavatelskéh řetězce Definuje, kd je uživatelem digitální služby II. Upřesňuje bezpečnstní patření, které musí DSP zavádět v rámci řízení bezpečnstních rizik (článek 2): Zavést systém řízení bezpečnsti infrmací Fyzická bezpečnst Bezpečnst ddávek Řízení přístupu Řešení incidentů testvání, hlášení, reakce, analýzy Řízení kntinuity prvzu krizvé plány, DRP, testvání Mnitring a audit Adam Kučínský, 2018 17
Prváděcí nařízení kmise 2018/151 bsah a pvinnsti II. Upřesňuje parametry pr psuzení, zda je dpad KBI významný: Nejprve musí být DSP schpen určit či dhadnut: Pčet PO a FO pstižených incidentem (ze smluv) neb pčet dtčených uživatelů, dle předchzíh prvzu Délku trvání incidentu = d narušení p bnvení služby Zeměpisný rzsah incidentu s přesnstí na stát Rzsah narušení služby zda dšl k narušení integrity, dstupnsti, důvěrnsti a autenticity Škdy, které byly způsbeny výši a druh - materiální či nemateriální DSP nemusí shrmažďvat infrmace, ke kterým nemá přístup Incident je významný pkud: Je služba nedstupná ve větším rzsahu jak 5 milinů uživatelhdin Je narušená integrita, autenticita neb důvěrnst a t vlivní více než 100 tisíc uživatelů Ohrzil veřejnu bezpečnst a živt a zdraví Způsbil škdu více než 1 milin EUR Adam Kučínský, 2018 18
Prvzvatel infrmačníh/kmunikačníh systému Prvzvatel = zajišťuje funkčnst technických a prgramvých prstředků tvřících infrmační neb kmunikační systém ( 2 písm. g) ZKB) = klíčvý ddavatel Adam Kučínský, 2018 19
Prvzvatel infrmačníh/kmunikačníh systému Prvzvatel IS/KS je d 1. 7. 2017 přidán d 3 ZKB mezi pvinné sby tam kde je t vhdné a mžné zavadí bezp. patření. Týká se ddavatelů KII, VIS a PZS Je mžné u něj prvést kntrlu plnění ZKB a při prušení vůči němu zahájit správní řízení Důvd zavedení: čast velmi prblematické smluvy v blasti IT, zejména ve státní správě Prvzvatel každý ddavatel Ostatní (VŠECHNY) ddavatelské vztahy musí být také z phledu bezpečnsti řízeny - 8 VKB Definice prvzvatele v 2 je dsti širká Pdpůrný materiál NÚKIB: https://nukib.cz/cs/kyberneticky-zakn/pdpurne-materialy/ Adam Kučínský, 2018 20
Prvzvatel infrmačníh/kmunikačníh systému 2 písm. g ZKB: zajišťuje funkčnst technických a prgramvých prstředků tvřících infrmační neb kmunikační systém = klíčvý ddavatel Identifikace prvzvatele (2 způsby): 4a dst. 1: Správce, který neprvzuje svůj systém infrmuje prvzvatelé, že je tent pvinnu sbu (100 % utsrcing, mžn i více prvzvatelů jednh systému) 6a dst. 1: Správce může pvěřit jinéh prvzem KII/VIS, pkud t nevylučuje jiný zákn (částečný utsrcing, mžn i více prvzvatelů jednh systému)) Správce infrmuje/pvěří ddavatele, že se stává prvzvatelem T ale nezbavuje správce dpvědnsti Pvinnsti prvzvatele 4 dst. 2 ZKB: Prvzvatel zavádí bezpečnstní patření v rzsahu nezbytném pr zajištění kybernetické bezpečnsti na systém KII/VIS/IS ZS, který ddává Opatření zavadí tam, kde je nemůže zavést správce a tam, kde t p něm správce vyžaduje (za t může být pžadvána úhrada nákladů) Adam Kučínský, 2018 21
Prvzvatel infrmačníh/kmunikačníh systému Infrmuje prvzvatele pdle 4a dst. 1 ZKB Správce KII / VIS Prvzuje 0 % Může pvěřit prvzváním pdle 6a dst. 1 ZKB Správce KII / VIS Prvzuje 20 % (např. síťvu infrastrukturu) Infrmační a kmunikační systém Infrmační a kmunikační systém Prvzuje 30 % (např. síťvu infrastrukturu) Ddavatel 1 (prvzvatel) Prvzuje 70 % (např. aplikační a dhledvu infrastrukturu) Ddavatel 2 (prvzvatel) Jedntlivé a jednrázvé ddávky technických a prgramvých prstředků Ddavatel 3 Prvzuje 70 % (např. aplikační infrastrukturu) Ddavatel 1 (prvzvatel) Prvzuje 10 % (např. dhledvé infrastrukturu) Ddavatel 2 (prvzvatel) Jedntlivé a jednrázvé ddávky technických a prgramvých prstředků Ddavatel 3 Zdrj: https://nukib.cz/cs/kyberneticky-zakn/pdpurne-materialy/ Adam Kučínský, 2018 22
Prvzvatel základní služby 23
Určvání prvzvatelů základních služeb (PZS) - becně PZS jsu na základě určujících kritérií určváni rzhdnutím (dle SŘ) Určující kritéria definuje vyhláška č. 437/2017 Sb., kritériích pr určení prvzvatele základní služby Na nastavvání kritérií se pdílela pracvní skupina z řad sukrmé i státní sféry (14 pdskupin dle dvětví a pddvětví) Pr určení je nutné naplnit jak dpadvá tak dvětvvá kritéria Odvětví kpírují NIS (+ chemický průmysl a teplárenství) Dpadvá kritéria respektují pžadavky směrnice a zhledňují nárdní pdmínky Kritéria a definice nastavena tak, aby regulace pkryla puze systémy nezbytné pr zajištění služeb (ne fakturační, marketingvé systémy ani např. bankmaty) Mnh vitálních systémů již určen jak KII nepředpkládáme výrazné mnžství PZS (výjimky - např. zdravtnictví)
Určvání prvzvatelů základních služeb (PZS) Aby byl subjekt a jeh infrmační systém určen musí naplnit všechny tři pdmínky 1. Definice ZKB Závislst služby na IS/KS Narušení služby by měl dpad ve vymezených dvětvích 2. Odvětvvá kritéria (3 úrvně) Druh služby Druh subjektu Speciální kritéria druhu subjektu 3. Dpadvá kritéria Dpad kybernetickéh bezpečnstní incidentu v IS/KS, na jehž fungvání je závislé pskytvání služby
1. Prvzvatel základní služby (PZS) definice dle NZKB Základní služba = služba, jejíž pskytvání je závislé na sítích neb infrmačních systémech a jejíž narušení by mhl mít významný dpad na zabezpečení činnstí v některém z těcht dvětví: 1. energetika 5. zdravtnictví 2. dprava 6. vdní hspdářství 3. bankvnictví 7. digitální infrastruktura 4. infrastruktura finančních trhů 8. chemický průmysl Infrmační systém základní služby = systém, na jehž fungvání je závislé pskytvání základní služby prvzvatel základní služby = rgán neb sba, která je dpvědná za pskytvání základní služby a která je určena NÚKIB
2. Prvzvatel základní služby (PZS) dvětvvá kritéria Směrnice NIS uvádí dvětví, ve kterých budu PZS určváni: 1. energetika 5. zdravtnictví 2. dprava 6. vdní hspdářství 3. bankvnictví 7. digitální infrastruktura 4. infrastruktura finančních trhů + nad rámec směrnice přidán 8. chemický průmysl Některá dvětví se dále dělí na pddvětví: Energetika na: elektřina, plyn, rpa, teplárenství Dprava na: letecku, železniční, vdní a silniční Směrnice nastavuje rzsah pvinných subjektů pměrně širce Ve vyhlášce jsu v relevantních dvětvích přidána ještě tzv. speciální kritéria druhu subjektu, Naplní je puze nejvýznamnější rganizace v daném dvětví či pddvětví Ne všechny rganizace v daném dvětví budu psuzvány z hlediska dpadu incidentu v jejich IS/KS
3. Prvzvatel základní služby (PZS) dpadvá kritéria (ČR) Dpad kybernetickéh bezpečnstníh incidentu v infrmačním systému neb sítí el. kmunikací, na jehž fungvání je závislé pskytvání služby, může způsbit: a) závažné mezení či narušení druhu služby pstihující více než 25 000* neb 50 000* neb 500 000* sb, b) závažné mezení či narušení jiné základní služby, neb mezení či narušení prvzu prvku kritické infrastruktury, c) hspdářsku ztrátu vyšší než 0,25 % HDP, e) běti na živtech s mezní hdntu více než 100* neb 200* mrtvých neb 1 000 zraněných sb vyžadujících lékařské šetření, f) narušení veřejné bezpečnsti na významné části správníh území bce s rzšířenu půsbnstí, které by mhl vyžadvat prvedení záchranných a likvidačních prací základními a statními slžkami integrvanéh záchrannéh systému, neb g) kmprmitaci citlivých údajů více než 200 000 sbách. d) nedstupnst druhu služby pr více než 1 600 sb, která není nahraditelná jiným způsbem bez vynalžení nepřiměřených nákladů,* Pzn.: Jedná se výčet všech pužitých dpadů v jedntlivých dvětvích se jejich uplatnění liší * V závislsti na specificích jedntlivých dvětví se tyt hdnty liší 28
Zdrj: https://www.gvcert.cz/cs/zkb/pdpurne-materialy/
Přílha vyhlášky č. 437/2017 Sb. 5. Zdravtnictví Adam Kučínský, 17. 9. 2018 30
Základní pvinnsti PZS Hlášení kntaktních údajů ( 16 ZKB). Zavádění bezpečnstní patření ( 4 a 5 ZKB). Hlášení incidentů ( 8 ZKB). Prvádění reaktivních a chranných patření ( násl. ZKB). 13 a Pvinnsti jsu stejné jak u KII 31
Významné infrmační systémy 32
Významné infrmační systémy infrmační systém spravvaný rgánem veřejné mci, který není kriticku infrmační infrastrukturu a u kteréh narušení bezpečnsti infrmací může mezit neb výrazně hrzit výkn půsbnsti rgánu veřejné mci Puze IS spravvaný rgánem veřejné mci (mim bce) Není KII Identifikace knkrétních VIS závislá na vyhlášce významných infrmačních systémech a jejich určujících kritériích Oprti KII je mířen směrem k zajištění půsbnsti OVM Zásadní tázka kd je rgánem veřejné mci? Adam Kučínský, 2018 33
Kd je rgánem veřejné mci OVM = neurčitý právní pjem, chybí přesná záknná definice Nutn využít judikatury (např. usnesení ÚS 75/93) a literatury: veřejná mc = autritativně rzhduje právech a pvinnstech subjektů, subjekt, jehž právech a pvinnstech rgán veřejné mci rzhduje, není v rvnprávném pstavení s tímt rgánem, bsah rzhdnutí OVM nezávisí na vůli subjektu kterém je rzhdván, OVM má pravmc a půsbnst rzhdvat subjektivních právech a právních pvinnstech jemu bezprstředně nepdřízených právních subjektů. Pravmc a půsbnst OVM je stanvena záknem - mhu jednat puze na základě a v mezích zákna (secundum et intra legem) Pdpůrně lze využít např. seznam držitelů datvých schránek. Adam Kučínský, 2018 34
Významný infrmační systém - určení Když víme, kd je rgánem veřejné mci můžeme přistupit k určení: Dva způsby určení VIS I. Samurčení - VIS psuzené správcem na základě kritérií 3 dst. 3 VVIS: Naplnění určujících kritérií významnéh infrmačníh systému, který není uveden v přílze č. 1 k vyhlášce, psuzuje správce infrmačníh systému. IS splňující určující blastní a dpadvá kritéria (vyhláška č. 317/2014 Sb.) splnění kritérií psuzuje sám správce hdncenéh IS IS je určen jak VIS interním aktem (dpručen) správce nahlásí NÚKIB tut skutečnst splečně s kntaktními údaji II. VIS přím stanvené v přílze č. 1 VVIS Půvdně 92 systémů u 36 správců, přílha průběžně nvelizvána (nyní cca 158 VIS) Zařazení d přílhy nemá knstitutivní charakter pr plnění pvinnstí rzhdující je psuzení Adam Kučínský, 2018 35
Významný infrmační systém - prblémy Některé rgány veřejné mci se tváří, že nejsu rgány veřejné mci Neví t, neb bcházejí zákn? Zatím t řešíme metdicky ale lze t řešit i silu Některé rgány veřejné mci nechtějí své infrmační systémy určit Tvrdí že systémy neptřebují, že nejsu důležité, že nic nevlivní. K čemu tedy ty systémy mají? Typický příklad: maily a spisvé služby Otázka k zamyšlení c se stane, když na ministerstvu vypnete mail neb spisvku? A c když narušíte důvěrnst či integritu? Řešení: Změna a zjedndušení vyhlášky Adam Kučínský, 2018 36
Nvela vyhlášky VIS Nvelu je v plánu předlžit v říjnu 2018 Cíle nvely Zjedndušení dpadvých kritérií Větší jistta, který systém je VIS Vyhlášku nepůjde bcházet Základní infrmace k nvele (jedná se mžné řešení): Bude vyřazena přílha č. 1 uvádějící seznam VIS U rganizačních slžek státu budu některé systémy určvány by default systémy stanveny jak VIS typvě - dpady se psuzvat v těcht případech nebudu U statních OVM se budu psuzvat dpady narušení bezpečnsti infrmací v systému Zavedena pvinnst vést seznam spravvaných systémů, psudit systémy, a vést tm záznam Adam Kučínský, 2018 37
Nvela vyhlášky VIS schéma určvání (jedná mžné řešení) Seznam typvých systému v nvele VVIS OVM, které jsu OSS Ostatní OVM Dpadvá kritéria 38
C je rganizační slžka státu (OSS) Pjem definuje zákn č. 219/2000 Sb., majetku České republiky a jejím vystupvání v právních vztazích: 3 - ministerstva a jiné správní úřady státu, Ústavní sud, sudy, státní zastupitelství, Nejvyšší kntrlní úřad, Kancelář prezidenta republiky, Úřad vlády České republiky, Kancelář Veřejnéh chránce práv, Akademie věd České republiky, Grantvá agentura České republiky a jiná zařízení; bdbné pstavení jak rganizační slžka státu má Kancelář Pslanecké sněmvny a Kancelář Senátu Pté ještě 51 rganizace kterých t stanví zákn Organizační slžka není právnicku sbu. Tím není dtčena její půsbnst neb výkn předmětu činnsti pdle zvláštních právních předpisů a její jednání v těcht případech je jednáním státu. Tedy OSS zastupuje stát, nakládá se státním majetkem, ale nemá právní subjektivitu. Orgány veřejné mci, které jsu OSS tedy budu mít stanveny systémy jak VIS typvě (výčtem ve vyhlášce), zbývající systémy psudí. Ostatní rgány veřejné mci (ty, které nejsu OSS) budu psuzvat dpady narušení bezpečnsti infrmací, srvnají je s dpadvými kritérii v případě naplnění je daný IS významným infrmačním systémem Adam Kučínský, 2018 39
Pskytvání infrmací a chrana infrmací 10a ZKB Utajvání infrmací z blasti kybernetické bezpečnsti 40
Pskytvání infrmací - 10a ZKB vs. zákn č. 106/1999 Sb. I. Prlmení z. č. 106 nvě přím v ZKB ( 10a): infrmace, jejichž zpřístupnění by mhl hrzit zajišťvání kybernetické bezpečnsti neb účinnst patření vydanéh pdle tht zákna, aneb infrmace, které jsu vedené v evidenci incidentů, ze kterých by byl mžné identifikvat rgán neb sbu, jež kybernetický bezpečnstní incident hlásila, se pdle předpisů upravujících svbdný přístup k infrmacím nepskytují. ZKB umžňuje některé infrmace nepskytvat neplatí t ale nemezeně Ptřeba stanvit c je infrmací, jejíž zpřístupnění by mhl hrzit zajišťvání kybernetické bezpečnsti => klasifikace infrmací (VKB) Adam Kučínský, 2018 41
Pskytvání infrmací - 10a ZKB vs. zákn č. 106/1999 Sb. II. Nepskytnutí infrmací je nutné důvdnit Pr psuzení a správné užití 10a ZKB je vhdným institutem správně prvedená vnitřní klasifikace infrmací v rámci hdncení aktiv pdle vyhlášky kybernetické bezpečnsti. Při psuzvání, zda infrmace pskytnut či nikliv, je nezbytné zvážit, které infrmace jsu z hlediska zachvání kybernetické bezpečnsti natlik důvěrné, že by jejich vyzrazením mhl djít k jejímu narušení. Takvá infrmace by také měla z phledu důvěrnsti dpvídat úrvni vyská neb kritická pdle přílhy č. 1 vyhlášky kybernetické bezpečnsti. Tímt způsbem je vhdné hdntit například technicku či bezpečnstní dkumentaci. Více k tmu zde: https://nukib.cz/dwnlad/kii-vis/ustanven%c3%ad_para10a_zkb_a_utajvane_infrmace_v1-1_web.pdf Adam Kučínský, 2018 42
Utajení infrmací z blasti kybernetické bezpečnsti I. Mžnst chrany některých infrmací v blasti kybernetické bezpečnsti nabízí také zákn č. 412/2005 Sb., chraně utajvaných infrmací a navazující nařízení vlády č. 522/2005 Sb. NV č. 522/2005 Sb. stanví seznamy utajvaných infrmací A. Typvé uvedení infrmace v těcht seznamech je nutnu pdmínku pr MOŽNÉ utajení infrmace. B. Druhu NUTNOU pdmínku pr mžné utajení infrmace je, že její vyzrazení neb zneužití může způsbit újmu zájmu České republiky, neb může být pr tent zájem nevýhdné ( 2 písm. a) zákna č. 412/2005 Sb.) D přílhy 19 NV č. 522/2005 Sb., byly s účinnsti d 1. 1. 2018 přidány tyt kruhy infrmací: Infrmace kritických zranitelnstech v zabezpečení infrmačních a kmunikačních systémů regulvaných záknem kybernetické bezpečnsti. Kmplexní technická a bezpečnstní dkumentace a knfigurace infrmačních a kmunikačních systémů regulvaných záknem kybernetické bezpečnsti v případě, že z nich lze získat infrmace mžných způsbech úspěšnéh narušení jejich bezpečnsti. Dkumenty a infrmace vztahující se k technickým prstředkům k zajišťvání kybernetické bezpečnsti. Adam Kučínský, 2018 43
Utajení infrmací z blasti kybernetické bezpečnsti II. Pr mžné utajení infrmace musí tat dpvídat definici v seznamu (A) a infrmace musí naplnit materiální znak (B) definvaný záknem č. 412/2005 Sb. O utajení infrmace rzhduje půvdce Před zavedením systému chrany utajvaných infrmací je ptřeba zvážit a mít na paměti, že nakládání a chrana utajvaných infrmací s sebu nese vyské finanční, persnální i technické nárky Chráněné a certifikvané prstry, certifikvané infrmační a kmunikační systémy, prvěrky S chranu utajvaných infrmací suvisí i ustanvení 7 zákna svbdném přístupu k infrmacím: Je-li pžadvaná infrmace značena za utajvanu infrmaci pdle zákna chraně utajvaných infrmací a žadatel k ní nemá právněný přístup, subjekt pvinný pskytvat infrmace pdle zákna svbdném přístupu k infrmacím takvu infrmaci nepskytne. Více k tmu zde: https://nukib.cz/dwnlad/kii-vis/ustanven%c3%ad_para10a_zkb_a_utajvane_infrmace_v1-1_web.pdf Adam Kučínský, 2018 44
Děkuji za pzrnst Adam Kučínský Další infrmace: https://nukib.cz/cs/kyberneticky-zakn/pdpurne-materialy/