Evoluce kybernetické bezpečnosti z pohledu státu. Adam Kučínský Vedoucí oddělení regulace Odbor regulace auditu a podpory

Podobné dokumenty
Jaroslav Šmíd náměstek ředitele

Zákon o kybernetické bezpečnosti

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Adam Kučínský. Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti

Václav Borovička. Seminář AFCEA a Policejní akademie ČR Listopad 2014, Praha

Legislativa kybernetické bezpečnosti Kritická informační infrastruktura a Významné informační systémy Ing. Dušan Navrátil Ředitel

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

Kybernetická bezpečnost

Určování Kritické informační infrastruktury. JUDr. et Mgr. Radomír Valica Vedoucí autorského týmu ZKB Národní bezpečnostní úřad 14.

Synergie všeho Ěskoroě ISSS 2017

Právní výzvy v oblasti kybernetické bezpečnosti. Mgr. Petra Vrábliková advokát

Zkušenosti a výsledky určování KII a VIS

Kybernetická bezpečnost ve veřejné správě. Jan Dienstbier Garant platformy KYBEZ

VLÁDNÍ NÁVRH ZÁKON. ze dne 2017,

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. srpna 2017

o IS nebo KS naplňující průřezová a odvětvová kritéria v oblasti kybernetické bezpečnosti o Pro určování KII jsou důležité:

Zákon o kybernetické bezpečnosti a související předpisy

Kybernetická bezpečnost

Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

Ochrana osobních údajů a kybernetické bezpečnosti s GINIS. Jan Dienstbier Garant platformy KYBEZ

Zákon o kybernetické bezpečnosti a související předpisy

Kybernetická bezpečnost ve zdravotnictví. Dušan Navrátil ředitel NBÚ

Zákon o kybernetické bezpečnosti

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

Zákon o kybernetické bezpečnosti. Petr Nižnanský

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

Kybernetická bezpečnost MV

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Kybernetická bezpečnost ČR aktivity NBÚ. Jaroslav Šmíd náměstek ředitele NBÚ

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Kybernetická bezpečnost resortu MV

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Další postup v řešení. kybernetické bezpečnosti. v České republice

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

INFORMACE O INSTITUTU ZÁKLADNÍ SLUŽBY. Shrnutí způsobu určení provozovatele základní služby a informačního systému základní služby

Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

IDET AFCEA Květen 2015, Brno

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Teze vyhlášky o určování provozovatelů základních služeb

Touto vyhláškou se stanoví významné informační systémy a jejich určující kritéria podle 6 písm. d) zákona.

Z K B V P R O S T Ř E D Í

Zákon o kybernetické bezpečnosti na startovní čáře

VODÍTKA HODNOCENÍ DOPADŮ

Zákon o kybernetické bezpečnosti

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Státní pokladna. Centrum sdílených služeb

Spisová značka: Brno, 23. května /2019 Vyřizuje: VEŘEJNÁ VYHLÁŠKA NÁVRH OPATŘENÍ OBECNÉ POVAHY

KYBERNETICKÁ BEZPEČNOST V ČESKÉ REPUBLICE

Ustanovení (čl., odst., Obsah písm., bod, této směrnice v platnost] přijmou a zveřejní a upravuje zajišťování bezpečnosti sítí

Kybernetická bezpečnost I. Legislativa a strategie kybernetické bezpečnosti v České republice

POSKYTOVATEL DIGITÁLNÍ SLUŽBY. Podpůrný materiál k identifikaci poskytovatelů digitálních služeb

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Vyhláška o bezpečnostních pravidlech pro orgány veřejné moci využívající služby cloud computingu (Cloudová vyhláška)

Implementace ZKB. Kritická informační infrastruktura a Významné informační systémy. Jaroslav Šmíd náměstek ředitele NBÚ

HLÁŠENÍ KONTAKTNÍCH ÚDAJŮ. Návod k vyplnění formuláře

SOUČASNOST A BUDOUCNOST KRITICKÉ INFRASTRUKTURY V OBLASTI ZDRAVOTNICTVÍ

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Zásadní změny zákona o krizovém řízení

Aktuální situace. Jaroslav Šmíd náměstek ředitele NBÚ

Národní bezpečnostní úřad

Aktivity TPEB ČR v oblasti ZKB. Jan.Kepic@tpeb.cz - Praha ÚNMZ 4. února 2015

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

Národní bezpečnostní úřad

Řízení bezpečnosti. Ochrana kritické infrastruktury

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. července 2017

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Ing. Miroslav Tůma, Ph.D. ředitel odboru Kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra ČR

Problematika kritické infrastruktury

Úplné znění zákona o kybernetické bezpečnosti a části zákona o svobodném přístupu k informacím s vyznačením navrhovaných změn

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

NEJEN STÁTNÍ CLOUD - egovernment Cloudu

egovernment Cloud ČR egovernment Cloud egc Ing. Miroslav Tůma, Ph.D. Řídící orgán egovernmet Cloudu

Nařízení vlády č. 432/2010 Sb. o kritériích pro určení prvků kritické infrastruktury

Jaroslav Šmíd Náměstek ředitele

PREZENTACE PRO ŽADATELE K 10. VÝZVĚ IROP KYBERNETICKÁ BEZPEČNOST BRNO Ing. Andrea Jonštová, konzultace dotačních programů

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

SBÍRKA ZÁKONŮ. Ročník 2017 ČESKÁ REPUBLIKA. Částka 74 Rozeslána dne 14. července 2017 Cena Kč 75, O B S A H :

Kybernetická bezpečnost a GDPR. OBCE, MĚSTA, KRAJE a jiné organizace

ÚVOD DO GDPR. Mgr. Jana Pattynová, LL.M

Adam Kučínský. Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti

Stav příprav egovernment Cloudu v ČR

Posuzování na základě rizika

Národní bezpečnostní úřad

problematika ochrany kritické infrastruktury - po 11.září 2001 EKONOMIKA + BEZPEČNOST, úkolem státu je zajistit základní životní potřeby obyvatelstva

DOPORUČENÍ NÚKIB. k ustanovení 10a zákona o kybernetické bezpečnosti a utajení informací podle zákona o ochraně utajovaných informací

GDPR A KRAJSKÉ ÚŘADY. Mgr. Jana Pattynová, LL.M

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Modul 2 - Koncepční a legislativní rámec pro oblast krizového řízení ve zdravotnictví

Kybernetické bezpečnostní incidenty a jejich hlášení

Transkript:

Evoluce kybernetické bezpečnosti z pohledu státu Adam Kučínský Vedoucí oddělení regulace Odbor regulace auditu a podpory 18. října 2018

Upozornění: Prezentace byla vytvořena za účelem realizace konference Alef Security talk 2018. Prezentace obsahuje informace platné ke dni její realizace, tedy k 18. 10. 2018. Informace obsažené v prezentaci mají informační a osvětový charakter. Pro zajištění souladu se zákonem o kybernetické bezpečnosti je nutno vycházet z aktuálně účinné legislativy. Aplikaci takových informací či opatření je nutné vždy vztahovat ke konkrétním systémům a institucím. Prezentace je předmětem ochrany podle autorského práva.

"Žvásty o nejrůznějších kybernetických útocích jsou tak trochu móda." Miloš Zeman, prezident České republiky, 5. 2. 2017

Opravdu je to jen móda? 4

Kybernetická bezpečnost v ČR a regulatorní rámec 2011 NBÚ ustanoven jako gestor KB vznik Národního centra kybernetické bezpečnosti 2012 2015 Národní strategie kybernetické bezpečnosti I. Zákon o kybernetické bezpečnosti Národní strategie kybernetické bezpečnosti II. 2016 2017 Směrnice NIS Novela zákona o kybernetické bezpečnosti Vznik NÚKIB

Legislativa kybernetické bezpečnosti shrnutí I. ozákon č. 181/2014 Sb., o kybernetické bezpečnosti ( ZKB ) onovelizován novely účinné od 1. 7. 2017 a od 1. 8. 2017 ovyhláška č. 82/2018 Sb., o kybernetické bezpečnosti ( VKB ) onahrazuje vyhlášku č. 316/2014 Sb. onová a lepší ovyhláška č. 317/2014 Sb., o významných informačních systémech ozatím beze změny novelizace letos onařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku KI obeze změny Adam Kučínský, 2018 6

Legislativa kybernetické bezpečnosti shrnutí II. ovyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby o Určovací kritéria o Účinnost únor 2018 opovinnosti pro DSP o nařízení komise 2018/151 ze dne 30. ledna 2018 ov plánu jsou další vyhlášky: o Požadavky na cloud computing předložení 12/2018 o Požadavky na bezpečnou likvidaci dat předložení 12/2018 Adam Kučínský, 2018 7

Stav implementace směrnice NIS v ČR NIS Directive 2017 Národní strategie kybernetické bezpečnosti ZKB 2015 2017 Novela ZKB 1. 8. 2017 -> Stanovení bezpečnostních požadavků na IS/KS Zřídit Cyber Incident Response Teams (CSIRT) Ustavit národní autoritu v oblasti KB Stanovit jednotné kontaktní místi pro oblast KB Určit PZS * Definovat DSP ** ** Částečně zavedeno kritická informační infrastruktura ** Nezavedeno

Plnění zákona o kybernetické bezpečnosti o Počet KII cca 115 systémů u cca 41 subjektů o Počet VIS cca 173 systémů u cca 63 subjektů Celkem pod ZKB spadá cca 290 systémů o Provozovatelé základních služeb o určování spuštěno o aktuálně dobíhá ve zdravotnictví a bude pokračovat v dalších odvětvích (zejména tam kde není KI/KII) o Poskytovatelé digitálních služeb zavedeno, je jich poměrně málo o Kontroly od roku 2016 provedeno cca 18 kontrol, probíhají také metodické kontroly dosud jich bylo provedeno cca 36 o Mnoho dalších aktivit o Kybernetická cvičení, mezinárodní spolupráce, EU agendy, vzdělávání Více: Zprava o stavu KB ČR za rok 2017 https://nukib.cz/cs/informacni-servis/publikace/2612-zprava-o-stavu-kyberneticke-bezpecnosti-ceske-republiky-2017/ Adam Kučínský, 2018 9

Struktura povinných osob podle ZKB stav od 1. 8. 2017 3 NZKB o o o o o o o o poskytovatelé služeb elektronických komunikací, subjekt zajišťující sít elektronických komunikací orgán nebo osoba zajišťující významnou síť Poskytovatel digitálních služeb správce a provozovatel IS KII správce a provozovatel KS KII správce a provozovatel VIS správce a provozovatel IS základní služby provozovatel základní služby NÁRODNÍ CERT CZ.NIC VLÁDNÍ CERT NÚKIB Adam Kučínský, 2018 10

Poskytovatelé služeb el. komunikací a významné sítě oposkytovatelé služeb el. komunikací ( 3 písm. a) ZKB) o Zákon č. 127/2005 Sb., o elektronických komunikacích o Určování neprobíhá osoby definovány zák. o el. komunikacích o Sféra Národního CERTu, o Pouze povinnost hlásit kontaktní údaje ovýznamná síť ( 3 písm. b) ZKB) o síť elektronických komunikací zajišťující přímé zahraniční propojení do veřejných komunikačních sítí nebo zajišťující přímé připojení ke kritické informační infrastruktuře o Určování neprobíhá osoby definovány zák. o el. komunikacích o Sféra Národního CERTu, o Povinnost hlásit kontaktní údaje, detekovat incidenty a hlásit je 11

Kritická informační infrastruktura opro určování KII jsou důležité: o Zákon č. 181/2014 Sb., o kybernetické bezpečnosti >> definuje KII o Zákon č. 240/2000 Sb., krizový zákon >> stanoví proces určení KII o Nařízení vlády č. 432/2010 Sb. >> stanoví kritéria pro KII o Definice KII - 2 písmeno b) ZKB (č. 181/2014 Sb.) o prvek nebo systém prvků KI v odvětví komunikační a informační systémy v oblasti KB o Definice KI - 2 písmeno g) krizového zákona (č. 240/2000 Sb.) o narušení funkce by mělo závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu o o Průřezová kritéria - 1 nařízení vlády č. 432/2010 Sb. o Kritérium obětí o Kritérium ekonomické ztráty o Kritérium dopadu na veřejnost Odvětvová kritéria příloha NV o energetika, finanční sektor, komunikační a informační systémy, veř. správa, 12

Významné informační systémy informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci o Pouze IS spravovaný orgánem veřejné moci (mimo obce) o Není KII o Identifikace konkrétních VIS závislá na vyhlášce o významných informačních systémech a jejich určujících kritériích o Oproti KII je mířeno směrem k zajištění působnosti OVM o Zásadní otázka kdo je orgánem veřejné moci? Adam Kučínský, 2018 13

Významný informační systém - určení Když víme, kdo je orgánem veřejné moci můžeme přistoupit k určení: Dva způsoby určení VIS I. Samourčení - VIS posouzené správcem na základě kritérií o 3 odst. 3 VVIS: Naplnění určujících kritérií významného informačního systému, který není uveden v příloze č. 1 k vyhlášce, posuzuje správce informačního systému. o IS splňující určující oblastní a dopadová kritéria (vyhláška č. 317/2014 Sb.) o splnění kritérií posuzuje sám správce hodnoceného IS o IS je určen jako VIS interním aktem (doporučeno) o správce nahlásí NÚKIB tuto skutečnost společně s kontaktními údaji II. VIS přímo stanovené v příloze č. 1 VVIS o Původně 92 systémů u 36 správců, příloha průběžně novelizována (nyní cca 158 VIS) o Zařazení do přílohy nemá konstitutivní charakter pro plnění povinností rozhodující je posouzení Adam Kučínský, 2018 14

Významný informační systém - problémy oněkteré orgány veřejné moci se tváří, že nejsou orgány veřejné moci oneví to, nebo obcházejí zákon? ozatím to řešíme metodicky ale lze to řešit i silou oněkteré orgány veřejné moci nechtějí své informační systémy určit otvrdí že systémy nepotřebují, že nejsou důležité, že nic neovlivní. o K čemu tedy ty systémy mají? o Typický příklad: maily a spisové služby o Otázka k zamyšlení co se stane, když na ministerstvu vypnete mail nebo spisovku? A co když narušíte důvěrnost či integritu? Řešení: Změna a zjednodušení vyhlášky Adam Kučínský, 2018 15

Novela vyhlášky o VIS o Novelu je v plánu předložit v říjnu 2018 o Cíle novely o Zjednodušení dopadových kritérií o Větší jistota, který systém je VIS o Vyhlášku nepůjde obcházet o Základní informace k novele (plánované znění): o Bude vyřazena příloha č. 1 uvádějící seznam VIS o U organizačních složek státu budou některé systémy určovány by default systémy stanoveny jako VIS typově - dopady se posuzovat v těchto případech nebudou o U ostatních OVM se budou posuzovat dopady narušení bezpečnosti informací v systému o Zavedena povinnost vést seznam spravovaných systémů, posoudit systémy, a vést o tom záznam Adam Kučínský, 2018 16

Novela vyhlášky o VIS - schéma určování (plánované znění) Seznam typových systému v novele VVIS OVM, které jsou OSS Ostatní OVM Dopadová kritéria 17

Nové povinné osoby o Provozovatel základní služby (PZS), informační systém základní služby (ISZS) o Systémy klíčové pro zajišťování některých hospodářských a ekonomických činností o Podobné KII (jsou zde ale rozdíly) o Poskytovatel digitální služby (DSP) o Zajišťuje služby cloudu, internetového vyhledávače, e-commerce o Provozovatel informačního/komunikačního systému KII/VIS/PZS o zajišťuje funkčnost technických a programových prostředků tvořících informační nebo komunikační systém = klíčový dodavatel o Zařazen do povinných osob zavádí bezpečnostní opatření tam, kde je nemůže zavést správce o Důvod úpravy: problémy se zabezpečením dodavatelů Adam Kučínský, 2018 18

Poskytovatel digitálních služeb (DSP) - definice o 1. podmínka: o Poskytovatel digitální služby poskytuje službu digitální společnosti (podle zákona o některých službách digitální společnosti): služba poskytovaná zpravidla za úplatu, na dálku, elektronicky a na individuální žádost příjemce služeb o 2. podmínka: o Poskytovatel digitální služby poskytuje službu: o On-line tržiště - umožňuje on-line uzavírat kupní smlouvu nebo smlouvu o poskytnutí služeb prostřednictvím internetové stránky on-line tržiště nebo prostřednictvím internetové stránky prodávajícího, která využívá službu on-line tržiště o Internetového vyhledávače o Cloud computingu - umožňuje přístup k rozšiřitelnému a přizpůsobitelnému úložišti výpočetních zdrojů, jež je možno sdílet Tyto definice vycházejí přímo ze směrnice o Regulace se netýká malých a mikro podniků <50 zaměstnanců a roční bilanční suma nebo obrat <10 mil. o Funguje zde princip samourčení naplnění definice = povinná osoba Adam Kučínský, 2018 19

Poskytovatel digitálních služeb (DSP) Online tržiště A. On-line tržiště - umožňuje on-line uzavírat kupní smlouvu nebo smlouvu o poskytnutí služeb prostřednictvím internetové stránky on-line tržiště nebo prostřednictvím internetové stránky prodávajícího, která využívá službu on-line tržiště o Definice je poněkud divná my ji ale museli převzít, je z NIS o Definice je tak divná, že jsme ji řešili na celoevropské úrovni Adam Kučínský, 2018 20

DSP co je tedy tím Online tržištěm oza on-line tržiště se považují o platformy, které vystupují jako prostředník mezi prodávajícími podnikateli (prodávající) a spotřebiteli a podnikateli (zde v pozici kupujících) a umožňuje prodej zboží či služeb. o jedná se o službu, která umožňuje spotřebitelům a podnikatelům (kupujícím) uzavírat s prodávajícími podnikateli (prodávající) smlouvy přímo prostřednictvím online tržiště, a to s konečnou platností oza on-line tržiště se NEpovažují webové stránky, které o přesměrovávají uživatele na další webové stránky, aby až tam uzavřeli smlouvu (např. srovnávače cen); o slouží pouze k propojení prodávajících podnikatelů (prodávajících) se spotřebiteli a prodávajícími (kupující) (např. inzertní webové stránky) o slouží prodávajícímu podnikateli (prodávající) přímo k prodeji zboží spotřebitelům a prodávajícím (kupující)(např. online maloobchod) Adam Kučínský, 2018 21

DSP - Internetový vyhledávač a Cloud B. Internetový vyhledávač o umožňuje provádět vyhledávání v zásadě na všech internetových stránkách, o na základě dotazu uživatele na jakékoliv téma v podobě klíčového slova, sousloví nebo jiného zadání, o služba poskytuje odkazy, na nichž lze nalézt informace související s požadovaným obsahem NEJDE o databáze obsahující omezený rozsah informací (knihovní systémy apod.) C. Cloud computing o digitální služba umožňující přístup k rozšiřitelnému a přizpůsobitelnému úložišti výpočetních zdrojů, které je možno sdílet. o tento pojem tak zahrnuje různé typy cloud computingu: o IaaS (Infrastructure as a Service), PaaS (Platform as a Service), SaaS (Software as a Service). NEJDE však o cloudy určené pro omezenou skupinu, např. firemní cloud pro zaměstnance ovíce k DSP a jejich identifikaci: https://nukib.cz/cs/kyberneticky-zakon/podpurne-materialy/ Adam Kučínský, 2018 22

Provozovatel informačního/komunikačního systému o Provozovatel = zajišťuje funkčnost technických a programových prostředků tvořících informační nebo komunikační systém ( 2 písm. g) ZKB) = klíčový dodavatel o Provozovatel IS/KS je od 1. 7. 2017 přidán do 3 ZKB mezi povinné osoby o tam kde je to vhodné a možné zavadí bezp. opatření. o Týká se dodavatelů KII, VIS a PZS o Je možné u něj provést kontrolu plnění ZKB a při porušení vůči němu zahájit správní řízení o Důvod zavedení: často velmi problematické smlouvy v oblasti IT, zejména ve státní správě o Provozovatel každý dodavatel o Ostatní (VŠECHNY) dodavatelské vztahy musí být také z pohledu bezpečnosti řízeny - 8 VKB o Definice provozovatele v 2 je dosti široká Adam Kučínský, 2018 23

Provozovatel informačního/komunikačního systému o 2 písm. g ZKB: zajišťuje funkčnost technických a programových prostředků tvořících informační nebo komunikační systém = klíčový dodavatel o Identifikace provozovatele (2 způsoby): o 4a odst. 1: Správce, který neprovozuje svůj systém informuje provozovatelé, že je tento povinnou osobou (100 % outsorcing, možno i více provozovatelů jednoho systému) o 6a odst. 1: Správce může pověřit jiného provozem KII/VIS, pokud to nevylučuje jiný zákon (částečný outsorcing, možno i více provozovatelů jednoho systému)) Správce informuje/pověří dodavatele, že se stává provozovatelem To ale nezbavuje správce odpovědnosti o Povinnosti provozovatele o 4 odst. 2 ZKB: Provozovatel zavádí bezpečnostní opatření v rozsahu nezbytném pro zajištění kybernetické bezpečnosti na systém KII/VIS/IS ZS, který dodává Opatření zavadí tam, kde je nemůže zavést správce a tam, kde to po něm správce vyžaduje (za to může být požadována úhrada nákladů) Adam Kučínský, 2018 24

Provozovatel základní služby 25

Určování provozovatelů základních služeb (PZS) - obecně opzs jsou na základě určujících kritérií určováni rozhodnutím (dle SŘ) ourčující kritéria definuje vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby o Na nastavování kritérií se podílela pracovní skupina z řad soukromé i státní sféry (14 podskupin dle odvětví a pododvětví) opro určení je nutné naplnit jak dopadová tak odvětvová kritéria o Odvětví kopírují NIS (+ chemický průmysl a teplárenství) o Dopadová kritéria respektují požadavky směrnice a zohledňují národní podmínky okritéria a definice nastavena tak, aby regulace pokryla pouze systémy nezbytné pro zajištění služeb (ne fakturační, marketingové systémy ani např. bankomaty) omnoho vitálních systémů již určeno jako KII nepředpokládáme výrazné množství PZS (výjimky - např. zdravotnictví, digitální infrastruktura)

Určování provozovatelů základních služeb (PZS) Aby byl subjekt a jeho informační systém určen musí naplnit všechny tři podmínky 1. Definice ZKB Závislost služby na IS/KS Narušení služby by mělo dopad ve vymezených odvětvích 2. Odvětvová kritéria (3 úrovně) Druh služby Druh subjektu Speciální kritéria druhu subjektu 3. Dopadová kritéria Dopad kybernetického bezpečnostní incidentu v IS/KS, na jehož fungování je závislé poskytování služby

1. Provozovatel základní služby (PZS) definice dle NZKB ozákladní služba = služba, jejíž poskytování je závislé na sítích nebo informačních systémech a jejíž narušení by mohlo mít významný dopad na zabezpečení činností v některém z těchto odvětví: 1. energetika 5. zdravotnictví 2. doprava 6. vodní hospodářství 3. bankovnictví 7. digitální infrastruktura 4. infrastruktura finančních trhů 8. chemický průmysl oinformační systém základní služby = systém, na jehož fungování je závislé poskytování základní služby oprovozovatel základní služby = orgán nebo osoba, která je odpovědná za poskytování základní služby a která je určena NÚKIB

2. Provozovatel základní služby (PZS) odvětvová kritéria osměrnice NIS specifikuje odvětví, ve kterých budou PZS určováni: 1. energetika 5. zdravotnictví 2. doprava 6. vodní hospodářství 3. bankovnictví 7. digitální infrastruktura 4. infrastruktura finančních trhů + nad rámec směrnice přidán 8. chemický průmysl oněkterá odvětví se dále dělí na pododvětví: oenergetika na: elektřina, plyn, ropa, teplárenství odoprava na: leteckou, železniční, vodní a silniční osměrnice nastavuje rozsah povinných subjektů poměrně široce ove vyhlášce jsou v relevantních odvětvích přidána ještě tzv. speciální kritéria druhu subjektu, o Naplní je pouze nejvýznamnější organizace v daném odvětví či pododvětví Ne všechny organizace v daném odvětví budou posuzovány z hlediska dopadu incidentu v jejich IS/KS

3. Provozovatel základní služby (PZS) dopadová kritéria (ČR) Dopad kybernetického bezpečnostního incidentu v informačním systému nebo sítí el. komunikací, na jehož fungování je závislé poskytování služby, může způsobit: a) závažné omezení či narušení druhu služby postihující více než 25 000* nebo 50 000* nebo 500 000* osob, b) závažné omezení či narušení jiné základní služby, nebo omezení či narušení provozu prvku kritické infrastruktury, c) hospodářskou ztrátu vyšší než 0,25 % HDP, e) oběti na životech s mezní hodnotou více než 100* nebo 200* mrtvých nebo 1 000 zraněných osob vyžadujících lékařské ošetření, f) narušení veřejné bezpečnosti na významné části správního území obce s rozšířenou působností, které by mohlo vyžadovat provedení záchranných a likvidačních prací základními a ostatními složkami integrovaného záchranného systému, nebo g) kompromitaci citlivých údajů o více než 200 000 osobách. d) nedostupnost druhu služby pro více než 1 600 osob, která není nahraditelná jiným způsobem bez vynaložení nepřiměřených nákladů,* Pozn.: Jedná se o výčet všech použitých dopadů v jednotlivých odvětvích se jejich uplatnění liší * V závislosti na specificích jednotlivých odvětví se tyto hodnoty liší 30

Zdroj: https://www.govcert.cz/cs/zkb/podpurne-materialy/

Příloha vyhlášky č. 437/2017 Sb. 5. Zdravotnictví Adam Kučínský, 17. 9. 2018 32

Nejčastější zjištění z kontrol plnění ZKB I. o Systém řízení bezpečnosti informací o Chybějící podpora vedení o Nezpracované/neúplné/neschválené/neřízené/nedodržované bezp. politiky o Řízení aktiv a rizik o Chybějící metodiky pro řízení aktiv a rizik o Nejednotný proces řízení rizik v rámci organizace o Chybějící prohlášení o aplikovatelnosti a plán zvládání rizik o Organizační bezpečnost o Bezpečnostní role neustanoveny / nemají přiděleny dostatečné kompetence o Aplikační bezpečnost o Neprováděny bezpečnostní testy zranitelnosti aplikací přístupných z vnějšku Adam Kučínský, 11. 10. 2018 33

Nejčastější zjištění z kontrol plnění ZKB I. o Řízení dodavatelů o Smlouvy nerespektují zákonné požadavky (tím spíš požadavky best practice) o Řízení přístupových oprávnění dodavatelů ke službám o Správa privilegovaných účtů o Audit kybernetické bezpečnosti o Neprovádění auditu KB o Řízení identit o Chybné/nedostatečné procesy správy uživatelských účtů (např. odebírání přístupů s souvislosti s životním cyklem zaměstnanců) o Síla hesel o Řízení kontinuity činností o Plán kontinuity/havarijní plán neexistuje, je neúplný, není otestován Adam Kučínský, 11. 10. 2018 34

Děkuji za pozornost Adam Kučínský Další informace: https://nukib.cz/cs/kyberneticky-zakon/podpurne-materialy/

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář