Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc

Podobné dokumenty
VODÍTKA HODNOCENÍ DOPADŮ

Metodika stanovení požadavků na bezpečnost IS. Příloha č. 4 Souhrnné analytické zprávy

NEJEN STÁTNÍ CLOUD - egovernment Cloudu

Stav příprav egovernment Cloudu v ČR

METODIKA K VODÍTKŮM PRO HODNOCENÍ DOPADŮ

Projekt egovernment Cloudu

egc tým Bezpečnost Hodnocení dopadů a zařazování do bezp. úrovní Závazná bezpečnostní opatření pro dodavatele

egovernment Cloud, jak to může vypadat Miroslav Tůma Ministerstvo vnitra ČR

egovernment Cloud ČR egovernment Cloud egc Miroslav Tůma Ministerstvo vnitra ČR

STAV PŘÍPRAV. prof. Ing. Jiří Voříšek, CSc. Seminář CACIO,

egovernment Cloud ČR egovernment Cloud egc Ing. Miroslav Tůma, Ph.D. Řídící orgán egovernmet Cloudu

Posuzování na základě rizika

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Politika bezpečnosti informací

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Řízení rizik ICT účelně a prakticky?

SLUŽBY SLA. Služby SLA

Systémová analýza a opatření v rámci GDPR

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Obecné nařízení o ochraně osobních údajů

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Bezpečnostní politika společnosti synlab czech s.r.o.

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

V Brně dne a

GDPR, osobní rozvoj a vzdělávání zaměstnanců

Kybernetické bezpečnostní incidenty a jejich hlášení

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Informace o zpracování osobních údajů a poučení o právech subjektu údajů. Informační memorandum Městská policie Sedlčany

V Brně dne 10. a

Politika ochrany osobních údajů

Představení služeb Konica Minolta GDPR

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

GDPR Modelová Situace z pohledu IT

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

GDPR a veřejná správa

Zákon o kybernetické bezpečnosti

Hodnocení rizik v resortu Ministerstva obrany

Implementace systému ISMS

Technologie pro budování bezpe nosti IS technická opat ení.

Systémová analýza působnosti obcí z hlediska obecného nařízení o ochraně osobních údajů

Souhrnná analytická zpráva

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Informační systémy veřejné správy (ISVS)

Cíle a měřitelné parametry budování a provozu egc. Příloha č. 1 Souhrnné analytické zprávy

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

Co obce mohou udělat pro GDPR už nyní. Medlov, Mgr. Miroslava Sobková

Dopady GDPR a jejich vazby

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí: Strategický rámec rozvoje veřejné správy České republiky pro období

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Kybernetická bezpečnost resortu MV

GDPR v sociálních službách

Vzorové analýzy rizik zpracování v cloudu. Zdeněk Jiříček National Technology Officer Microsoft ČR

Politika bezpečnosti informací

GDPR A KRAJSKÉ ÚŘADY. Mgr. Jana Pattynová, LL.M

Zkušenosti z implementace GDPR. Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.

Ochrana osobních údajů

S C A D A S Y S T É M Y

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

Olga Přikrylová IT Security konzultant / ITI Seminář k GDPR. Ochrana osobních údajů

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

Politika ochrany osobních údajů Společenství vlastníků jednotek Bratislavská 1488, Praha

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM Č. 2. Název veřejné zakázky: Česká republika Ministerstvo zemědělství

Záznamy o činnostech zpracování

Požadavky na parametry SLA

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

Co změní obecné nařízení 2016/679 o ochraně osobních údajů PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů

Kybernetická bezpečnost MV

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

VNITŘNÍ PŘEDPIS SMĚRNICE PRO OCHRANU OSOBNÍCH ÚDAJŮ

Business impact analýza a zvládání rizik spojených s provozem nedůvěryhodných zařízení BVS. František Sobotka NOVICOM s.r.o

1) Má Váš orgán platnou informační koncepci dle zákona 365/2000 Sb.? ano

DŮVODOVÁ ZPRÁVA. Jednání Zastupitelstva městské části Praha Zbraslav. číslo: 20 Dne: Zpracovatel: OKT

OZNAČENÍ SLUŽBY ITSM/HELPDESK-PROVOZ TYP KL: PAUŠÁLNÍ. Služba zajištění obsluhy HelpDesku Objednatele

Příprava IS na příchod GDPR se zaměřením na ISP. Jan Zahradníček AK Velíšek & Podpěra

Posouzení vlivu na ochranu. Metodika. Jakub Míšek Ústav práva a technologií PrF MU

Podmínky ochrany osobních údajů

GDPR compliance v Cloudu. Jiří Černý CELA

Bezpečností politiky a pravidla

Obecné nařízení o ochraně osobních údajů (GDPR) S přihlédnutím ke Smart Cities Petr Habarta, OBPPK MV

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ INFORMACE PRO ZÁKONNÉ ZÁSTUPCE. Úvodní informace

Záznam o zpracování osobních údajů

Informační bezpečnost. Dana Pochmanová, Boris Šimák

SPISOVÁ SLUŽBA A GDPR

VÝNOS REKTORA Č. 6/2018 ŘEŠENÍ PŘÍPADŮ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ

Není cloud jako cloud, rozhodujte se podle bezpečnosti

IDET AFCEA Květen 2015, Brno

INFORMACE PRO OBCHODNÍ PARTNERY, KONTAKTNÍ OSOBY A NÁVŠTĚVY

Ochrana osobních údajů

Transkript:

Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc Ing. Libor Široký, CISM, CRISC, AMBCI egovernment Cloud egc RISK ANALYSIS CONSULTANTS

Hodnocení bezpečnostních dopadů IS Hodnocení dopadů narušení bezpečnosti (C, I, A) určení bezpečnostních parametrů IS vychází z identifikace kritických scénářů data nebo celé ICT služby, na kterých je funkčnost hodnoceného IS závislá 10 obecných kritických scénářů dopadů (vodítka hodnocení) závažnost dopadů (1-Nízká, 2-Střední, 3-Vysoká, 4-Kritická) metodika je primárně určena pro organizační složky státu (OSS), může však být bez jakýchkoliv omezení použita i orgány územní samosprávy a ostatními zákazníky egc Mapování na vhodnou bezpečnostní úroveň služeb egc stupnice (1-Nízká, 2-Střední, 3-Vysoká, 4-Kritická) kategorizace úrovně bezpečnostních opatření služeb egc základní východisko při rozhodování o umístění do KeGC / SeGC 2

Hodnocení bezpečnostních dopadů IS (princip) Nezkoumají se příčiny (hrozby) narušení bezpečnosti Neurčuje se pravděpodobnost výskytu jednotlivých scénářů Posuzují nejhorší možné kritické scénáře Neuvažují se existující bezpečnostní opatření Hodnocení je založeno na identifikaci požadavků na bezpečnost celého IS, případně dekomponované ICT služby Požadavky na dekomponovanou ICT službu budou pravděpodobně ve většině případů shodné se zařazením celého IS 3

Hodnocení bezpečnostních dopadů IS (postup) interview s věcným správcem (garantem) daného informačního systému, popř. také technickým správcem služby u dekomponovaných ICT služeb délka interview na jeden IS je 90 až 120 minut nastínění realistického scénáře nejhoršího případu: nedostupnost informačního systému (nedostupnost zpracovávaných informací) ztráta dat od poslední zálohy, úplná ztráta dat a informací narušení důvěrnosti dat a informací (neoprávněné prozrazení a únik informací), narušení integrity dat a informací (neúmyslné modifikace (chyby), úmyslné modifikace dat a systémové chyby) vyhodnocení scénáře dle vodítek hodnocení záznam hodnocení se provádí do připraveného formuláře 4

Kontext bezpečnostních opatření vůči legislativě Vymezení vůči zákonu č. 412/2005 Sb. Metodika egc hodnocení bezpečnostních dopadů není určená pro IS nakládající s utajovanými informacemi dle zák. č. 412/2005 Sb. Vymezení vůči zákonu č. 181/2014 Sb. Jestliže je v některé z oblastí dopadů dosaženo úrovně Vysoká, popř. Kritická může správce zvážit zařazení IS mezi VIS/KII/PZS za dalších podmínek (nv. 432/2010 Sb., v. 437/2017 Sb., v. 317/2014 Sb.) Vymezení vůči Obecnému nařízení GDPR Požadavky na zpracování osobních údajů v cloudových službách musí dle nařízení GDPR vycházet z hodnocení rizik daného scénáře zpracování pro práva a svobody fyzických osob. V případě zjištění vysokého rizika jsou správci povinni provést tzv. posouzení vlivu zpracování dat na ochranu osobních údajů (DPIA, viz čl. 35), a zajistit adekvátní bezpečnostní opatření a mechanismy ochrany, a to bez ohledu na možné využití egc. 5

Vodítka hodnocení bezpečnostních dopadů A. Bezpečnost a zdraví osob B. Ochrana osobních údajů C. Zákonné a smluvní povinnosti D. Trestně-právní řízení E. Veřejný pořádek F. Mezinárodní vztahy G. Řízení a provoz organizace H. Ztráta důvěryhodnosti I. Finanční ztráty J. Zajišťování nezbytných služeb 6

Hodnocení bezpečnostních dopadů IS Vodítka dopadů je vytvořena tak, aby si úrovně (závažnosti) dopadů v jednotlivých scénářích navzájem odpovídaly byly přiměřeně korelovatelné V případě, že je poplatných více scénářů dopadů použije se nejvyšší dosažená hodnota 7

Hodnocení bezpečnostních dopadů IS (dostupnost) Hodnocení nedostupnosti vychází z předpokladu, že nedochází ke ztrátě dat, jen k jejich dočasné nedostupnosti. Určení dopadů v jednotlivých časových intervalech napomáhá identifikovat okamžik, kdy se již výpadek IS stává neakceptovatelný. 8

Hodnocení bezpečnostních dopadů IS (ztráta) Pro určení požadavku na frekvenci ZÁLOHOVÁNÍ dat se hodnocení dopadů provádí v časových intervalech. Tento dopad zkoumá následky, který by mohly vzniknout v případě ztráty dat. Pro určení optimálního požadavku na frekvenci zálohování dat se hodnocení provádí pro následující časové intervaly. 9

Hodnocení bezpečnostních dopadů IS (důvěrnost) DŮVĚRNOST je zkoumána z hlediska prozrazení v rámci organizace, prozrazení smluvním partnerům, prozrazení vně organizace 10

Hodnocení bezpečnostních dopadů IS (integrita) INTEGRITA zkoumá následky neúmyslné a úmyslné modifikace informací 11

Výsledné hodnocení dopadů narušení bezpečnosti IS 12

Bezpečnostní úroveň Dostupnost Nedostupnost 15 min. Nedostupnost 1h Nedostupnost 4h Nedostupnost 8h Nedostupnost 16 hod. Nedostupnost 1den Nedostupnost 2 dny Nedostupnost 1 týden Nedostupnost 14 dní Nedostupnost měsíc a více Ztráta dat od zálohy (1hod.) Ztráta dat od zálohy (4hod.) Ztráta dat od zálohy (8hod.) Ztráta dat od zálohy (16hod.) Ztráta dat od zálohy (24hod.) Úplná ztráta dat Prozrazení v rámci organizace Prozrazení smluvním partnerům Prozrazení vně organizaci Neúmyslná modifikace (chyba) Systémová chyba Úmyslná modifikace Stanovení požadavků na bezpečnostní úroveň egc Základní požadavky na SLA cloudové služby Dopady narušení dostupnosti Ztráta dat Úrovně důvěrnosti Úrovně integrity Provozní doba pod SLA Přípustná doba kumulovaných výpadků, s měsíčním vyhodnocováním nízká (KeCG) 96,16% střední (KeCG) 99,45% vysoká (KeCG) 99,90% kritická (SeGC) 99,99% Provozní doba pod SLA: minimálně určených 10 hodin v pracovní dny. Nezapočítávají se dny pracovního volna a dny pracovního klidu stanovené pro ČR. Např. r. 2018 má 250 pracovní dní, na bázi 10 hod. pod SLA denně, což dává max. měsíční výpadek 8,3 hod. při dostupnosti 96% (vztaženo na dobu pod SLA). Provozní doba pod SLA: 24x7 (připravenost pro služby související s úplným el. podáním). Avšak určité služby SaaS, u nichž to lze předpokládat vzhledem k provozním aspektům, lze nabízet s omezením Provozní doby pod SLA na pracovní dny a vymezenou pracovní dobu. To znamená, že el. podání bude obvykle fungovat nepřetržitě, ale reakce poskytovatele na nahlášené incidenty je omezena. Provozní doba pod SLA: 24x7 (připravenost pro služby úplného el. podání, a pro ISVS pod ZoKB). Určité služby SaaS, u nichž to lze předpokládat vzhledem k provozním aspektům, lze nabízet s omezením Provozní doby pod SLA na pracovní dny a vymezenou pracovní dobu. Plně fault-tolerantní systém s geo-redundancí a replikací transakčních dat. Smluvní penále při výpadku dostupnosti služby delší než celkem 52 minut za rok (odpovídá 99,99%). Cloudové služby v této úrovni dopadu budou mít smluvně dané max. doby RPO / RTO. Max. 8 hod., avšak pouze v rámci definované pracovní doby 1 2 2 2 1 Pro časové intervaly, kde se dopady mění z hodnoty 1 na 2, Max. 4 hod. na bázi 24x7 1 popř. z hodnoty 2 2 2 3 3 3 3 dopadu 2 na 3 je 2 doporučeno vyjasnit výši nákladů, které mají OVM s dodatečnou rekonstrukcí dat z jiných zdrojů (např. Max. 43 min. na bázi 24x7 1 3 3 3 3 3 4 4 4 papírové formuláře) 3 oproti nákladům spojeným s vyšší frekvecní vytváření záloh dat. Jednotlivý výpadek max. 15 min. Max. kumulovaný roční 1-2 výpadek 52 min. (odpovídá 3-4 4 99,99%) 1 Nízké požadavky na důvěrnost dat dle matice dopadů. 2 Střední požadavky na důvěrnost dat dle matice dopadů. V případech, kdy je vyžadována ochrana právními předpisy je nutné zvážit úroveň egc "vysoká". 3 Vysoké požadavky na důvěrnost dat dle matice dopadů, popř. je ochrana vyžadována právními předpisy. 4 Kritické požadavky na důvěrnost dat dle matice dopadů. 1 Nízké požadavky na integritu dat dle matice dopadů. 2 Střední požadavky na integritu dat dle matice dopadů. 3 Vysoké požadavky na integritu dat dle matice dopadů. 4 Kritické požadavky na integritu dat dle matice dopadů. 13

Příklady hodnocení bezpečnostních dopadů IS Spisová služba Agendový informační systém 14

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář