Bezpečnost IT - od technologie k procesům Konference e-government 20:10, Mikulov Filip Jasz, 9. 9. 2014
Agenda Úvod Zákon o kybernetické bezpečnosti a (nejen) jeho dopady Řešení pro pokrytí požadavků zákona 2 Copyright 2014 Hewlett-Packard Copyright 2013 Development HP Autonomy. Company, All rights L.P. reserved. The information Other trademarks contained are herein registered subject trademarks to change and without the properties notice. of their respective owners.
Možné přístupy k řešení bezpečnosti Systematický, proaktivní Analýza rizik a hrozeb Návrhy a sestavení procesů, postupů Definice odpovědností Doporučení na zlepšení co, kde a jak řešit Spuštění a provedení projektů na zlepšení Trvalý monitoring a trvalé zlepšování bezpečnosti firmy Ad-hoc, jednorázový Potřeba rychle změnit stávající stav Zpravidla po bezpečnostním incidentu Rychlá reakce, spuštění projektu na vyřešení známého problému Kombinace obou Rychlé spuštění projektu na vyřešení akutního problému Zahájení systematického přístupu analýzou, procesy, odpovědnosti 3
Doporučení HP kombinace obou přístupů Rychlé spuštění projektu na vyřešení známého problému Zahájení systematického přístupu ITSM IT Security management na bázi ISO 27001:2005-2013 Řídící orgány bezpečnosti, odpovědnosti Procesy a postupy, bezpečnostní incident, životní cyklus BI Analýza rizik, vyhodnocení dopadů Návrh postupu na zlepšení stavu možná řešení (alternativy) Posouzení výhodnosti jednotlivých variant Detailní návrh projektů k řešení 4
Agenda Úvod Zákon o kybernetické bezpečnosti a (nejen) jeho dopady Řešení pro pokrytí požadavků zákona 5 Copyright 2014 Hewlett-Packard Copyright 2013 Development HP Autonomy. Company, All rights L.P. reserved. The information Other trademarks contained are herein registered subject trademarks to change and without the properties notice. of their respective owners.
Historie Zákona o kybernetické bezpečnosti Legislativní opatření v oblasti kybernetické bezpečnosti Vláda ČR říjnu 2011 schválila usnesení č. 781 a ustanovila NBÚ gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast. Není o kybernetické kriminalitě či terorismu. Na základě přijatého usnesení vzniklo Národní centrum kybernetické bezpečnosti (NCKB), jako součást Národního bezpečnostního úřadu, se sídlem v Brně. Schválen věcný záměr zákona o kybernetické bezpečnosti březen 2012. Zpracováno paragrafové znění Q1 2013. ZKB schválen a vyšel ve Sbírce zákonů v srpnu 2014 pod číslem 181/2014 Sb. 6
Významné informační systémy Významnými informačními systémy jsou informační systémy: které slouží k výkonu činnosti prvku kritické infrastruktury určeného na základě odvětvových kritérií v odvětví veřejná správa a které nejsou kritickou informační infrastrukturou, které jsou nezbytné pro výkon rozhodujících činností orgánu veřejné moci, zejména zajišťování klíčových správních agend a centrální funkce IS celostátního nebo regionálního významu, u kterých ohrožení nebo omezení činnosti má negativní dopad 1. na poskytování služeb (a informací) obyvatelstvu, 2. na životní prostředí 3. na hospodaření orgánu veřejné moci 4. na fungování jiných informačních systémů, nebo 5. na veřejné zájmy, dobré jméno nebo dobrou pověst 7
Významné informační systémy Mezi VIS rozhodně patří: Základní registry Datové schránky Portál veřejné správy agendové informační systémy, jejichž prostřednictvím editoři zapisují referenční údaje do základních registrů evidence Rejstříku trestů, centrální registr silničních vozidel, centrální registr řidičů, registr pojištěnců všeobecného zdravotního pojištění,... 8
Zákon o kybernetické bezpečnosti Časování. Máme dost času? Zákon do sněmovny Zákon platný Zákon účinný První kontrola březen srpen 1.1. 2015 1.1.2016 2013 2014 2015 Příprava zadání Veřejná soutěž Implementace 9
Agenda Úvod Zákon o kybernetické bezpečnosti a (nejen) jeho dopady Řešení pro pokrytí požadavků zákona 10 Copyright 2014 Hewlett-Packard Copyright 2013 Development HP Autonomy. Company, All rights L.P. reserved. The information Other trademarks contained are herein registered subject trademarks to change and without the properties notice. of their respective owners.
Dopady Zákona o kybernetické bezpečnosti Co musím dělat, abych byl v souladu se zákonem? Mít implementovánu zákonem požadovanou úroveň bezpečnosti Mít schopnost detekovat definované incidenty Umět podávat hlášení na NCKB Umět přijímat požadavky na protiopatření Umět protiopatření zavést 11
Dopady Zákona o kybernetické bezpečnosti Co musím dělat, abych byl v souladu se zákonem? Mít implementovánu zákonem požadovanou úroveň bezpečnosti Mít schopnost detekovat definované incidenty Umět podávat hlášení na NCKB Umět přijímat požadavky na protiopatření Umět protiopatření zavést Opatření a protiopatření Vyhodnocení Komunikační rozhraní 11
HP řešení pro informační bezpečnost Portfolio produktů (výběr) 12
HP řešení pro informační bezpečnost Portfolio produktů (výběr) HP ArcSight skupina produktů pro správu, zpracování a archivaci událostí HP TippingPoint síťové IPS systémy HP Fortify & WebInspect rodina produktů pro bezpečnostní testování aplikací 12
HP řešení pro informační bezpečnost Portfolio produktů (výběr) HP ArcSight skupina produktů pro správu, zpracování a archivaci událostí HP TippingPoint síťové IPS systémy HP Enterprise View systém pro výpočet rizik HP Fortify & WebInspect rodina produktů pro bezpečnostní testování aplikací 12
HP řešení pro informační bezpečnost Portfolio služeb (výběr) HP má schopnosti a zkušenosti ve zhodnocení stavu připravenosti IT na požadavky Zákona o kybernetické bezpečnosti HP umí řešit navazující problematiku jak procesně, tak produktově HP má široké portfolio v oblasti implementace vlastních bezpečnostních produktů pro pokrytí požadavků zákona o kybernetické bezpečnosti ArcSight, TippingPoint, Fortify, Webinspect, Dataprotector, CVAS HP disponuje certifikovanými odborníky a jasnou představou řešení 13
HP řešení pro informační bezpečnost Analýza stávajícího stavu a návrh opatření Procesní Analýza za účelem zavedení ISO 27001 Management Informací a událostí (SIEM) Bezpečnostní testování Aplikační Datová Hardwarová infrastruktura Řešení prevence útoků (IPS) Komunikační 14
Děkuji za pozornost