Kybernetická bezpečnost resortu MV ČR 209 Varování NÚKIB 7.2.209 - JAK POSTUPOVALO MV ČR Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra
Program! Působnost Ministerstva vnitra. Legislativní ukotvení. Strategická role MV v oblasti ICT.! Kybernetická bezpečnost resortu MV. Odbor kybernetické bezpečnosti a koordinace ICT. Organizace KB v resortu MV.! Systém řízení bezpečnosti informací resortu MV. Rozsah ISMS resortu MV. Dokumentace ISMS resortu MV. Sjednocené informační prostředí resortu MV.! Aktualizace dokumentace ISMS resortu MV. Metodika identifikace a hodnocení aktiv a rizik. Poznatky při aktualizaci.! Úskalí zajišťování kybernetické bezpečnosti.! Vývoj kybernetických bezpečnostní událostí a incidentů v letech 206-208. 2
Kybernetická bezpečnost resortu MV
Kybernetická bezpečnost resortu MV 4! Cílem a úlohou kybernetické bezpečnosti resortu MV je zabezpečení kybernetického prostoru proti vnějším a vnitřním kybernetickým hrozbám prostřednictvím organizačních a technických opatření a minimalizace možných důsledků případných kybernetických událostí nebo incidentů.! Bezpečnost kybernetického prostoru resortu MV je řízena průběžně zdokonalovaným Systémem řízení bezpečnosti informací (ISMS) a primárně zaměřena dle zákona o kybernetické bezpečnosti na kritickou informační infrastrukturu a významné informační systémy.
Organizace KB v resortu MV STRATEGIE OPERATIVA TAKTIKA A OPERATIVA Správce KII a VIS resortu MV Výbor pro řízení kybernetické bezpečnosti resortu MV Odbor kybernetické bezpečnosti a koordinace ICT Architekt KB Styčný manažer KB Manažer KB Technický správce KII a VIS Garant primárních aktiv Administrátor Auditor KB Věcný správce KII a VIS Provozovatel KII a VIS Garant podpůrných aktiv Ministr vnitra PŘEDSEDA První náměstek ministra vnitra pro řízení sekce vnitřní bezpečnosti a policejního vzdělávání MÍSTOPŘEDSEDA Náměstek ministra vnitra pro řízení sekce informačních a komunikačních technologií ČLENOVÉ Policejní prezident. Generální ředitel Hasičského záchranného sboru České republiky. Náměstci ministra vnitra. Státní tajemník v Ministerstvu vnitra. Ředitelé vybraných odborů. Ředitel Správy základních registrů. Ředitel státního podniku Národní agentura pro komunikační a informační technologie, s. p. 5
Systém řízení bezpečnosti informací resortu MV
Kybernetická bezpečnost resortu MV VNĚJŠÍ HROZBY VNĚJŠÍ HROZBY KYBERNETICKÝ PROSTOR RESORTU PRIMÁRNÍ MV AKTIVA VNITŘNÍ PERIMETR INFORMACE SLUŽBY VNĚJŠÍ PERIMETR INTERNÍ UŽIVATELÉ VNITŘNÍ HROZBY VNITŘNÍ HROZBY DODAVATELÉ EXTERNÍ UŽIVATELÉ 7
ISMS DOKUMENTACE ISMS K0 Pegas K02 ISDS K03 CZP K04 AIS EO K05 AIS ECD K06 AIS EOP K07 ISZR/FAIS K08 ROB K09 RPP K AIS C K2 CIS K3 VIS K4 SIS K5 CRZ K6 ITS K7 CMS K8 58 K9 JITKA K20 DCeGOV V0 AIS PČR V02 PVS V03 EKIS V04 AZYl II V05 DP-2 V06 GINIS V09 ISoSS V0 IS ÚESO V RAZR V2 NIA V3 AIS ZBRANĚ 98 SPOLEČNÁ A OSTATNÍ ICT AKTIVA 99 INFRASTRUKTURNÍ PLATFORMA Rozsah ISMS resortu MV 8
0 KII Legislativa VIS Politika ISMS ISMS resortu MV 9 2 3 4 5 9x Organizace ISMS Bezpečnostní politiky KII OSTATNÍ (Systémy 98 ) Nx Záznamy x VIS
Stránky KB na portálu SIP 0
! ISMS certifikace ISO/IEC 2700:203 ISMS resortu MV
Kontinuální rozvoj KB Požadavky Očekávání Legislativa A jednej Udržování, aktualizace a zlepšování ISMS a stanovených bezpečnostních parametrů P plánuj Stanovení ISMS a bezpečnostních parametrů pro jednotlivé KII a VIS C kontroluj Monitorování, přezkoumání a vyhodnocování ISMS a bezpečnostních parametrů D dělej Implementace, udržování ISMS a bezpečnostních parametrů Zabezpečení KII a VIS 2
Aktualizace dokumentace ISMS
Metodika identifikace a hodnocení aktiv a rizik! Nástroj pro hodnocení aktiv a rizik.! Hodnocení aktiv: D= MAX(Du; In; Do)! Výpočet míry rizika: MR= D Z H Zkratka Popis Vysvětlení D! Legenda: Dopad (hodnota aktiva) / Du Důvěrnost Zhodnocení dopadu neautorizovaného vyzrazení dat. In Integrita Zhodnocení dopadu neautorizované úpravy dat. Do Dostupnost Zhodnocení dopadu ztráty přístupu k datům. MR Míra rizika Možnost, že určitá hrozba využije zranitelnosti aktiva a způsobí škodu. AR Akceptovatelné riziko Riziko, které je přijatelné a není nutné jej zvládat pomocí dalších bezpečnostních opatření. Z Zranitelnost Slabé místo aktiva nebo slabé místo bezpečnostního opatření, které může být zneužito jednou nebo více hrozbami. H Hrozba Potenciální příčina KBU nebo KBI, která může způsobit škodu a která působí na jeden nebo více atributů informační bezpečnosti 4
Míra akceptovatelnosti rizik 5 Úroveň Hranice míry rizika Popis Od Do Nízká 20 % Riziko je považováno za přijatelné akceptovatelné. 3 Střední 48 % Riziko může být sníženo méně náročnými opatřeními nebo v případě vyšší náročnosti opatření je riziko akceptovatelné na základě schválení Výboru KB. 4 3 Vysoká 73 % Riziko je dlouhodobě nepřípustné a musí být zahájeny systematické kroky k jeho odstranění. 32 47 Kritická Riziko je nepřípustné a musí být neprodleně zahájeny kroky k jeho odstranění. 48 64 Hodnot a aktiva Hrozba zranitelnost 2 3 4 6 8 9 2 6 2 3 4 6 8 9 2 6 2 2 4 6 8 2 6 8 24 32 3 3 6 9 2 8 24 27 36 48 4 4 8 2 6 24 32 36 48 64
Poznatky při aktualizaci DISMS 6! Poznatky při aktualizaci dokumentace ISMS: Slučování dokumentů a jejich provazba. Jasně nastavené procesy a pravidla. Jednotnost zkratek a pojmů. Jednoduchá textace s ohledem na adresáty. Procesní uchopení tvorby dokumentace.! Základní pravidla při tvorbě dokumentace ISMS:. Určení jasných rolí a odpovědností. 2. Neopakovat nic, co už je někde napsáno (pouze tam, kde to má smysl). 3. Nepsat do dokumentace obecné nic neříkající formulace. 4. Psát jasná a jednoznačná pravidla a postupy. 5. Zachovat logičnost dokumentů, tzv. červenou nit. 6. Pokud je to možné a dává to smysl, vytvářet procesní modely.
Úskalí zajišťování kybernetické bezpečnosti
Legislativní úskalí KB! Příprava nové vyhlášky č. 37/204 Sb., o významných informačních systémech a jejich určujících kritériích. Nevyjasněny personální ani finanční dopady. V rámci resortu MV by došlo k rozšíření z 30 systémů KII a VIS na 200.! Varování Národního úřadu pro kybernetickou a informační bezpečnost o hrozbě ze dne 7. prosince 208. Nejednoznačnost postupu. Těžko uchopitelné: V případě vyloučení společnostní zmíněných ve varování hrozí riziko soudních řízení ze strany Úřadu pro ochranu hospodářské soutěže a soudních řízení ze strany vyloučených společností. V případě nezohlednění varování hrozí riziko sankcí ze strany Národního úřadu pro kybernetickou a informační bezpečnost a případné uskutečnění hrozeb technických a programových prostředků. 8
!!! Náročné prosazování změn, negativní přijímání nových pravidel. Kybernetická bezpečnost je vnímána jako něco obtěžujícího. Neochota nést zodpovědnost. Personální úskalí KB 9
Vývoj KBU a KBI v letech 206-208
Vývoj KBU a KBI v letech 206-208 2 208=283 207=99 206=24! Celkový počet tiketů na DCeGOV: 53.365.! Celkový počet bezpečnostních tiketů na DCeGOV: 667.! Počet kybernetických bezpečnostních událostí vzrostl v roce 208 proti roku 207 o 43 % na 276.! Počet kybernetických bezpečnostních incidentů se zvýšil o, konkrétně na 7. 50 38 25 3 0 29 7 KBI KBU KBU a KBI v měsících roku 208, 207 a 206 7 4 3 32 3 2 20 4 30 42 20 3 24 27 2 6 6 5 4 4 7 4 Leden Březen Květen Červenec Září Listopad 2 2 7 23 27 5 30 7 7 5 3
70 KBU a KBI ve dnech kalendářního týdne v letech 208, 207 a 206 Vývoj KBU a KBI v letech 206-208 53 35 8 0 65 4 9 50 35 3 52 33 24 47 Pondělí Úterý Středa Čtvrtek Pátek Sobota Neděle 27 9 60 33 22 6 2 208=283 207=99 206=24 Největší počet KBU a KBI Nejmenší počet KBU a KBI 2 3 9 7 208 207 206 Pondělí Pondělí Úterý Neděle Neděle Sobota 22
2,8 2500 2,,4 0,7 HROZBY A ÚTOKY Hrozby a útoky KBU KBI HaU KBUU KBII 205 206 207 208 0,9 mil. 0, mil. 22 0 20 ČAS 202 203 204 205 0 206 207 2 208 6 209 2020 7 202 2022 2023,3 mil. 93,6 mil. 283 KBU A KBI 882,5 265 647,5 30 Hrozby a události v kybernetickém prostoru resortu MV 23
Před čím? Objem a vyspělost kybernetických hrozeb Jak? Investice Investice do do KB kybernetických bezpečnostních opatření v letech Hrozby a investice do zabezpečení 4 3 2 4 3 2 Zabezpečení: Závazek a povinnost Kybernetick ý prostor resortu MV 24
Diskuze? Q & A 25
Děkuji za pozornost a Váš čas. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT