Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra

Podobné dokumenty
Zkušenosti s implementací ZoKB a problémy, které nás pálí. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT

KYBERBEZPEČNOST POHLEDEM MV ČR

Kybernetická bezpečnost resortu MV

Ing. Miroslav Tůma, Ph.D. ředitel odboru Kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra ČR

Kybernetická bezpečnost MV

Kybernetická bezpečnost resortu Ministerstva vnitra. Odbor kybernetické bezpečnosti a koordinace ICT KYBERNETICKÁ BEZPEČNOST obr. č.

Kybernetická bezpečnost

Certifikace Ministerstva vnitra v oblasti kyberbezpečnosti

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Z K B V P R O S T Ř E D Í

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

LEX UNO ORE OMNES ALLOQUITUR

Jsme sdílní. Ing. Miroslav Tůma, Ph.D. vrchní ředitel sekce provozu ICT, MV ČR 12. června 2014, Boskovice

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Zákon o kybernetické bezpečnosti

Bezpečnostní politika a dokumentace

Nabídka kurzů k systému řízení bezpečnosti informací (ISMS) ČSN ISO/IEC 27001:2014

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Zákon o kybernetické bezpečnosti. Petr Nižnanský

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Státní pokladna. Centrum sdílených služeb

Zákon o kybernetické bezpečnosti

TSB a kybernetická bezpečnost SMB a jím ovládaných subjektů

Posuzování na základě rizika

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

Řízení kybernetické a informační bezpečnosti

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Odštěpný závod České pošty, s.p. ICT SLUŽBY PRO egovernment. Konference egovernment, Mikulov,

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

MINISTERSTVO VNITRA odbor interního auditu a kontroly Č. j.: MV /IAK-2015 Praha 18. prosince 2015 Počet listů: 5 Příloha: 1/2

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

Řízení rizik. RNDr. Igor Čermák, CSc.

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Strategie rozvoje ČP OZ ICTs

egovernment Cloud ČR egovernment Cloud egc Ing. Miroslav Tůma, Ph.D. Řídící orgán egovernmet Cloudu

Dopady zákona o kybernetické bezpečnosti (ZKB) Jan Mareš

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

STAVÍME DÁLNICE PRO egovernment. JUDr. Petr SOLSKÝ náměstek ministra vnitra pro informační a komunikační technologie

SBÍRKA ZÁKONŮ. Ročník 2014 ČESKÁ REPUBLIKA. Částka 127 Rozeslána dne 19. prosince 2014 Cena Kč 109, O B S A H :

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

NEJEN STÁTNÍ CLOUD - egovernment Cloudu

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

IDET AFCEA Květen 2015, Brno

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

b) aktivem primární aktivum a podpůrné aktivum, c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém

Zpracování a udržování Registru právních a jiných požadavků

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

Politika bezpečnosti informací

NEPŘIMĚŘENÉ NÁKLADY. vysvětlení pojmu

Návrh VYHLÁŠKA. ze dne 2014

Systém řízení informační bezpečnosti (ISMS)

Audity ISŘ. Je-li tento dokument vytištěn, stává se neřízeným. MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou SJ-GŘ Lenka Šloserová v. r.

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

316/2014 Sb. VYHLÁŠKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

Ministerstvo vnitra připravuje. jednotné řešení pro státní správu

Příloha č. 2 usnesení vlády ze dne 7. února 2018 č. 92. Přehled námětů pro Plán nelegislativních úkolů vlády České republiky na 2.

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Politika ISŘ. Je-li tento dokument vytištěn, stává se neřízeným. MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou R-GŘ-04

Systém řízení bezpečnosti informací v praxi

Zákon o kybernetické bezpečnosti a související předpisy

Zákon o kybernetické bezpečnosti a související předpisy

Vize a role ČP OZ ICTs

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Bezpečnostní politika společnosti synlab czech s.r.o.

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Předmět závazku (pokud jde o dodatek, uvedeno ke které smlouvě)

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Řízení kontinuity činností ve veřejné správě výsledky empirického výzkumu

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti

Informační systém o státní službě (ISoSS) a jeho vazba na zákon o státní službě

Výzvy pro čerpání prostředků ze strukturálních fondů

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

NÁRODNÍ STRATEGIE KYBERNETICKÉ BEZPEČNOSTI ČESKÉ REPUBLIKY NA OBDOBÍ LET 2015 AŽ Ing. Dušan Navrátil

Cloud Computingu ČR Centrální nákupy SW produktů

Obrana pojetí a aktuální vývoj. Ing. Eduard Bakoš, Ph.D.

Zásadní změny zákona o krizovém řízení

Management informační bezpečnosti

STRATEGIE A PROJEKTY ODBORU INFORMATIKY MHMP

Dohledové centrum egovernmentu. Aplikace ZoKB v praxi

Zkušenosti s budováním základního registru obyvatel

resortu I g. Miroslav Tů a, Ph. D.

Politika bezpečnosti informací

Kybernetické bezpečnostní incidenty a jejich hlášení

DOHLEDOVÉ CENTRUM egovernmentu SOCCR 10 12/6/2015 (Security Operation Center for Cyber Reliability)

STRATEGIE PRO OBLAST KYBERNETICKÉ BEZPEČNOSTI ČESKÉ REPUBLIKY NA OBDOBÍ

Strategický dokument se v současné době tvoří.

Transkript:

Kybernetická bezpečnost resortu MV ČR 209 Varování NÚKIB 7.2.209 - JAK POSTUPOVALO MV ČR Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra

Program! Působnost Ministerstva vnitra. Legislativní ukotvení. Strategická role MV v oblasti ICT.! Kybernetická bezpečnost resortu MV. Odbor kybernetické bezpečnosti a koordinace ICT. Organizace KB v resortu MV.! Systém řízení bezpečnosti informací resortu MV. Rozsah ISMS resortu MV. Dokumentace ISMS resortu MV. Sjednocené informační prostředí resortu MV.! Aktualizace dokumentace ISMS resortu MV. Metodika identifikace a hodnocení aktiv a rizik. Poznatky při aktualizaci.! Úskalí zajišťování kybernetické bezpečnosti.! Vývoj kybernetických bezpečnostní událostí a incidentů v letech 206-208. 2

Kybernetická bezpečnost resortu MV

Kybernetická bezpečnost resortu MV 4! Cílem a úlohou kybernetické bezpečnosti resortu MV je zabezpečení kybernetického prostoru proti vnějším a vnitřním kybernetickým hrozbám prostřednictvím organizačních a technických opatření a minimalizace možných důsledků případných kybernetických událostí nebo incidentů.! Bezpečnost kybernetického prostoru resortu MV je řízena průběžně zdokonalovaným Systémem řízení bezpečnosti informací (ISMS) a primárně zaměřena dle zákona o kybernetické bezpečnosti na kritickou informační infrastrukturu a významné informační systémy.

Organizace KB v resortu MV STRATEGIE OPERATIVA TAKTIKA A OPERATIVA Správce KII a VIS resortu MV Výbor pro řízení kybernetické bezpečnosti resortu MV Odbor kybernetické bezpečnosti a koordinace ICT Architekt KB Styčný manažer KB Manažer KB Technický správce KII a VIS Garant primárních aktiv Administrátor Auditor KB Věcný správce KII a VIS Provozovatel KII a VIS Garant podpůrných aktiv Ministr vnitra PŘEDSEDA První náměstek ministra vnitra pro řízení sekce vnitřní bezpečnosti a policejního vzdělávání MÍSTOPŘEDSEDA Náměstek ministra vnitra pro řízení sekce informačních a komunikačních technologií ČLENOVÉ Policejní prezident. Generální ředitel Hasičského záchranného sboru České republiky. Náměstci ministra vnitra. Státní tajemník v Ministerstvu vnitra. Ředitelé vybraných odborů. Ředitel Správy základních registrů. Ředitel státního podniku Národní agentura pro komunikační a informační technologie, s. p. 5

Systém řízení bezpečnosti informací resortu MV

Kybernetická bezpečnost resortu MV VNĚJŠÍ HROZBY VNĚJŠÍ HROZBY KYBERNETICKÝ PROSTOR RESORTU PRIMÁRNÍ MV AKTIVA VNITŘNÍ PERIMETR INFORMACE SLUŽBY VNĚJŠÍ PERIMETR INTERNÍ UŽIVATELÉ VNITŘNÍ HROZBY VNITŘNÍ HROZBY DODAVATELÉ EXTERNÍ UŽIVATELÉ 7

ISMS DOKUMENTACE ISMS K0 Pegas K02 ISDS K03 CZP K04 AIS EO K05 AIS ECD K06 AIS EOP K07 ISZR/FAIS K08 ROB K09 RPP K AIS C K2 CIS K3 VIS K4 SIS K5 CRZ K6 ITS K7 CMS K8 58 K9 JITKA K20 DCeGOV V0 AIS PČR V02 PVS V03 EKIS V04 AZYl II V05 DP-2 V06 GINIS V09 ISoSS V0 IS ÚESO V RAZR V2 NIA V3 AIS ZBRANĚ 98 SPOLEČNÁ A OSTATNÍ ICT AKTIVA 99 INFRASTRUKTURNÍ PLATFORMA Rozsah ISMS resortu MV 8

0 KII Legislativa VIS Politika ISMS ISMS resortu MV 9 2 3 4 5 9x Organizace ISMS Bezpečnostní politiky KII OSTATNÍ (Systémy 98 ) Nx Záznamy x VIS

Stránky KB na portálu SIP 0

! ISMS certifikace ISO/IEC 2700:203 ISMS resortu MV

Kontinuální rozvoj KB Požadavky Očekávání Legislativa A jednej Udržování, aktualizace a zlepšování ISMS a stanovených bezpečnostních parametrů P plánuj Stanovení ISMS a bezpečnostních parametrů pro jednotlivé KII a VIS C kontroluj Monitorování, přezkoumání a vyhodnocování ISMS a bezpečnostních parametrů D dělej Implementace, udržování ISMS a bezpečnostních parametrů Zabezpečení KII a VIS 2

Aktualizace dokumentace ISMS

Metodika identifikace a hodnocení aktiv a rizik! Nástroj pro hodnocení aktiv a rizik.! Hodnocení aktiv: D= MAX(Du; In; Do)! Výpočet míry rizika: MR= D Z H Zkratka Popis Vysvětlení D! Legenda: Dopad (hodnota aktiva) / Du Důvěrnost Zhodnocení dopadu neautorizovaného vyzrazení dat. In Integrita Zhodnocení dopadu neautorizované úpravy dat. Do Dostupnost Zhodnocení dopadu ztráty přístupu k datům. MR Míra rizika Možnost, že určitá hrozba využije zranitelnosti aktiva a způsobí škodu. AR Akceptovatelné riziko Riziko, které je přijatelné a není nutné jej zvládat pomocí dalších bezpečnostních opatření. Z Zranitelnost Slabé místo aktiva nebo slabé místo bezpečnostního opatření, které může být zneužito jednou nebo více hrozbami. H Hrozba Potenciální příčina KBU nebo KBI, která může způsobit škodu a která působí na jeden nebo více atributů informační bezpečnosti 4

Míra akceptovatelnosti rizik 5 Úroveň Hranice míry rizika Popis Od Do Nízká 20 % Riziko je považováno za přijatelné akceptovatelné. 3 Střední 48 % Riziko může být sníženo méně náročnými opatřeními nebo v případě vyšší náročnosti opatření je riziko akceptovatelné na základě schválení Výboru KB. 4 3 Vysoká 73 % Riziko je dlouhodobě nepřípustné a musí být zahájeny systematické kroky k jeho odstranění. 32 47 Kritická Riziko je nepřípustné a musí být neprodleně zahájeny kroky k jeho odstranění. 48 64 Hodnot a aktiva Hrozba zranitelnost 2 3 4 6 8 9 2 6 2 3 4 6 8 9 2 6 2 2 4 6 8 2 6 8 24 32 3 3 6 9 2 8 24 27 36 48 4 4 8 2 6 24 32 36 48 64

Poznatky při aktualizaci DISMS 6! Poznatky při aktualizaci dokumentace ISMS: Slučování dokumentů a jejich provazba. Jasně nastavené procesy a pravidla. Jednotnost zkratek a pojmů. Jednoduchá textace s ohledem na adresáty. Procesní uchopení tvorby dokumentace.! Základní pravidla při tvorbě dokumentace ISMS:. Určení jasných rolí a odpovědností. 2. Neopakovat nic, co už je někde napsáno (pouze tam, kde to má smysl). 3. Nepsat do dokumentace obecné nic neříkající formulace. 4. Psát jasná a jednoznačná pravidla a postupy. 5. Zachovat logičnost dokumentů, tzv. červenou nit. 6. Pokud je to možné a dává to smysl, vytvářet procesní modely.

Úskalí zajišťování kybernetické bezpečnosti

Legislativní úskalí KB! Příprava nové vyhlášky č. 37/204 Sb., o významných informačních systémech a jejich určujících kritériích. Nevyjasněny personální ani finanční dopady. V rámci resortu MV by došlo k rozšíření z 30 systémů KII a VIS na 200.! Varování Národního úřadu pro kybernetickou a informační bezpečnost o hrozbě ze dne 7. prosince 208. Nejednoznačnost postupu. Těžko uchopitelné: V případě vyloučení společnostní zmíněných ve varování hrozí riziko soudních řízení ze strany Úřadu pro ochranu hospodářské soutěže a soudních řízení ze strany vyloučených společností. V případě nezohlednění varování hrozí riziko sankcí ze strany Národního úřadu pro kybernetickou a informační bezpečnost a případné uskutečnění hrozeb technických a programových prostředků. 8

!!! Náročné prosazování změn, negativní přijímání nových pravidel. Kybernetická bezpečnost je vnímána jako něco obtěžujícího. Neochota nést zodpovědnost. Personální úskalí KB 9

Vývoj KBU a KBI v letech 206-208

Vývoj KBU a KBI v letech 206-208 2 208=283 207=99 206=24! Celkový počet tiketů na DCeGOV: 53.365.! Celkový počet bezpečnostních tiketů na DCeGOV: 667.! Počet kybernetických bezpečnostních událostí vzrostl v roce 208 proti roku 207 o 43 % na 276.! Počet kybernetických bezpečnostních incidentů se zvýšil o, konkrétně na 7. 50 38 25 3 0 29 7 KBI KBU KBU a KBI v měsících roku 208, 207 a 206 7 4 3 32 3 2 20 4 30 42 20 3 24 27 2 6 6 5 4 4 7 4 Leden Březen Květen Červenec Září Listopad 2 2 7 23 27 5 30 7 7 5 3

70 KBU a KBI ve dnech kalendářního týdne v letech 208, 207 a 206 Vývoj KBU a KBI v letech 206-208 53 35 8 0 65 4 9 50 35 3 52 33 24 47 Pondělí Úterý Středa Čtvrtek Pátek Sobota Neděle 27 9 60 33 22 6 2 208=283 207=99 206=24 Největší počet KBU a KBI Nejmenší počet KBU a KBI 2 3 9 7 208 207 206 Pondělí Pondělí Úterý Neděle Neděle Sobota 22

2,8 2500 2,,4 0,7 HROZBY A ÚTOKY Hrozby a útoky KBU KBI HaU KBUU KBII 205 206 207 208 0,9 mil. 0, mil. 22 0 20 ČAS 202 203 204 205 0 206 207 2 208 6 209 2020 7 202 2022 2023,3 mil. 93,6 mil. 283 KBU A KBI 882,5 265 647,5 30 Hrozby a události v kybernetickém prostoru resortu MV 23

Před čím? Objem a vyspělost kybernetických hrozeb Jak? Investice Investice do do KB kybernetických bezpečnostních opatření v letech Hrozby a investice do zabezpečení 4 3 2 4 3 2 Zabezpečení: Závazek a povinnost Kybernetick ý prostor resortu MV 24

Diskuze? Q & A 25

Děkuji za pozornost a Váš čas. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář