Varvání pdle - pužití a dpady 12 ZKB Adam Kučínský ředitel dbr regulace
Disclaimer Prezentace bsahuje infrmace platné ke dni její realizace, tedy k 16. 4. 2019. Infrmace, fakta a údaje bsažené v prezentaci mají infrmační a světvý charakter. Pr zajištění suladu se záknem kybernetické bezpečnsti je nutn vycházet z aktuálně účinné legislativy. Aplikaci takvých infrmací či patření je nutné vždy vztahvat ke knkrétním systémům a institucím.
Institut Varvání 12 ZKB Varvání (1) Úřad vydá varvání, dzví-li se zejména z vlastní činnsti neb z pdnětu prvzvatele nárdníh CERT aneb d rgánů, které vyknávají půsbnst v blasti kybernetické bezpečnsti v zahraničí, hrzbě v blasti kybernetické bezpečnsti. (2) Varvání Úřad zveřejní na svých internetvých stránkách a známí je rgánům a sbám uvedeným v 3, jejichž kntaktní údaje jsu vedeny v evidenci pdle 16 dst. 4.
C varvání znamená Prstřednictvím varvání NÚKIB upzrňuje na existenci hrzby v blasti kybernetické bezpečnsti, na kteru je nutné bezprstředně reagvat. Subjekty, které spadají pd zákn ZKB, jsu pvinny se tut hrzbu dále zabývat a zhlednit ji v analýze rizik, kteru v suladu s pžadavky ZKB a příslušné vyhlášky již pravidelně prvádí. Varvání neznamená bezpdmínečný zákaz pužívání daných technických a prgramvých prstředků, ale nutnst zvážit případné bezpečnstní rizik suvisející s jejich užíváním. Dvlí-li t výsledky analýzy rizik, uvedené technické neb prgramvé prstředky je mžné i nadále pužívat. Orgánům a sbám, kterým ZKB neukládá pvinnst zavést a prvádět bezpečnstní patření, stejně tak jak širké veřejnsti, nezakládá varvání NÚKIB žádnu pvinnst, a t ani zprstředkvaně. Tyt subjekty tedy nejsu pdle ZKB pvinny varvání NÚKIB zhlednit. Další krky s tím spjené jsu puze na nich.
Implementace varvání KII, VIS a PZS jsu pvinni pdle 5 VKB pr určené IS a KS prvádět pravidelnu analýzu rizik, identifikvat rizika a identifikvaná rizika řídit. Na základě vyhdncení rizik ptm výše uvedené subjekty zavádějí a prvádějí bezpečnstní patření v rzsahu nezbytném pr zajištění kybernetické bezpečnsti v suladu s 4 dst. 2 ZKB. Bezpečnstní patření jsu blíže specifikvána ve VKB. V suvislsti s řízením rizik musejí pdle 5 dst. 1 písm. h) bd 3 VKB tyt subjekty zhlednit mim jiné i patření pdle 11 ZKB, tedy i varvání vydané pdle 12 ZKB. Na základě vydanéh varvání tedy musejí výše zmíněné pvinné sby v rámci zavedenéh řízení rizik prvést analýzu rizik, ve které zhlední hrzbu, a následně na rizik reagvat přijetím bezpečnstních patření, která musí být v suladu s nastavenými metrikami pr akceptvatelnst rizika a hdntu danéh rizika.
Analýza rizik I. Rizik = mžnst či pravděpdbnst, že hrzba využije zranitelnsti aktiva a způsbí škdu Řízení rizik = suhrn činnstí veducích k nalezení a eliminaci rizik Nutn stanvit rzsah aktiv, kterých se řízení rizik týká a hdntit je Dále jim přiřadit a hdntit hrzby a zranitelnsti. Aktivum = ckliv, c má pr rganizaci hdntu. Primární aktivum = infrmace neb služba, kteru zpracvává neb pskytuje IS/ KS Pdpůrné aktivum = technická aktiva (technické vybavení, kmunikační prstředky a prgramvé vybavení, bjekty), zaměstnanci a ddavatelé. Zranitelnst = každé aktivum má zpravidla jednu či více zranitelnstí např. nevhdnu bezpečnstní architekturu, nedstatečnu míru nezávislé kntrly, nevhdně nastavená přístupvá právnění apd. Hrzba = hrzba využívá zranitelnstí aktiva např. škdlivý kód (viry, spyware, trjské kně apd.), zneužití neb neprávněná mdifikace údajů, cílený kybernetický útk pmcí sciálníh inženýrství, pužití špinážních technik apd.
Analýza rizik II. Jakmile je známa hdnta aktiva (viz přílha č. 1 k VKB) a hdnta s ním spjených hrzeb a zranitelnstí (viz přílha č. 2 k VKB), je nutné určit hdntu rizika. Rizik je kmbinací hrzby, zranitelnsti a dpadu na aktivum (dpad bude vycházet z hdnty aktiva). Rizik = Dpad (hdnta aktiva) x Zranitelnst x Hrzba Výsledná míra rizika následně indikuje pžadavky na chranu, tedy na knkrétní bezpečnstní patření - bezpečnstní patření snižují mžnst naplnění nežáducích jevů. Náklady na bezpečnstní patření by však měly být vždy přiměřené a neměly by převýšit náklady spjené s následky realizace rizika. Ze skutečnstí uvedených ve vydaném varvání vyplývá, že hrzbu, na kteru varvání upzrňuje, je v suladu s tabulku č. 1 přílhy č. 2 VKB ptřeba hdntit jak velmi pravděpdbnu až více méně jistu. = pkud pužívám stupnici dle VKB bude mít Hrzba spjená s Varváním hdntu 4 ze 4. Tut hdntu dsadím d výše uvedené rvnice a tak získám nvu hdntu rizika.
Analýza rizik III. - stepplan 1. Analýza prstředí a pršetření, zda a kde jsu dané technické neb prgramvé prstředky v rámci infrmačních a kmunikačních systémů využívány Např. v seznamu pdpůrných aktiv neb v seznamu majetku rganizace 2. U aktiv suvisejících s vydaným varváním je ptřeba prvést aktualizaci analýzy rizik a zhlednit nvé hrzby plynucí z vydanéh varvání Důležitá splupráce manažera kybernetické bezpečnsti, který má znalst prcesu analýzy rizik, s garantem aktiva, který je schpný hdntit aktivum 3. Výsledkem aktualizace analýzy rizik je nvá hdnta rizika V případě překrčení akceptvatelné míry rizika, kteru má pvinná sba stanvenu v suladu s pžadavky 5 VKB, je nutné přistupit k zavedení bezpečnstních patření a tím k snížení rizika 4. Bezpečnstní patření např. pstupná náhrada daných technických a prgramvých prstředků a jejich vylučení z výběrvéh řízení, úprava pravidel pr ddavatele Bezpečnstní patření definuje VKB
Příklady zranitelnstí a hrzeb Katalgy zranitelnstí a hrzeb lze najít například ve VKB
ZZVZ a varvání I. ZZVZ v 36 dst. 1 = zadavatel nesmí vytvářet při stanvvání zadávacích pdmínek bezdůvdné překážky hspdářské sutěže. V případě, že právněná autrita (zde NÚKIB), která k tmu dispnuje záknným zmcněním (zde v 22 písm. b) ZKB), vydává akt (zde varvání), který může v knkrétních případech vést k mezení hspdářské sutěže, nemůže být ddržení tht mezení při tvrbě zadávacích pdmínek pvažván za vytváření bezdůvdné překážky hspdářské sutěže. Tedy hspdářsku sutěž v tmt případě lze mezit již při stanvení zadávacích pdmínek a nejedná se tím prušení ZZVZ. Nadt 4 dst. 4 ZKB stanví: Pvinné sby jsu pvinny zhlednit pžadavky vyplývající z bezpečnstních patření při výběru ddavatele pr jejich infrmační systém kritické infrmační infrastruktury, kmunikační systém kritické infrmační infrastruktury, významný infrmační systém neb infrmační systém základní služby a tyt pžadavky zahrnut d smluvy, kteru s ddavatelem uzavřu. Zhlednění pžadavků vyplývajících z bezpečnstních patření pdle věty první v míře nezbytné pr splnění pvinnstí pdle ZKB nelze pvažvat za nezáknné mezení hspdářské sutěže neb nedůvdněnu překážku hspdářské sutěži.
ZZVZ a varvání II. Je ptřeba zvlit dpvídající pstupy ve vztahu k tmu, v jaké fázi se dané výběrvé řízení nachází: 1. Fáze přípravy na veřejnu zakázku Je nutné prvedení analýzy rizik pdle 5 VKB a následné zapracvání jejíh výsledku přím d zadávací dkumentace. 2. Fáze prbíhajícíh zadávacíh řízení a. Neuplynula lhůta pr pdání žádsti účast, předběžných nabídek neb nabídek V takvém případě lze p prvedení analýzy rizik v suladu s ustanvením 99 ZZVZ změnit neb dplnit zadávací pdmínky bsažené v zadávací dkumentaci a prdlužit lhůtu pr pdání. b. Lhůta uplynula P prvedení analýzy rizik lze buď pkračvat v zadávacím řízení a případně přijmut bezpečnstní patření ke snížení rizika (aniž by tím byl dtčen pstup v zadávacím řízení), nelze-li, pak zrušit zadávací řízení z důvdů pdle 127 dst. 2 písm. d) ZZVZ. 3. Fáze p sknčení zadávacíh řízení a zadání zakázky uchazeči. V suladu s 8 dst. 1 písm. e) VKB řídit rizika spjená s ddavateli. Je nutné prvedení analýzy rizik pdle 5 VKB a na základě jejíh výsledku prvést jedn z následujících: Nasazení bezpečnstních patření ke snížení rizik Pkud není mžné přijmut bezpečnstní patření ke snížení rizika, je nutné pdniknut krky k pstupnému nahrazení HW a SW pdle mžnstí
ZZVZ a varvání III. Je nutné mít na paměti, že vydání varvání nelze autmaticky pvažvat za důvd pr vylučení uchazeče ze zadávacíh řízení. I nadále platí, že zadavatel je právněn vylučit uchazeče ze zadávacíh řízení puze z důvdů stanvených v ZZVZ (zadavatel by tedy musel varvání NÚKIB, resp. důsledky plynucí z jeh vydání, pdřadit pd některý z důvdů uvedených v 48 ZZVZ). Tt se vztahuje k sbě účastníka Vylučit technické a prgramvé prstředky uvedené ve varvání lze, a t cestu technické specifikace Vylučení technických a prgramvých prstředků je nutné důvdnit Odůvdnění pskytne právě prvedená analýza rizik Tedy na základě varvání a následně prvedené analýzy rizik je mžné vylučit technické a prgramvé prstředky a nikli sbu knkrétníh účastníka Půjde technické pdmínky stanvené pmcí dkazu na knkrétníh ddavatele neb výrbky ( 89 dst. 5 ZZVZ, nejpravděpdbněji písm. a)), nikli pžadavky na sbu ddavatele (vylučeny jsu technické a prgramvé prstředky, nikli sám ddavatel, prakticky se ZŘ může účastnit i daná splečnst, nicméně nemůže nabídnut vlastní výrbky). V případě, že ddavatel nabídne plnění, které prstředky vylučených splečnstí bsahuje, pak bude jeh nabídka ze ZŘ vyřazena pr nesplnění zadávacích pdmínek ( 48 dst. 2 ZZVZ).
Děkuji Vám za pzrnst Prstr pr dtazy regulace@nukib.cz
Zdrje: Varvání ze dne 17. 12. 2018 Metdika k varvání ze dne 17. 12. 2018 Zákn č. 181/2014 Sb., kybernetické bezpečnsti Vyhláška č. 82/2018 Sb., kybernetické bezpečnsti Pdpůrné materiály NÚKIB: https://www.gvcert.cz/cs/regulace-akntrla/regulace-a-kntrla/ Zkratky VKB = Vyhláška č. 82/2018 Sb., kybernetické bezpečnsti ZKB = Zákn č. 181/2014 Sb., kybernetické bezpečnsti ZZVZ = zákn zadávání veřejných zakázek IS = infrmační systém KS = kmunikační systém Varvání = Varvání NÚKIB ze dne 17. 12. 2018