Jak plnit vyhlášku o kybernetické bezpečnosti

Podobné dokumenty
Státní ICT jak to zvládáme na NKÚ. Jan Mareš

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Extrémně silné zabezpečení mobilního přístupu do sítě.

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

Správa stanic a uživatelského desktopu

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Bezpečná autentizace přístupu do firemní sítě

Z internetu do nemocnice bezpečně a snadno

Bezpečnostní politika a dokumentace

OKsmart a správa karet v systému OKbase

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Bezpečnost sítí

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Technické aspekty zákona o kybernetické bezpečnosti

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

Google Apps. Administrace

MĚSTSKÝ ROK INFORMATIKY KLADNO

Microsoft Windows Server System

Zákon o kybernetické bezpečnosti: kdo je připraven?

Data Protection Delivery Center, s. r. o. IDENTITY MANAGEMENT, SPRÁVA OPRÁVNĚNÍ. a SINGLE SIGN-ON. DPDC Identity. pro Vaši bezpečnost

Komu je tato kniha určena? Jak je kniha uspořádána? Konvence použité v té to knize. Část i základy Microsoft Windows XP Professional

Seminář CyberSecurity II

Prohlášení o souladu s GDPR 29/2018

Aktivace RSA ověření

Daniela Lišková Solution Specialist Windows Client.

Mobilní komunikace a bezpečnost. Edward Plch, System4u

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince Enabling Grids for E-sciencE.

Představení Kerio Control

Použití čipových karet v IT úřadu

Jednotná správa identit, oprávnění, certifikátů a přístupů v heterogenním prostředí organizace Nemocnice Pardubického kraje a.s.

CASE MOBILE MOBIL JAKO AUTENTIZAČNÍ TOKEN

Kybernetický zákon Aspekty a konsekvence zákona o kybernetické bezpečnosti. ISSS 2015 jitesar@cisco.com 14. dubna 2015

Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

Průkaz státního zaměstnance jako komplexní bezpečnostní předmět

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

O2 ENTERPRISE SECURITY. Vít Jergl, Vladimír Kajš

ICZ - Sekce Bezpečnost

BEZPEČNOST (BEZ)DRÁTU. Martin Macek,

Programové vybavení OKsmart pro využití čipových karet

Microsoft Day Dačice - Rok informatiky

Bezpečnostní aspekty informačních a komunikačních systémů KS2

FUSION bezpečnost a ochrana dat v systému

NÁRODNÍ IDENTITNÍ AUTORITA V PRAXI MICHAL PEŠEK ŘEDITEL SPRÁVY ZÁKLADNÍCH REGISTRŮ ROK INFORMATIKY SLAVKOV U BRNA 6. ČERVNA 2019

edice Windows 10 je pro vás nejvhodnější? Firemní prostředí Kancelářské a uživatelské prostředí Správa a nasazení Home Pro Enterprise Education

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Dopady zákona o kybernetické bezpečnosti (ZKB) Jan Mareš

ISSS Mgr. Pavel Hejl, CSc. T- SOFT spol. s r.o.

multiverze Pro Windows Vista/XP/9x/2000

Cloud Computing pro státní správu v praxi. Martin Vondrouš - Software602, a.s. Pavel Kovář - T-Systems Czech Republic a.s.

1. Integrační koncept

PROVOZOVÁNÍ PRIVATE CLOUD VE VEŘEJNÉ SPRÁVĚ

Bezpečnost internetového bankovnictví, bankomaty

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Zákon o kybernetické bezpečnosti

Místo plastu lidská dlaň

Business impact analýza a zvládání rizik spojených s provozem nedůvěryhodných zařízení BVS. František Sobotka NOVICOM s.r.o

Intune a možnosti správy koncových zařízení online

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

AleFIT MAB Keeper & Office Locator

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

SMĚRNICE Bezpečnost počítačové sítě a ochrana osobních údajů

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

eidentita 2019 NÁRODNÍ IDENTITNÍ AUTORITA V PRAXI MICHAL PEŠEK ŘEDITEL SPRÁVY ZÁKLADNÍCH REGISTRŮ PRAHA 24. DUBNA 2019

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Jak eliminovat rizika spojená s provozem nedůvěryhodných zařízení v síti? BVS. Jindřich Šavel NOVICOM s.r.o

Vzdálená správa v cloudu až pro 250 počítačů

Zabezpečené vzdálené přístupy k aplikacím případová studie. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Bezpečnostní politika společnosti synlab czech s.r.o.

Řízení přístupu ke zdrojům Auditování a právní odpovědnost Vlastní nastavení, personalizace Více relací zároveň

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Využívání čipových karet na MPSV. Mgr. Karel Lux, vedoucí odd. koncepce informatiky

& GDPR & ŘÍZENÍ PŘÍSTUPU

Zákon o kybernetické bezpečnosti

Úložiště certifikátů pro vzdálené podepisování

Služba vzdáleného pečetění I.CA RemoteSeal. Ing. Roman Kučera První certifikační autorita, a.s

KYBERNETICKÁ BEZPEČNOST A AUTENTIZACE MONET+

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Windows 10 & nové prvky zabezpečení proti novým hrozbám v IT

OBSAH: Změny v dokumentu: Verze 2.0

Jak na GDPR? Petr Mayer, duben 2017

Dodávka UTM zařízení FIREWALL zadávací dokumentace

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Připravte se na konjunkturu se systémem řízení údržby SGM. SGM moderní nástroj pro řízení údržby nejen výrobních zařízení

Využití identity managementu v prostředí veřejné správy

Desktop systémy Microsoft Windows

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Možnosti využití Windows Server 2003

Důvěryhodná výpočetní základna -DVZ

Transkript:

Jak plnit vyhlášku o kybernetické bezpečnosti Jan Mareš, jan.mares@nku.cz 1 / 29

Nejvyšší kontrolní úřad (NKÚ) Audit státního fnancování cca 500 zaměstnanců Práce na externích místech Provoz systému spadající pod významný informační systém (VIS) 2 / 29

Jak je to u nás Maximálně se snažíme uživatele omezit Bez ohledu na místo, tak síti nevěříme Uživatel nezná heslo (interně měníme každých 14 dnů) Dopady bezpečnostních opatření se snažíme minimalizovat automatizací Administrátor má navíc vyčleněný virtuální desktop pro administrativní práci 3 / 29

Lokální bezpečnost - NTB Data šifrována BitLockerem, klíč v TPM čipu Upraveno logování, kdy povoleno pouze přihlášení pomocí OTP Pomocí AppLockeru dovoleno spuštění pouze podepsaných aplikací nebo z daného umístění Plocha uzamčena (překryta aplikací měnící dostupné aplikace) Spouštění aplikací omezeno pomocí oprávnění 4 / 29

Připojování do IS úřadu Uživatelé bez ohledu na místo vždy budují VPN Buď IKEv2 (certifkát) nebo SSL VPN (OTP kód) Dodavatelé pouze přes SSL VPN za pomoci hesla a SMS OTP Pro uživatele vytvořena aplikace za uživatele řeší připojení ke vzdálenému připojení, kdy při IKEv2 je vše bezobslužné Limitováno možnostmi freeallu (FortiGate FG-600D) 5 / 29

Práce v IS úřadu Aplikována stejná politika jako u lokální bezpečnosti Práce pouze ve virtuálním desktopu mající přístupné interní zdroje s hodinovou zálohou Virtuální desktop je v týdenních cyklech recyklován Využívána interní certifkační autorita 6 / 29

Ochrana informačního systému Centrální log management (Elasticsearch + Kibana) Centrální konzole pro aktualizace (WSUS) Centrální správa počítačů (System Center confguration management + defender + GPO) Testovací a provozní prostředí Monitoring sítě (Cisco Prime Infrastructure, SolarWinds Orion) a aplikací (SCOM, Zabbix) 7 / 29

Jak postupovat s implementací Stanovte si aktiva a jejich vlastnosti Rizika (zranitelnosti a hrozby) Významnost systému Zodpovědnost a všechny procesy Stanovte akceptovatelnost rizik a nápravná opatření Implementujte nebo naplánujte do plánu zvládání rizik 8 / 29

Aktiva Stanovit rizika SLA Zodpovědnost Garant V BD uvést aktivum a garanta, zbytek vést mimo Volit aktiva více obecnější kvůli možným změnám 9 / 29

Životní cyklus uživatele Nejdůležitější Centralizovat osobní data Zautomatizovat životní cyklus uživatele Hlavní je ukončení života Zbavit se hesel 10 / 29

Živ. cyklus - centralizovat Jedna centrální databáze s veškerými údaji u nás v rámci HR v SAPu Lze odůvodnit uchovávání dat i po odchodu zaměstnance Distribuce do ostatních systémů pomocí middleeare Např. MS Biztalk Odmazávání při odchodu Vhodné i s ohledem na GDPR 11 / 29

Automatizace uživatelských účtů V závislosti na příznaku jsou uživatelé přesouvány a účty blokovány Při odchodu je účet v AD automaticky zablokován a přesunut do vyčleněné větve Na jednom místě řízení přidělování oprávnění Např. MS Forefront Identity Management 12 / 29

Ukázka USERS PRIVI AUTH SAP - HR Identity management - MIM AD AUTH AUTH RADIUS Middleware - Biztalk Smlouvy Docházka 13 / 29

Živ. cyklus - hesla Ideálně vůbec nepoužívat hesla, pouze dynamická Nová vyhláška bude vynucovat používání dvoufaktorové autentizace Požadavky na délku hesla se bude neustále zvyšovat Nyní 8 znaků, s novou vyhláškou 13/17 znaků Lze použít OTP generovaný na mobilním telefonu Telefon spravovaný pomocí MDM (MobileIron) OTP ověřováno přes RADIUS server (Micro Focus NetIQ) 14 / 29

Bezpečnostní politiky Zpracujte všechny politiky dle 5 odst. 1 (a-u) Každá část na samostatný papír Přizpůsobte vašim současným procesům Například u nás se problém eskaluje stylem uživatel administrátor vedoucí oddělení další vedoucí ředitel OI kybernetický manažer Vhodné rozlišit garanta aktiv na provozního (administrátor) a rozvojového (metodik) 15 / 29

Řízení provozu a komunikací Dle 10 Provozní věci odkazovat do dokumentace, kterou lze libovolně měnit Obecně procesy kdo komu a co říká 16 / 29

Řízení přístupu Dle 11 Vše musí být v síti jednoznačně identifkováno, tj. pro vše unikátní jméno včetně dodavatelů Rozmyslet způsob přidělování práv, zda na osobu nebo pracovní pozici Vhodné obecně formulovat: Heslo svojí složitost musí být odolné vůči možným útokům včetně: i. útoku hrubé síly v časovém horizontu několika let, ii. uhodnut pomocí slovníku nebo nejčastějších hesel, iii. odvození ze znalosti informací o uživateli. Heslo musí plnit obecná doporučení stanovená ZKB a VKB. 17 / 29

Bezpečné chování uživatelů Nejlepší uživatel = bezmocný uživatel ;) Informujte uživatele o aktuálních rizicích Předpokládejte vždy nejhorší možnou variantu a systém na to připravte 18 / 29

Zálohování a obnova Stanovte si co bude zálohováno a základní proces 19 / 29

Dlouhodobé ukládání a archivace Je důležité správně klasifkovat data neboť dle zákona o archivnictví je nutné držet data po dobu 10 let 20 / 29

Fyzická bezpečnost Implementovat 802.1x celkem náročné Ideálně oddělit/zabezpečit prostory s IT věcmi 21 / 29

Detekce kyber. událostí V základu stačí mít nastaveny fltry, které zobrazí/odešlou upozornění při vyšší aktivitě/neoprávněném přihlášení 22 / 29

Sběr a vyhodnocování bezp. událostí Lze použít kombinace Elasticsearch + Kibana + Logstash 23 / 29

Kryptografcká ochrana Odkažte se na vyhlášku stanovující bezpečné šifry. 24 / 29

Co je potřeba pro tech. splnění ZKB Next-Gen Fireeall aplikační kontrola, ssl inspekce, IPS/IDS, antivir kontrola Identity management nastavování oprávnění a zajištění životního cyklu uživatele Centrální autentizační zdroj např. Active Directory spolu s RADIUS servery pro připojování dalších systémů Log management pro ukládání všech událostí 25 / 29

Co je potřeba pro tech. splnění ZKB Ověřování vstupních portů pomocí 802.1X 26 / 29

Co je vhodné nasadit Řízení privilegovaných účtů Netfoe na okrajích sítě (kvůli NÚKIB) Centrální řízení vnitřních freeallů Provést úvahu nad centrální správou certifkátů (kvůli eidasu) 27 / 29

Příklad řešení certifkátu VIDEO KLÁVESNICE + MYŠ + (DISKY) Single Sign On VDI Přístup k certifikátu je pomocí API: 1. Virtuální čipová karta 2. REST API rozhraní PODEPSANÝ DOKUMENT PIN + DOKUMENT/HASH VPN PIN API - CSP Certifikáty OTP Profil Přístup ke klíči řízen dvěma úrovněmi : 1. Uživatelská oprávnění v Řadič domény AD 2. Znalost PINu/Hesla ke klíči Signing server RADIUS HSM Privátní klíče generovány v HSM PIN DB CERTIFIKÁT Spisová služba ČASOVÁ RAZÍTKA DOKUMENT/HASH Ext. CA Signing server dá pokyn k vygenerování priv. Klíče na HSM Sign. Server zašle žádost na CA Získaný certifikát z CA Sign. Server spáruje s priv. klíčem Ext. CA 28 / 29

Náklady spojené s implementací Změny spojeny s pravidelnou odměnou technologií V rámci plánu zvládání rizik se operuje se slabinami nebo chybějícími částmi a je naplánována jejich implementace Přímé investice pro splnění ZKB se pohybují kolem 5 miliónů korun bez DPH 29 / 29

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář