Vyhláška č. 82/2018 Sb., kybernetické bezpečnsti Ing. Tmáš Krejčí Odbr regulace, auditu a pdpry
Svlání expertníh týmu (ET), 7. 6. 3. 10. 2017, celkem 11 schůzí ET, vždy na min. 4 hdiny, suběžná splupráce s vládním CERT. Nvá VKB - průběh prací 06. 10. 2017 - Zpřístupnění nvé (neficiální) verze VKB veřejnsti. 31. 10. 2017 - Zpracvání připmínek finalizace VKB za RAP. 20. 12. 2018 - Pslední jednání ET. 15. 01. 2017 - Předání VKB právnímu ddělení NÚKIB, finalizace za NÚKIB. Legislativní prces, 16. 02. 2018 MPŘ, 30. 4. 2018 kmise LRV, 14. 5. 2018 finalizace VKB na NÚKIB. 21. 05. 2018 - Nvá VKB pdepsána ředitelem úřadu. 28. 05. 2018 - Účinnst nvé vyhlášky.
Přadí některých paragrafů, úprava frmulací, Nvá VKB - c bude jinak? dstranění duplicit, přefrmulvání názvů některých paragrafů, Nástrj pr chranu před škdlivým kódem X Ochrana před škdlivým kódem, změny pvinnstí, zejména zmenšení rzdílu mezi KII, PZS a VIS. lgické úpravy některých pvinnstí, zjedndušení, dstranění, přidání, větší sulad s best practice pžadavky i terminlgie.
C je bezpečnstní patření? ZKB 4 dst. 1) Bezpečnstním patřením se rzumí suhrn úknů, jejichž cílem je zajištění bezpečnsti infrmací v infrmačních systémech a dstupnsti a splehlivsti služeb a sítí elektrnických kmunikací v kybernetickém prstru. Implementace ZKB 4 dst. 2) Orgány a sby uvedené v 3 písm. c) až f) jsu pvinny zavést a prvádět bezpečnstní patření v rzsahu nezbytném pr zajištění kybernetické bezpečnsti infrmačníh systému kritické infrmační infrastruktury, kmunikačníh systému kritické infrmační infrastruktury, infrmačníh systému základní služby a významnéh infrmačníh systému a vést nich bezpečnstní dkumentaci. Princip VKB ( 3 ČSN ISO/IEC 27001 kap. 4 10) VKB 3 písm. a) stanví s hledem na pžadavky dtčených stran a rganizační bezpečnst rzsah systému řízení bezpečnsti infrmací, ve kterém určí rganizační části a aktiva, jichž se systém řízení bezpečnsti infrmací týká, (ČSN ISO/IEC 27001 kap. 4) VKB 3 písm. b) stanví cíle systému řízení bezpečnsti infrmací, (ČSN ISO/IEC 27001 kap. 6) Bezpečnstní patření VKB 3 písm. c) pr stanvený rzsah systému řízení bezpečnsti infrmací na základě cílů systému řízení bezpečnsti infrmací, bezpečnstních ptřeb a hdncení rizik zavede přiměřená bezpečnstní patření, (ČSN ISO/IEC 27001 kap. 6 a přílha A, ČSN ISO/IEC 27002 kap. 5-18 )
Bezpečnstní patření ZKB 4 dst. 2, VKB 3 písm. c) Přiměřená bezp. patření VKB 3 VKB 4 VKB 5 VKB 28
Plán zvládání rizik, Prhlášení aplikvatelnsti Plán zvládání rizik (Risk Treatment Plan (RTP)) bsahuje: cíle a přínsy bezpečnstních patření pr zvládání rizik, sby zajišťující prsazvání bezpečnstních patření pr zvládání rizik, ptřebné zdrje, termíny zavedení bezpečnstních patření, ppis vazeb mezi riziky a příslušnými bezpečnstními patřeními. Prhlášení aplikvatelnsti (Statement f Applicability (SA)) bsahuje: přehled zavedených a nezavedených bezpečnstních patření, způsby zavedení bezpečnstních patření, důvdy nezavedení bezpečnstních patření.
Nejvýznamnější změny Organizační patření 3 Systém řízení bezpečnsti infrmací, dplněny cíle ISMS, Zrušena certifikace ISMS ( 29 stará VKB). 4 Řízení aktiv, změna přadí paragrafů, frmulační změny. 5 Řízení rizik, hrzby a zranitelnsti v nvé přílze, stará VKB na tmt paragrafu bsahvala plitiky, nvě plitiky v přílze. SA zavedená i nezavedená bezp. patření 6 Organizační bezpečnst, Cílí na vrchlvé vedení a deklaraci pdpry, stanvení bezpečnstních rlí, zastupitelnst bezpečnstních rlí, KII a PZS manažera a architekta, VIS puze MKB. 7 Bezpečnstní rle, pžadavky na bezpečnstní rle, prvázán s nepvinnu přílhu č. 6. 8 Řízení ddavatelů, významný ddavatel, blasti, které je nutné šetřit ve smluvě s význ. ddavateli přílha č. 7, speciální pžadavky pr významné ddavatele, náležitsti prkazatelnéh infrmvání významnéh ddavatele (prvzvatele) správcem.
Nejvýznamnější změny 9 Bezpečnst lidských zdrjů, předání dpvědnstí u administrátrů a bezpečnstních rlí, větší důraz kladen i na praktická šklení. 10 Řízení prvzu a kmunikací, zjedndušení paragrafu, v Sučasné VKB mírně rztříštěný paragraf. 11 Řízení změn, Nastavení prcesu řízení změny, významné změny, u významné změny se penetrační testvání a testvání zranitelnstí rzhduje na základě AR. 12 Řízení přístupu, mezení přidělvání privilegvaných účtů. 13 Akvizice vývj a údržba, pžadván 2FA při tvrbě prjektu na vývj nástrje pr správu a věřvání identity 14 Zvládání kybernetických bezpečnstních událstí a incidentů Bez významné změny 15 Řízení kntinuity činnstí, změny ve frmulaci nyní v suladu s nrmu BCM, minimální úrvně pskytvaných služeb, která je přijatelná pr užívání, prvz a správu infrmačníh a kmunikačníh systému, dby bnvení chdu, během které bude p kybernetickém bezpečnstním incidentu bnvena minimální úrveň pskytvaných služeb infrmačníh a kmunikačníh systému, a bdu bnvení dat jak časvé bdbí, za které musí být zpětně bnvena data p kybernetickém bezpečnstním incidentu neb p selhání.
Nejvýznamnější změny 16 Audit kybernetické bezpečnsti, nvě i při významných změnách, KII a PZS v intervalu alespň p 2 letech, v celém rzsahu nejpzději d 5 let, prvzvatel musí předat výsledky auditu správci. Technická patření 17 Fyzická bezpečnst, Zjedndušení. 18 Bezpečnst kmunikačních sítí, segmentace, řízení na perimetru, již se nepužívá vnitřní a vnější síť, aktivně se blkuje nežáducí kmunikace. 19 Správa a věřvání identit, 2 FA, kryptgrafické klíče, jmén hesl, d dby implementace pžadavků může využít i jiné varianty, délky hesel: uživatel: 12, admin.: 17 využití frází, kmplexita již není pžadvána, inspirace v NIST SP 800-63B, změna nutná p 18 měsících, výchzí hesla nutná změna, hesla k bnvení přístupu puze dčasná platnst. 20 Řízení přístupvých právnění, Míst aplikacím a dat jsu řízena přístupvá právnění k aktivům.
Nejvýznamnější změny 21 Ochrana před škdlivým kódem, rzšířený seznam pr chranu před škdlivým kódem, kncvé stanice, mbilních zařízení, servery, datvá úlžiště a výměnné datvé nsiče, kmunikační sítě a prvků kmunikační sítě a bdbná zařízení. 22 Zaznamenávání událstí IS a KS jeh uživatelů a administrátrů, bezpečnstní a ptřebné prvzní událsti důležitých aktiv, aktualizuje rzsah aktiv, c je nutné zaznamenávat, datum a čas včetně specifikace časvéh pásma, typ činnsti, identifikaci technickéh aktiva, které činnst zaznamenal, jednznačnu identifikaci účtu, pd kterým byla činnst prvedena, jednznačnu síťvu identifikaci zařízení půvdce a úspěšnst neb neúspěšnst činnsti, typ činnsti, přihlašvání a dhlašvání ke všem účtům, a t včetně neúspěšných pkusů, činnstí prvedených administrátry, úspěšné i neúspěšné manipulace s účty, právněními a právy, neprvedení činnstí v důsledku nedstatku přístupvých práv a právnění, činnstí uživatelů, které mhu mít vliv na bezpečnst infrmačníh a kmunikačníh systému, zahájení a uknčení činnstí technických aktiv, kritických i chybvých hlášení technických aktiv a přístupů k záznamům událstech, pkusy manipulaci se záznamy událstech a změny nastavení nástrjů pr zaznamenávání událstí a
Nejvýznamnější změny KII a PZS uchvává tyt záznamy 18 měsíců VIS uchvává tyt záznamy 12 měsíců 23 Detekce KBU Více specifikvané pr KII a PZS kncvých stanic, mbilních zařízení, serverů, datvých úlžišť a výměnných datvých nsičů, síťvých aktivních prvků a bdbných aktiv. 24 Sběr a vyhdncvání KBU (SIEM), pr KII, PZS a puze frmulační změny. 25 Aplikační bezpečnst, přidán navíc penetrační testvání zaměřené na důležitá aktiva, před jejich uvedením d prvzu, v suvislsti s významnu změnu. 26 Kryptgrafické prstředky, pužívá aktuálně dlné kryptgrafické algritmy a kryptgrafické klíče, pužívá systém správy klíčů a certifikátů, míst přílhy: zhledňuje dpručení v blasti kryptgrafických prstředků vydaná Úřadem, zveřejněná na jeh internetvých stránkách. 27 Zajišťvání úrvně dstupnsti infrmací, frmulační změny pvinnsti zůstávají stejné. 28 Průmyslvé, řídící a bdbné specifické systémy, pužití technických a prgramvých prstředků, které jsu určeny d specifickéh prstředí, vyčlenění kmunikační sítě určené pr tyt systémy d statní infrastruktury,
29 Digitální služby, dkaz na prváděcí nařízení kmise (EU) 2018/151. 30 Bezpečnstní plitika a bezpečnstní dkumentace, blasti jsu v přílze č. 5. 31 Kategrizace KBI. 32 Frma a náležitsti hlášení KBI. 33 Reaktivní patření, prvěří dpady reaktivníh patření, stanví způsb rychléh prvedení, minimalizuje mžné negativní účinky, určí časvý harmngram prvedení. 34 Kntaktní údaje, přidán nárdní CERT. 35 Přechdná ustanvení, Nejvýznamnější změny rk na implementaci nvé vyhlášky pr subjekty které již spadají pd ZKB, v přechdném bdbí se pužije stará vyhláška, přechdné bdbí pr subjekty, které naplní kritéria pr KII, PZS neb VIS p účinnsti NVKB je 1 rk, Přílhy, hdncení aktiv, hdncení rizik, zranitelnsti a hrzby, likvidace dat, bsah bezpečnstní plitiky a bezpečnstní dkumentace, bezpečnstní rle, řízení ddavatelů bezpečnstní patření pr smluvní vztahy,
přílha č.3 Zranitelnsti a hrzby Zranitelnsti: nedstatečná údržba infrmačníh a kmunikačníh systému, zastaralst infrmačníh a kmunikačníh systému, nedstatečná chrana vnějšíh perimetru,... nedstatečná míra nezávislé kntrly. Hrzby: pškzení neb selhání technickéh aneb prgramvéh vybavení, zneužití identity, nedstatek zaměstnanců s ptřebnu dbrnu úrvní,... cílený kybernetický útk pmcí sciálníh inženýrství, pužití špinážních technik.
Jedntliví správci infrmačníh a kmunikačníh systému si stanví pravidla pr mazání dat a likvidaci technických nsičů dat v suladu s tut přílhu. Pravidla pr likvidaci dat by měla být stanvena přiměřeně hdntě a důležitsti aktiv a měla by zejména zhledňvat, hdntu aktiva (zejména z phledu důvěrnsti), technlgii (typy a velikst nsičů infrmace), Způsby likvidace technických nsičů infrmace, prvzních údajů, infrmací a jejich kpií, dstranění, přepsání, přílha č.4 Likvidace dat fyzická likvidace nsiče infrmace. Příklad mžných způsbů likvidace pdle úrvně důvěrnsti aktiva.
Rle: Přílha č. 6 Architekt kybernetické bezpečnsti Klíčvé činnsti: a) Odpvědnst za návrh implementace bezpečnstních patření b) Zajišťvání architektury bezpečnsti Znalsti: a) Architektura infrmačních a kmunikačních systémů a její navrhvání b) Hardwarvé kmpnenty, nástrje a architektury c) Operační systémy a sftware d) Pdnikvé prcesy a jejich integrace a závislst na ICT e) Řízení bezpečnsti a rizik f) Bezpečnst kmunikací a sítí g) Řízení identit a přístupů h) Hdncení a testvání bezpečnsti i) Bezpečnst prvzu j) Základní principy bezpečnéh vývje sftwaru k) Integrace a závislsti ICT a bchdních prcesů Zkušensti: a) Navrhvání implementace bezpečnstních patření b) Navrhvání architektury bezpečnsti se zaměřením na cíle a bezpečnst c) Bezpečnst vývje sftwaru Vzdělání a praxe: a) Alespň 3 rky praxe v bru infrmační neb kybernetické bezpečnsti, neb b) Abslvvání studia ve studijním prgramu na vyské škle a alespň 1 rk praxe v bru infrmační neb kybernetické bezpečnsti Relevantní certifikace*: Certified Ethical Hacker (CEH), CmpTIA Security +, Certified Infrmatin Security Manager (CISM), Certified in Risk and Infrmatin Systems Cntrl (CRISC), Certified Infrmatin Systems Security Prfessinal (CISSP), Manažer BI (akreditační schéma ČIA) Další pdmínky: Rle není slučitelná s rlemi dpvědnými za prvz infrmačních a kmunikačních systémů
přílha č.7 Řízení ddavatelů Obsah smluvy uzavírané s významnými ddavateli: ustanvení bezpečnsti infrmací (z phledu důvěrnsti, dstupnsti a integrity), ustanvení právnění užívat data, ustanvení autrství prgramvéh kódu, ppřípadě prgramvých licencích, ustanvení kntrle a auditu ddavatele (pravidla zákaznickéh auditu), ustanvení upravující řetězení ddavatelů, přičemž musí být zajištěn, že pdddavatelé se zaváží ddržvat v plném rzsahu ujednání mezi pvinnu sbu a ddavatelem a nebudu v rzpru s pžadavky pvinné sby na ddavatele, ustanvení pvinnsti ddavatele ddržvat bezpečnstní plitiky pvinné... sby neb ustanvení dsuhlasení bezpečnstních plitik ddavatele pvinnu sbu, ustanvení řízení změn, ustanvení suladu smluv s becně závaznými právními předpisy, ustanvení právu jednstranně dstupit d smluvy v případě významné změny kntrly nad ddavatelem neb změny kntrly nad zásadními aktivy využívanými ddavatelem k plnění pdle smluvy a ustanvení sankcích za prušení pvinnstí.
Děkuji za pzrnst. t.krejci@nukib.cz 27.09.2018 17