NEPŘIMĚŘENÉ NÁKLADY. vysvětlení pojmu

Podobné dokumenty
BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

POŽADAVKY NA SMLOUVY S DODAVATELI

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

DOPORUČENÍ NÚKIB. k ustanovení 10a zákona o kybernetické bezpečnosti a utajení informací podle zákona o ochraně utajovaných informací

HLÁŠENÍ KONTAKTNÍCH ÚDAJŮ. Návod k vyplnění formuláře

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Kybernetická bezpečnost MV

Kybernetická bezpečnost resortu MV

V Brně dne 10. a

V Brně dne a

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Zákon o kybernetické bezpečnosti. Petr Nižnanský

Legislativa kybernetické bezpečnosti Kritická informační infrastruktura a Významné informační systémy Ing. Dušan Navrátil Ředitel

Kybernetická bezpečnost

Kybernetická bezpečnost I. Legislativa a strategie kybernetické bezpečnosti v České republice

Bezpečnostní politika a dokumentace

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Zkušenosti a výsledky určování KII a VIS

Posuzování na základě rizika

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

IDET AFCEA Květen 2015, Brno

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. srpna 2017

Státní pokladna. Centrum sdílených služeb

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. července 2017

Implementace systému ISMS

METODIKA K VAROVÁNÍ ZE DNE 17. PROSINCE 2018

Zákon o kybernetické bezpečnosti a související předpisy

Kybernetická bezpečnost II. Management kybernetické bezpečnosti

Zákon o kybernetické bezpečnosti

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Bezpečnostní politika společnosti synlab czech s.r.o.

VODÍTKA HODNOCENÍ DOPADŮ

Zákon o kybernetické bezpečnosti a související předpisy

Od teorie k praxi víceúrovňové bezpečnosti

Zákon o kybernetické bezpečnosti

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra

Aktivity TPEB ČR v oblasti ZKB. Jan.Kepic@tpeb.cz - Praha ÚNMZ 4. února 2015

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Národní bezpečnostní úřad

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Bezpečnost aplikací Standardy ICT MPSV

Management informační bezpečnosti

Politika bezpečnosti informací

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

ČESKÁ TECHNICKÁ NORMA

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

Návrh VYHLÁŠKA. ze dne 2014

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

Z K B V P R O S T Ř E D Í

o IS nebo KS naplňující průřezová a odvětvová kritéria v oblasti kybernetické bezpečnosti o Pro určování KII jsou důležité:

Dohledové centrum egovernmentu. Aplikace ZoKB v praxi

Bezpečnostní politika společnosti synlab czech s.r.o.

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

srpen 2008 Ing. Jan Káda

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Zákon o kybernetické bezpečnosti na startovní čáře

Standardní operační postup (SOP) ČNRDD/M06/verze 01. Řešení mimořádných událostí

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Další postup v řešení. kybernetické bezpečnosti. v České republice

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Jaroslav Šmíd náměstek ředitele

Vzdělávání pro bezpečnostní systém státu

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Václav Borovička. Seminář AFCEA a Policejní akademie ČR Listopad 2014, Praha

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

DŮVODOVÁ ZPRÁVA. Jednání Zastupitelstva městské části Praha Zbraslav. číslo: 20 Dne: Zpracovatel: OKT

Návrh VYHLÁŠKA. ze dne 2014

b) aktivem primární aktivum a podpůrné aktivum, c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém

Právní výzvy v oblasti kybernetické bezpečnosti. Mgr. Petra Vrábliková advokát

Zkušenosti s implementací ZoKB a problémy, které nás pálí. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Bezepečnost IS v organizaci

316/2014 Sb. VYHLÁŠKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Zákon o kybernetické bezpečnosti

Management informační bezpečnosti. V Brně dne 26. září 2013

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Implementace ZKB. Kritická informační infrastruktura a Významné informační systémy. Jaroslav Šmíd náměstek ředitele NBÚ

Security. v českých firmách

Semestrální práce z předmětu 4IT421 Téma: CMMI-DEV v.1.3 PA Project Monitoring and Control

Metodika zajištění ochrany kritické infrastruktury v oblasti výroby, přenosu a distribuce elektrické energie

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Transkript:

NEPŘIMĚŘENÉ NÁKLADY vysvětlení pojmu Verze 2.1, platná ke dni 29. 1. 2019

Obsah Úvod... 3 1 Nepřiměřené náklady... 4 1.1 Příklad 1... 6 1.2 Příklad 2... 6 2 Seznam zkratek... 8 3 Použité zdroje... 9 2

Úvod Tento dokument poskytuje možný výklad pojmu nepřiměřené náklady, se kterým je možné se setkat ve vztahu k zavádění povinností ze zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) (dále jen zákon o kybernetické bezpečnosti nebo ZKB ), resp. vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) (dále jen vyhláška o kybernetické bezpečnosti ). Jednotnou hodnotu nepřiměřených nákladů nelze jednoznačně určit pro všechny subjekty, neboť každý subjekt má hodnotu hranice nepřiměřených nákladů rozdílnou vychází se přímo z konkrétní analýzy rizik daného subjektu. V případě dotazů se prosím obracejte na sekretariát Národního úřadu pro kybernetickou a informační bezpečnost: Národní úřad pro kybernetickou a informační bezpečnost Mučednická 1125/31 616 00 Brno Žabovřesky Tel.: +420 541 110 560 E-mail: regulace@nukib.cz Upozornění: Tento dokument slouží jako podpůrné vodítko, nenahrazuje žádný ze zákonů ani prováděcích právních předpisů. Právo změny tohoto dokumentu vyhrazeno. 3

1 Nepřiměřené náklady Při stanovování nákladů je nejprve důležité stanovit si rozsah systému řízení bezpečnosti informací (dále jen ISMS ). To znamená zaměřit se jen na ta aktiva, která jsou součástí kritické informační infrastruktury (dále jen KII ), významného informačního systému (dále jen VIS ), případně informačního systému základní služby (dále jen ISZS ). Pro jednotlivé správce informačních nebo komunikačních systémů, by to měl být snadný úkol, neboť právě oni by měli znát dokonale architekturu svých informačních a komunikačních technologií (dále jen ICT ) a dokáží určit, který prvek (aktivum) ICT architektury do ISMS zahrnout a který nikoliv. 1 Po stanovení rozsahu ISMS je nutno provádět proces řízení rizik, zahrnující analýzu rizik, kdy jsou mimo jiné zjištěny hodnoty důležitosti jednotlivých aktiv, hodnoty hrozeb, zranitelností a dopadů. Subjekt sám musí vědět, jaký případný dopad má daný účinek hrozby a zranitelnosti. Následně se určí výpočtem hodnota rizik a poté jsou definována opatření proti rizikům, kde rovněž musí konkrétní subjekt znát náklady jednotlivých opatření. ZÁKON O KYBERNETICKÉ BEZPEČNOSTI (ZKB) má povinnost řídit se SUBJEKT UVEDENÝ V 3 ZKB vlastní poskytuje spravuje zajišťuje KII, VIS, ISZS (rozsah ISMS dle ZKB) AKTIVA KII, VIS, ISZS řídí rizika v oblasti informační bezpečnosti zahrnuta v procesu IDENTIFIKACE AKTIV IDENTIFIKACE / ODHAD HROZEB HODNOCENÍ DŮVĚRNOSTI, DOSTUPNOSTI A INTEGRITY AKTIV HODNOCENÍ AKTIV aktivum = (důvěrnost x dostupnost x integrita) / 3 IDENTIFIKACE / ODHAD A HODNOCENÍ ZRANITELNOSTÍ HODNOCENÍ HROZEB URČENÍ (VÝPOČET) DOPADU (1) URČENÍ RIZIK (VÝPOČET) riziko = hrozba x dopad x zranitelnost DEFINICE A APLIKACE OPATŘENÍ (2) Obrázek č. 1: Stanovení systému ISMS 1 V rámci kontrol dodržování zákona o kybernetické bezpečnosti bude docházet i ke kontrolám rozsahu ISMS. 4

Nepřiměřené náklady Úroveň bezpečnosti informací daná zákonem Náklady Po provedení celkové analýzy rizik si následně subjekt promítne do grafu náklady (svislá osa) a úroveň informační bezpečnosti (vodorovná osa), kde vynáší křivku dopadu a křivku nákladů na opatření. Průnikem křivek dostane subjekt hodnotu přiměřené bezpečnosti a akceptovatelných nákladů. Na následujícím obrázku je zachyceno odvození nepřiměřených nákladů. Vychází se z obecně známého grafu přiměřené bezpečnosti s tím, že zákon o kybernetické bezpečnosti zde hraje regulační roli a stanovuje minimální úroveň informační bezpečnosti. (1) Dopady rizik (2) Náklady na opatření Akceptovatelné náklady 0 0 Přiměřená bezpečnost Úroveň informační bezpečnosti Obrázek č. 2: Odvození nepřiměřených nákladů 5

1.1 Příklad č. 1 Představme si orgán veřejné moci, který je správcem informačního systému (dále jen IS ). Náklady na pořízení tohoto IS činily 1.000.000 Kč. Z důvodu, že správce IS nedodržel doporučení dodavatele pro provoz systému a zároveň nedisponoval smlouvou o servisní podpoře, jejíž součástí jsou pravidelné aktualizace takového systému, se systém stává velmi zranitelným. Zranitelnosti zneužil útočník, který získal pomocí SQL injection kontrolu nad celou databází IS, došlo k odcizení a následnému smazání dat z databáze serveru. Jelikož nebylo dodrženo technické doporučení dodavatele pro provoz IS, databáze nebyla redundantní a prostředí pro provoz IS mělo i další nedostatky. Poslední záloha dat byla starší 6 měsíců. Správce IS se dostává do ztrát na úrovni nepřiměřených nákladů: První možností nápravy je zaplacení servisního poplatku na tento rok (z důvodu aktualizace systému a obnovení databáze do továrního stavu) a převedení veškerých záznamů z papírové podoby opět do systému, takovéto řešení je vyčísleno na 6.000.000 Kč. Druhou možností je zaplatit dodavateli IS servisní poplatek na tento rok za aktualizaci IS a za následné obnovení dat pomocí speciálních technologií (kompletní rekonstrukce IS), cena tohoto řešení činí 1.500.000 Kč. Opatření proti tomuto riziku však bylo prosté mít pravidelně aktualizovaný celý systém (servisní poplatky činí 156.000 Kč ročně) a dbát na doporučení dodavatele IS, s čímž souvisí dodatečné pořízení hardwarového a softwarového vybavení a přenastavení stávajících síťových aktivních prvků (zejména firewallů a routerů) a databázových oprávnění (zhruba 235.000 Kč). 1.2 Příklad č. 2 Tento příklad je velmi zjednodušený. Představme si síť chemických továren (společnost), která se chystá vybudovat novou chemickou továrnu na svém pozemku za městem. Na obrázku č. 3 vlevo je prvotní návrh síťové topologie, který kopíruje topologii jiné továrny této společnosti v jiné zemi. V tomto případě uvažujeme, že taková továrna bude prvkem kritické infrastruktury, neboť součástí továrny jsou velké zásobníky zemního plynu. Vedení továrny se musí řídit zákonem o kybernetické bezpečnosti. V prvotním projektovém návrhu jsou použity standardní síťové aktivní prvky a navíc je zde viditelná další zranitelnost a to zejména v místě, kdy veškerá kabeláž prochází takřka jedním bodem v zemi pod příjezdovou cestou. Z toho nám vyplývá hrozba přerušení kabelážních segmentů, které spojují SCADA systém s laboratořemi a výrobní halou, obsahující jednotlivé řízené stroje na výrobu chemikálií (RTU jednotky). Riziko by mohlo způsobit značný 6

ekonomický dopad pro společnost (přímé ztráty, sankce za ohrožení veřejnosti), ale zejména by mohlo mít nepříznivý vliv na zdraví občanů nedalekého města (nepřiměřené náklady). Naštěstí je celý projekt v přípravné fázi a proto je možné jej přehodnotit, aniž by společnost vynaložila dodatečné náklady na restrukturalizaci síťové infrastruktury. Na obrázku č. 3 vpravo je nový návrh projektu, kde se počítá s použitím průmyslových síťových aktivních prvků, které jsou do tohoto prostředí přímo určeny, v topologii kruhu. Díky zdokonalené funkci RSTP těchto aktivních prvků je dosaženo redundance a doba výpadku komunikace v případě přerušení jedné z tras je snížena na minimum. Aplikace takového opatření nám navýší původní rozpočet na ICT infrastrukturu továrny o 12 %, zároveň nám sníží riziko ze stupně kritické na stupeň nízké. ŘÍDÍCÍ PRACOVIŠTĚ TLAKOVÁ NÁDOBA TLAKOVÁ NÁDOBA ŘÍDÍCÍ PRACOVIŠTĚ TLAKOVÁ NÁDOBA TLAKOVÁ NÁDOBA TECHNICKÁ MÍSTNOST SCADA SCADA LABORATOŘ 1 LABORATOŘ 1! PŘÍJEZDOVÁ CESTA LABORATOŘ 2 PŘÍJEZDOVÁ CESTA LABORATOŘ 2 VÝROBNÍ HALA (VÝROBA CHEMICKÝCH LÁTEK) VÝROBNÍ HALA (VÝROBA CHEMICKÝCH LÁTEK) LEGENDA: AKTIVNÍ SÍŤOVÉ PRVKY STANDARDNÍ (NAHOŘE) PRŮMYSLOVÝ (DOLE) DOPRAVNÍ CESTY PŮDORYSY STAVEB PRIMÁRNÍ KABELÁŽNÍ SEGMENT REDUNDANTNÍ KABELÁŽNÍ SEGMENT PRIMÁRNÍ KABELÁŽNÍ SEGMENT KRUHOVÉ TOLOPOGIE Obrázek č. 3: Půdorysné schéma síťové topologie chemické továrny, bez přihlédnutí k rizikům (vlevo) a s přihlédnutím k rizikům (vpravo) aplikace opatření 7

2 Seznam zkratek ICS Industrial Control Systém (průmyslový řídící systém) ICT ISMS ISZS KII RSTP RTU SCADA SQL VIS informační a komunikační technologie Information Security Management Systém (systém řízení bezpečnosti informací) informační systém základní služby kritická informační infrastruktura Rapid Spanning Tree Protocol Remote Terminal Unit Supervisory Control And Data Acquisition ( dispečerské řízení a sběr dat) Structured Query Language významný informační systém 8

3 Použité zdroje Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) Vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) ČSN ISO/IEC 27002. Informační technologie Bezpečnostní techniky Soubor postupů pro opatření bezpečnosti informací. Praha: Úřad pro technickou normalizaci, metrologii a státní zkušebnictví, 2014. 74s. ČSN ISO/IEC 27005. Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací. Praha: Úřad pro technickou normalizaci, metrologii a státní zkušebnictví, 2009. 52s. ONDRÁK, V., SEDLÁK, P., MAZÁLEK, V., Problematika ISMS v manažerské informatice. Brno: Akademie nakladatelství CERM, 2013. ISBN 978-80-7204872-4. 9

Verze dokumentu Datum Verze Změněno (jméno) Změna 2015 1.0 NCKB Vytvoření dokumentu 12. 11. 2018 2.0 Odb. regulace Grafická i textová revize dokumentu 28. 1. 2019 2.1 Odb. regulace Změna kontaktních údajů 10

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář