Zákon o kybernetické bezpečnosti a jeho dopad na finanční instituce

Podobné dokumenty
Zákon o kybernetické bezpečnosti a jeho dopad na provozovatele telekomunikačních sítí. Adam Kučínský Odbor regulace

Varování podle - použití a dopady. Adam Kučínský ředitel odbor regulace

Vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti. Ing. Tomáš Krejčí Odbor regulace, auditu a podpory

Regulace v oblasti kybernetické bezpečnosti aktuálně. Adam Kučínský oddělení regulace Odbor regulace auditu a podpory

Jaroslav Šmíd Náměstek ředitele

Platební styk, směrnice NIS a zákon o kybernetické bezpečnosti

Jaroslav Šmíd Náměstek ředitele

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM Č. III ZE DNE

SMĚRNICE č. 5 ŠKOLENÍ ZAMĚSTNANCŮ, ŽÁKŮ A DALŠÍCH OSOB O BEZPEČNOSTI A OCHRANĚ ZDRAVÍ PŘI PRÁCI (BOZP)

Aktuální stav kybernetické bezpečnosti v České republice. Adam Kučínský Oddělení regulace Odbor regulace, auditu a podpory

Zpráva pro uživatele

Etržiště České pošty Centrum veřejných zakázek.

Posuzování zdravotní způsobilosti k řízení motorových vozidel jako součásti výkonu práce

Š K O L N Í R O K / ZÁKLADNÍ ŠKOLA PROSTĚJOV, E. VALENTY 52. Mgr. Radomír Palát koordinátor ICT, metodik ICT. Plán práce 2015/2016

PŘÍLOHA D Požadavky na Dokumentaci

Program prevence nehod a bezpečnosti letů

1. Státní fond rozvoje bydlení (dále jen Fond ) je právnickou osobou.

INSPEKČNÍ POSTUP ATESTACE DLOUHODOBÉHO ŘÍZENÍ ISVS

Pravidla on-line výběrových řízení ENTERaukce.net

Informačně expertní systém včasného varování a vyrozumění v důsledku stanovení rizik skalního řícení

Fyzická bezpečnost z pohledu ochrany a odolnosti prvků kritické infrastruktury. Ing. Luboš Nečesal

Provozování a využívání výpočetní techniky a počítačové sítě Vysoké školy ekonomické v Praze

ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V SYSTÉMECH ISPOP, SEPNO, HNVO a EnviHELP

UNIVERZITA PARDUBICE. Směrnice č. 29/2005. Vnitřní kontrolní systém na Univerzitě Pardubice

Zákon o zdravotních pojišťovnách

Š K O L N Í R O K / ZÁKLADNÍ ŠKOLA PROSTĚJOV, E. VALENTY 52. Mgr. Radomír Palát koordinátor ICT. Plán práce 2012/2013

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

USNESENÍ. Č. j.: ÚOHS-S339/2012/VZ-21769/2012/523/Krk Brno 20. prosince 2012

Příloha č.6 Procesy podpory produktivního provozu IISSP

1. Shrnutí povinností pro poskytovatele i žadatele EU dotací. Povinnost odkrýt vlastnickou strukturu a skutečné vlastníky, tzn.

INTRANET V JVK ČESKÉ BUDĚJOVICE

Ministerstvo vnitra České republiky vyhlašuje Výzvu k předkládání žádostí o finanční podporu v rámci Integrovaného operačního programu

IT Security a Cloud. Zbyněk Juřena Managing Director ALTRON Business Solutions, a.s. září 2014

Strategické rámce správy a rozvoje klasifikace DRG v roce 2013

Tento projekt je spolufinancován. a státním rozpočtem

GLOBÁLNÍ ARCHITEKTURA ROB

ÚŘAD PRO OCHRANU HOSPODÁŘSKÉ SOUTĚŽE PŘÍKAZ. Č. j.: ÚOHS-S0096/2016/VZ-06824/2016/522/PKř Brno: 22. února 2016

Veřejné zakázky v oblasti obrany nebo bezpečnosti Pohled Úřadu pro ochranu hospodářské soutěže (?)

Metodická příručka Omezování tranzitní nákladní dopravy

Provozní řád upravuje pravidla pro využívání informačních technologií Sdružení Tišnet členem.

INSPEKČNÍ POSTUP ATESTACE REFERENČNÍHO ROZHRANÍ ISVS

INSPEKČNÍ POSTUP ATESTACE DLOUHODOBÉHO ŘÍZENÍ ISVS

Příloha č. 2 Popis podporovaných aktivit

PODROBNÉ PODMÍNKY OZNÁMENÍ O ZAHÁJENÍ KONCESNÍHO ŘÍZENÍ

Metodická pomůcka. Využívání záruk ČMZRB k zajišťování bankovních úvěrů

Výzva k podání nabídky na veřejnou zakázku: Právní služby a poradenství pro Regionální radu regionu soudržnosti Jihovýchod

Stanovisko Rekonstrukce státu ke komplexnímu pozměňovacímu návrhu novely služebního zákona

Organizační řád Občanského sdružení NHfree.net

Shop System - Smlouva o poskytování software

Dohoda o výkonu pěstounské péče

P. O. BOX Brno 16 Zásady tvorby bezpečnostní dokumentace informačních systémů určených k nakládání s utajovanými informacemi

Obecné informace podle 26 zákona č. 255/2012 Sb., o kontrole (kontrolní řád), o uskutečněných kontrolách za rok 2018

65 51 H/01 Kuchař číšník. Téma "2012_SOP_ kuchař, číšník" samostatná odborná práce

Vnitřní předpis města Náchoda pro zadávání veřejných zakázek malého rozsahu (mimo režim zákona č. 137/2006 Sb., o veřejných zakázkách)

uzavřená podle 1746 odst. 2 občanského zákoníku níže uvedeného dne, měsíce a roku mezi následujícími smluvními stranami

Želešice - vodovodní řád pro zónu k podnikání

INFORMOVÁNÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V SOUVISLOSTI S OBSAZOVÁNÍM PRACOVNÍCH POZIC A ZAMĚSTNÁVÁNÍM OSOB

Miroslav Dítě, Zdeněk Teplý, Pavel Končel, Miloš Urbánek

Pracovní seminář Koncesní řízení na provozování Vak dobrá praxe

Sylabus modulu: B - Strategické řízení organizace

9:45 10:20 Úvodní slovo Mgr. Miloslav Kvapil, ředitel společnosti DYNATECH s.r.o.

NÚKIB Národní úřad pro kybernetickou a informační bezpečnost a jeho role. Jaroslav ŠMÍD

PORADA ŘEDITELŮ MŠ/ZŠ

Smlouva o obchodním zastoupení

Povolování a provoz dobíjecích stanic z hlediska českého práva. Mgr. Martin Maňák, advokát

bezpečnostní politiku na interní LAN síti, NAC) a řešení komplexní bezpečnostní politiky.

Simulátor krizových procesů na úrovni krizového štábu. Systémová dokumentace

Sylabus modulu: D Útvarové a procesní řízení, plánování, IT podpora projektového řízení

EXTRAKT z mezinárodní normy

- Aplikace je napsána v C#.NET, je instalována na webovém serveru - Data jsou ukládána v databázi MS-SQL 2005 a vyšší

Pojišťovna České spořitelny, a. s. Směrnice č. 4/2006 Obecná certifikační politika Pojišťovny České spořitelny a.s. SMĚRNICE

Dotazník tvoří celkem 25 otázek. Jejich zpracování stanovujeme do Garantujeme důvěrnost veškerých získaných informácí.

Výzva č. 3/2017 Dotační program na podporu projektů prevence kriminality v roce 2017

Tvorba jednotného zadání závěrečné zkoušky ve školním roce 2010/2011

Herním prostorem se rozumí herna nebo kasino. Do těchto prostor platí zákaz vstupu osobám mladším 18 let.

NÁVODNÁ STRUKTURA MÍSTNÍHO AKČNÍHO PLÁNU VZDĚLÁVÁNÍ

Výzva k podání nabídek

Mateřská škola speciální, Praha 8, Štíbrova 1691

Krajský úřad Karlovarského kraje

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE

VNITŘNÍ PRAVIDLA ODLEHČOVACÍ SLUŽBY

Obchodní a dodací podmínky

KAPITOLA II ZÁKON NA OCHRANU OVZDUŠÍ ZÁKLADNÍ POVINNOSTI...13 KAPITOLA III PROVÁDĚCÍ PŘEDPISY K ZÁKONU O OVZDUŠÍ ZÁKLADNÍ POPIS...

Provozní řád služby zálohování CIT

ÚŘAD PRO OCHRANU HOSPODÁŘSKÉ SOUTĚŽE

Vyzýváme Vás k podání cenové nabídky k veřejné zakázce malého rozsahu nazvané

Technická specifikace předmětu plnění. VR Organizace dotazníkového šetření mobility obyvatel města Bratislavy

OBCHODNÍ ZÁSADY SiMyCo s.r.o.

SMLOUVA O DÍLO (dále jen "Smlouva") Smluvní strany. Ing. Jan Nehoda, místopředseda j an.nehoda@eru.cz /0710

Projektový manuál: SME Instrument Brno

Výzva K PODÁNÍ NABÍDKY A K PROKÁZÁNÍ KVALIFIKACE VE ZJEDNODUŠENÉM PODLIMITNÍM ŘÍZENÍ DLE UST. 53 ZÁKONA Č. 134/2016 SB., O ZADÁVÁNÍ VEŘEJNÝCH ZAKÁZEK

Plán e-bezpečnosti na škole

PRAVIDLA SOUTĚŽE Tesco recepty - soutěž pro zaměstnance

MAS VÝCHODNÍ SLOVÁCKO

NÚKIB nový úřad pro. Jaroslav ŠMÍD. kybernetickou bezpečnost v České republice a jeho role

Příjem a hodnocení žádostí o podporu

INFORMACE SPOLEČNOSTI V SOUVISLOSTI S POSKYTOVÁNÍM INVESTIČNÍCH SLUŽEB

Provozní podpora systému PROXIO

VÝZVA K PODÁNÍ NABÍDKY

Zápis ze setkání koordinační skupiny Systém včasného varování před novými drogami EWS. 9. března 2012, 13:00 15:00 hod.

Transkript:

Zákn kybernetické bezpečnsti a jeh dpad na finanční instituce Adam Kučínský Seminář: Kybernetická rizika ve finančních institucích 21. května 2019, Clarin Htel Prague City, Praha 1 Disclaimer Prezentace bsahuje infrmace platné ke dni její realizace, tedy k 21. 5. 2019. Infrmace, fakta a údaje bsažené v prezentaci mají infrmační a světvý charakter. Pr zajištění suladu se záknem kybernetické bezpečnsti je nutn vycházet z aktuálně účinné legislativy. Aplikaci takvých infrmací či patření je nutné vždy vztahvat ke knkrétním systémům a institucím. 2 1

Nárdní úřad pr kyberneticku a infrmační bezpečnst Ústřední správní rgán pr: kyberneticku bezpečnst chranu utajvaných infrmací v blasti infrmačních a kmunikačních systémů kryptgraficku chranu prblematiku neveřejné služby v rámci družicvéh systému Galile Služby NÚKIB v blasti kybernetické bezpečnsti: prvz Vládníh CERT České republiky splupráce s statními CERT A CSIRT světa a pdpra vzdělávání chrana utajvaných infrmací v blasti IS/KS kryptgrafická chrana 3 Struktura NÚKIB Oddělení kntrly Interní auditr Ředitel NÚKIB Sekce prvzně právní Sekce bezpečnsti digitalizace, výzkumu a vzdělávání Odbr vzdělávání, výzkumu a prjektů Odbr PRS Odbr bezpečnsti infrmačních a kmunikačních technlgií Sekce technická Odbr infrmačních technlgií Oddělení bezpečnsti Odbr kybernetických bezpečnstních plitik Sekce NCKB Odbr vládní CERT Odbr regulace Adam Kučínský, 21. 05. 2019 4 4 2

Odbr kybernetických bezpečnstních plitik Připravuje dluhdbu strategii a pskytuje analýzu, a ptřebnu expertízu, aby ČR plnila všechny stanvené cíle v blasti zajišťvání kybernetické bezpečnsti, a t c nejefektivnějším způsbem Kybernetická cvičení (technická i netechnická - Table Tp) Příprava strategických analýz Zastupvání ČR v EU, NATO, OBSE Tvrba (netechnických) analytických materiálů a strategických briefingů k hrzbám a trendům v blasti KB Adam Kučínský, 21. 05. 2019 5 5 5 Vládní CERT Primární zaměření: veřejný sektr, kritická infrmační infrastruktura, prvzvatelé základních služeb Krdinační tým (nejedná se interní typ) Struktura týmu: Zpracvání incidentů Vývj a bezpečnstní testvání Síťvá bezpečnst Analytická skupina Základní služby: Reaktivní: zpracvání a řešení incidentů, zpracvání artefaktů a analýza dat Detekční: detekce anmálií, zpracvání indikátrů kmprmitace Praktivní: krdinace v rámci české bezpečnstní kmunity a sdílení infrmací, penetrační testvání, kybernetická cvičení a další Adam Kučínský, 21. 05. 2019 6 6 3

Vládní CERT Hlášené incidenty - přibližně 30 měsíčně Stabilní trend Sběr infrmací 25% Klasifikace incidentů Dstupnst 27% Ostatní 6% Administrati vní 3% Škdlivý bsah 16% Pkus průnik 9% Pdvd 10% Průnik 2% Narušení infrmační bezpečnsti 2% Adam Kučínský, 21. 05. 2019 7 7 Oddělení kntrly Kntrla pvinnstí pvinných subjektů dle ZKB Metdická pmc Kntrla ddržvání ZKB přistupujeme k ní pdbně jak k auditu systému řízení bezpečnsti infrmací pdle ISO 27 001, cž přináší přidanu hdntu i pr regulvané subjekty v rce 2016 byl 80 % kntrlvaných v nesuladu, d té dby jsu patrná významná zlepšení Przatím neprvádíme kntrlu ddržvání ZKB u jiných, než KII/VIS subjektů. 8 Adam Kučínský, 21. 05. 2019 8 8 4

Odbr regulace Určvání pvinných sb KII, PZS, pdpra identifikace pskytvatelů digitálních služeb a VIS Výklad zákna kybernetické bezpečnsti a suvisejících právních předpisů Zdpvídání dtazů k prblematice aplikace ZKB Splupráce s OK v zdpvídání dtazů na pžadavky ZKB a VKB Pskytvání metdické pdpry Tvrba pdpůrných materiálů dstupných na webu Adam Kučínský, 21. 05. 2019 9 9 9 Vyhláška č. 82/2018 Sb., kybernetické bezpečnsti Adam Kučínský, 21. 05. 2019 10 10 5

Zákn kybernetické bezpečnsti Upravuje práva a pvinnsti sb a půsbnst a pravmci rgánů veřejné mci v blasti kybernetické bezpečnsti Obsahuje základní nezbytné definice Transpnuje směrnici NIS Cílem je stanvit: základní úrveň bezpečnstních patření, zlepšit detekci a zavést hlášení kybernetických bezpečnstních incidentů, zavést systém patření k reakci na kybernetické bezpečnstní incidenty upravit činnst dhledvých pracvišť Zavádí stav kybernetickéh nebezpečí Zřizuje Nárdní úřad pr kyberneticku a infrmační bezpečnst (NÚKIB) Adam Kučínský, 21. 05. 2019 11 11 Dhledvá pracviště v ČR pdle ZKB Vládní CERT a Nárdní CERT Hlavní úkl: vyhdncvání kybernetické bezpečnstní situace v infrmačních a kmunikačních systémech chrana těcht systémů před kybernetickými bezpečnstními incidenty Základním smyslem fungvání dhledvých pracvišť je vyhdncvání infrmací výskytu kybernetických bezpečnstních incidentů z pkud mžn c největšíh mnžství infrmačních a kmunikačních systémů Rzdělení gesce v kyberprstru Sukrmprávní X Veřejnprávní pdstata Splupráce Vedle těcht existují i další CERT Adam Kučínský, 21. 05. 2019 12 12 6

Nárdní CERT Osba sukrméh práva Bez nařizvacích neb sankčních pravmcí Kntaktní míst pr některé pvinné sby ZKB zejména pr sby sukrméh práva (ne nutně - viz dále) K vyhdncvání a metdické pdpře subjektů, které aktivně prjeví zájem výhdy klektivní chrany před kybernetickými bezpečnstními incidenty K výknu své činnsti právněn na základě veřejnprávní smluvy uzavírané s Úřadem vybrán Úřadem v řízení výběru žádsti pdle správníh řádu V sučasné dbě jej prvzuje sdružení CZ.NIC Adam Kučínský, 21. 05. 2019 13 13 Struktura pvinných pdle ZKB 3 ZKB a) pskytvatelé služeb elektrnických kmunikací, subjekt zajišťující sít elektrnických kmunikací b) rgán neb sba zajišťující významnu síť h) Pskytvatel digitálních služeb c) správce a prvzvatel IS KII d) správce a prvzvatel KS KII e) správce a prvzvatel VIS f) správce a prvzvatel IS základní služby g) prvzvatel základní služby NÁRODNÍ CERT CZ.NIC VLÁDNÍ CERT NÚKIB Pzn.: Písmena dpvídají písmenům v ZKB Adam Kučínský, 21. 05. 2019 14 14 7

Pskytvatelé služeb el. kmunikací, subjekty zajišťující síť el. kmunikací - 3 písm. a) ZKB Zákn č. 127/2005 Sb., elektrnických kmunikacích 2 písm. f) ZEK zajišťváním sítě elektrnických kmunikací zřízení tét sítě, její prvzvání, dhled nadní nebjejí zpřístupnění 2 písm. n) ZEK službu elektrnických kmunikací služba bvykle pskytvaná za úplatu, která spčívá zcela neb převážně v přensu signálů p sítích elektrnických kmunikací --> ISP Určvání neprbíhá sby definvány zák. el. kmunikacích Sféra Nárdníh CERTu Puze pvinnst hlásit kntaktní údaje Adam Kučínský, 21. 05. 2019 15 15 Orgán neb sba zajišťující významnu síť 3 písm. b) ZKB Významná síť ( 2 písm. g ZKB) síť elektrnických kmunikací zajišťující přímé zahraniční prpjení d veřejných kmunikačních sítí neb zajišťující přímé připjení ke kritické infrmační infrastruktuře Určvání neprbíhá pvinný subjekt určen přím definicí v ZKB Sféra Nárdníh CERTu Pvinnst hlásit kntaktní údaje Pvinnst detekvat kybernetické bezpečnstí událsti Pvinnst hlásit incidenty Změny v suvislsti s nvelami ZKB neprbíhaly Adam Kučínský, 21. 05. 2019 16 16 8

Prvzvatel základní služby Základní službu je: služba, jejíž pskytvání je závislé na infrmačních systémech neb sítích elektrnických kmunikací a jejíž narušení by mhl mít významný dpad na zabezpečení splečenských neb eknmických činnstí v některém z dvětví: energetiky, dpravy, bankvnictví, infrastruktury finančních trhů, zdravtnictví, vdníh hspdářství, digitální infrastruktury neb chemickéh průmyslu. Pstup určení NÚKIB vytipuje s pmcí kritérií ve vyhlášce č. 437/2017 Sb., kritériích pr určení prvzvatele základní služby relevantní subjekty, které slví a zahájí správní řízení jejich určení. Prběhnu jednání mezi NÚKIB a určvaným subjektem. Určvání je správním řízením Adam Kučínský, 21. 05. 2019 17 17 Přílha vyhlášky č. 437/2017 Sb. 3. Bankvnictví Adam Kučínský, 21. 05. 2019 18 18 9

Přílha vyhlášky č. 437/2017 Sb. 4. Infrastruktura finančních trhů Adam Kučínský, 21. 05. 2019 19 19 Kritická infrmační infrastruktura (KII) KII = Prvek neb systém prvků kritické infrastruktury (KI) v dvětví kmunikační a infrmační systémy v blasti kybernetické bezpečnsti ( 2 písm. b) ZKB) Kmplex infrmačních a kmunikačních systémů, jejichž narušení by mhl způsbit závažný dpad na bezpečnst státu, zabezpečení základních živtních ptřeb byvatelstva, zdraví sb neb eknmiku státu ( 2 písm. g, krizvéh zákna) Určena pdle stanvených průřezvých a dvětvvých kritérií v blasti kybernetické bezpečnsti ( 2 písm. i), krizvéh zákna, NV 432/2010 Sb.,) Stejně jak KI se týká veřejnprávních i sukrmprávních subjektů Adam Kučínský, 21. 05. 2019 20 20 10

Kritická infrmační infrastruktura (KII) Systémy důležité pr chd státu a eknmiky Sféra Vládníh CERTu Určuje/navrhuje NÚKIB Nejpřísnější regulace pvinnst plnit celý ZKB: Hlásí kntaktní údaje Detekuje a hlásí incidenty Pvinnst zavést bezpečnstí patření pdle vyhlášky č. 82/2018 Sb. Prvádí chranná a reaktivní patření vydaná NÚKIB Adam Kučínský, 21. 05. 2019 21 21 Pskytvatel digitální služby (DSP) Pskytvatel digitální služby ( 3 písm. h) ZKB). digitální službu služba infrmační splečnsti pdle zákna upravujícíh některé služby infrmační splečnsti, která spčívá v prvzvání 1. n-line tržiště, 2. internetvéh vyhledávače, 3. clud cmputingu. Určení: rgán neb sba psudí naplnění kritérií a nahlásí se jak pvinná sba Nárdnímu CERT Regulace se netýká malých a mikr pdniků <50 zaměstnanců a rční bilanční suma neb brat <10 mil. Funguje zde princip samurčení naplnění definice = pvinná sba Prváděcí nařízení Kmise č. 2018/151 stanvuje pvinnsti subjektů Maximální harmnizace Adam Kučínský, 21. 05. 2019 22 22 11

DSP c je tedy tím On-line tržištěm Za n-line tržiště se pvažují platfrmy, které vystupují jak prstředník mezi prdávajícími pdnikateli (prdávající) a sptřebiteli a pdnikateli (zde v pzici kupujících) a umžňuje prdej zbží či služeb. Jedná se službu, která umžňuje sptřebitelům a pdnikatelům (kupujícím) uzavírat s prdávajícími pdnikateli (prdávající) smluvy přím prstřednictvím n-line tržiště, a t s knečnu platnstí. 23 Za n-line tržiště se nepvažují webvé stránky, které přesměrvávají uživatele na další webvé stránky, aby až tam uzavřeli smluvu (např. srvnávače cen) služí puze k prpjení prdávajících pdnikatelů (prdávajících) se sptřebiteli a prdávajícími (kupující) (např. inzertní webvé stránky) služí prdávajícímu pdnikateli (prdávající) přím k prdeji zbží sptřebitelům a prdávajícím (kupující)(např. nline malbchd). Adam Kučínský, 21. 05. 2019 23 DSP - Internetvý vyhledávač a Clud B. Internetvý vyhledávač umžňuje prvádět vyhledávání v zásadě na všech internetvých stránkách, na základě dtazu uživatele na jakékliv téma v pdbě klíčvéh slva, suslví neb jinéh zadání, služba pskytuje dkazy, na nichž lze nalézt infrmace suvisející s pžadvaným bsahem C. Clud cmputing digitální služba umžňující přístup k rzšiřitelnému a přizpůsbitelnému úlžišti výpčetních zdrjů, které je mžn sdílet. Nepatří sem firemní cludy služící pr uzavřenu skupinu Tent pjem tak zahrnuje různé typy clud cmputingu: IaaS (Infrastructure asa Service), PaaS (Platfrm as a Service) neb SaaS (Sftware as a Service). Více k DSP a jejich identifikaci: https://nukib.cz/dwnlad/kii-vis/definice_dsp_v1.pdf Adam Kučínský, 21. 05. 2019 24 24 12

Významný infrmační systém Významným infrmačním systémem se rzumí infrmační systém spravvaný rgánem veřejné mci, který není kriticku infrmační infrastrukturu ani infrmačním systémem základní služby a u kteréh narušení bezpečnsti infrmací může mezit neb výrazně hrzit výkn půsbnsti rgánu veřejné mci. Puze státní sektr Pstup určení: rgán neb sba psudí naplnění kritérií dle vyhlášky č. 317/2014 Sb. a nahlásí se jak pvinná sba NÚKIB neb infrmační systém je zahrnut d přílhy vyhlášky č. 317/2014 Sb. Adam Kučínský, 21. 05. 2019 25 25 Správce a prvzvatel Správcem ( 3 písm. f)) je ten, kd určuje účel zpracvání infrmací a pdmínky jeh prvzvání. tj. ten, kd systém vlastní vždy jen jeden subjekt Prvzvatelem ( 3 písm. f)) je ten, kd zajišťuje funkčnst technických (hardware) a prgramvých (sftware) prstředků jej tvřících. tj. důležití neb hlavní ddavatelé jeden neb více subjektů Puze u KII, VIS, PZS Adam Kučínský, 21. 05. 2019 26 26 13

Přehled pvinnstí pdle ZKB Nahlášení kntaktních údajů ( 16 ZKB) Všechny pvinné sby KII, VIS, PZS vládní CERT, Sítě elektrnických kmunikací a významné sítě, DSP Nárdní CERT Hlášení kybernetických bezpečnstních incidentů ( 8 ZKB) KII, VIS, významné sítě, PZS významné sítě, DSP Nárdní CERT Zavedení bezpečnstních patření (standardizace) ( 4 ZKB) KII, VIS, PZS, DSP puze některá patření Opatření vydané NÚKIB ( 11 ZKB) Varvání, reaktivní patření, chranné patření KII, VIS, PZS Významné sítě a pskytvatelé služby el. kmunikací puze za stavu kybernetickéh nebezpečí, puze reaktivní patření Adam Kučínský, 21. 05. 2019 27 27 Bezpečnstní patření vyhláška kybernetické bezpečnsti Adam Kučínský, 21. 05. 2019 28 28 14

Bezpečnstní patření v ZKB ( 4 a 5 ZKB) Bezpečnstním patřením se rzumí suhrn úknů a pstupů, jejichž cílem je zajištění bezpečnsti infrmací a dstupnsti a splehlivsti služeb a sítí v kybernetickém prstru. Druhy bezpečnstních patření: rganizační patření technická patření Bezpečnstní patření specifikvána ve VKB (č. 82/2018 Sb.) Vychází zejména z ISO 27K č. j. materiálu: 265/2018-NÚKIB-E/210 https://apps.dk.cz/veklep-detail?pid=kornaw2g8wpa Adam Kučínský, 21. 05. 2019 29 29 Obsah vyhlášky č. 82/2018 Sb. Vyhláška č. 82/2018 Sb. stanvuje bsah bezpečnstních patření, bsah a strukturu bezpečnstní dkumentace, při kntrle je klíčvý bsah dkumentu nikliv pčet stránek či název, rzsah bezpečnstních patření pr rgány a sby uvedené v 3 písm. c) až f) ZKB. Nahrazuje vyhlášku č. 316/2014 Sb. Kntext Vůdčí rle Plánvání prvzvání Pžadavky pstaveny na rdině nrem ISO 27k. plan d PDCA cyklus act ISO 27 000 chceck zlepšvání Hdncení výknnsti 30 15

Bezpečnstní patření ve VKB C je bezpečnstní patření? ZKB 4 dst. 1) Bezpečnstním patřením se rzumí suhrn úknů, jejichž cílem je zajištění bezpečnsti infrmací v infrmačních systémech a dstupnsti a splehlivsti služeb a sítí elektrnických kmunikací v kybernetickém prstru. Implementace ZKB 4 dst. 2) Orgány a sby uvedené v 3 písm. c) až f) jsu pvinny zavést a prvádět bezpečnstní patření v rzsahu nezbytném pr zajištění kybernetické bezpečnsti infrmačníh systému kritické infrmační infrastruktury, kmunikačníh systému kritické infrmační infrastruktury, infrmačníh systému základní služby a významnéh infrmačníh systému a vést nich bezpečnstní dkumentaci. Princip VKB VKB 3 písm. a) stanví s hledem na pžadavky dtčených stran a rganizační bezpečnst rzsah systému řízení bezpečnsti infrmací, ve kterém určí rganizační části a aktiva, jichž se systém řízení bezpečnsti infrmací týká, VKB 3 písm. b) stanví cíle systému řízení bezpečnsti infrmací, VKB 3 písm. c) pr stanvený rzsah systému řízení bezpečnsti infrmací na základě cílů systému řízení bezpečnsti infrmací, bezpečnstních ptřeb a hdncení rizik zavede přiměřená bezpečnstní patření, 31 Bezpečnstní patření Organizační patření Systém řízení bezpečnsti infrmací Řízení aktiv Řízení rizik Organizační bezpečnst Bezpečnstní rle Řízení ddavatelů Bezpečnst lidských zdrjů Řízení prvzu a kmunikací Řízení změn Řízení přístupu Akvizice, vývj a údržba Zvládání kybernetických bezpečnstních událstí a incidentů Řízení kntinuity činnstí Audit kybernetické bezpečnsti Bezpečnstní plitika a bezpečnstní dkumentace 32 16

Systém řízení bezpečnsti infrmací ( 3 VKB) Průřezvý paragraf, prvádění auditu, nastavení rzsahu ISMS, identifikace významných změn, stanvení cílů, aktualizace ISMS. zavádí bezpečnstní patření, řídí rizika, vyhdncení účinnsti, PDCA cyklus: stanvení rzsahu ISMS řízení rizik stanvení bezpečnstních plitik zajištění bezpečnéh prvzu ICT mnitrvání a vyhdncvání účinnsti a vhdnsti prvádění auditu zlepšvání Plan Act D Check 33 Organizační a administrativní zajištění úklů Pvinnst v rámci systému řízení bezpečnsti infrmací Řídit rizika a aktiva Vytvřit a schválit bezpečnstní plitiku Stanvit pžadavky na ddavatele Zavést a řídit rganizační bezpečnst a bezp. lidských zdrjů Prvádět kntrlu a audit Zavádět bezpečnstní patření a vést nich dkumentaci Business Cntinuity Management a další... Nejméně jednu za tři rky neb v suvislsti s prváděnými neb plánvanými změnami aktualizvat hdncení aktiv a rizik, bezpečnstní plitiku, plán zvládání rizik, plán rzvje bezpečnstníh pvědmí Adam Kučínský, 21. 05. 2019 34 34 17

Řízení aktiv 4 VKB Stanví metdiku, identifikuje a eviduje aktiva, určí a eviduje garanty aktiv, hdntí a eviduje primární aktiva, určí a eviduje vazby mezi primárními a pdpůrnými aktivy, hdntí pdpůrná aktiva, na základě hdncení aktiv => patření, stanví způsby manipulace, pužití aktiv, určí způsb likvidace. 35 Primární aktiva - infrmace neb služba, t c má pr rganizaci hdntu Pdpůrná aktiva - technická aktiva, zaměstnanci a ddavatelé Hdncení důležitsti aktiv: dstupnst, důvěrnst, Integrita. Z hdnty aktiva se dvzuje dpad. Při hdncení důležitsti primárních aktiv je třeba psudit alespň: rzsah narušení běžných činnstí, rzsah a důležitst sbních údajů, zvláštní kategrie sbních údajů neb bchdníh tajemství, rzsah dtčených právních pvinnstí neb jiných závazků, dpady na pskytvání důležitých služeb, dpady na bezpečnst a zdraví sb,... ISO 27001, A8 Řízení rizik 5 VKB Stanví metdiku, stanví kritéria pr akcept. Rizika, identifikuje relevantní hrzby a zranitelnsti, zpracuje prhlášení aplikvatelnsti, zpracuje plán zvládání rizik, AR je závislá na správném hdncení aktiv. HROZBA chrání před OPATŘENÍ jsu splněny zavedením POŽADAVKY NA OCHRANU zvyšuje snižuje indikuje využívá RIZIKO zvyšuje zvyšuje ZRANITELNOST je vystaven AKTIVUM má HODNOTA Rizik je kmbinací hrzby, zranitelnsti a dpadu. Rizik = hrzba * zranitelnst * dpad Úrveň Nízká Střední Vyská Kritická Ppis Rizik je pvažván za přijatelné. Rizik může být snížen méně nárčnými patřeními neb v případě vyšší nárčnsti patření je rizik přijatelné. Rizik je dluhdbě nepřípustné a musí být zahájeny systematické krky k jeh dstranění. Rizik je nepřípustné a musí být neprdleně zahájeny krky k jeh dstranění. Rizika, která musí být snižvána ISO 27005 36 18

Plán zvládání rizik, Prhlášení aplikvatelnsti Plán zvládání rizik (Risk Treatment Plan (RTP)) bsahuje: cíle a přínsy bezpečnstních patření pr zvládání rizik, sby zajišťující prsazvání bezpečnstních patření pr zvládání rizik, ptřebné zdrje, termíny zavedení bezpečnstních patření, ppis vazeb mezi riziky a příslušnými bezpečnstními patřeními. Prhlášení aplikvatelnsti (Statement f Applicability (SA)) bsahuje: přehled zavedených a nezavedených bezpečnstních patření, způsby zavedení bezpečnstních patření, důvdy nezavedení bezpečnstních patření. Adam Kučínský, 21. 05. 2019 37 37 Organizační bezpečnst 6 VKB Míří na vrchlvé vedení, zastávajících bezpečnstní rle, průřezvé pvinnsti k prsazvání, efektivníh systému řízení bezpečnsti infrmací, zajištění zdrjů, určí slžení výbru, zavede bezpečnstní rle, zajistí zastupitelnst bezpečnstních rlí. mlčenlivst administrátrů a sb Zaměstnanci musí vidět pdpru i d vrchlvéh vedení. KII a PZS určí sby pr rle: manažera kybernetické bezpečnsti, architekta kybernetické bezpečnsti, garanta aktiva a auditra kybernetické bezpečnsti. VIS určí sby pr rle: manažera kybernetické bezpečnsti, architekta kybernetické bezpečnsti, statní rle přiměřeně. Zastupitelnst: KII a PZS zajistí zastupitelnst rlí manažera KB a architekta KB, VIS zajistí zastupitelnst rle manažer KB. Výbr pr řízení KB: Má být tvřen sbami s příslušnými pravmcemi a dbrnu způsbilstí pr celkvé řízení a rzvj ISMS a sbami významně se pdílejícími na řízení a krdinaci činnstí spjených s KB, minimálně jeden zástupce vrchlvéh vedení, neb jím pvěřená sba (pvěřená sba musí mít příslušné pravmce), manažerem KB. ISO 27001, A.6.1 38 19

STRATEGICKÁ ÚROVEŇ TAKTICKÁ ÚROVEŇ OPERATIVNÍ ÚROVEŇ Bezpečnstní rle 6 VKB Manažer KB, Architekt KB, Garant aktiva, Auditr KB, praxe 3 rky, neb 1 rk + VŠ, dpručující přílha č. 6. Přílha č. 6 (dpručení): klíčvé činnsti, znalsti, zkušensti, vzdělání praxe, relevantní certifikace, přílha je dpručující. VÝBOR PRO ŘÍZENÍ KYBERNETICKÉ BEZPEČNOSTI MANAŽER KYBERNETICKÉ BEZPEČNOSTI GARANT AKTIVA AUDITOR KYBERNETICKÉ BEZPEČNOSTI ARCHITEKT KYBERNETICKÉ BEZPEČNOSTI 39 zdrj: https://www.gvcert.cz/cs/kybernetickyzakn/pdpurne-materialy ISO 27001, A.6.1 Bezpečnstní rle (rganizační bezpečnst) 6 a 7 VKB Výbr pr řízení kybernetické bezpečnsti pvinně KII i VIS i PZS Stanví práva a pvinnsti a určí bezpečnstní rle Definuje strategie, rzhduje financích, kntrluje a řídí na nejvyšší úrvni Celkvé řízení a rzvj KII a VIS Garant aktiva pvinně KII i VIS i PZS Osba pvěřená k zajištění rzvje, pužití a bezpečnsti aktiva Např. veducí zaměstnanec dpvědný za výkn činnsti pr kteru je IS/KS určen Manažer KB zajistí KII, PZS a nvě i VIS Pr KII a PZS navíc pvinnst zřídit i rli architekta KB, auditra KB VIS stanví statní rle přiměřeně Obecně je ptřeba mít někh, kd bude za kyberneticku bezpečnst dpvědný a bude se jí zabývat Adam Kučínský, 21. 05. 2019 40 40 20

Řízení ddavatelů 8 VKB Stanvení pravidel pr ddavatele. Seznamuje svje ddavatele s pravidly. Řídí rizika spjená s ddavateli. Eviduje a infrmuje významné ddavatele. Náležitsti smluv v přílze č. 7 (pvinné u významných ddavatelů). Pžadavky na významné ddavatele řízení rizik při výběrvém řízení, nastavení způsbů a úrvní realizace bezp. patření a nastavení dpvědnstí, pravidelná kntrla bezp. Opatření u pskytvaných plnění. Náležitsti smluv: Přílha č. 7 VKB bezpečnst infrmací (C-I-A), právnění užívání dat, autrská práva, zákaznický audit, řetězení ddavatelů, pvinnst ddržvat plitiky, řízení změn, uknčení smluvních vztahů, specifikace frmátů pr předání dat, BCM (zahrnutí ddavatelů), pravidla pr likvidaci dat, významná změna kntrly nad ddavatelem, sankce za prušení pvinnstí. ISO 27001, A.15 41 Bezpečnst lidských zdrjů 9 VKB Pučení všech jejich pvinnstech. Stanvení plánu rzvje bezp. pvědmí. Plán se vztahuje na: uživatele, administrátry, sby zastávající bezp. Rle. Plán bsahuje: frmu, bsah, rzsah. Stanví zdpvědné sby. Zajistí vstupní a pravidelná šklení. Zaměří se i na dbrná (individuální) šklení. Hdntí účinnst plánu. Nastavení pravidel a pstupů při prušení pravidel. Zajišťuje kntrlu ddržvání bezpečnstní plitiky. Zajištění předání dpvědnstí. Řízená dkumentace. Zajištění ptřebných šklení. Zajištění finančních zdrjů. Občasná kntrla ddržvání pvinnstí. Zajištění dstupnsti ptřebných materiálů pr všechny uživatele. ISO 27001, A.7 42 21

Řízení prvzu a kmunikací 10 VKB Stanvení prvzních pravidel a pstupů. Tyt pravidla a pstupy bsahují zejména. Práva a pvinnsti administrátrů, uživatel, sb zastávající bezp. rle. Pravidla a Pstupy pr: spuštění systému, uknčení systému, restart systému p selhání systému, bnvu systému p selhání systému, šetření chybvých stavů, šetření mimřádných jevů, sledvání KBU, nastavení patření k chraně přístupu k záznamům KBU, chranu před škdlivým kódem, schvalvání prvzních změn, sledvání, plánvání a řízení kapacity lidských a technických zdrjů, pr chranu infrmací a dat v průběhu celéh živtníh cyklu, instalaci technických aktiv, zajištění bezpečnsti síťvých služeb. Řízení technických zranitelnstí. Spjení na kntaktní sby. Prvádění pravidelnéh zálhvání a kntrly pužitelnsti prvedených zálh. Tyt pravidla a pstupy je nutné pravidelně aktualizvat v suvislsti s prváděnými neb plánvanými změnami. Oddělení vývjvéh, testvacíh a prvzníh prstředí. Vedení aktuální dkumentace pr řízení a prvz kmunikací. Nelze testvat na systémech v strém prvzu. ISO 27001, A.12.1 43 Řízení změn 11 VKB V rámci řízení změn, přezkumává mžné dpady změn, určuje významné změny. Významnu změnu změna, která má neb může mít vliv na kyberneticku bezpečnst a představuje vyské rizik. prvádí analýzu rizik Snižuje nepříznivé dpady spjené s významnu změnu, aktualizuje bezp. plitiku a bezp. dkumentaci, zajistí testvání, zajistí mžnst navrácení d půvdníh stavu, na základě AR rzhdne prvedení penetračníh testvání, U významných změn: dkumentuje jejich řízení. p penetračním testvání reaguje na zjištěné nedstatky. Cíle řízení změn: standardizvat prcesy pr implmentaci změn, Minimalizvat rizika spjená se změnu. Otázky na které je nutné znát dpvěď: Zaznamenání pžadavku na změnu Psuzení pžadavku na změnu Schválení pžadavku na změnu Prč dělám změnu? (kd ji pžaduje?) Jaká jsu rizika spjená s tut změnu? Jaké ptřebuji zdrje k prvedení změny? Kd je za c zdpvědný? Implementace změny Psuzení změny a uknčení změny ISO 27001, A. 12. 1. 2 44 22

Řízení přístupu 12 VKB Řízení přístupu k IS a KS. Chrání se údaje pužívané pr přihlášení. Řídí přístup na základě skupin a rlí. Všichni uživatelé a administrátři mají jedinečný identifikátr. Zavádí patření pr bezpečné pužívání mbilních a jiných technických zařízení. Omezí přidělvání privilegvaných právnění. Přiděluje debírá přístupvá právnění v suladu s plitiku. Pravidelně přezkumává nastavení přístupvých právnění. Využívá nástrj pr správu a věřvání identity uživatelů a nástrj pr řízení přístupvých právnění. Zajistí změnu právnění při změně pzice. Dkumentuje přidělvání a debírání přístupvých právnění. Živtní cyklus zaměstnance: Nástup dchd Zkušební dba Přerušení výknu práce Změna pzice ISO 27001, A. 9 45 Akvizice vývj údržba 13 VKB V suvislstí s akvizicí vývjem a údržbu IS a KS: pkud je cílem akvizice neb vývje nástrj pr správu a věřvání identity plní pžadavek na 2FA. řídí rizika, řídí významné změny, stanví bezpečnstní pžadavky, bezpečnstní pžadavky zahrne d prjektu, zajistí bezpečnst vývjvéh a testvacíh prstředí, zajistí chranu pužívaných testvacích dat, prvádí bezpečnstní testvání významných změn před jejich zavedením d prvzu, Prvedení analýzy a specifikace pžadavků s hledem na KB, v pžadavcích na nvé IS a KS neb na rzšíření existujících systémů musí být bsaženy i pžadavky týkající se KB. Zajistí bezpečnsti v prcesech vývje a pdpry. Využívá speciální data pr testvání. ISO 27001, A. 14 46 23

Zvládání KBU a KBI 14 VKB 47 Zavede prces detekce KBU a zvládání KBI. Přidělí dpvědnsti a stanví pstupy pr: detekci a vyhdncvání KBU a KBI, krdinaci a zvládání KBI. Definuje a aplikuje pstupy pr identifikaci, sběr, získání a uchvání věrhdných pdkladů ptřebných pr analýzu KBI. Zajistí detekci KBU. Zajistí, že všichni uživatelé a ddavatelé budu znamvat nebvyklé chvání IS a KS Zajistí psuzení KBU zda klasifikvat jak KBI. Prvázán s technickými patřeními zejména: Zajistí zvládání KBI pdle stanvených pstupů. Přijímá patření pr dvrácení a zmírnění dpadů KBI. Hlásí KBI. Vede záznamy KBI a jejich zvládání Pršetří a určí příčiny KBI. Z prběhléh incidentu se pučí, prvěří bezp. patření, případně aktualizuje bezp. patření, zamezí pakvání KBI. zaznamenávání událstí infrmačníh a kmunikačníh systému, jeh uživatelů a administrátrů, detekce kybernetických bezpečnstních událstí. Dále s paragrafy: kategrizace kybernetických bezpečnstních incidentů, frma a náležitsti hlášení kybernetických bezpečnstních incidentů. ISO 27001, A. 16, ISO 27035 Řízení kntinuity činnstí 15 VKB Stanvení práv a pvinnstí pr administrátry a sby zastávající bezpečnstní rle. Na základě AR psudí mžné dpady KBI na kntinuitu činnstí. Stanví minimální úrvně pskytvaných služeb, která je přijatelná pr užívání, prvz a správu infrmačníh a kmunikačníh systému, dby bnvení chdu, během které bude p kybernetickém bezpečnstním incidentu bnvena minimální úrveň pskytvaných služeb infrmačníh a kmunikačníh systému, bdu bnvení dat jak časvé bdbí, za které musí být zpětně bnvena data p kybernetickém bezpečnstním incidentu neb p selhání. Stanví plitiku řízení kntinuity činnstí. Plány kntinuity činnstí a DRP, vypracuje, aktualizuje, pravidelně testuje. Prvzvatel předává výsledky auditu správci Prvázán s technickými patřeními zejména: zajišťvání úrvně dstupnsti infrmací. ISO 22301:2014 ISO 27001 A. 17, ISO 22301 48 24

Audit kybernetické bezpečnsti 16 VKB Prvádí a dkumentuje audit ddržvání bezpečnstní plitiky včetně přezkumání technické shdy. Výsledky auditu zhlední v plánu rzvje bezp. Pvědmí a v plánu zvládání rizik. Psuzuje sulad bezp. Opatření s: nejlepší praxí, právními předpisy, vnitřními předpisy, jinými předpisy, smluvními závazky. Prces auditu příprava auditu, prvádění auditu, příprava zprávy, kntrla nápravných patření. V případě nesuladu určí nápravná patření. Audit je prváděn: při významných změnách v rámci jejich rzsahu, v pravidelných intervalech alespň p 3 letech (VIS), v pravidelných intervalech alespň p 2 letech (KII, PZS), v případech kdy není mžné prvést audit v předepsaných intervalech v celém rzsahu audit musí být prveden nejpzději d 5 let, sbu která splňuje pžadavky definvané pr bezpečnstní rle. ISO 19011 směrnice pr auditvání systémů managementu (becná směrnice). 49 ISO 27008 Technická patření I. Fyzická bezpečnst ( 17 VKB) Ochrana na úrvni a v rámci bjektů Bezpečnst kmunikačních sítí ( 18 VKB) Vhdně navržená tplgie, aktivní prvky umžňující segmentaci sítě a filtraci prvzu, autentizační mechanismy, šifrvání síťvé kmunikace Správa a věřvání identit ( 19 VKB) Hesla, dvufaktrvá autentizace, - pměrně dst změn v nvele Řízení přístupvých právnění ( 20 VKB ) Pr aplikace i uživatele, definice práv pr čtení, zápis a změny právnění, centralizvaná správa Ochrana před škdlivým kódem ( 21 VKB ) Ověřvání a kntrla kmunikace, síťvý prvz, antiviry, antispy, antivir, pravidelná aktualizace, Zaznamenávání událstí infrmačníh a kmunikačníh systému, jeh uživatelů a administrátrů (22 VKB) Sběr infrmací prvzních a bezpečnstních činnstech, lgvání Adam Kučínský, 21. 05. 2019 50 50 25

Technická patření II. Detekce kybernetických bezpečnstních událstí ( 23 VKB) Nastrj pr kntrlu a případně zablkvání kmunikace mezi a v rámci sítí, sndy, skenery zranitelnstí Sběr a vyhdncvání kybernetických bezpečnstních událstí ( 24 VKB) Pskytvání infrmací pr určené bezpečnstní rle detekvaných událstech, Nepřetržité vyhdncvání událstí s cílem identifikace incidentů, SIEM Aplikační bezpečnst ( 25 VKB) Bezpečnstní testy zranitelnsti aplikací, které jsu přístupné zvnějšku, testy aplikací, penetrační testy Kryptgrafické prstředky ( 26 VKB) Stanvení vhdné úrvně šifrvání, pravidel pr šifrvání, správa klíčů, dlné algritmy Zajišťvání úrvně dstupnsti infrmací ( 27 VKB) Kntinuita činnstí, DRP, zálhvání, vhdná tplgie, redundance, virtualizace, Bezpečnst průmyslvých a řídicích systémů ( 28 VKB) Omezení fyzickéh přístupu, prpjení a vzdálenéh přístupu, segmentace, Adam Kučínský, 21. 05. 2019 51 51 Přílhy VKB 1. Hdncení aktiv 2. Hdncení rizik 3. Zranitelnsti a hrzby 4. Likvidace dat 1. NIST Special Publicatin 800-88 - Guidelines fr Media Sanitizatin 5. Obsah bezpečnstní plitiky a bezpečnstní dkumentace 6. Výbr pr řízení kybernetické bezpečnsti a bezpečnstní rle 1. (dpručující) 7. Řízení ddavatelů bezpečnstní patření pr smluvní vztahy 52 26

Varvání pdle 12 ZKB - pužití a dpady Adam Kučínský, 21. 05. 2019 53 53 Institut Varvání 12 ZKB Varvání (1) Úřad vydá varvání, dzví-li se zejména z vlastní činnsti neb z pdnětu prvzvatele nárdníh CERT aneb d rgánů, které vyknávají půsbnst v blasti kybernetické bezpečnsti v zahraničí, hrzbě v blasti kybernetické bezpečnsti. (2) Varvání Úřad zveřejní na svých internetvých stránkách a známí je rgánům a sbám uvedeným v 3, jejichž kntaktní údaje jsu vedeny v evidenci pdle 16 dst. 4. 54 27

C varvání znamená Prstřednictvím varvání NÚKIB upzrňuje na existenci hrzby v blasti kybernetické bezpečnsti, na kteru je nutné bezprstředně reagvat. Subjekty, které spadají pd zákn ZKB, jsu pvinny se tut hrzbu dále zabývat a zhlednit ji v analýze rizik, kteru v suladu s pžadavky ZKB a příslušné vyhlášky již pravidelně prvádí. Varvání neznamená bezpdmínečný zákaz pužívání daných technických a prgramvých prstředků, ale nutnst zvážit případné bezpečnstní rizik suvisející s jejich užíváním. Dvlí-li t výsledky analýzy rizik, uvedené technické neb prgramvé prstředky je mžné i nadále pužívat. Orgánům a sbám, kterým ZKB neukládá pvinnst zavést a prvádět bezpečnstní patření, stejně tak jak širké veřejnsti, nezakládá varvání NÚKIB žádnu pvinnst, a t ani zprstředkvaně. Tyt subjekty tedy nejsu pdle ZKB pvinny varvání NÚKIB zhlednit. Další krky s tím spjené jsu puze na nich. 55 Implementace varvání KII, VIS a PZS jsu pvinni pdle 5 VKB pr určené IS a KS prvádět pravidelnu analýzu rizik, identifikvat rizika a identifikvaná rizika řídit. Na základě vyhdncení rizik ptm výše uvedené subjekty zavádějí a prvádějí bezpečnstní patření v rzsahu nezbytném pr zajištění kybernetické bezpečnsti v suladu s 4 dst. 2 ZKB. Bezpečnstní patření jsu blíže specifikvána ve VKB. V suvislsti s řízením rizik musejí pdle 5 dst. 1 písm. h) bd 3 VKB tyt subjekty zhlednit mim jiné i patření pdle 11 ZKB, tedy i varvání vydané pdle 12 ZKB. Na základě vydanéh varvání tedy musejí výše zmíněné pvinné sby v rámci zavedenéh řízení rizik prvést analýzu rizik, ve které zhlední hrzbu, a následně na rizik reagvat přijetím bezpečnstních patření, která musí být v suladu s nastavenými metrikami pr akceptvatelnst rizika a hdntu danéh rizika. 56 28

Děkuji Vám za pzrnst Adam Kučínský, 21. 05. 2019 61 61 29

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář