Zákon o kybernetické bezpečnosti

Podobné dokumenty
Zákon o kybernetické bezpečnosti

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. srpna 2017

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

VLÁDNÍ NÁVRH ZÁKON. ze dne 2017,

Kybernetická bezpečnost

Zákon o kybernetické bezpečnosti a související předpisy

Úplné znění zákona o kybernetické bezpečnosti a části zákona o svobodném přístupu k informacím s vyznačením navrhovaných změn

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Kybernetická bezpečnost

Právní výzvy v oblasti kybernetické bezpečnosti. Mgr. Petra Vrábliková advokát

Ing. Miroslav Tůma, Ph.D. ředitel odboru Kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra ČR

316/2014 Sb. VYHLÁŠKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Návrh VYHLÁŠKA. ze dne 2014

b) aktivem primární aktivum a podpůrné aktivum, c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém

VYHLÁŠKA. ze dne 21. května 2018,

SBÍRKA ZÁKONŮ. Ročník 2018 ČESKÁ REPUBLIKA. Částka 43 Rozeslána dne 28. května 2018 Cena Kč 106, O B S A H :

ZÁKON ze dne 23. července 2014 o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)

Zákon o kybernetické bezpečnosti a související předpisy

Návrh VYHLÁŠKA. ze dne 2014

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

181/2014 Sb. ČÁST PRVNÍ KYBERNETICKÁ BEZPEČNOST HLAVA I ZÁKLADNÍ USTANOVENÍ

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

SBÍRKA ZÁKONŮ. Ročník 2014 ČESKÁ REPUBLIKA. Částka 127 Rozeslána dne 19. prosince 2014 Cena Kč 109, O B S A H :

Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL

IDET AFCEA Květen 2015, Brno

Jaroslav Šmíd náměstek ředitele

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Státní pokladna. Centrum sdílených služeb

Strana 1 / /2014 Sb. VYHLÁKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

181/2014 Sb. ZÁKON ČÁST PRVNÍ KYBERNETICKÁ BEZPEČNOST

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

TSB a kybernetická bezpečnost SMB a jím ovládaných subjektů

181/2014 Sb. ZÁKON ČÁST PRVNÍ KYBERNETICKÁ BEZPEČNOST

ČÁST PRVNÍ KYBERNETICKÁ BEZPEČNOST HLAVA I ZÁKLADNÍ USTANOVENÍ. 1 Předmět úpravy

Bezpečnostní politika a dokumentace

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Kybernetická bezpečnost resortu MV

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Kybernetická bezpečnost MV

Zákon o kybernetické bezpečnosti. Petr Nižnanský

Nabídka kurzů k systému řízení bezpečnosti informací (ISMS) ČSN ISO/IEC 27001:2014

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Národní bezpečnostní úřad

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Posuzování na základě rizika

Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra

Bezpečnostní politika společnosti synlab czech s.r.o.

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Z K B V P R O S T Ř E D Í

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

SBÍRKA ZÁKONŮ. Ročník 2017 ČESKÁ REPUBLIKA. Částka 74 Rozeslána dne 14. července 2017 Cena Kč 75, O B S A H :

Kybernetická bezpečnost III. Technická opatření

Zákon o kybernetické bezpečnosti

Václav Borovička. Seminář AFCEA a Policejní akademie ČR Listopad 2014, Praha

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Zkušenosti s implementací ZoKB a problémy, které nás pálí. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT

Legislativa kybernetické bezpečnosti Kritická informační infrastruktura a Významné informační systémy Ing. Dušan Navrátil Ředitel

Dopady zákona o kybernetické bezpečnosti (ZKB) Jan Mareš

HLÁŠENÍ KONTAKTNÍCH ÚDAJŮ. Návod k vyplnění formuláře

Kybernetický zákon Aspekty a konsekvence zákona o kybernetické bezpečnosti. ISSS 2015 jitesar@cisco.com 14. dubna 2015

srpen 2008 Ing. Jan Káda

DŮVODOVÁ ZPRÁVA. Jednání Zastupitelstva městské části Praha Zbraslav. číslo: 20 Dne: Zpracovatel: OKT

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. července 2017

Bezpečností politiky a pravidla

Ustanovení (čl., odst., Obsah písm., bod, této směrnice v platnost] přijmou a zveřejní a upravuje zajišťování bezpečnosti sítí

PREZENTACE PRO ŽADATELE K 10. VÝZVĚ IROP KYBERNETICKÁ BEZPEČNOST BRNO Ing. Andrea Jonštová, konzultace dotačních programů

Další postup v řešení. kybernetické bezpečnosti. v České republice

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

Synergie všeho Ěskoroě ISSS 2017

MOŽNOSTI FINANCOVÁNÍ PROJEKTŮ EGOVERNMENTU A KYBERNETICKÉ BEZPEČNOSTI Z INTEGROVANÉHO REGIONÁLNÍHO OPERAČNÍHO PROGRAMU (IROP) V PROGRAMOVÉM OBDOBÍ

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Audity ISŘ. Je-li tento dokument vytištěn, stává se neřízeným. MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou SJ-GŘ Lenka Šloserová v. r.

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Seminář CyberSecurity II

Bezpečnostní politika společnosti synlab czech s.r.o.

Obecné nařízení o ochraně osobních údajů

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Transkript:

Zákon o kybernetické bezpečnosti Ing. Ondřej Ševeček GOPAS a.s. MCSM:Directory2012 MVP:Security CEH CHFI CISA CISM CISSP ondrej@sevecek.com www.sevecek.com GOPAS: info@gopas.cz www.gopas.cz www.facebook.com/p.s.gopas Premisy 181/2014 + 104/2017 + 205/2017 Tento zákon upravuje práva a povinnosti osob a působnost a pravomoci orgánů veřejné moci v oblasti kybernetické bezpečnosti Tento zákon se nevztahuje na informační nebo komunikační systémy, které nakládají s utajovanými informacemi Pod čarou prováděcí předpis upraven vyhláškou 82/2018 Sb. "vyhláška o kybernetické bezpečnosti" přepis klíčových bodů ISO/IEC/ČSN 27001 pro vládní instituce 1

Základy Bezpečnost = důvěrnost, integrita, dostupnost a spolehlivost Informační systém technické a programové vybavení Komunikační systém systémy, zařízení a prostředky pro přenos signálů a vysílání Bezpečnostní opatření technická opatření organizační opatření Správce a provozovatel orgán nebo osoba správce určuje účel a podmínky provozu provozoval zajišťuje funkčnost technických a programových prostředků Úřad Národní úřad pro kybernetickou a informační bezpečnost (NUKIB) Bezpečnostní událost a incident Událost událost týkající se bezpečnosti "nahlášená" změna oproti normálnímu chování Incident událost, která (by) skutečně vedla k významnému narušení bezpečnosti povýšení události na incident 2

Složitější termíny Kybernetický prostor celý internet nebo jiný oddělený prostor, kde se zpracovávají a přenáší elektronické informace Významný informační systém Významný komunikační systém výkon působnosti orgánu veřejné moci Významná síť elektronických komunikací přímé zahraniční spojení přímé připojení ke kritické informační infrastruktuře Kritická informační infrastruktura významný I/K systém bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví, ekonomiky státu Základní služba energetika, doprava, bankovnictví, zdravotnictví, vodní hospodářství, chemický průmysl Digitální služba online tržiště, internetový vyhledávač, cloud computing Povinnosti se ukládají Správcům a provozovatelům významné sítě elektronických komunikací komunikačního systému kritické infrastruktury informačního systému kritické infrastruktury Provozovateli systému základní služby Poskytovateli digitální služby kterou využívá státní orgán 3

Správce a provozovatel kritického a významného I/K musí Musí provádět bezpečnostní opatření Vést o těchto bezpečnostních opatřeních bezpečnostní dokumentaci Poskytovatel digitální služby Musí provádět vhodná a přiměřená opatření Musí stanovit úroveň poskytovaných služeb Musí dodržovat bezpečnostní politiku odběratele Musí zajišťovat kontinuitu, důvěrnost, dostupnost a integritu Musí řešit incidenty Využití cloud computingu státní správou Úřad stanoví pravidla pro využívání cloud computingu Bez odkladu na žádost přístup k datům, které poskytovatel uchovává V reálném čase možnost kontroly uchovávaných dat 4

Bezpečnostní opatření fyzická bezpečnost organizační opatření technická opatření aktivum Organizační bezpečnostní opatření ISMS řízení aktiv řízení rizik bezpečnostní politika organizační bezpečnost stanovení bezpečnostních požadavků pro dodavatele bezpečnost lidských zdrojů řízení provozu komunikačních systémů řízení přístupu k informačním systémům akvizice, vývoj a údržba I/K zvládání bezpečnostních událostí a incidentů řízení kontinuity provozu kontrola a audit školení a bezpečnostní povědomí 5

Technická bezpečnostní opatření fyzická bezpečnost ochrana integrity I/K nástroje pro ověřování identity uživatelů nástroje řízení přístupu zaznamenávání činnosti I/K nástroje pro detekci bezpečnostních událostí nástroje pro sběr a vyhodnocování bezpečnostních událostí aplikační bezpečnost kryptografické prostředky zabezpečení průmyslových a řídících systémů Detekce bezpečnostní událostí a incidentů Správci a provozovatelé jsou povinni detekovat bezpečnostní události Správci a provozovatel jsou povinni hlásit bezpečnostní incidenty významná síť a digitální služba na národní CERT kritická/významná I/K na NUKIB Poskytovatel digitální služby musí hlásit incidenty s významným dopadem na jeho služby 6

NUKIB (Brno) Stanoví vyhlášku o kybernetické bezpečnosti Vede evidenci bezpečnostních incidentů co, odkud, postup řešení a výsledek Zaměstnanci mají mlčenlivost V reakci na incident NUKIB vydává opatření k ochraně před incidenty varování, pokud se dozví z jiných zdrojů (CERT) o hrozbách reaktivní opatření ochranná opatření Správci a provozovatelé jsou povinni provádět opatření ne poskytovatel digitální služby ne provozovatel základní služby Národní CERT (náhodou také Brno) Právnická osoba s veřejnoprávní smlouvou od NUKIB Zajišťuje sdílení informací na národní a mezinárodní úrovni v oblasti kybernetické bezpečnosti Pro ne-významné/ne-kritické I/K + významná síť Přijímá hlášení, vyhodnocuje incidenty Poskytuje podporu, kontaktní místo Hodnocení zranitelnosti Předává nahoru na NUKIB 7

Vládní CERT interní součást NUKIB to stejné jako Národní CERT Stav kybernetického nebezpečí Jen pokud nelze odvrátit stav nebezpečí činností úřadu Vyhlašuje ředitel NUKIB Vyhlašuje se celoplošnou televizí a rozhlasem bez náhrady nákladů na odvysílání 8

Vyhláška o kybernetické bezpečnosti 82/2018 Sb. (zrušuje se 316/2014 Sb.) Zákon o kybernetické bezpečnosti Obsah Systém řízení bezpečnosti informací (ISMS) Organizační bezpečnostní opatření Technická bezpečnostní opatření Bezpečnostní dokumentace Bezpečnostní incidenty Ochranná a reaktivní opatření Likvidace dat Minimální požadavky na kryptografické algoritmy Certifikace podle technické normy Vzory oznámení 9

Pojmy Primární aktivum informace nebo služba, kterou zpracovává nebo poskytuje informační a komunikační systém Technické aktivum Bezpečnostní politika soubor zásad a pravidel pro zajištění ochrany aktiv rozvoj bezpečnostního povědomí Hodnocení a řízení rizik + akceptovatelné riziko Vrcholové vedení Uživatel Administrátor (data custodian) zajišťující správu a provoz technického aktiva Garant aktiva vlastník osoba na kterou dopadá riziko která je schopna něco udělat s těmi riziky Bezpečnostní role manažer kybernetické bezpečnosti architekt kybernetické bezpečnosti garant aktiva auditor kybernetické bezpečnosti výbor pro řízení kybernetické bezpečnosti steering committee správci a provozovatelé musí zajistit zastupitelnost některých rolí někdo něco a někdo ne :-) podle 6 4), 5), 6) 10

Zajímavá organizační bezpečnostní opatření Zákon o kybernetické bezpečnosti Řízení přístupu skupiny a role jedinečný identifikátor každého uživatele i administrátora oprávnění aplikací a technických účtů jen nezbytně nutné přístupy k výkonu práce pravidelné přezkoumání hlídá změny ve smluvních vztazích a zařazení uživatelů a správců 11

Zajímavá technická bezpečnostní opatření Zákon o kybernetické bezpečnosti Fyzická bezpečnost neoprávněný vstup do prostor neoprávněné zásahy do prostor poškození, krádeže, ztráty 12

Ověření identity uživatelů a správců ukládání odolné proti offline útokům přenos odolný proti odcizení řízení počtu neúspěšných pokusů opětovné ověření po době nečinnosti centralizovaná správa identit vyžaduje se dvoufaktor (než se zavede tak hesla) hesla 12+ (admin 17+) musí být možnost zadávat hesla 64+, musí jít zadat 4of4 uživatel si musí být schopen změnit heslo, ne častěji než 30 minut nesmí být možné obvyklé heslo, opakované znaky, login <=18 měsíců historie hesel 12 návod na bezpečná hesla v bezpečnostním povědomí Nástroje pro zaznamenávání událostí synchronizace času jednou za 24 hodin uchovávání 12-18 měsíců podle typu povinné osoby 13

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář