Zákon o kybernetické bezpečnosti Ing. Ondřej Ševeček GOPAS a.s. MCSM:Directory2012 MVP:Security CEH CHFI CISA CISM CISSP ondrej@sevecek.com www.sevecek.com GOPAS: info@gopas.cz www.gopas.cz www.facebook.com/p.s.gopas Premisy 181/2014 + 104/2017 + 205/2017 Tento zákon upravuje práva a povinnosti osob a působnost a pravomoci orgánů veřejné moci v oblasti kybernetické bezpečnosti Tento zákon se nevztahuje na informační nebo komunikační systémy, které nakládají s utajovanými informacemi Pod čarou prováděcí předpis upraven vyhláškou 82/2018 Sb. "vyhláška o kybernetické bezpečnosti" přepis klíčových bodů ISO/IEC/ČSN 27001 pro vládní instituce 1
Základy Bezpečnost = důvěrnost, integrita, dostupnost a spolehlivost Informační systém technické a programové vybavení Komunikační systém systémy, zařízení a prostředky pro přenos signálů a vysílání Bezpečnostní opatření technická opatření organizační opatření Správce a provozovatel orgán nebo osoba správce určuje účel a podmínky provozu provozoval zajišťuje funkčnost technických a programových prostředků Úřad Národní úřad pro kybernetickou a informační bezpečnost (NUKIB) Bezpečnostní událost a incident Událost událost týkající se bezpečnosti "nahlášená" změna oproti normálnímu chování Incident událost, která (by) skutečně vedla k významnému narušení bezpečnosti povýšení události na incident 2
Složitější termíny Kybernetický prostor celý internet nebo jiný oddělený prostor, kde se zpracovávají a přenáší elektronické informace Významný informační systém Významný komunikační systém výkon působnosti orgánu veřejné moci Významná síť elektronických komunikací přímé zahraniční spojení přímé připojení ke kritické informační infrastruktuře Kritická informační infrastruktura významný I/K systém bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví, ekonomiky státu Základní služba energetika, doprava, bankovnictví, zdravotnictví, vodní hospodářství, chemický průmysl Digitální služba online tržiště, internetový vyhledávač, cloud computing Povinnosti se ukládají Správcům a provozovatelům významné sítě elektronických komunikací komunikačního systému kritické infrastruktury informačního systému kritické infrastruktury Provozovateli systému základní služby Poskytovateli digitální služby kterou využívá státní orgán 3
Správce a provozovatel kritického a významného I/K musí Musí provádět bezpečnostní opatření Vést o těchto bezpečnostních opatřeních bezpečnostní dokumentaci Poskytovatel digitální služby Musí provádět vhodná a přiměřená opatření Musí stanovit úroveň poskytovaných služeb Musí dodržovat bezpečnostní politiku odběratele Musí zajišťovat kontinuitu, důvěrnost, dostupnost a integritu Musí řešit incidenty Využití cloud computingu státní správou Úřad stanoví pravidla pro využívání cloud computingu Bez odkladu na žádost přístup k datům, které poskytovatel uchovává V reálném čase možnost kontroly uchovávaných dat 4
Bezpečnostní opatření fyzická bezpečnost organizační opatření technická opatření aktivum Organizační bezpečnostní opatření ISMS řízení aktiv řízení rizik bezpečnostní politika organizační bezpečnost stanovení bezpečnostních požadavků pro dodavatele bezpečnost lidských zdrojů řízení provozu komunikačních systémů řízení přístupu k informačním systémům akvizice, vývoj a údržba I/K zvládání bezpečnostních událostí a incidentů řízení kontinuity provozu kontrola a audit školení a bezpečnostní povědomí 5
Technická bezpečnostní opatření fyzická bezpečnost ochrana integrity I/K nástroje pro ověřování identity uživatelů nástroje řízení přístupu zaznamenávání činnosti I/K nástroje pro detekci bezpečnostních událostí nástroje pro sběr a vyhodnocování bezpečnostních událostí aplikační bezpečnost kryptografické prostředky zabezpečení průmyslových a řídících systémů Detekce bezpečnostní událostí a incidentů Správci a provozovatelé jsou povinni detekovat bezpečnostní události Správci a provozovatel jsou povinni hlásit bezpečnostní incidenty významná síť a digitální služba na národní CERT kritická/významná I/K na NUKIB Poskytovatel digitální služby musí hlásit incidenty s významným dopadem na jeho služby 6
NUKIB (Brno) Stanoví vyhlášku o kybernetické bezpečnosti Vede evidenci bezpečnostních incidentů co, odkud, postup řešení a výsledek Zaměstnanci mají mlčenlivost V reakci na incident NUKIB vydává opatření k ochraně před incidenty varování, pokud se dozví z jiných zdrojů (CERT) o hrozbách reaktivní opatření ochranná opatření Správci a provozovatelé jsou povinni provádět opatření ne poskytovatel digitální služby ne provozovatel základní služby Národní CERT (náhodou také Brno) Právnická osoba s veřejnoprávní smlouvou od NUKIB Zajišťuje sdílení informací na národní a mezinárodní úrovni v oblasti kybernetické bezpečnosti Pro ne-významné/ne-kritické I/K + významná síť Přijímá hlášení, vyhodnocuje incidenty Poskytuje podporu, kontaktní místo Hodnocení zranitelnosti Předává nahoru na NUKIB 7
Vládní CERT interní součást NUKIB to stejné jako Národní CERT Stav kybernetického nebezpečí Jen pokud nelze odvrátit stav nebezpečí činností úřadu Vyhlašuje ředitel NUKIB Vyhlašuje se celoplošnou televizí a rozhlasem bez náhrady nákladů na odvysílání 8
Vyhláška o kybernetické bezpečnosti 82/2018 Sb. (zrušuje se 316/2014 Sb.) Zákon o kybernetické bezpečnosti Obsah Systém řízení bezpečnosti informací (ISMS) Organizační bezpečnostní opatření Technická bezpečnostní opatření Bezpečnostní dokumentace Bezpečnostní incidenty Ochranná a reaktivní opatření Likvidace dat Minimální požadavky na kryptografické algoritmy Certifikace podle technické normy Vzory oznámení 9
Pojmy Primární aktivum informace nebo služba, kterou zpracovává nebo poskytuje informační a komunikační systém Technické aktivum Bezpečnostní politika soubor zásad a pravidel pro zajištění ochrany aktiv rozvoj bezpečnostního povědomí Hodnocení a řízení rizik + akceptovatelné riziko Vrcholové vedení Uživatel Administrátor (data custodian) zajišťující správu a provoz technického aktiva Garant aktiva vlastník osoba na kterou dopadá riziko která je schopna něco udělat s těmi riziky Bezpečnostní role manažer kybernetické bezpečnosti architekt kybernetické bezpečnosti garant aktiva auditor kybernetické bezpečnosti výbor pro řízení kybernetické bezpečnosti steering committee správci a provozovatelé musí zajistit zastupitelnost některých rolí někdo něco a někdo ne :-) podle 6 4), 5), 6) 10
Zajímavá organizační bezpečnostní opatření Zákon o kybernetické bezpečnosti Řízení přístupu skupiny a role jedinečný identifikátor každého uživatele i administrátora oprávnění aplikací a technických účtů jen nezbytně nutné přístupy k výkonu práce pravidelné přezkoumání hlídá změny ve smluvních vztazích a zařazení uživatelů a správců 11
Zajímavá technická bezpečnostní opatření Zákon o kybernetické bezpečnosti Fyzická bezpečnost neoprávněný vstup do prostor neoprávněné zásahy do prostor poškození, krádeže, ztráty 12
Ověření identity uživatelů a správců ukládání odolné proti offline útokům přenos odolný proti odcizení řízení počtu neúspěšných pokusů opětovné ověření po době nečinnosti centralizovaná správa identit vyžaduje se dvoufaktor (než se zavede tak hesla) hesla 12+ (admin 17+) musí být možnost zadávat hesla 64+, musí jít zadat 4of4 uživatel si musí být schopen změnit heslo, ne častěji než 30 minut nesmí být možné obvyklé heslo, opakované znaky, login <=18 měsíců historie hesel 12 návod na bezpečná hesla v bezpečnostním povědomí Nástroje pro zaznamenávání událostí synchronizace času jednou za 24 hodin uchovávání 12-18 měsíců podle typu povinné osoby 13