VODÍTKA HODNOCENÍ DOPADŮ

Podobné dokumenty
Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc

METODIKA K VODÍTKŮM PRO HODNOCENÍ DOPADŮ

Metodika stanovení požadavků na bezpečnost IS. Příloha č. 4 Souhrnné analytické zprávy

Kybernetické bezpečnostní incidenty a jejich hlášení

Určování Kritické informační infrastruktury. JUDr. et Mgr. Radomír Valica Vedoucí autorského týmu ZKB Národní bezpečnostní úřad 14.

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Václav Borovička. Seminář AFCEA a Policejní akademie ČR Listopad 2014, Praha

Touto vyhláškou se stanoví významné informační systémy a jejich určující kritéria podle 6 písm. d) zákona.

Zákon o kybernetické bezpečnosti a související předpisy

Právní výzvy v oblasti kybernetické bezpečnosti. Mgr. Petra Vrábliková advokát

Legislativa kybernetické bezpečnosti Kritická informační infrastruktura a Významné informační systémy Ing. Dušan Navrátil Ředitel

Jaroslav Šmíd náměstek ředitele

DOPORUČENÍ NÚKIB. k ustanovení 10a zákona o kybernetické bezpečnosti a utajení informací podle zákona o ochraně utajovaných informací

Zákon o kybernetické bezpečnosti. Petr Nižnanský

IDET AFCEA Květen 2015, Brno

Zákon o kybernetické bezpečnosti na startovní čáře

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

Zákon o kybernetické bezpečnosti a související předpisy

Zkušenosti a výsledky určování KII a VIS

Kybernetická bezpečnost ve veřejné správě. Jan Dienstbier Garant platformy KYBEZ

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

Kybernetická bezpečnost

Zákon o kybernetické bezpečnosti

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

HLÁŠENÍ KONTAKTNÍCH ÚDAJŮ. Návod k vyplnění formuláře

Budoucnost dispečerských řídicích systémů.

PREZENTACE PRO ŽADATELE K 10. VÝZVĚ IROP KYBERNETICKÁ BEZPEČNOST BRNO Ing. Andrea Jonštová, konzultace dotačních programů

o IS nebo KS naplňující průřezová a odvětvová kritéria v oblasti kybernetické bezpečnosti o Pro určování KII jsou důležité:

Ochrana osobních údajů a kybernetické bezpečnosti s GINIS. Jan Dienstbier Garant platformy KYBEZ

Security of Things. 6. listopadu Marian Bartl

Posuzování na základě rizika

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Kybernetická bezpečnost

egc tým Bezpečnost Hodnocení dopadů a zařazování do bezp. úrovní Závazná bezpečnostní opatření pro dodavatele

Fyzická bezpečnost z hlediska ochrany utajovaných informací

Hodnocení rizik v resortu Ministerstva obrany

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Kybernetická bezpečnost resortu MV

NEPŘIMĚŘENÉ NÁKLADY. vysvětlení pojmu

Národní bezpečnostní úřad

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Kybernetická bezpečnost MV

Řízení rizik ICT účelně a prakticky?

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

VÝNOS REKTORA Č. 6/2018 ŘEŠENÍ PŘÍPADŮ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ

Řízení kybernetické a informační bezpečnosti

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Bohdan Lajčuk Mikulov

Implementace ZKB. Kritická informační infrastruktura a Významné informační systémy. Jaroslav Šmíd náměstek ředitele NBÚ

DŮVODOVÁ ZPRÁVA. Jednání Zastupitelstva městské části Praha Zbraslav. číslo: 20 Dne: Zpracovatel: OKT

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

Co je riziko? Řízení rizik v MHMP

Kybernetická kriminalita a kybernetická bezpečnost. Václav Stupka

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Systém prevence mimořádných událostí

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

KODEX OCHRANY OSOBNÍCH ÚDAJŮ

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ INFORMACE PRO ZÁKONNÉ ZÁSTUPCE. Úvodní informace

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

OSOBNÍ ÚDAJE GDPR ROK POTÉ

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

ALIS spol. s r.o., Česká Lípa říjen 2017

NEJEN STÁTNÍ CLOUD - egovernment Cloudu

Smluvní podmínky pro ochranu osobních údajů dodavatelem společnosti JUST CS (dále jen Smluvní podmínky nebo SP )

Politika bezpečnosti informací

Bezpečnostní politika společnosti synlab czech s.r.o.

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Č.j. PPR /ČJ V Praze 20. ledna 2015 Počet listů: 5

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. srpna 2017

V Brně dne a

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

Jak chránit osobní data v elektronickém a digitalizovaném účetnictví? Stanislav Klika

INFORMACE O INSTITUTU ZÁKLADNÍ SLUŽBY. Shrnutí způsobu určení provozovatele základní služby a informačního systému základní služby

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

Informace o zpracování osobních údajů a poučení o právech subjektu údajů. Informační memorandum Městská policie Sedlčany

Synergie všeho Ěskoroě ISSS 2017

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

V Brně dne 10. a

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

Ochrana osobních údajů

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ INFORMACE PRO ZÁKONNÉ ZÁSTUPCE

Kybernetická bezpečnost ve zdravotnictví. Dušan Navrátil ředitel NBÚ

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí: Strategický rámec rozvoje veřejné správy České republiky pro období

Obecné nařízení o ochraně osobních údajů (GDPR) S přihlédnutím ke Smart Cities Petr Habarta, OBPPK MV

Dopady GDPR a jejich vazby

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Spisová značka: Brno, 23. května /2019 Vyřizuje: VEŘEJNÁ VYHLÁŠKA NÁVRH OPATŘENÍ OBECNÉ POVAHY

Kybernetická bezpečnost I. Legislativa a strategie kybernetické bezpečnosti v České republice

Evoluce kybernetické bezpečnosti z pohledu státu. Adam Kučínský Vedoucí oddělení regulace Odbor regulace auditu a podpory

Vyhláška o bezpečnostních pravidlech pro orgány veřejné moci využívající služby cloud computingu (Cloudová vyhláška)

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

Transkript:

VODÍTKA HODNOCENÍ DOPADŮ PRO INFORMAČNÍ A KOMUNIKAČNÍ SYSTÉMY LIBOR ŠIROKÝ RISK ANALYSIS CONSULTANTS 2017 Risk Analysis Consultants V170919 1

VODÍTKA HODNOCENÍ DOPADŮ v3.00 / 18.09.2017 Regulace odpovídající úrovni dopadu Úroveň dopadu A. Bezpečnost a zdraví osob B. Ochrana osobních údajů Vodítka (kategorie) pro určení závažnosti dopadů narušení bezpečnosti informací (dostupnost, důvěrnost, integrita) C. Povinnosti ze zákona D. Trestně-právní jednání E. Veřejný pořádek F. Mezinárodní vztahy G. Řízení a provoz organizace H. Ztráta důvěryhodnosti I. Finanční ztráty 1 nízká žádné vodítko Porušení etických nikoli však zákonných nebo podzákonných norem vedoucí k negativním osobním dopadům na jednotlivce nebo skupinu osob. Správní, občanskoprávní nebo smírčí řízení vedoucí k pokutě nebo k náhradě škody ve výši do 500 tis. Kč žádné vodítko žádné vodítko žádné vodítko Naruší řádné řízení nebo fungování části nebo celé státní organizace. Negativně ovlivní vztahy s jinými částmi organizace, jinými organizacemi nebo vztahy s veřejností, negativní publicita bude ale omezena na bezprostřední okolí a nebude mít dlouhé trvání. ke ztrátám menším než 0,05% 2 střední Pravděpodobně povede k újmě (ohrožení osobní bezpečnosti, svobody nebo zranění) jedné nebo několika osob. Porušení zákonných nebo podzákonných norem vedoucí k negativním osobním dopadům na jednotlivce. Správní, občanskoprávní nebo smírčí řízení vedoucí k pokutě nebo k náhradě škody ve výši 0,5-5 mil. Kč Může vytvořit podmínky pro páchání trestné činnosti nebo může ztížit její vyšetřování. Pravděpodobně zapříčiní rozsahem, formou nebo místem omezené protesty. Může vytvářet negativní obraz ČR v jednom teritoriu, popř. v jednom státě. Bude bránit v provádění důležitých činností státní organizace. Negativně ovlivní vztahy s jinými organizacemi nebo veřejností, negativní publicita se ale bude týkat omezené zájmové skupiny nebo bude široká avšak krátkodobá. ke ztrátám mezi 0,05% a 1% Ostatní ISVS GDPR ZKB - VIS, PZS 3 vysoká * Pravděpodobně povede k újmě (ohrožení osobní bezpečnosti, svobody nebo zranění) větší skupiny osob. Porušení zákonných nebo podzákonných norem vedoucí k negativním dopadům na velkou skupinu osob. Správní pokuty až do výše 20.000.000 EUR. Správní, občanskoprávní nebo smírčí řízení vedoucí k pokutě nebo k náhradě škody přesahující 5 mil. Kč Napomůže spáchání trestného činu se sazbou do 5 let (např. úmyslný trestný čin) nebo znemožní vyšetřování takového trestného činu. Pravděpodobně zapříčíní rozsahem, formou nebo místem omezené prostesty, jejichž řešení si může vyžádát aktivaci krizového řízení na úrovni kraje. Může vytvářet negativní obraz ČR ve světě. Závažným způsobem poškozuje účinný rozvoj nebo prosazení státní politiky nebo může způsobit zastavení nebo podstatné narušení základních činností státní organizace. Závažně ovlivní vztahy s jinými organizacemi nebo veřejností s následkem celostátní negativní publicity. ke ztrátám mezi 1% a 10% ZKB - KII, PZS 4 kritická ** Může vést k ohrožení života jedné nebo několika osob. žádné vodítko žádné vodítko Napomůže spáchání trestného činu se sazbou od 5 let (např. zvlášť závažný trestný čin) nebo znemožní vyšetřování takového trestného činu. Způsobí hromadné nepokoje, např. generální stávku, nebo jinak závažně naruší veřejný pořádek s celostátními dopady. Může negativně ovlivnit nebo poškodit diplomatické vztahy a tím způsobit nevýhodu pro zájmy ČR. Závažným způsobem zasáhne do fungování státu jako celku, zemožňuje řízení státních institucí a výkon veřejné správy. Závažně a dlouhodbě ovlivní vztahy s jinými organizacemi nebo veřejností s následkem celostátní či nadnárodní negativní publicity, s dlouhodobými účinky a požadavky přijetí politické odpovědnosti. ke ztrátám přesahujícím 10% ZUI 5 vysoce kritická Narušení bezpečnosti informací v oblasti "důvěrnosti" může zůsobit újmu zájmům České republiky anebo nevýhodnost pro zájmy České republiky a zároveň je uvedena v seznamu utajovaných informací.( 2 písm. a) zákona č. 412/2005 Sb.). (Proto by se mělo jednat o utajované informace. Pro určení odpovídajícího stupně utajení je třeba postupovat v souladu se zákonem č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti. A to za splnění dalších stanovených podmínek, např. uvedených v nařízení vlády č. 522/2005 Sb.). * V případě, že je v některém z parametrů bezpečnosti (dostupnost, důvěrnost, integrita) dosaženo max. úrovně dopadu Vysoká měl by správce zvážit zařazení informačního systému mezi významné informační systémy (VIS), případně mezi informační systémy základní služby (ISZS). - Podmínkou pro zařazení systému mezi VIS je současné naplnění definice v 2 písm. d) zákona č. 181/2014 Sb., a alespoň jednoho oblastního kritéria podle přílohy č. 2 k vyhlášce č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích a zároveň alespoň jednoho dopadového kritéra uvedeného v 4 vyhlášky č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích. - Podmínkou zařazení systému mezi ISZS je naplnění definice v 2 písm. i) a j) zákona č. 181/2014 Sb., a současné naplnění alespoň jednoho odvětvového kritéria podle přílohy k vyhlášce č.../2017 Sb., o kritériích pro určení provozovatelů základních služeb a alespoň jednoho dopadového kritéria uvedeného v příloze k této vyhlášce. ** V případě, že je v některém z parametrů bezpečnosti dosaženo úrovně dopadu Kritická, měl by správce zvážit zařazení informačního nebo komunikačního systému mezi prvky kritické informační infrastruktury (KII). - Podmínkou zařazení systému mezi KII je současné naplnění definice v 2 písm. b) zákona č. 181/2014 Sb., a alespoň jednoho odvětvového kritéria v odvětví VI., oblasti G. Kybernetická bezpečnost podle přílohy k nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury a zároveň alespoň jednoho průřezového kritéria uvedeného v 1 nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury. 2

ROZSAH POUŽITÍ VODÍTEK Ne-OVM OVM ostatní IS KII / PZS (IS ZS) ISVS a ostatní IS utajované VIS OVM ne-ovm Ostatní IS X X ISVS X VIS X PZS X X KII X X Utajované X X 3

ÚČEL VODÍTEK Hodnocení důležitosti informačních a komunikačních systémů (OVM, ne-ovm) Stanovení požadavků na bezpečnost (zpracovávaných informací) Nastavení jednotících kritérií (dostupnost, důvěrnost, integrit) Pomoc správcům informačních a komunikačních systémů (zařazení systému mezi VIS, PZS, KII, ZUI) 4

JAK TO FUNGUJE Stanovení důležitosti IS a KS je založeno na hodnocení dopadů narušení bezpečnosti informací Pro určení dopadů je vytvořena hodnotící škála vodítka hodnocení 9 - OBECNÝCH SCÉNÁŘŮ DOPADŮ 5 - ÚROVNÍ ZÁVAŽNOSTI DOPADŮ 5

JAK TO FUNGUJE Sloupce A až H obsahují obecné scénáře Sloupec I Finanční ztráta obsahuje škálu pro vyjádření potenciálních finančních ztrát A. Bezpečnost a zdraví osob B. Ochrana osobních údajů C. Povinnosti ze zákona D. Trestně-právní jednání E. Veřejný pořádek F. Mezinárodní vztahy G. Řízení a provoz OVM H. Ztráta důvěryhodnosti I. Finanční ztrát 6

JAK TO FUNGUJE Závažnost dopadů je v každé ze scénářů rozdělena do 5 úrovní dopadů Matice dopadů je vytvořena tak, aby si úrovně (závažnosti) dopadů v jednotlivých scénářích navzájem odpovídaly - byly přiměřeně korelovatelné V případě, že je poplatných více scénářů dopadů použije se nejvyšší dosažená hodnota 7

JAK TO FUNGUJE V případě, že je v některém z parametrů bezpečnosti (dostupnost, důvěrnost, integrita) dosaženo max. úrovně dopadu Vysoká měl by správce zvážit zařazení informačního systému mezi významné informační systémy (VIS), případně mezi informační systémy základní služby (ISZS). Podmínkou pro zařazení systému mezi VIS je současné naplnění definice v 2 písm. d) zákona č. 181/2014 Sb., a alespoň jednoho oblastního kritéria podle přílohy č. 2 k vyhlášce č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích a zároveň alespoň jednoho dopadového kritéria uvedeného v 4 vyhlášky č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích. Podmínkou zařazení systému mezi ISZS je naplnění definice v 2 písm. i) a j) zákona č. 181/2014 Sb., a současné naplnění alespoň jednoho odvětvového kritéria podle přílohy k vyhlášce č.../2017 Sb., o kritériích pro určení provozovatelů základních služeb a alespoň jednoho dopadového kritéria uvedeného v příloze k této vyhlášce. V případě, že je v některém z parametrů bezpečnosti dosaženo úrovně dopadu Kritická, měl by správce zvážit zařazení informačního nebo komunikačního systému mezi prvky kritické informační infrastruktury (KII) ), případně mezi informační systémy základní služby (ISZS). Podmínkou zařazení systému mezi KII je současné naplnění definice v 2 písm. b) zákona č. 181/2014 Sb., a alespoň jednoho odvětvového kritéria v odvětví VI., oblasti G. Kybernetická bezpečnost podle přílohy k nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury a zároveň alespoň jednoho průřezového kritéria uvedeného v 1 nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury. 8

JAK TO FUNGUJE - REKAPITULACE v3.00 / 18.09.2017 Regulace odpovídající úrovni dopadu Úroveň dopadu A. Bezpečnost a zdraví osob B. Ochrana osobních údajů Vodítka (kategorie) pro určení závažnosti dopadů narušení bezpečnosti informací (dostupnost, důvěrnost, integrita) C. Povinnosti ze zákona D. Trestně-právní jednání E. Veřejný pořádek F. Mezinárodní vztahy G. Řízení a provoz organizace H. Ztráta důvěryhodnosti I. Finanční ztráty 1 nízká žádné vodítko Porušení etických nikoli však zákonných nebo podzákonných norem vedoucí k negativním osobním dopadům na jednotlivce nebo skupinu osob. Správní, občanskoprávní nebo smírčí řízení vedoucí k pokutě nebo k náhradě škody ve výši do 500 tis. Kč žádné vodítko žádné vodítko žádné vodítko Naruší řádné řízení nebo fungování části nebo celé státní organizace. Negativně ovlivní vztahy s jinými částmi organizace, jinými organizacemi nebo vztahy s veřejností, negativní publicita bude ale omezena na bezprostřední okolí a nebude mít dlouhé trvání. ke ztrátám menším než 0,05% 2 střední Pravděpodobně povede k újmě (ohrožení osobní bezpečnosti, svobody nebo zranění) jedné nebo několika osob. Porušení zákonných nebo podzákonných norem vedoucí k negativním osobním dopadům na jednotlivce. Správní, občanskoprávní nebo smírčí řízení vedoucí k pokutě nebo k náhradě škody ve výši 0,5-5 mil. Kč Může vytvořit podmínky pro páchání trestné činnosti nebo může ztížit její vyšetřování. Pravděpodobně zapříčiní rozsahem, formou nebo místem omezené protesty. Může vytvářet negativní obraz ČR v jednom teritoriu, popř. v jednom státě. Bude bránit v provádění důležitých činností státní organizace. Negativně ovlivní vztahy s jinými organizacemi nebo veřejností, negativní publicita se ale bude týkat omezené zájmové skupiny nebo bude široká avšak krátkodobá. ke ztrátám mezi 0,05% a 1% Ostatní ISVS GDPR ZKB - VIS, PZS 3 vysoká * Pravděpodobně povede k újmě (ohrožení osobní bezpečnosti, svobody nebo zranění) větší skupiny osob. Porušení zákonných nebo podzákonných norem vedoucí k negativním dopadům na velkou skupinu osob. Správní pokuty až do výše 20.000.000 EUR. Správní, občanskoprávní nebo smírčí řízení vedoucí k pokutě nebo k náhradě škody přesahující 5 mil. Kč Napomůže spáchání trestného činu se sazbou do 5 let (např. úmyslný trestný čin) nebo znemožní vyšetřování takového trestného činu. Pravděpodobně zapříčíní rozsahem, formou nebo místem omezené prostesty, jejichž řešení si může vyžádát aktivaci krizového řízení na úrovni kraje. Může vytvářet negativní obraz ČR ve světě. Závažným způsobem poškozuje účinný rozvoj nebo prosazení státní politiky nebo může způsobit zastavení nebo podstatné narušení základních činností státní organizace. Závažně ovlivní vztahy s jinými organizacemi nebo veřejností s následkem celostátní negativní publicity. ke ztrátám mezi 1% a 10% ZKB - KII, PZS 4 kritická ** Může vést k ohrožení života jedné nebo několika osob. žádné vodítko žádné vodítko Napomůže spáchání trestného činu se sazbou od 5 let (např. zvlášť závažný trestný čin) nebo znemožní vyšetřování takového trestného činu. Způsobí hromadné nepokoje, např. generální stávku, nebo jinak závažně naruší veřejný pořádek s celostátními dopady. Může negativně ovlivnit nebo poškodit diplomatické vztahy a tím způsobit nevýhodu pro zájmy ČR. Závažným způsobem zasáhne do fungování státu jako celku, zemožňuje řízení státních institucí a výkon veřejné správy. Závažně a dlouhodbě ovlivní vztahy s jinými organizacemi nebo veřejností s následkem celostátní či nadnárodní negativní publicity, s dlouhodobými účinky a požadavky přijetí politické odpovědnosti. ke ztrátám přesahujícím 10% ZUI 5 vysoce kritická Narušení bezpečnosti informací v oblasti "důvěrnosti" může zůsobit újmu zájmům České republiky anebo nevýhodnost pro zájmy České republiky a zároveň je uvedena v seznamu utajovaných informací.( 2 písm. a) zákona č. 412/2005 Sb.). (Proto by se mělo jednat o utajované informace. Pro určení odpovídajícího stupně utajení je třeba postupovat v souladu se zákonem č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti. A to za splnění dalších stanovených podmínek, např. uvedených v nařízení vlády č. 522/2005 Sb.). * V případě, že je v některém z parametrů bezpečnosti (dostupnost, důvěrnost, integrita) dosaženo max. úrovně dopadu Vysoká měl by správce zvážit zařazení informačního systému mezi významné informační systémy (VIS), případně mezi informační systémy základní služby (ISZS). - Podmínkou pro zařazení systému mezi VIS je současné naplnění definice v 2 písm. d) zákona č. 181/2014 Sb., a alespoň jednoho oblastního kritéria podle přílohy č. 2 k vyhlášce č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích a zároveň alespoň jednoho dopadového kritéra uvedeného v 4 vyhlášky č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích. - Podmínkou zařazení systému mezi ISZS je naplnění definice v 2 písm. i) a j) zákona č. 181/2014 Sb., a současné naplnění alespoň jednoho odvětvového kritéria podle přílohy k vyhlášce č.../2017 Sb., o kritériích pro určení provozovatelů základních služeb a alespoň jednoho dopadového kritéria uvedeného v příloze k této vyhlášce. ** V případě, že je v některém z parametrů bezpečnosti dosaženo úrovně dopadu Kritická, měl by správce zvážit zařazení informačního nebo komunikačního systému mezi prvky kritické informační infrastruktury (KII). - Podmínkou zařazení systému mezi KII je současné naplnění definice v 2 písm. b) zákona č. 181/2014 Sb., a alespoň jednoho odvětvového kritéria v odvětví VI., oblasti G. Kybernetická bezpečnost podle přílohy k nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury a zároveň alespoň jednoho průřezového kritéria uvedeného v 1 nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury. 9

PRINCIP HODNOCENÍ DOPADŮ Nezkoumají se příčiny (hrozby) narušení bezpečnosti Neurčuje se pravděpodobnost výskytu jednotlivých scénářů Posuzují nejhorší možné kritické scénáře Neuvažují se existující bezpečnostní opatření 10

PRINCIP HODNOCENÍ - NEDOSTUPNOST Hodnocení nedostupnosti vychází z předpokladu, že nedochází ke ztrátě dat, jen k jejich dočasné nedostupnosti. Určení dopadů v jednotlivých časových intervalech napomáhá identifikovat okamžik, kdy se již výpadek ICT služby stává neakceptovatelný. 11

PRINCIP HODNOCENÍ ZTRÁTA DAT, INTEGRITA, DŮVĚRNOST Pro určení požadavku na frekvenci ZÁLOHOVÁNÍ dat se hodnocení dopadů provádí v časových intervalech. DŮVĚRNOST je zkoumána z hlediska prozrazení v rámci organizace, prozrazení smluvním partnerům, prozrazení vně organizace INTEGRITA zkoumá následky neúmyslné a úmyslné modifikace informací 12

POSTUP HODNOCENÍ Interview se správcem (garantem) informačního systému / komunikačního systému Obvyklá délka interview na jeden IS / KS je 90 až 120 minut Nastínění realistického scénáře nejhoršího případu: nedostupnost informačního systému (nedostupnost zpracovávaných informací) ztráta dat od poslední zálohy, úplná ztráta dat a informací narušení důvěrnosti dat a informací (neoprávněné prozrazení a únik informací), narušení integrity dat a informací (neúmyslné modifikace (chyby), úmyslné modifikace dat a systémové chyby) 13

PŘÍKLAD A. Bezpečnost a zdraví osob Nedostupnost informací z některých systémů, (např. komunikační systémy IZS, informace v letecké dopravě, zdravotní záznamy apod.) může vést k nesprávným nebo pozdním rozhodnutím, v jejichž důsledku mohou vzniknout negativní dopady na bezpečnost nebo zdraví určité osoby nebo skupiny osob. Prozrazení údajů určitých osob (např. adresa, identita agentů, chráněné osoby dle zákona č. 137/2001 Sb.) může způsobit, že se tyto osoby stanou cílem někoho, kdo jim chce způsobit újmu, což v důsledku může způsobit újmu zájmům České republiky. Neoprávněná modifikace informací (např. informací v rámci komunikace IZS, informací spojených s výrobními procesy, výrobou energií, léčebnými postupy apod.) může způsobit chybnou funkčnost zařízení nebo může vést k nesprávným rozhodnutím, v jejichž důsledku dojde k ohrožení bezpečnosti nebo zdraví osob. 14

DĚKUJI ZA POZORNOST Copyright 2017 Risk Analysis Consultants, s.r.o.

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář