Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Podobné dokumenty
Kybernetická bezpečnost

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

Kybernetická bezpečnost resortu MV

Kybernetická bezpečnost MV

Příloha Vyhlášky č.9/2011

Protecting Data in Microsoft Online Services. Studie zpracovaná na základě poptávky Microsoft s.r.o. Zakázka: MICR Verze: 2.

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Z K B V P R O S T Ř E D Í

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Státní pokladna. Centrum sdílených služeb

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

Stav příprav egovernment Cloudu v ČR

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Zákon o kybernetické bezpečnosti

NEJEN STÁTNÍ CLOUD - egovernment Cloudu

egc tým Bezpečnost Hodnocení dopadů a zařazování do bezp. úrovní Závazná bezpečnostní opatření pro dodavatele

GDPR v sociálních službách

Í ž ž Ž ž Ž Ž ž Š ď Ž Í ť ž Í Ž Ž Ž Í Ý Š Í Š ž Ž Š ž ž ť Ž Š

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Dopady zákona o kybernetické bezpečnosti (ZKB) Jan Mareš

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Zkušenosti s implementací ZoKB a problémy, které nás pálí. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

Zákon o kybernetické bezpečnosti

Národní strategie cloud computingu České republiky

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

Ú é š é é š ú ů š Í Ú ú éú ú ú ú ú é é

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Řízení rizik ICT účelně a prakticky?

Posuzování na základě rizika

Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Ing. Miroslav Tůma, Ph.D. ředitel odboru Kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra ČR

2. setkání interních auditorů ze zdravotních pojišťoven

Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Implementace systému ISMS

10. setkání interních auditorů v oblasti průmyslu

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

Národní strategie elektronického zdravotnictví ČR a její implementace

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ

á ý á á ú ú ř ý ý ů ě ů ř á á á á ě ě š ř ů á ě ě ě ů ř š ý š ě ů ž ář ř ř š ý ář á ě ř á ý ě ů á á á ě á ž ě ě ů ě ý ě ř ě šť Č ý á á ř á ě á ř ý ý á

Jarní setkání

TSB a kybernetická bezpečnost SMB a jím ovládaných subjektů

Security. v českých firmách

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Vzorové analýzy rizik zpracování v cloudu. Zdeněk Jiříček National Technology Officer Microsoft ČR

Virtualizace jako nástroj snížení nákladů. Periodické opakování nákladů nové verze Licence na pevný počet klientů

egovernment Cloud ČR egovernment Cloud egc Miroslav Tůma Ministerstvo vnitra ČR

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

Sdílené ICT služby a G-cloud v české veřejné správě. Ing. Zdeněk Jiříček, Ing. Václav Koudele

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Cloud Slovník pojmů. J. Vrzal, verze 0.9

Možnosti cloudu JAK RYCHLE A JEDNODUŠE VYŘEŠIT KOMUNIKAČNÍ POTŘEBY ÚŘADU

egovernment Cloud ČR egovernment Cloud egc Ing. Miroslav Tůma, Ph.D. Řídící orgán egovernmet Cloudu

Obecné nařízení o ochraně osobních údajů

Bezpečnostní politika a dokumentace

Efektivní správa ICT jako základ poskytování služby outsourcing IT

Výhody a rizika outsourcingu formou cloud computingu

š č šú ň š š Ž č Ž š č ůž ň š ůž ů Í ž č č č ň č Ž Ž Ž Ž šú š ů š č š Ž Ž Ž š č č šú Ž ů Ž ž č Ž ň ú š Ž Ž š Ž

egovernment Cloud, jak to může vypadat Miroslav Tůma Ministerstvo vnitra ČR

Systém řízení bezpečnosti informací v praxi

Bezpečnostní opatření a audit shody se ZKB. Ing. Martin Konečný,

Ř Á

O2 a jeho komplexní řešení pro nařízení GDPR

Management informační bezpečnosti

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

ů č č č č úč č ž ň ž č ž ž š ž č ř č ů ř ř č ó é Á ř é š Á

ěž Úč úč Í ěž Ž č Ž ž ů Á Č Č Ž Úč Ž Úč Ž ň ž Ů č č Ž Úč Ž Í č š ě ň ó ÚČ č Ž Úč č Č š Ž Š Š ÍŠ

ř ř ř ú ň Ž Í ř ř ú ř ř ř ř ř ř ď Í ř ř ř ř ř ď ř ř Í ř ř ř ř ú ř Ž ř ú

PRACOVNÍ SKUPINA 5. Zdeněk KOCOUREK, IDS Advisory Lucie VESELÁ, Ministerstvo financí. Kybernetická bezpečnost IT

Shoda s GDPR do 4-6 měsíců! Sen či utopie?

Bezpečná výměna souborů mezi vnitřní a vnější sítí organizace. Autor: Martin Hanzal, CTO SODATSW spol. s r. o., Horní 32, Brno, Czech Republic

Outsourcing v podmínkách Statutárního města Ostravy

ď é Í Í é é é Ž é Ž é Ž é Ž É é é

Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc

ú ů Ý ůš š ů š ů Ý Ý ů

Č Ž ú ú ú Š ú Š ú ú ó ú Č ú ú ú Č Ů ú ň ú ú Ě ú ú

Certifikace Ministerstva vnitra v oblasti kyberbezpečnosti

G-cloud v ČR varianty a podmínky řešení odvozené ze zahraničních zkušeností

ČESKÁ TECHNICKÁ NORMA

Co obce mohou udělat pro GDPR už nyní. Medlov, Mgr. Miroslava Sobková

Právní výzvy v oblasti kybernetické bezpečnosti. Mgr. Petra Vrábliková advokát

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

ú í í ů í í ů í ů ě ě ú ú Ú Ú ž í š í ě í ú í Š Ú ě í í ů ů í ň ě í ě í í ň í í í

GDPR v podmínkách statutárního města Karviné

Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

Transkript:

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P R O S T Ř E D Í

ZoKB a cloudové služby Je možné zajistit soulad se Zákonem o kybernetické bezpečnosti v cloudovém prostředí? 2

Co v prezentaci nebude Části Zákona a návazné Vyhlášky a související zákony Vysvětlení pojmů a požadavků Zákona a Vyhlášky Rozbor jednotlivých opatření Způsob realizace opatření u provozovatelů VIS a KII Proč nestačí koupit SIEM 3

O čem tedy bude řeč Studie Ochrana dat v cloudových službách Proč studie vznikla a jaké jsou její cíle Jaký byl zvolen přístup k řešení a jeho vysvětlení ZoKB a cloud Výsledky a poučení z nich Návod Jak postupovat když chci využívat cloudové služby Shrnutí 4

Proč studie vznikla a jaké jsou její cíle Cíl: Cílem studie je poskytnou ucelený pohled na působnosti Zákona č. 181/2014 Sb., v prostředích ICT, která zahrnují služby poskytované prostřednictvím cloudových služeb Microsoft Online Services. Předmět: Ochrana dat v cloudových službách Microsoft Online Services Office 365 Microsoft Azure 5

Pozadí vzniku studie Zadavatel: Microsoft Přístup k interním informacím a dokumentaci pod NDA Provozní informace o Microsoft cloud services Organizační opatření, Trust portál Technická opatření Partnerství S.ICZ - Microsoft 6

Části studie a Scénáře Zadání: Studie se skládá ze dvou částí Identifikace a analýzy požadavků ZoKB při využití cloudových služeb Návrh ochrany dat pro definované scénáře Scénáře: Databázové systémy při použití Microsoft Azure jako IaaS nebo PaaS cloudu Poštovní systém, systém pro skupinovou spolupráci, repositář dokumentů, hlasové a video konference při použití Microsoft Office 365 jako SaaS cloudu Záložní datové centrum - využití Microsoft Azure jako záložního datového centra pro řešení výpadku/havárie on-premise datového centra, nebo jeho části, provozujícího dotčený informační systém 7

Zvolený přístup Pro identifikaci a analýzu požadavků Zákona a Vyhlášky vytvořen obecný model informačního systému Microsoft Online Services Internet Uživatelé připojeni do Internetu Azure Office 365 Síťové spojení Intranet 8 Firemní datová centra Uživatelé připojeni do interní sítě

Zvolený přístup Dělení operací s daty: Uložení dat umístění dat na trvalém paměťovém úložišti Zpracování dat přenos dat, jejich zpracování procesorem a zobrazení na displeji Rozsah systému řízení: Co je či není (která aktiva) součástí IS a tedy spadá/nespadá pod systém řízení Obsahuje informace Poskytuje služby jiným zařízením nebo více uživatelům Přistupuje ke službám 9

Struktura studie co tam najdete Analýza bezpečnostních opatření organizační i technická Identifikace požadavků Zákona a Vyhlášky Shrnutí požadavků pro VIS a KII Analýza identifikovaných požadavků Způsoby implementace opatření pro zajištění pokrytí identifikovaných požadavků Popis implementace opatření v prostředí Microsoft Online Services Ochrana dat dle kategorií přílohy č. 1 Vyhlášky Popis technologií Pokrytí požadavků (důvěrnost, integrita, dostupnost) na opatření technologiemi Úroveň střední Úroveň vysoká Úroveň kritická Návrh ochrana dat pro jednotlivé scénáře 10

ZoKB a cloud kdy ho mohu použít? Zohlednění potřeby řízení bezpečnosti informací u dodavatelů Vyhláška 7 Analýza rizik Smlouva Způsob realizace opatření Odpovědnosti Pravidelné hodnocení rizik a kontrola Jak provést analýzu rizik poskytovatele cloudových služeb? Bezpečnostní dokumentace Microsoft Online Services Certifikace dle různých norem (včetně ISO/IEC 27001) Implementovaná opatření a Audity http://www.microsoft.com/en-us/trustcenter https://trustportal.office.com 11

Bezpečnostní požadavky pro dodavatele Stanovisko NBÚ ve věci výkladu vyhlášky č. 316/2014 Sb. Musí být doložena sada skutečností Správná smlouva zahrnující bezpečnost informací a zavedená opatření Metodika hodnocení rizik Výčet zohledněných hrozeb a zranitelností Odpovědnosti za zavedení a kontrolu bezpečnostních opatření Metody zvládání rizik Možnost doložení skutečností vyjádřením nezávislého auditora Požadavky lze ve smlouvě doložit certifikací ISO/IEC 27001 Bezpečnostní politika dodavatele Prohlášení o aplikovatelnosti (výčet organizačních a technických opatření uplatněných dodavatelem cloudových služeb) Auditní zpráva z certifikace cloudové služby dle ISO/IEC 27001 12

Technická opatření a stupeň důvěrnosti Na úrovni obecného modelu IS byla nalezena opatření, která umožňují pokrýt požadavky Zákona a Vyhlášky Zkoumáno více než 25 technologií, které lze použít pro vypořádání požadavků přílohy č. 1 Vyhlášky K pokrytí požadavků využito technických i organizačních opatření Včetně důvěrnosti úrovně kritická Opatření realizuje správce IS i provozovatel cloudu Poznámka Při posuzování požadavků systému řízení bezpečnosti je třeba zohlednit skutečnost, že v cloudových službách obecně není možné garantovat výhradní přístup k šifrovacím klíčům umístěným v operační paměti počítačů, protože není možné zajistit výhradní fyzický přístup k počítačům pro vlastníky nebo autorizované uživatele klíčů. BYOK použití vlastních klíčů 13

Technická opatření pro jednotlivé scénáře Pro jednotlivé scénáře byla nalezena opatření, která umožňují pokrýt požadavky Zákona a Vyhlášky o oblastech Důvěrnost dat Integrita dat Dostupnost dat 14

Závěry Úroveň a způsob realizace bezpečnostních opatření v cloudových službách Microsoft Online Services umožňuje za předpokladu implementace opatření z oblasti organizační a technické bezpečnosti pokrýt požadavky Zákona a Vyhlášky v oblasti sdílených služeb 15

Poučení Výsledky není možné aplikovat plošně Vždy je třeba provést analýzu rizik a vyhodnotit zda je úroveň bezpečnosti navrhované architektury informačního systému dostatečná Zjištění Vlastní bezpečnostní opatření realizovaná společností Microsoft v cloudových službách Microsoft Online Services jsou vyspělá a jsou na vysoké úrovni. Vzhledem k úsilí, rozsahu investic a úrovni standardizace těchto opatření bude pro lokální organizace v České republice velmi obtížné realizovat stejná opatření ve srovnatelném rozsahu a kvalitě. 16

Jak postupovat když chci využívat cloudové služby Definovat co bude v cloudu Navrhnou správnou architekturu Provést analýzu rizik, navrhnout opatření Ověřit, zda je možné opatření realizovat v cloudu, případně definovat kompenzační opatření Vyvinout a implementovat IS včetně bezpečnostních opatření Včetně smluvních ujednání Součástí provozu IS je i proces řízení bezpečnosti audit, prověřování a testování opatření 17

Shrnutí Požadavky ZoKB je možné úspěšně vyřešit i v cloudovém prostředí Každý specifický informační systém je třeba řešit samostatně 18

Pomůžeme Vám bezpečnost učesat Společnost S.ICZ je schopna kvalifikovaně řešit problematiku shody s požadavky ZoKB a Vyhlášky i v prostředí externích dodavatelů služeb ICT 19 S.ICZ a.s. Na Hřebenech II 1718/10, Praha 4

Děkuji za Vaši pozornost Prostor pro Vaše dotazy 20

Petr Hron Tel.: 724 429 910 E-mail: petr.hron@i.cz 21

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář