Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost?

Podobné dokumenty
Cyber Security GINIS. Ing. Igor Štverka GORDIC spol. s r. o.

)a ezpeče í aktiv v ISSS Igor Št erka

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Ing. Igor Štverka. Cyber Security GINIS

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Důvěryhodná dlouhodobá a garantovaná archivace (požadavky z pohledu legislativy).

Kybernetická bezpečnost Kam jsme se posunuli po přijetí zákona?

ISMS. Uživatel jako zdroj rizik. V Brně dne 5. a 12. prosince 2013

ROZVOJ SPOLEČNÉ PARTNERSKÉ SPOLUPRÁCE VEŘEJNÉ SPRÁVY V ČESKO-BAVORSKÉM REGIONU

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Kybernetická bezpečnost

Příloha č. 1 Servisní smlouvy. Katalog služeb. S2_P1_Katalog služeb

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

Bezpečnostní politika společnosti synlab czech s.r.o.

GINIS na KrÚ Středočeského kraje

BEZPEČNOST CLOUDOVÝCH SLUŽEB

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Zákon o kybernetické bezpečnosti: kdo je připraven?

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

Zkušenosti s implementací ZoKB a problémy, které nás pálí. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT

Efektivní řízení rizik webových a portálových aplikací

Katalog služeb a podmínky poskytování provozu

SOUČASNÉ TRENDY V OBLASTI SPRÁVY DIGITÁLNÍCH DOKUMENTŮ

GORDIC a GDPR? Připraveno!

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Péče o dokumenty v nových podmínkách

Vnitřní integrace úřadu Středočeského kraje

Security. v českých firmách

Metodika zajištění ochrany kritické infrastruktury v oblasti výroby, přenosu a distribuce elektrické energie

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Bezpečnostní aspekty informačních a komunikačních systémů KS2

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

ATOS Důvěryhodné úložiště pro státní správu

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Jan Slezák, Zdeněk Dutý Oracle Day. Využití SW a HW technologií Oracle v projektu ISZR a potenciál pro egoverment

DOPLNĚK. Projekt Informační systém základních registrů je spolufinancován Evropskou unií z Evropského fondu pro regionální rozvoj.

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Účel dokumentu. Uveřejnění jakékoli části tohoto dokumentu podléhá schválení příslušných pracovníků Ministerstva vnitra České republiky.

Security. v českých firmách

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Bezpečnostní politika a dokumentace

PŘÍPADOVÁ STUDIE ÚŘAD MĚSTSKÉ ČÁSTI PRAHA 3

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

MĚSTO LITVÍNOV Náměstí Míru č. p. 11; Litvínov zastoupené starostou města Mgr. Milanem Šťovíčkem

KYBERNETICKÁ BEZPEČNOST V ORGANIZACÍCH

Příloha č. 1 zadávací dokumentace veřejné zakázky Spisová služba pro ČIŽP Technické podmínky

TOP. Agenda. bezpečnostní témata pro Milan Chromý. Zavádíme a provozujeme užitečné informační technologie v organizacích.

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Standardy a definice pojmů bezpečnosti informací

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Fyzická bezpečnost. Bezpečnost informací v ČR. Ing. Oldřich Luňáček, Ph.D. oldrich.lunacek@unob.cz

ZPRÁVA O STAVU PROVOZU ZÁKLADNÍCH REGISTRŮ 41 měsíců produkčního provozu

Koncepce rozvoje ICT ve státní a veřejné správě. Koncepce rozvoje ICT ve státní a veřejné správě (materiál pro jednání tripartity)

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Kybernetická bezpečnost MV

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Digitalizace. Co je to digitalizace Proč digitalizovat a přínosy digitalizace Popis procesu digitalizace Příklady digitalizačních projektů

Technické aspekty zákona o kybernetické bezpečnosti

Ministerstvo vnitra připravuje. jednotné řešení pro státní správu

Microsoft Day Dačice - Rok informatiky

N_SAS / VŠFS / LS 2010 / DS. Přednáška č. 9 (hlavní teze) Elektronizace veřejné správy a rozvoj e-governmentu v ČR

Extrémně silné zabezpečení mobilního přístupu do sítě

Legislativa - co se děje v oblasti spisové služby u nás a EU

ICT bezpečnost a její praktická implementace v moderním prostředí

Ukládání dokumentů v návaznosti na datové schránky

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

Zkušenosti z nasazení a provozu systémů SIEM

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

mycash Moderní styl maloobchodního prodeje RETAIL MANAGEMENT

Zkušenosti se zaváděním ISMS z pohledu auditora

Výzva k podání nabídky. Meziříčí.

Specifikace veřejné zakázky: Věc: Dodatečné informace č. 1 k veřejné zakázce "Konsolidace IT a nové služby TC ORP Uherské Hradiště"

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Ne-bezpeční zemědělci

Prioritní témata řešená v rámci Národní strategie elektronického zdravotnictví. Martin Zeman, Jiří Borej ehealth Day 2015 Brno 22.

Archivace Elektronických Dokumentů

Mobile Device Management Mobilita v bankovním prostředí. Jan Andraščík, Petra Fritzová,

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

MANUÁL PRACOVNÍCH POSTUPŮ

Datové schránky. únor Jana Kratinová SIKS a.s.

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

KDS krajská digitální spisovna. Ing. Vítězslav Mach RNDr. Zdenka Bukvicová oddělení informatiky

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

Případová studie: Ochrana citlivých dat v automobilovém průmyslu

Spisová služba a její další rozvoj v souvislosti se zavedením datových schránek

HP JetAdvantage Management. Oficiální zpráva o zabezpečení

Stručný návod pro připojení OVM k základním registrům. Název dokumentu: Příručka pro obce Verze: 1.7

Technologie nových dimenzí e-government Mikulov září Fujitsu Technology Solution s.r.o. Miroslav Filipnzí

ZPRÁVA O STAVU PROVOZU ZÁKLADNÍCH REGISTRŮ 25 měsíců produkčního provozu

Řízení kybernetické a informační bezpečnosti

Bezpečnost na internetu. přednáška

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

myteam Řízení vnitro remních procesů a práce s dokumenty PROCESS MANAGEMENT

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

PŘINÁŠÍME IT ŘEŠENÍ PRO FINANČNÍ ORGANIZACE. IT makes sense

PRACOVNÍ SCHŮZKA INFORMATIKŮ MHMP a ÚMČ. INF MHMP a MČ

Transkript:

Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost? Ing. Jan Dienstbier 22. 3. 2016

Proč kybernetická bezpečnost? zajištění bezpečnosti informací v informačních systémech a dostupnosti a spolehlivosti služeb a sítí elektronických komunikací v kybernetickém prostoru. ZoKB 181/2014 Sb. 4, odst. 1

Nebo protože je to nutnost? Cokoliv je připojeno lze hacknout! Rozlišuji pouze dvě kategorie systémů, ty které již hackli a ty, které to ještě něvědí John Chambers ex CEO Cisco Ať se vám to líbí nebo ne, je to blíže k realitě než k fikci.

Co vše je připojeno? osobní údaje kontakty chytrá města vztahy a vazby peníze obchodní tajemství regulace a dohled rozvodné sítě a řídící systémy důvěryhodnost duševní vlastnictví akcie technické prostředky internet of things MOC strategické plány krizové řízení přístupové klíče společenský vliv výsledky výzkumu

Co s tím? Zapomeňme na to, že existuje bezpečný systém Při návrhu stavbě i provozu počítejme s tím, že k narušení dojde a snažme se minimalizovat možné škody již v samém návrhu systému Nezapomínejme na zdravý selský rozum Systém je tak bezpečný, jak bezpečný je jeho nejslabší článek

Co to tedy znamená? Pohlížejme na bezpečnost jako na celek Neoddělujme bezpečnost fyzickou od kybernetické Soustřeďme se na nejslabší články Nezaštiťujme se zákonem Učme se z chyb (raději z chyb druhých než z těch vlastních) Komunikujme (vysvětlujeme) raději více než méně Buďme vždy připraveni Cvičení dělá pokroky Důvěřujme, ale prověřujme 29.3.2016 6

Co to znamená v praxi? Vůli vedení k budování bezpečnostní kultury instituce. Zhodnotit aktiva a analyzovat rizika - co chránit, s jakou hodnotou a proti čemu Průtok peněz Systémy Know-how, Prestiž, Značku apod. Řízení dodavatelů Bezpečnostní díra zabezpečeného systému. Bezpečnost informačního systému jako služba, zodpovědnost stejně nese vlastník Řízení celého životního cyklu všech prvků informačního systému (od pořízení po likvidaci bezpečnou) Personální bezpečnost (osvěta, vzdělání) Nastavení procesů pro zvládání incidentů a sdílení a rozvíjení znalostí o hrozbách a zranitelnostech Zavedení monitorovacího systému (dohledová centra) Zajištění kontinuity činnosti Fyzická bezpečnost všech rozhodujících technologií informačního systému Mít jasně definovány parametry bezpečnosti informačního systému Ochrana identit, Pravidla pro přístupy do informačního systému, Pravidla pro používání mobilních zařízení, Pravidla pro BYOD (Bring Your Own Device) apod. Síťovou bezpečnost

Nebo slovy zákona Bezpečnostní pravidla Organizace informační bezpečnosti Klasifikace a inventarizace informačních aktiv Zabezpečení vůči zaměstnancům Fyzické zabezpečení výpočetního centra Bezpečnost komunikací a provozu IT Přístupová práva k sítím, systémům, aplikacím, funkcím a datům Implementace zabezpečení do aplikací Předvídání a řešení incidentů Zabezpečení kontinuity chodu kritických systémů Zabezpečení konformity s nastavenými požadavky, audit

Kybernetická bezpečnost nekonečný příběh 9

Jak vám může pomoci

Projektové služby kybernetické bezpečnosti Studie řízení bezpečnosti informačního systému Analýzy a konzultace: Identifikace, klasifikace a ocenění aktiv Bezpečnostní politika informačních systémů Business continuity management Metodiky procesů průběžné analýzy rizik Procesy řízení incidentů Politiky hesel, autentizace a autorizace Bezpečnostní role Řízení bezpečnosti lidských zdrojů Fyzické zabezpečení výpočetního centra Metodiky skartace el. médií a výpočetní techniky 11

Projektové služby kybernetické bezpečnosti Služby ve spolupráci s partnery : Analýza a konzultace řešení technických zranitelností systémů Návrh a realizace penetračních testů Implementace a konfigurace bezpečnostních nástrojů (např. log management, SIEM, IDS/IPS, antiviry,...) Mobile Device Management (MDM), BYOD Podpora provozu bezpečnostního systému Dohledové centrum... 12

www.kybez.cz 13

Partneři www.kybez.cz

Partneři Služby GORDIC pro řešení požadavků ZoKB Bezpečnostní audit dle metodiky CISA Optimalizace bezpečnostních opatření Implementace modulů Cyber Security GINIS Semináře a školení ke kybernetické bezpečnosti Příprava komplexního řešení kybernetické bezpečnosti Studie Analýzy Projekty Realizace Provoz Dohled www.gordic.cz 15

Co znamená KB pro zákazníky GORDIC? Aplikace od počátku vyvíjeny s důrazem na bezpečnost provozu (instalace v silových rezortech) Moduly Cyber Security GINIS Standardy GORDIC je držitelem certifikátů: ISO 9000 (řízení jakosti) ISO 20000 (poskytování ICT služeb) ISO 27001 (řízení bezpečnosti informací) Podpora zákazníků v zavádění ISMS Odborné poradenství Inovace v produktech Řešení se specializovanými partnery 29.3.2016 16

GINIS splňuje požadavky ZoKB GINIS v roli významného informačního systému Instalace u orgánů veřejné moci (a krajů v přenesené působnosti) Subsystémy spisová služba, správní řízení, ekonomika, personalistika,... Soulad GINIS a ZoKB Od počátku je navržen s ohledem na aktuální bezpečnostní normy Je koncipován pro nasazení v silových rezortech (MO, MV) Obsahuje mechanismy pro zajištění důvěrnosti, integrity a dostupnosti Podpora rozšířených požadavků dle ZoKB: GINIS 3.76 podzim 2015 Již dnes obsahuje volitelné komponenty Cyber Security GINIS GORDIC je držitelem certifikátů: ISO 9000 (řízení jakosti) ISO 20000 (poskytování ICT služeb) ISO 27001 (řízení bezpečnosti informací) 29.3.2016 17

Cyber Security GINIS Komplexní zabezpečení primárních aktiv v aplikačních systémech Modul GINIS Podporuje IS IDM Identity Management ANO ANO Potenciální přínos pro zabezpečení aktiv* GINIS ostatní Důvěrnost Integrita Dostupnost GDU Garantované dlouhodobé úložiště ANO ANO GDA Důvěryhodný archiv ANO ANO AIB Aplikační internetová brána ANO ANO DKS Dokumentový konverzní server ANO ANO WSDMS Úložiště dokumentů ANO ANO GSP GORDIC Support Portál ANO ANO ZUD Zpracování událostí ANO RAK Registr autorizovaných konverzí ANO EPK Elektronická podpisová kniha ANO DAA DRMS Administrativní audit ANO SEM Security Monitor GINIG ANO DSG Dohledový systém GINIS ANO econnector Konektory na bezpečná úložiště ANO SSL Individuální přístup k dokumentům ANO ADM Záznam činností administrátora ANO *) Potenciální přínos pro zabezpečení aktiv: kritický / podstatný / podpůrný

Moduly CSG: Cyber Security GINIS IDM - Identity management ZUD - Zpracování událostí AIB - Aplikační internetová brána IPA - Informační panel EPK - Elektronická podpisová kniha WSDMS - Bezpečné úložiště GINIS GDU - Garantované dlouhodobé úložiště digitálních dokumentů www.gordic.cz 19

GORDIC Lightweight IDM Správa rolí Historizace rolí a jejich přidělení v čase Přehledy uživatelů nákladových středisek Sestavy s aktivními a neaktivními uživateli Automatizovaný systém odebírání rolí Zpracování žádostí o přístupy do systému GINIS Rozdělení zodpovědností žadatel-schvalovatel-realizátor Řízený proces přijetí, schválování a zpracování Poloautomatické nastavení přístupů v GINIS Distribuce prvotních údajů potřebných pro přístup - např. heslo Zvýšení bezpečnosti celého informačního systému www.gordic.cz 20

Zpracování událostí Abyste nic nepřehlédli! Automatické plánované provádění rutinních nebo často opakovaných činností Cílená informovanost o důležitých událostech v rámci systému Rozsáhlé portfolio kategorizovaných událostí a obslužných akcí Optimalizace zpracování Účinný dohled nad klíčovými provozními parametry systému Možnost posunu zpracování náročných úloh do doby nízkého vytížení systému Podpora napopojení událostního systému na externí SIEM řešení SIEM security information and event management www.gordic.cz 21

Aplikační internetová brána Zvýšení bezpečnosti úřadu Podrobný log komunikace s externími systémy Jedno místo pro správu a instalaci certifikátů Centrální přístupový bod pro: ISDS - datové schránky ISZR - základní registry IISSP - státní pokladna ISIR - insolvenční rejstřík ADIS - Registr plátců DPH ČNB - ABOKWS Centrální funkce: RAK - autorizovaná konverze TS - tvorba časových razítek SIGN - Podepisování a CLR listy Optimalizováno pro GINIS, podporuje i aplikace jiných výrobců www.gordic.cz 22

Informační panel Integrace heterogenních informací Podpora rozhodovacího procesu Drilování interaktivní detail Různé formy výstupů grafy, zvuková upozornění, grafické alerty apod. Využití jako univerzálního bezpečnostního dashboardu (nejen pro aplikace GINIS) www.gordic.cz 23

Elektronická podpisová kniha Obdoba procesu schvalování listinných dokumentů Žádosti o posouzení/schválení Finalizace dokumentu Schválení jedním tlačítkem Dohledatelné poznámky, komentáře a kroky procesu Logování veškerých činností Hromadné činnosti www.gordic.cz 24

Úložiště dokumentů WSDMS Bezpečná náhrada úložišť typu FTP serveru Klientský přístup z mnoha platforem Konektivita po internetu pomocí standardních protokolů. Bezpečná autorizace. Šifrování dat. Fulltext. www.gordic.cz 25

Garantované dlouhodobé úložiště Důvěryhodné uložení a správa správa digitálních, analogových i hybridních dokumentů a spisů. Kontrola metadat, formátů i výskytu škodlivého kódu Skartační řízení včetně přenosu archiválií do příslušných archivů či NDA Plný soulad s platnou legislativou (vč. Národního standardu pro el. systémy spisové služby) a OAIS www.gordic.cz 26

Fakulta podnikatelská, VUT Brno gestor GORDIC spol. s r. o. provozovatel + partneři www.kybez.cz 27

Děkuji za pozornost Jan Dienstbier jan_dienstbier@gordic.cz jan.dienstbier@cimib.cz www.kybez.cz www.gordic.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář