KyBez na MPO. aneb zavádění Zákona o kybernetické bezpečnosti. KyBez na MPO. Ing. Miloslav Marčan Ředitel odboru informatiky

Podobné dokumenty
V Brně dne 10. a

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

ZKUŠENOSTI A NÁZORY Z IMPLEMENTACE ISMS. - Kybernetická bezpečnost resortu MV

Zkušenosti z implementace IS PROXIO - Město Žďár nad Sázavou Ing. Libor Vostrejš vedoucí odboru IT, Ing. Jiří Berkovec MARBES CONSULTING s.r.o.

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Kybernetická bezpečnost resortu MV

TECHNOLOGICKÁ PLATFORMA SILNIČNÍ DOPRAVA

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Kybernetická bezpečnost MV

Registr práv a povinností. PhDr. Robert Ledvinka vrchní ředitel sekce veřejné správy MV

Z K B V P R O S T Ř E D Í

Technické aspekty EET

Místní Agenda 21 v ČR. Ing. arch. Marie Petrová PS URROU, 5. února 2015

SEMINÁŘ PRO ŽADATELE K 10. VÝZVĚ IROP KYBERNETICKÁ BEZPEČNOST

Realizační tým Zhotovitele. Oprávněné osoby. Seznam subdodavatelů. Tabulka pro zpracování nabídkové ceny. Zadávací dokumentace

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Kybernetická bezpečnost Ochrana systémů v energetice

STRATEGIE PRO OBLAST KYBERNETICKÉ BEZPEČNOSTI ČESKÉ REPUBLIKY NA OBDOBÍ Obsah

Zadavatel: Moravskoslezský kraj se sídlem Ostrava, 28. října 117, PSČ IČ:

Mezinárodní standardy připravované změny ve Standardech pro praxi interního auditora

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Ing. Igor Štverka. Cyber Security GINIS

Státní pokladna. Centrum sdílených služeb

VNITŘNÍ KONTROLNÍ SYSTÉM řídící kontrola

Jednotná digitální technická mapa Moravskoslezského kraje" (JDTM MSK)

Náměstek pro řízení Sekce pro evropské záležitosti - státní tajemník pro evropské záležitosti Odbor koordinace hospodářských politik EU

Drážní úřad Rail Authority

Příloha Vyhlášky č.9/2011

ITS: a traffic management and safety tool in Czech republic

ení nehodovosti Centrum dopravního výzkumu

EUROVIA Kamenolomy, a.s. Podnik podporující zdraví

Digitální mapa veřejné správy ZK III a celostátní. Zlín Barbora Valouchová

Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra

Statut bezpečnostní rady obce s rozšířenou působností Písek

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Projekty MV pro Prahu. Ing. Jaroslav Svoboda

Dopady zavedení registru práv a povinností na orgány veřejné moci

Zápis z jednání Rady MAS ORLICKO

Přechod financování z MPSV na kraje k Seminář pro poskytovatele sociálních služeb 25. června 2014

Metodické centrum MZK. Konference Architektura a výstavba knihoven Hradec Králové,

Národní registr nemocí z povolání v rámci projektu EREG

Zkušenosti s implementací ZoKB a problémy, které nás pálí. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT

a. vymezení obchodních podmínek veřejné zakázky ve vztahu k potřebám zadavatele,

Program EU pro zaměstnanost a sociální inovace (EaSI) Jitka Zukalová, MPSV, oddělení Evropské unie

Ze zákulisí evaluací NOK

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost?

Dopady zákona o kybernetické bezpečnosti (ZKB) Jan Mareš

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Zkušenosti z naplňování ZKB: Audit shody se ZKB. Ing. Martin Konečný,

Strategie přizpůsobení se změně klimatu v podmínkách ČR

JARNÍ ŠKOLA Zdravých měst

ZAVÁDĚNÍ ECVET V ČESKÉ REPUBLICE

Ekonomika podnikání v obchodě a službách

e-sbírka a e-legislativa Odbor legislativy a koordinace předpisů Ministerstvo vnitra 13. července 2016

RADA EVROPSKÉ UNIE. Brusel 27. března 2014 (02.04) (OR. en) 8216/14 PROCIV 27 JAI 189

Implementace Systému řízení bezpečnosti informací dle normy ISO/IEC v prostředí Krajského úřadu Jihomoravského kraje

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Operační program Životní prostředí

Bezpečnostní politika společnosti synlab czech s.r.o.

Relevantní legislativa

Bezpečnostní opatření a audit shody se ZKB. Ing. Martin Konečný,

? Tři pilíře: Jednoznačná zodpovědnost Způsoby finančního krytí Spolupráce

Certifikace Ministerstva vnitra v oblasti kyberbezpečnosti

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

Obsah činnosti a složení bezpečnostní rady a krizového štábu kraje a obce s rozšířenou působností

Podpora personálních procesů v HR Vema

Potvrzená témata a vedoucí DP/BP KPM Plzeň a Cheb akademický rok 2016/2017

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

na téma Komunikační a informační propojení výkonu veřejné správy v rámci kraje

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Zákon o kybernetické bezpečnosti. Petr Nižnanský

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

REFERENČNÍ MODEL GIS A PŘÍSTUPY K ŘÍZENÍ JAKO EA. CACIO FÓRUM na téma: JAK DOBŘE INVESTOVAT DO IT , Palác TeTa

PLÁNOVÁNÍ, ZÍSKÁVÁNÍ A VÝBĚR

NEPŘIMĚŘENÉ NÁKLADY. vysvětlení pojmu

ISÚI Informační systém územní identifikace Proč? Co? Kde? Kdo? Jak? Kdy?

Implementační rozdíly ve vývoji IS při použití bezschémové a relační databáze

Návrh VYHLÁŠKA ze dne 2014 č. /2014 Sb. o významných informačních systémech a jejich určujících kritériích

Kybernetická bezpečnost

Město Nový Bydžov. NB04 - Personální strategie

Obecné nařízení o ochraně osobních údajů

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Bezpečnostní aspekty informačních a komunikačních systémů KS2

6. konference Medicína katastrof v Hradci Králové

Posuzování na základě rizika

Výroční zpráva společnosti CyberGym Europe, a.s.

Projekt Podpora rozvoje Olomouckého kraje Workshop pro zástupce ORP Olomouckého kraje V., , Bozeňov

Národní strategie ochrany a podpory zdraví a prevence nemocí Zdraví 2020

Metodika zajištění ochrany kritické infrastruktury v oblasti výroby, přenosu a distribuce elektrické energie

Věc: Strategie EZÚ pro přechodné období zavádění normy ČSN OHSAS 18001

Seminář pro žadatele o finanční podporu OP VVV. CORSO IIa, Křižíkova 34, Praha 8, konferenční sál, 4. patro Mgr.

Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2015 až 2020

MPA. Master of Public Administration.

Projekt diplomové práce JAN BŘEZINA

Transkript:

aneb zavádění Zákona o kybernetické

Úvod Dlouhodobě kladený důraz na bezpečnost ICT Bezpečnostní politika informačních a komunikačních systémů (2007 - vycházela z filozofie norem řady ISO 27000) Před zákonem č. 181/2014 Sb., o kybernetické opora v zákoně č. 365/2000 Sb., o informačních systémech veřejné správy Součást nových projektů ISMS Havarijní plány kritických aplikací SIEM Varonis

Dokumentace Cyklus PDCA nekonečný příběh Plan Act Revize a aktualizace stávajících dokumentů Nová analýza rizik Analýza probíhající také v resortních organizacích Check Do

Určení VIS a KII Významné IS na MPO: Registr živnostenského podnikání Ekonomický informační systém Určování významných IS a kritické informační infrastruktury v podřízených organizacích

Organizace SŘBI Úroveň resortu Vedení resortu Výbor pro řízení kybernetické MPO s rozšířenou působností Auditor kybernetické resortu MPO Vrcholová politika SŘBI resortu MPO Vedení organizace Výbor pro řízení kybernetické Garanti aktiv Stanovení rozsahu SŘBI v organizaci Úroveň organizace Vedení ICT organizace Manažer kybernetické Architekt kybernetické Politiky, směrnice, specifikace Úroveň útvaru Vedoucí zaměstnanec útvaru Útvarové směrnice, specifikace

Výbor pro řízení KB MPO Výbor pro řízení KB s rozšířenou působností Zástupci MPO Členové Výborů pro řízení KB z podřízených organizací Jmenování členů Řízení podřízených organizací

Akční plán Náročné aktivity pro pokračování aktivit: Zajištění organizace SŘBI celkem 83 aktivit ve 14 oblastech Aktualizace Bezpečnostní politiky Nastavení kontrolních mechanismů řízení informační Analýza informačních aktiv Analýza rizik informační Nasazení nástrojů zapojených do procesu zvládání kybernetických incidentů Přizpůsobení aplikací tak, aby bylo možné tyto nástroje využívat Implementace procesu zvládání kybernetických incidentů do provozu, včetně interakce s NBÚ

Akční plán Zpracován ve formě xls tabulky Včetně křížových vazeb na jednotlivé dokumenty resp. opatření

Řízení rizik Pravidelné provádění identifikace a hodnocení aktiv a rizik Aktualizace seznamu primárních a podpůrných aktiv a jejich ohodnocení Aktualizace seznamu hrozeb Aktualizace seznamu zranitelností Aktualizace seznamu rizik Ohodnocení dopadu rizik na konkrétní podpůrné aktivum Posouzení závažnosti rizik a zvážení jejich akceptace či návrhu relevantních opatření Aktualizace plánu zvládání rizik Aktualizace prohlášení o aplikovatelnosti Aktualizace bezpečnostní a provozní dokumentace

Řízení rizik Rovněž zpracován ve formě xls tabulky Nízké nebo střední dopady Identifikováno celkem 537 rizik, Nízké (489 rizik) Střední (48 rizik) Identifikace rizika Hodnoceni rizika Stav rizika a následné kroky IDDotčené podpůrné aktivum Typ ohrožení C/I/A Typ hrozby Zranitelnost Komentář Pravděpodobnos t hrozby (1-4) Závažnost zranitelnosti (1-4) Dopad (1-4) Riziko Hodnocení rizika (Nízké - Kritické) Stav Nápravné opatření R035 SA02 - Servery T- Mobile (OS) C - Důvěrnost H05 - Kybernetický útok z komunikační sítě. Z22 - Nejsou v dostatečné míře prováděny kontroly účinnosti bezpečnostních opatření a audity Z důvodu nedostatečného provádění kontrol účinnosti bezpečnostních opatření a auditů získá útočník neautorizovaný přístup k citlivým informacím. 4 3 2 24 Střední R036 SA04 - IS RŽP (včetně databáze) C - Důvěrnost H05 - Kybernetický útok z komunikační sítě. Z22 - Nejsou v dostatečné míře prováděny kontroly účinnosti bezpečnostních opatření a audity Z důvodu nedostatečného provádění kontrol účinnosti bezpečnostních opatření a auditů získá útočník neautorizovaný přístup k citlivým informacím. 4 3 2 24 Střední R037 SA02 - Servery T- Mobile (OS) I - Integrita H05 - Kybernetický útok z komunikační sítě. Z22 - Nejsou v dostatečné míře prováděny kontroly účinnosti bezpečnostních opatření a audity Z důvodu nedostatečného provádění kontrol účinnosti bezpečnostních opatření a auditů provede útočník neautorizované změny dat v systému. 4 3 2 24 Střední R038 SA04 - IS RŽP (včetně databáze) I - Integrita H05 - Kybernetický útok z komunikační sítě. Z22 - Nejsou v dostatečné míře prováděny kontroly účinnosti bezpečnostních opatření a audity Z důvodu nedostatečného provádění kontrol účinnosti bezpečnostních opatření a auditů provede útočník neautorizované změny dat v systému. 4 3 2 24 Střední

Audit NBÚ Metodický audit Vyžádán ze strany MPO před vlastním schválením dokumentů - březen 2016 Zaměřen na IS RŽP Hladký průběh, profesionální přístup auditorů Z celkem 77 kontrolovaných položek nalezeno 72 shod 2 neshody organizačně-administrativního charakteru 2 potenciální rizika 1 příležitost ke zlepšení bylo napraveno již během kontroly

Závěrečné shrnutí ZKB není KB Rizika Nebezpečí formalistického přístupu auditorů Klady Důraz na osobní zodpovědnost vedení úřadů Vybudování NCKB Příležitosti Získat finanční prostředky Výzva č. 10 Kybernetická bezpečnost Sjednocení postupů na základě metodického vedení NBÚ Sdílení zkušeností

Děkuji za pozornost

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář