LEX UNO ORE OMNES ALLOQUITUR JUDr. Jaroslav Strouhal náměstek ministra vnitra pro řízení sekce informačních a komunikačních technologií 1. 6. 2015, Praha
od BS 7799 do současnosti
od BS 7799 do současnosti BS 7799 ISO 27 XXX bezpečnostní standardy aplikovatelné na jakékoli ICT systémy v roce 1995 vydán britský standard BS 7799 formalizoval nejlepší praktiky pro zabezpečení dat stal se celosvětovým standardem
VÝCHODISKA
Data a informace jsou v současné době nejcennějším aktivem, které musíme chránit VÝCHODISKA Hardware se dá nahradit, software přeinstalovat, nicméně ztráta dat může být pro mnoho organizací fatální Narušení důvěrnosti informací patří mezi nejvyšší rizika, stejně jako neoprávněná modifikace
BEZ VĚTŠÍCH PROBLÉMŮ/INCIDENTŮ
BEZ VĚTŠÍCH PROBLÉMŮ/INCIDENTŮ ZATÍM
Naše teze Ministerstvo vnitra si je vědomo své klíčové řídící a strategické role v oblasti ICT státu, a proto usiluje o jednotnost a centralizaci základních služeb egovernmentu, zejména prostřednictvím budování centralizovaných informačních, komunikačních a dohledových systémů.
VÝCHODISKA
VÝCHODISKA Zákon o kybernetické bezpečnosti se ve většině případů týká systémů státní správy, která - a to si přiznejme má v oblasti kybernetické bezpečnosti znatelný deficit. Nové projekty například projekt elektronické identity nebo základní registry - vyžadují vysoké zabezpečení, které zajistí maximální důvěru lidí ve státní správu.
VÝCHODISKA
VÝCHODISKA Státní instituce mají vazbu nejen mezi sebou, ale i na další např. evropské orgány Proto chápeme kybernetický zákon v širším měřítku MVČR šlo příkladem při přípravě svých systémů na aplikaci zákona
Kritická informační infrastruktura v rámci MV
Kritická informační infrastruktura v rámci MV Informační systém základních registrů + Formulářový agendový IS Integrovaná telekomunikační síť ITS Agendový informační systém evidence cestovních dokladů Vízový informační systém Informační systém Registr obyvatel Radiokomunikační síť PEGAS Agendový informační systém evidence osob Schengenský informační systém Centrální místo služeb 1.0 komunikační uzel Informační systém CZECH Point Agendový informační systém elektronických občanských průkazů Informační systém Registr práv a povinností Agendový informační systém cizinců Centrální registr zbraní Informační systém datových schránek Informační systém PČR služby cizinecké a pohraniční policie Nástroj pro zpracování žádostí na přidělení certifikátů pomocí datových schránek
GINIS Významné informační systémy v rámci MV
GINIS Významné informační systémy v rámci MV Informační systém Policie ČR Rejstřík politických stran Portál veřejné správy (PVS) Ústřední evidence nabytí a pozbytí státního občanství České republiky VIS určené MV, nejdříve od 1/7/2015 GINIS EKIS
Budujeme dohledové centrum MV pro provoz ICT systémů a kybernetickou bezpečnost SOCCR Security Operation Center for Continuous Reliability
SOCCR (Security Operation Center for Cyber Reliability) DOHLEDUJE BEZPEČNOST ICT SYSTÉMŮ RESORTU MV JE V SOULADU ISO 27001 ISO 22301 ISO 20000 PODPORUJE ŘÍZENÍ RIZIK A KONTINUITY ŘÍDÍ BEZPEČNO ST JE MODULÁRNÍ A PŘIPRAVEN NA DALŠÍ ROZVOJ 24x7 IDENTIFIKUJE, VYHODNOCUJE A HLÁSÍ INCIDENTY DO NCKB (NBÚ) TÝM SOCCR POSKYTUJE PROVOZNÍ A BEZPEČNOSTNÍ REPORTING SKENUJE ZRANITELNO STI PROVOZUJE ČPOZ
DCeGOV Dohledové centrum egovernmentu Dohledové centrum egovernmentu má za cíl centralizovat a sjednotit provozní a bezpečnostní dohledy prostřednictvím vybudování bezpečnostního dohledového centra SOCCR (Security Operational Centre for Cyber Reliability) a provozního dohledového centra NOC (Network Operation Centre)
Dohledové centrum MV pro provoz ICT systémů a kybernetickou bezpečnost
projekt DCeGov provozně i bezpečnostně zajistí rozšíření jednotného centrálního dohledu i nad systémy ITS, KSP, NIS a ITS NGN Jeho architektura je dostatečně variabilní a robustní pro další rozšiřování Dohledové centrum MV pro provoz ICT systémů a kybernetickou bezpečnost Cílem je vybudovat jedno dohledové centrum přes celý resort pro zajištění integrace provozních a bezpečnostních dohledů MV, PČR, SZR a dalších organizací.
DCeGOV - SOCCR Cíle 2015 2016 + 2015 Definovat rozhraní pro připojené systémy Připravit typové projekty pro konektory na SOCCR Implementovat technologie a procesy Zahájit provoz dohledového centra SOCCR 2016 Rozšířit pro korelaci interních událostí v systémech MV s podezřelými událostmi v externím prostředí Získávat informace o všech hrozbách z různých zdrojů a koncentrovat úsilí na relevantní nebezpečné případy Vytvořit SOCCR Intelligence Database shromažďuje a koreluje všechny události v systémech MV Automatizovat procesy řízení rizik a kontinuity systémů MV Rozšířit bezpečnostní reporting o stavu systémů
Děkuji za pozornost jaroslav.strouhal@mvcr.cz