Řízení kybernetické a informační bezpečnosti



Podobné dokumenty
ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Politika bezpečnosti informací

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

ČESKÁ TECHNICKÁ NORMA

Kybernetická bezpečnost MV

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Management informační bezpečnosti

Dopady GDPR a jejich vazby

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Profesionální a bezpečný úřad Kraje Vysočina

Obecné nařízení o ochraně osobních údajů

V Brně dne a

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

Kybernetická bezpečnost resortu MV

Státní pokladna. Centrum sdílených služeb

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

srpen 2008 Ing. Jan Káda

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

Z K B V P R O S T Ř E D Í

Bezpečnostní politika a dokumentace

Politika bezpečnosti informací

Informační bezpečnost. Dana Pochmanová, Boris Šimák

1. KYBERNETICKÁ BEZPEČNOST

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Mgr. et Mgr. Jakub Fučík

ČESKÁ TECHNICKÁ NORMA

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Zákon o kybernetické bezpečnosti

ŘÍZENÍ KVALITY VE SLUŽEBNÍCH ÚŘADECH Podpora profesionalizace a kvality státní služby a státní správy, CZ /0.0/0.

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

KYBERNETICKÁ BEZPEČNOST VE SKUPINĚ ČEZ V ROCE 2016

Další postup v řešení. kybernetické bezpečnosti. v České republice

NCKB / Institut mezinárodních studií, Fakulta sociálních věd, Univerzita Karlova

Zákon o kybernetické bezpečnosti

Systém řízení informační bezpečnosti (ISMS)

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o.

ČESKÁ TECHNICKÁ NORMA

Zkušenosti s implementací ZoKB a problémy, které nás pálí. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT

Požadavky ISO 9001:2015 v cyklu PDCA Požadavky ISO 9001:2015 v cyklu P-D-C-A

Ing. Miroslav Tůma, Ph.D. ředitel odboru Kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra ČR

KYBERBEZPEČNOST POHLEDEM MV ČR

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Finanční podpory. Pavel Růžička, MŽP , Brno

Ochrana před následky kybernetických rizik

Výroční zpráva společnosti Corpus Solutions a.s. za rok Popis účetní jednotky. Název společnosti: Corpus Solutions

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Bezpečnostní opatření a audit shody se ZKB. Ing. Martin Konečný,

Kybernetická bezpečnost ČR aktivity NBÚ. Jaroslav Šmíd náměstek ředitele NBÚ

Právní a normativní požadavky

Posuzování na základě rizika

Projekt GDPR-CZ. innogy Přístup k projektu. Agenda. 12/09/2017 Page 1. Praha 13. září Úvod a cíle projektu. Kontext GDPR.

Bezpečnostní politika společnosti synlab czech s.r.o.

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Gradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1.

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

IDET AFCEA Květen 2015, Brno

Zkušenosti z naplňování ZKB: Audit shody se ZKB. Ing. Martin Konečný,

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

VODÍTKA HODNOCENÍ DOPADŮ

Kybernetická bezpečnost ve státní správě

O2 a jeho komplexní řešení pro nařízení GDPR

Jak chránit osobní data v elektronickém a digitalizovaném účetnictví? Stanislav Klika

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

Řízení informační bezpečnosti a veřejná správa

Systémová analýza a opatření v rámci GDPR

Template pro oznámení porušení zabezpečení osobních údajů

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

OCHRANA OSOBNÍCH ÚDAJŮ

ČESKÁ TECHNICKÁ NORMA

Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost?

Systém managementu hospodaření s energií podle ČSN EN ISO 50001

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Zkušenosti se zaváděním ISMS z pohledu auditora

Kybernetická bezpečnost Kam jsme se posunuli po přijetí zákona?

Transkript:

Řízení kybernetické a informační bezpečnosti Martin Hanzal předseda sekce Kybernetická a informační bezpečnost AOBP CEVRO Institut, 22. dubna 2014

Sekce Kybernetická a informační bezpečnost Je nevládní, nezávislou, nepolitickou, neziskovou a neobchodní organizací sdružující firmy obranného a bezpečnostního průmyslu. Platforma pro komunikaci státní správy s odbornými firmami v oblasti kybernetické a informační bezpečnosti, především při návrhu a realizaci projektů z pohledu bezpečnosti. Provádění osvětové činnosti směrem k vrcholovému vedení organizací. Společná podpora českých firem v zahraničí.

Cyberspace kybernetický prostor Cyberspace kybernetický prostor Nehmotný svět informací, který vzniká propojením informačních a komunikačních systémů a umožňuje vytvářet, uchovávat, využívat a vzájemně vyměňovat informace. Tento prostor v sobě zahrnuje počítače, aplikace, databáze, procesy, pravidla a komunikační prostředky. CYBER SPACE Lisabonský summit NATO na podzim roku 2010 uznal Cyberspace jako pátý bojový prostor.

Rozdělení jednotlivých bezpečnostních oblastí National Cyber Security Framework Manual a ISO/IEC 27032:2012 Guidelines for cybersecurity

Informační bezpečnost INFORMATION SECURITY Zajistit informacím důvěrnost, integritu a dostupnost (Confidetiality, Integrity, Availability). Informace není dostupná nebo není odhalena neautorizovaným jednotlivcům, entitám nebo procesům, je zajištěna její přesnost, úplnost a je přístupná a použitelná na žádost autorizované entity. National Cyber Security Framework Manual a ISO/IEC 27032:2012 Guidelines for cybersecurity

Kybernetická bezpečnost CYBERSECURITY Schopnost odolávat úmyslně i neúmyslně vyvolaným kybernetickým útokům a zmírňovat jejich následky včetně obrany proti probíhajícímu kybernetickému útoku a zmírňování jeho následků díky odolnosti kybernetického prostoru a schopnosti se účinně bránit. National Cyber Security Framework Manual a ISO/IEC 27032:2012 Guidelines for cybersecurity

Data a informace organizace Osobní údaje Údaje o zaměstnancích Údaje o klientech Zvláště citlivé údaje o klientech Data organizace Know-how organizace Strategické plány Klíčové aktivity na kterých je organizace postavena Pracovní data Zpracovávané dokumenty jednotlivými pracovníky v různých formátech Komunikace pracovníků Porušení důvěrnosti, integrity a dostupnosti těchto dat vede k finanční ztrátě, ztrátě konkurenceschopnosti, dobrého jména organizace či porušení zákona Zakotveno v zákoně č. 101 na ochranu osobních údajů Ochrana soukromí 86, obchodní tajemství 504 NOZ Standard ČSN ISO 27001 ISMS (celá řada ISO 27tis) Od 1.1.2015 zákon o kybernetické bezpečnosti

Ochrana osobních údajů Správce a zpracovatel Správce a zpracovatel jsou zodpovědni za způsob nakládání s osobními údaji Za organizaci je zodpovědný statutátrní zástupce, který deleguje povinnosti na svoje podřízené Zabzpečení osobních údajů 13 zák. Povětšinou mylná domněnka, že to je věc IT oddělení IT oddělení je zodpovědno za porovoz informačních systémů Bezpečnostní politika je věc vrcholového vedení Postih a sankce Za porušení až 5mil Kč pokuta Za porušení u zvláště citlivých osobních údajů až 10mil Kč Zatím největší pokuta byla 3,5mil Kč Incidenty a postihy v roce 2013 Dle předběžné zprávy celkem 24 pravomocných zjištění porušení zákona. Za porušení 13 pokuta 1,8mil Kč pro KB Penzijní společnost (prosinec 2013).

Řízení kybernetické bezpečnosti organizace Výbor pro kybernetickou bezpečnost Tří až pěti-členný vrcholový orgán složený z členů vrcholového vedení organizace Manažer kybernetické bezpečnosti CSIRT/CIRC Zodpovědná osoba za řízení kybernetické bezpečnosti včetně zvládání kybernetických incidentů První etapa Čtvrtá etapa Zlepšování Plánování ČSN ISO 27001 ISMS Třetí etapa Kontrola Druhá etapa Realizace

Řízení kybernetické bezpečnosti ČSN ISO 27001 ISMS První etapa Čtvrtá etapa Sledování trendu a sdílených zkušeností jiných organizací a subjektů Zjednodušování a zkvalitňování systému řízení bezpečnosti informací Plánování a určení rozsahu Analýza rizik Bezpečnostní politika Definice bezpečnotních pravidel a opatření Třetí etapa Provádění interních auditů a vyhodnocování systému řízení bezpečnosti Zpřesnění dalších cílů Schválení vedením organizace Druhá etapa Stanovení dílčích plánů na zvládání rizik Definování a řízení bezpečnostních projektů Vysvětlování a stálá edukace účastníků

Řízení kybernetické bezpečnosti stavy organizace Manažer kybernetické bezpečnosti CSIRT/CIRC Zodpovědná osoba za řízení kybernetické bezpečnosti včetně zvládání kybernetických incidentů Normální stav Řízení rizik Zavádění organizačních a technických opatření Monitorování, sledování a vyhodnocování bezpečnostních událostí v organizace Příprava na možný krizový stav Krizový stav Probíhá kybernetický útok, který výrazně omezuje a ohružuje organizaci Činost organizace je věnována především na kybernetickou obranu a rychlé zotavení činností organizace CSIRT hlavním místem kybernetické obrany Post-krizový stav Co nejrychlejší změna z krizového do normálního stavu Vyhodnocení krizového stavu Zlepšení řízení kybernetické bezpečnosti do další krize Realizace nápravných procesů

Závěrečné shrnutí Nemusíme s řešením čekat na žádný zákon Kybernetická bezpečnost musí vycházet z podpory vrcholového vedení ICT odbor nebo oddělení není automaticky zodpovědné za kybernetickou bezpečnost

Kontakt Děkuji za pozornost Martin Hanzal ASOCIACE OBRANNÉHO A BEZPEČNOSTNÍHO PRŮMYSLU předseda sekce Kybernetická a informační bezpečnost Washingtonova 25, Praha 1 Email: martin.hanzal@aobp.cz Mobil: +420 602 702 780

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář