ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Podobné dokumenty
Bezpečnostní projekt podle BSI-Standardu 100

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Bezpečnostní politika a dokumentace

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Kybernetická bezpečnost MV

Kybernetická bezpečnost resortu MV

Zákon o kybernetické bezpečnosti

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Kybernetická bezpečnost

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Zkušenosti z naplňování ZKB: Audit shody se ZKB. Ing. Martin Konečný,

Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL

Zákon o kybernetické bezpečnosti

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Systém řízení bezpečnosti informací v praxi

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Bezpečnostní politika společnosti synlab czech s.r.o.

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Státní pokladna. Centrum sdílených služeb

Návrh VYHLÁŠKA. ze dne 2014

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Bezpečnostní opatření a audit shody se ZKB. Ing. Martin Konečný,

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Seminář CyberSecurity II

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

b) aktivem primární aktivum a podpůrné aktivum, c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Postupy pro zavedení a řízení bezpečnosti informací

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

316/2014 Sb. VYHLÁŠKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Kybernetická bezpečnost a GDPR. OBCE, MĚSTA, KRAJE a jiné organizace

Kybernetická bezpečnost II. Management kybernetické bezpečnosti

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

Management informační bezpečnosti

Současné problémy bezpečnosti ve firmách

Návrh VYHLÁŠKA. ze dne 2014

SBÍRKA ZÁKONŮ. Ročník 2014 ČESKÁ REPUBLIKA. Částka 127 Rozeslána dne 19. prosince 2014 Cena Kč 109, O B S A H :

Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

10. VÝZVA IROP KYBERNETICKÁ BEZPEČNOST

PREZENTACE PRO ŽADATELE K 10. VÝZVĚ IROP KYBERNETICKÁ BEZPEČNOST BRNO Ing. Andrea Jonštová, konzultace dotačních programů

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Bezpečnostní normy a standardy KS - 6

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Zkušenosti z nasazení a provozu systémů SIEM

Dopady zákona o kybernetické bezpečnosti (ZKB) Jan Mareš

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Cyber Security GINIS. Ing. Igor Štverka GORDIC spol. s r. o.

Nabídka kurzů k systému řízení bezpečnosti informací (ISMS) ČSN ISO/IEC 27001:2014

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Technické aspekty zákona o kybernetické bezpečnosti

Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost?

Protecting Data in Microsoft Online Services. Studie zpracovaná na základě poptávky Microsoft s.r.o. Zakázka: MICR Verze: 2.

Zákon o kybernetické bezpečnosti: kdo je připraven?

Z K B V P R O S T Ř E D Í

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Zkušenosti s implementací ZoKB a problémy, které nás pálí. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT

SKUPINA 6. Jitka KAZIMÍROVÁ. Lektor: Allianz pojišťovna. Téma: Zkušenosti s outsourcingem IT auditu

Koncept BYOD. Jak řešit systémově? Petr Špringl

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

ČESKÁ TECHNICKÁ NORMA

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Strana 1 / /2014 Sb. VYHLÁKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Sdílené ICT služby a G-cloud v české veřejné správě. Ing. Zdeněk Jiříček, Ing. Václav Koudele

Není cloud jako cloud, rozhodujte se podle bezpečnosti

MOŽNOSTI FINANCOVÁNÍ PROJEKTŮ EGOVERNMENTU A KYBERNETICKÉ BEZPEČNOSTI Z INTEGROVANÉHO REGIONÁLNÍHO OPERAČNÍHO PROGRAMU (IROP) V PROGRAMOVÉM OBDOBÍ

Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

Řízení kybernetické a informační bezpečnosti

Implementace systému ISMS

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

Technologie pro budování bezpe nosti IS technická opat ení.

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

Přehled změn ke 12. květnu Položka Popis změny Zdůvodnění změny

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

Security. v českých firmách

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Příloha č. 6 ZD - Požadavky na členy realizačního týmu

Ministerstvo pro místní rozvoj České republiky oznamuje změny v 10. výzvě k předkládání žádostí o podporu. Integrovaný regionální operační program

Kľúčové pohľady. na kybernetickú bezpečnosť. Tomáš Hlavsa, Atos IT Solutions and Services

Normy a standardy ISMS, legislativa v ČR

Transkript:

Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti ehealth Day 2016 16.2.2016 Ing. Stanislav Bíža, Senior IT Architekt, CISA stanislav.biza@cz.ibm.com 12016 IBM Corporation

Požadavky legislativy a standardů Každý projekt zahrnující řešení bezpečnosti IT musí vycházet z legislativy platné pro danou organizaci, jejích standardů bezpečnosti a interních norem Legislativní požadavky Zákon č. 101/2000 Sb. o ochraně osobních údajů Zákon č. 412/2005 Sb. o ochraně utajovaných skutečností Zákon č. 227/2000 Sb. (366/2001 Sb.) o elektronickém podpisu Zákon č. 181/2014 Sb. o kybernetické bezpečnosti Vyhlášky NBÚ, ÚOOÚ, ČNB a pod. Obvykle využívané bezpečnostní standardy: ČSN ISO/IEC 27000 Information Security Management Systems (ISMS) standards ČSN ISO/IEC 13335 Management of information and communications technology security ČSN ISO/IEC 15408 Common Criteria for Information Technology Security Evaluation (Common Criteria) 2

Požadavky legislativy a standardů Příklad: Vyhláška č. 316/2014 Sb. k Zákonu o kybernetické bezpečnosti Technická opatření 16 Fyzická bezpečnost 17 Nástroj pro ochranu integrity komunikačních sítí 18 Nástroj pro ověřování identity uživatelů 19 Nástroj pro řízení přístupových oprávnění 20 Nástroj pro ochranu před škodlivým kódem 21 Nástroj pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů 22 Nástroj pro detekci kybernetických bezpečnostních událostí 23 Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí 24 Aplikační bezpečnost 25 Kryptografické prostředky 26 Nástroje pro zajištění úrovně dostupnosti 27 Bezpečnost průmyslových a řídicích systémů 3

IBM framework 10 Essential Practices jako praktický přístup k řízení bezpečnosti z pohledu vlastníků aktiv Porozumět vlivným prvkům bezpečnosti 3 Bezpečná spolupráce na sociálních sítích a mobilních zařízeních 4 Zahrnutí bezpečnosti již do návrhu aplikací 5 Správa IT infrastruktury v souladu s požadavky bezpečnosti 6 Zabezpečené a vysoce dostupné datové sítě 1 Security Governance a řízení rizik IT 2 Systém řízení provozní bezpečnosti a rychlé reakce na bezpečnostní incidenty 7 Porozumění komplexním problémům bezpečnosti v řešeních virtualizace a cloudu 8 Řízení rizik při přístupu 3. stran 9 Klasifikace informací a ochrana osobních údajů 10 Řízení identit uživatelů 4 IBM 10 Essential Practices

10 Essential Practices Zavedení Securit Governance a řízení rizik IT Hodnocení souladu stávajících rganizačních a technických bezpečnostních opatření s přijatým standardem/legislativou Doplnění stávajících organizačních bezp. opatření Doplnění stávajících technických bezp. opatření Bezpečnostní politika Hrozby Aktiva Zranitelnosti Bezpečnostní dokumentace Zpráva z auditu kybernetické bezpečnosti Zpráva z přezkoumání systému řízení bezpečnosti informací Metodika pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik Zpráva o hodnocení aktiv a rizik Prohlášení o aplikovatelnosti Plán zvládání rizik Plán rozvoje bezpečnostního povědomí Zvládání kybernetických bezpečnostních incidentů Strategie řízení kontinuity činností Plán obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a sml. Analýza rizik Rizika 5

IBM 10 Essential Practices Systém řízení provozní bezpečnosti a rychlé reakce na bezpečnostní incidenty Politiky a procesy pro řešení bezpečnostních incidentů Včasná detekce incidentů: Security Information Event Management (SIEM) Forenzní nástroje pro vyšetřování bezpečnostních incidentů Provozní role, jejich odpovědnosti a workflow pro rychlou reakci na incidenty Bezpečná spolupráce na sociálních sítích a mobilních zařízeních Interní politiky pro používání sociálních sítí BYOD Prosazování konzistentní bezpečnostní politiky přes všechna koncová zařízení používaná pro služební účely PC, notebooky, tablety, telefony... Oddělení služebních a soukromých dat, zvýšená ochrana citlivých informací 6

IBM 10 Essential Practices Začlenění bezpečnosti již do fáze návrhu aplikací Zavedení SDLC do celého vývojového cyklu Bezpečnostní požadavky jako součást Mimofunkčních požadavků již v prvotních fázích projektu Zabezpečená rozhraní na okolní systémy Testy zranitelností a Ethical hacking Zabezpečené a vysoce dostupné datové sítě Topologie sítě reflektující oddělení aktiv s různými požadavky na zabezpečení Optimalizace síťové infrastruktury s ohledem na požadavky vysoké dostupnosti Ochrana před síťovými útoky Detekce podezřelých aktivit na síti Logování komunikace, monitorování a včasná detekce incidentů napojení na SIEM 7

IBM 10 Essential Practices Porozumění komplexním problémům bezpečnosti v řešeních virtualizace a cloudu Konzistentní bezpečnostní politiky přes externí poskytovatele IT služeb a poskytovatele cloudových služeb Pravidelné kontroly dodržování bezpečnostních standardů u poskytovatelů cloudových služeb Předhled o bezpečnostních limitech cloudových služeb a řízení jejich rizik Řízení rizik při přístupu 3. stran Prosazování bezpečnostních politik u dodavatelů Vzdělávání o požadavcích souladu s legislativou a externími regulátory Zahrnutí 3. stran do systému řešení bezpečnostních incidentů a jejich reportování Řízení rizik přístupu externích dodavatelů a kontraktorů 8

Příklad: bezpečnostní testy IT infrastruktury a aplikací Bezpečnostní testy se skládají z několika modulů, které mohou být provedeny společně pro komplexní testování nebo jednotlivě pro ověření zabezpečení jednotlivých komponent infrastruktury a aplikací. Moduly bezpečnostních testů: Audit bezpečnosti segmentů LAN a DMZ Penetrační testování Network-based zranitelností síťových prvků a serverů Penetrační testování Host-based zranitelností serverů Testování přístupového a auditního systému aplikací Testování zranitelností webových aplikací a webových služeb 9

IBM 10 Essential Practices Klasifikace informací a ochrana osobních ůdajů Klasifikace informací, určení vlastníků a hodnoty Zabezpečení dat v databázích (i před DB administrátory) Data Loss Prevention Architektura řešení pro komplexní zabezpečení dat (ne oddělená sila ) Řízení identit uživatelů Identity a Access Management Standardizace nástrojů IAM, řízení na základě požadavků bezpečnostních politik Single-sign-on Správa separace rolí Monitorování přístupů, napojení na SIEM 10

Know What data we have and where it resides.. Děkuji za pozornost... a těším se na dotazy Stanislav Bíža Senior Architect, CISA Monitor Our Process to ensure continuous compliance and improvements. Protect Our restricted and confidential data. 11 Respond Quickly and effectively to Information Security threats.

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář