Implementace ZKB. Kritická informační infrastruktura a Významné informační systémy. Jaroslav Šmíd náměstek ředitele NBÚ

Podobné dokumenty
Legislativa kybernetické bezpečnosti Kritická informační infrastruktura a Významné informační systémy Ing. Dušan Navrátil Ředitel

NBÚ - NCKB novinky Jaroslav Šmíd

Zkušenosti a výsledky určování KII a VIS

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

o IS nebo KS naplňující průřezová a odvětvová kritéria v oblasti kybernetické bezpečnosti o Pro určování KII jsou důležité:

Václav Borovička. Seminář AFCEA a Policejní akademie ČR Listopad 2014, Praha

Zákon o kybernetické bezpečnosti a související předpisy

Zákon o kybernetické bezpečnosti a související předpisy

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

IDET AFCEA Květen 2015, Brno

Národní bezpečnostní úřad

Další postup v řešení. kybernetické bezpečnosti. v České republice

Kybernetická bezpečnost resortu MV

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

Určování Kritické informační infrastruktury. JUDr. et Mgr. Radomír Valica Vedoucí autorského týmu ZKB Národní bezpečnostní úřad 14.

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

Národní bezpečnostní úřad

Kybernetická bezpečnost ČR aktivity NBÚ. Jaroslav Šmíd náměstek ředitele NBÚ

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Kybernetická bezpečnost MV

Zákon o kybernetické bezpečnosti. Petr Nižnanský

Kybernetická bezpečnost

Kybernetická bezpečnost

Národní bezpečnostní úřad

Zásadní změny zákona o krizovém řízení

Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

Právní výzvy v oblasti kybernetické bezpečnosti. Mgr. Petra Vrábliková advokát

Seminář o bezpečnosti sítí a služeb. 11. února CESNET, z. s. p. o.

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

Aktivity TPEB ČR v oblasti ZKB. Jan.Kepic@tpeb.cz - Praha ÚNMZ 4. února 2015

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

DIGITAL CZECH REPUBLIC

HLÁŠENÍ KONTAKTNÍCH ÚDAJŮ. Návod k vyplnění formuláře

Kybernetická bezpečnost ve zdravotnictví. Dušan Navrátil ředitel NBÚ

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Jaroslav Šmíd náměstek ředitele

Zákon o kybernetické bezpečnosti

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. srpna 2017

Zákon o kybernetické bezpečnosti na startovní čáře

Adam Kučínský. Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

Touto vyhláškou se stanoví významné informační systémy a jejich určující kritéria podle 6 písm. d) zákona.

Z K B V P R O S T Ř E D Í

Implementace Národní strategie a Zákona o kybernetické bezpečnosti v roce Ing. Jaroslav Šmíd náměstek ředitele sekce kybernetické bezpečnosti

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

HLAVA I ZÁKLADNÍ USTANOVENÍ. Čl. 1. Předmět úpravy

VODÍTKA HODNOCENÍ DOPADŮ

Kybernetické bezpečnostní incidenty a jejich hlášení

Popis Vládního CERT České republiky

AKTI T V I I V T I Y T Y E U E V V O BLA L ST S I T

NÁRODNÍ STRATEGIE KYBERNETICKÉ BEZPEČNOSTI ČESKÉ REPUBLIKY NA OBDOBÍ LET 2015 AŽ Ing. Dušan Navrátil

Vyhláška o bezpečnostních pravidlech pro orgány veřejné moci využívající služby cloud computingu (Cloudová vyhláška)

Kybernetická bezpečnost I. Legislativa a strategie kybernetické bezpečnosti v České republice

Legislativní opora. č. 365/2000 Sb., o informačních systémech veřejné správy (ISVS), (dále jen zákon ) č. 81/2006 Sb. Zákon.

Kybernetická bezpečnost ve veřejné správě. Jan Dienstbier Garant platformy KYBEZ

Bezpečnostní opatření a audit shody se ZKB. Ing. Martin Konečný,

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Zákon o kybernetické bezpečnosti

Zkušenosti s implementací ZoKB a problémy, které nás pálí. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

Zákon o kybernetické bezpečnosti na startovní čáře. Pavel Hejl

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Atestace informačních systémů veřejné správy. Vladimír Matějíček

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

NEJEN STÁTNÍ CLOUD - egovernment Cloudu

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

VLÁDNÍ NÁVRH ZÁKON. ze dne 2017,

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Zpracování a udržování Registru právních a jiných požadavků

NEPŘIMĚŘENÉ NÁKLADY. vysvětlení pojmu

Adam Kučínský. Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti

POPIS CSIRT. Státní pokladna Centrum sdílených služeb, s. p. Vlastník dokumentu: Datum poslední aktualizace:

Pavel Titěra GovCERT.CZ NCKB NBÚ

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

Příprava zákona o kybernetické bezpečnosti.

Legislativní změny v oblasti chemických látek a směsí a prevence závažných havárií. MUDr. Marie Adámková

Ministerstvo vnitra připravuje. jednotné řešení pro státní správu

Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL

Posuzování na základě rizika

( 88-91, 98, 99) Štefan Koreň odbor krizového řízení

TSB a kybernetická bezpečnost SMB a jím ovládaných subjektů

Naplňování evropského nařízení GDPR v podmínkách Statutárního města Kladna. Ing. Zdeněk Slepička tajemník Magistrátu města Kladna

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Spisová značka: Brno, 23. května /2019 Vyřizuje: VEŘEJNÁ VYHLÁŠKA NÁVRH OPATŘENÍ OBECNÉ POVAHY

TNÍ POKLADNA. tní pokladny (IISSP) Hradec Králové 2. dubna 2012

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

10. VÝZVA IROP KYBERNETICKÁ BEZPEČNOST

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Bezpečnostní týmy typu CSIRT/CERT obecně a v CZ.NIC

Zkušenosti z naplňování ZKB: Audit shody se ZKB. Ing. Martin Konečný,

AKTUÁLNÍ STAV LEGISLATIVY V OBLASTI INTEGROVANÉ PREVENCE

Centrální místo služeb (CMS) Bezpečná komunikace mezi úřady

egovernment Cloud ČR egovernment Cloud egc Ing. Miroslav Tůma, Ph.D. Řídící orgán egovernmet Cloudu

Transkript:

Implementace ZKB Kritická informační infrastruktura a Významné informační systémy Jaroslav Šmíd náměstek ředitele NBÚ

2015 2013 2014 2012 Základní milníky související se ZKB v čase Proces určování/posuzování KII/VIS Proces implementace ZKB Provádění ICT bezpečnosti (PDCA)

Zákon o kybernetické bezpečnosti a jeho prováděcí předpisy 181/2014 Sb. uveden ve Sbírce zákonů dne 29.8.2014, vstup v účinnost 1.1.2015 315/2014 Sb. - Nařízení vlády, kterým se mění nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury 316/2014 Sb. - Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) 317/2014 Sb. - Vyhláška o významných informačních systémech a jejich určujících kritériích

Aktivity GovCERT.CZ Na čem se pracuje a co se událo: Počátkem roku 2015, kdy začal platit nový zákon o kybernetické bezpečnosti, jsme začali dostávat velké množství kontaktní údajů na osoby odpovědné za Významné Informační Systémy (VIS). S těmito kontaktními údaji, jsme obdrželi další pro nás velmi důležité technické informace. Pro účely shromáždění těchto informací byla vytvořena databáze, kterou jsme nedávno začali těmito daty postupně plnit. V souvislosti se získáváním těchto údajů, jsme subjektům spravujícím VIS, zaslali nabídku námi provozovaných a připravovaných služeb. Většina z oslovených institucí projevila velký zájem o nabízené služby a chtěla je podrobněji prodiskutovat. Z tohoto důvodu jsme začali jednotlivé zástupce zvát na pracoviště NCKB do Brna na diskuze v technické rovině.

Aktivity GovCERT.CZ Na čem se pracuje a co se událo: V rámci proaktivních činností probíhá vývoj nástroje na zpracování dat získávaných od Organizace Shadowserver. Projekt je postaven na základech námi vyvinutého nástroje pro zpracování dat z Botnet Feed, ale z důvodu rozdílnosti zpracovávaných dat je potřeba značných úprav v programu. Co se týče ostatních nástrojů (Botnet Feed a IHAT) využívaných pro proaktivní činnost GovCERT.CZ, tak jsme začali dostávat a reportovat informace týkající se státní správy a VIS.

Kybernetické incidenty v období leden- duben 2015 ČSÚ - DDoS - dne 30. 1. 2015 jsme od Českého statistického úřadu (ČSÚ) obdrželi informace týkající se probíhajících a opakovaných DDoS útoků na webový server czso.cz. První útok na server byl zaznamenán 15. 1. 2015 a trval přibližně dvě hodiny. Další útoky následovaly 19. 1., 23. 1., 24. 1. a 27. 1. Na základě obdržených informací jsme zjistili, že se pravděpodobně nejednalo o cílený útok, který měl za úkol jakkoliv poškodit volby probíhající v nadcházejícím víkendu (31. 1. - 1. 2. 2015), ale jednalo se o chybu v nastavení čínského DNS serveru. Pravděpodobně se jednalo o chybný překlad seznamu předem definovaných domén (torrenty, facebook, twitter) na náhodné IP adresy. Tyto dotazy následně zahlcovaly provozem server czso.cz. Na základě těchto zjištění jsme doporučili určitá řešení. Ta pracovníci ČSÚ konzultovali se správci dotčených serverů, ale vzhledem ke krátké době nezasahovali do nastavení těchto serverů. V současnosti probíhají zátěžové a penetrační testy na novém webu.

Kybernetické incidenty v období leden- duben 2015 Turla (Uroburos, Snake, Carbon) - od CERT-EU a bezpečnostní společnosti BAE System jsme obdrželi dokument týkající se kompromitovaných IP adres a domén. Mezi nimi byla i česká doména hostovaná v Rusku. Dne 3. 3. jsme od BAE Systems obdrželi doplňující informace, že incident Shortener-Bug attack je ve skutečnosti další instancí špionážního malware Turla (Uroburos, Snake, Carbon). Na základě tohoto zjištění došlo ke sloučení s incidentem #1657. V průběhu řešení incidentu jsme požádali jednotlivá ministerstva o kontrolu síťových logů, zda některá ze stanic v jejich rozsahu nekomunikovala se škodlivými webovými stránkami. Ze 14- ti oslovených ministerstev (23. 2.) jsme doposud obdrželi vyjádření od 8 z nich. Z osmi konečných výsledků hledání bylo nalezeno 9 potenciálně infikovaných stanic. Tři ministerstva ze 14-ti doposud nikdy nereagovala na naše výzvy.

Kybernetické incidenty v období leden- duben 2015 Zranitelnost FREAK - po zveřejnění informací o zranitelnosti FREAK v protokolu TLS/SSL jsme ve spolupráci s Národním CSIRT týmem zahájili skenování serverů státních institucí, které jsou vůči této chybě v zabezpečení zranitelné. V mezidobí jsme obdrželi anonymní e-mail, který nás na tuto skutečnost upozorňoval. Poté jsme rozšířili sken o další zranitelnosti. V souvislosti se zranitelností FREAK bylo nalezeno 107 potenciálně zranitelných serverů a varováno 73 státních institucí.

Kritická informační infrastruktura (KII) Komplex informačních a komunikačních systémů (naplňující stanovená průřezová kritéria a odvětvová kritéria v oblasti kybernetické bezpečnosti), jejichž nefunkčnost by mohla způsobit závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu.

KII proces určování Jsou dána průřezová (dopadová) kritéria Může narušení bezpečnosti informací způsobit ALESPOŇ jedno z průřezových kritérií? NE ANO Nesplněny podmínky pro KII Jsou dána odvětvová kritéria v oblasti kybernetické bezpečnosti Splňuje Váš IS nebo KS ALESPOŇ jedno z odvětvových kritérií? NE ANO Splněny podmínky pro KII Jste OSS? NE KII určeno OOP KII určeno usnesením vlády ANO

Kritická informační infrastruktura (KII) Současný stav určování Určování prvků KII probíhá ve 3 základních vlnách 1. vlna Ministerstva a ústřední správní orgány 25.5.2015 bylo usnesením vlády určeno 45 prvků KII 2. vlna organizační složky státu 3. vlna soukromoprávní subjekty Nyní probíhá 2. a 3. vlna souběžně K určení/navržení nových KII v rámci 2. a 3. vlny máme připraveno: 1 prvek KII ministerstva Cca 25 prvků soukromoprávních společností (zejm. bank, energetických společností apod.) Dále probíhá jednání s dalšími energetickými společnostmi, mobilními operátory, zástupci integrovaných záchranných systémů, certifikačních autorit, s organizačními složkami státu aj.

Predikce a současný stav určování KII prvků v daných oblastech SOUKROMÝ SEKTOR OSTATNÍ ORGANIZAČNÍ SLOŽKY STÁTU ÚSTŘEDNÍ SPRÁVNÍ ORGÁNY MINISTERSTVA 150 25 0 30 2 0 30 2 14 45 2 31 0 20 40 60 80 100 120 140 160 predikce celkového počtu prvky KII v procesu určení Určené KII

Předpokládaný poměr prvků KII v daných oblastech (predikce) 59% 17% 12% 12% ministerstva ústřední správní orgány ostatní organizační složky státu soukromý sektor

Plnění povinností KII (časová osa) 0. Proces určování prvků KII (oboustranné jednání) viz. schéma na www.govcert.cz 1. Lhůta pro nahlášení kontaktních údajů 2. Přechodná lhůta (implementace bezpečnostních opatření podle vyhlášky č. 316/2014 Sb.) 3. Plnění povinností podle ZKB (hlášení kybernetických bezpečnostních incidentů, provádění bezp. opatření) 4. Možnost státního dozoru (auditu) ze strany NBÚ kontrola souladu se zákonem o kybernetické bezpečnosti

Významné informační systémy (VIS) VIS je informační systém spravovaný orgánem veřejné moci, který není KII a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci. VIS naplňují kritéria daná vyhláškou č. 317/2014 Sb. Pozn.: Správcem VIS nemohou být obce (řečeno ve vyhlášce)

Jste orgánem veřejné moci a zároveň jste správcem IS. Schéma určování VIS Jste obec nebo městská část? NE ANO Za VIS se NEpovažuje IS, jehož správcem je obec nebo městská část (včetně hl. m. Prahy při výkonu působnosti obce). Je Váš IS uveden v Příloze č. 1 k vyhlášce o VIS? ANO Váš informační systém je VIS. NE Jsou dána dopadová určující kritéria NE Váš IS naplňuje určující kritéria pro VIS. Splňuje Váš IS některé z výše uvedených kritérií? ANO Jsou dána oblastní určující kritéria Interním právním aktem určíte, že systém, jehož jste správcem, je VIS. NE Zajišťuje Váš IS alespoň jednu zmíněnou oblast? NE Váš informační systém není VIS. ANO Podle přechodných ustanovení 31 ZKB máte jako správce VIS určité povinnosti (mj. správce IS oznámí tuto skutečnost a své kontaktní údaje NBÚ a to nejpozději do 30 dnů ode dne naplnění určujících kritérií významného informačního systému).

Významné informační systémy (VIS) Současný stav posuzování Naplnění kritérií posuzuje správce systému NBÚ/NCKB poskytuje podporu při posuzování Zjevné VIS jsou uvedené v příloze vyhlášky č. 317/2014 Sb. Některé jsou na základě určování KII přeřazeny a v následující novele přílohy budou z přílohy vyjmuty Nové systémy, posouzené jako VIS, budou do přílohy přidány Další VIS jsou postupně jednotlivými orgány veřejné moci nahlašovány Současný stav počtu VIS činí kolem 113 systémů

o Kraje mají stejné kompetence a působnost využívají podobné informační systémy o Jejich systémy naplňují podobná kritéria Koordinovaný postup při posuzování a určování VIS o Spolupráce na úrovni Asociace krajů komise informatiky o Proběhlo několik jednání se zástupci krajů (pracovní úroveň) o NBÚ/NCKB poskytlo metodické materiály a podporu o Na tomto základě vytipovány systémy, které splňují kritéria pro VIS (vycházeno z ISoISVS z této množiny systémy vybírány) Navrženy IS k projednání na úrovni komise AKČR s návrhem, aby byly plošně určeny jako VIS 19

o Návrh řešení k případné kontrole (státní dozor NBÚ) o Bude vytvořena příloha Informační koncepce, která bude obsahovat tabulku ISVS totožnou s Informační koncepcí, kde bude u vybraných ISVS označeno, že je VIS, a ke všem ISVS bude přiložen výstup z excelu (vytvořeného NBÚ), kterým se určuje, zda ISVS je či není VIS. o Tímto bude možné doložit, že se zástupci krajů posuzováním zabývali. Případné rozpory v názoru kontrolního orgánu (státní dozor NBÚ) budou řešeny jako změna. o Činnost kraje po zjištění, že je provozovatelem VIS o Od okamžiku zjištění do 30 dnů nahlásit na NBÚ správce VIS. o Za rok nejbližší možný termín kontroly zavedení opatření popsaných v zákoně a vyhláškách. o V případě plnění opatření (směrnice, vyhlášky, metodický postup atd.) může být využito výstupů činnosti odboru kybernetické bezpečnosti MV. 20

Predikce a současný stav počtu VIS 235 VÝZNAMNÉ INFORMAČNÍ SYSTÉMY 113 predikce celkového počtu 0 50 100 150 200 250 nahlášené VIS

Plnění povinností VIS (časová osa) 1. Lhůta pro nahlášení kontaktních údajů 2. Přechodná lhůta (implementace bezpečnostních opatření podle vyhlášky č. 316/2014 Sb.) Pozn.: již během přechodné lhůty je nutné plnit případná opatření ze strany NBÚ 3. Plnění povinností podle ZKB (hlášení kybernetických bezpečnostních incidentů, provádění bezp. opatření) 4. Možnost kontroly zavedení bezpečnostních opatření podle vyhlášky č. 316/2014 Sb. ze strany NBÚ

Primární služby NBÚ/NCKB z oblasti KII a VIS Určování prvků kritické informační infrastruktury Podpora při posuzování významných informačních systémů Metodická podpora související s problematikou kybernetické bezpečnosti v: legislativně-právní oblasti, v oblasti managementu kybernetické bezpečnosti, v technické oblasti. Provádění auditů kybernetické bezpečnosti v rámci kontrol dodržování zákona Další činnosti NBÚ/NCKB v oblasti KII a VIS Spolupráce s dalšími institucemi i firmami na mezinárodní i národní úrovni Vzdělávání v oblasti problematiky zákona o kybernetické bezpečnosti Příprava podpůrných materiálů Publikace Pořádání osvětových akcí a mnoho dalších

NCKB slavnostní otevření 13. května 2014

Děkuji za pozornost www.govcert.cz

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář