Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Podobné dokumenty
Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Kybernetická bezpečnost

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Bezpečnostní politika a dokumentace

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Bezpečnostní opatření a audit shody se ZKB. Ing. Martin Konečný,

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti

Kybernetická bezpečnost resortu MV

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

Zkušenosti z naplňování ZKB: Audit shody se ZKB. Ing. Martin Konečný,

Kybernetická bezpečnost MV

Seminář CyberSecurity II

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Z K B V P R O S T Ř E D Í

Zkušenosti s implementací ZoKB a problémy, které nás pálí. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT

Státní pokladna. Centrum sdílených služeb

Zákon o kybernetické bezpečnosti

Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Bezpečnostní projekty realizované ve společnosti OTE, a.s. - případová studie. OTE, a. s. AEC, spol. s r. o.

Bezpečnostní politika společnosti synlab czech s.r.o.

Legislativa kybernetické bezpečnosti Kritická informační infrastruktura a Významné informační systémy Ing. Dušan Navrátil Ředitel

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Dopady zákona o kybernetické bezpečnosti (ZKB) Jan Mareš

BEZPEČNOSTI INFORMACÍ

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

Nabídka kurzů k systému řízení bezpečnosti informací (ISMS) ČSN ISO/IEC 27001:2014

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Security. v českých firmách

BEZPEČNOST IT A OT SYSTÉMŮ V ENERGETICE

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Protecting Data in Microsoft Online Services. Studie zpracovaná na základě poptávky Microsoft s.r.o. Zakázka: MICR Verze: 2.

ISO/IEC certifikace v ČR. Miroslav Sedláček

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Profesionální a bezpečný úřad Kraje Vysočina

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Zákon o kybernetické bezpečnosti. Petr Nižnanský

Řízení kybernetické a informační bezpečnosti

ZPRÁVA. o ověření roční účetní závěrky Evropského orgánu pro cenné papíry a trhy za rozpočtový rok 2016 spolu s odpovědí orgánu (2017/C 417/28)

ŘÍZENÍ KVALITY VE SLUŽEBNÍCH ÚŘADECH Podpora profesionalizace a kvality státní služby a státní správy, CZ /0.0/0.

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

Zkušenosti se zaváděním ISMS z pohledu auditora

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

Aktivity TPEB ČR v oblasti ZKB. Jan.Kepic@tpeb.cz - Praha ÚNMZ 4. února 2015

Jarní setkání

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha,

Příloha č. 6 ZD - Požadavky na členy realizačního týmu

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

TÜV SÜD Czech s.r.o. Systém energetického managementu dle ČSN EN 16001

Politika ISŘ. Je-li tento dokument vytištěn, stává se neřízeným. MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou R-GŘ-04

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

Jednotný NIS Prezentace k zahájení projektu pro Radu kraje Vysočina. Projektový manažer - Ing. Ivan Sokolov, Ph.D.

Gradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1.

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

10. VÝZVA IROP KYBERNETICKÁ BEZPEČNOST

ZPRÁVA. o ověření roční účetní závěrky Evropské agentury pro kontrolu rybolovu za rozpočtový rok 2016, spolu s odpovědí agentury (2017/C 417/17)

egc tým Bezpečnost Hodnocení dopadů a zařazování do bezp. úrovní Závazná bezpečnostní opatření pro dodavatele

Technologie pro budování bezpe nosti IS technická opat ení.

Návrh VYHLÁŠKA. ze dne 2014

Česká Telekomunikační Infrastruktura a.s

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Zákon o kybernetické bezpečnosti

Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool

ZPRÁVA. o ověření roční účetní závěrky Agentury pro spolupráci energetických regulačních orgánů za rozpočtový rok 2015, spolu s odpovědí agentury

Zásady managementu incidentů

Aktuální situace čerpání v oblasti egovernmentu a kybernetické bezpečnosti v Integrovaném regionálním operačním programu 4. 4.

Nové výzvy pro monitoring energií

Dohledové centrum egovernmentu. Aplikace ZoKB v praxi

ISO 9001:2015 CERTIFIKACE ISO 9001:2015

Rezortní registry (ereg) a Jednotná technologická platforma rezortu zdravotnictví

Jan Hřídel Regional Sales Manager - Public Administration

ČESKÁ TECHNICKÁ NORMA

Hardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s.

Outsourcing v podmínkách Statutárního města Ostravy

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Systém řízení bezpečnosti informací v praxi

Kybernetické bezpečnostní incidenty a jejich hlášení

ČESKÁ TECHNICKÁ NORMA

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

ISO Facility management nová fáze vnímání facility managementu ve společnostech. Ing. Ondřej Štrup, IFMA Fellow

Transkript:

Implementace ZKB Ing. Miroslav Jaroš Energetický regulační úřad Miroslav.Jaros@eru.cz

Bezpečnost informací v ERÚ ERÚ je správcem IS s názvem Jednotný informační systém ERÚ ( JIS ) Bezpečnost informací JIS je řízena v souladu s normou ISO/IEC 27001:2013 To znamená, že bezpečnost informací je citlivě vnímána na VŠECH úrovních organizace To znamená, že TOP management ERÚ převzal vůdčí roli závazek plnění povinností normy To znamená, že ŘÍDÍME rizika To znamená, že řídíme zdroje a přidělujeme potřebné KOMPETENCE jednotlivým rolím To znamená, že školíme personál na UŽIVATELSKOU BEZPEČNOST To znamená že jsme zavedli a UDRŽUJEME bezpečnostní dokumentaci To znamená, že všechny aktivity v ICT prostředí pečlivě PLÁNUJEME To znamená, že ICT prostředí MĚŘÍME podle předem daných kritérií a provádíme audity To doufáme znamená, že se neustále ZLEPŠUJEME 2

ZKB a ERÚ JIS byl určen vyhláškou 317/2014 Sb. jako Významný Informační Systém - VIS Od 1. ledna 2015 běží překlenovací lhůta Do 30 dnů od tohoto data jsme odevzdali kontaktní údaje na NBÚ Ve 12 měsících od tohoto data je naším cílem připravit JIS do souladu se zákonem 3

ZKB a ERÚ Určili jsme si milníky naší přípravy implementace ZKB GAP analýza posouzení stavu stávajícího prostředí JIS proti požadavkům ZKB Bezpečnostní audit stavu Návrh nápravných opatření Implementace nápravných opatření dle GAP analýzy Vnitřní audit ZKB 4

ZKB, ERÚ a aktuální stav Máme zpracovanou GAP Analýzu Máme připravené projekty na implementaci kritických nápravných opatření 5

Gap analýza Michal Zedníček Vedoucí auditního týmu, externí organizace Michal.Zednicek@alef.com

GAP analýza Definice cílů Gap analýzy Určení rozsahu etalonu Určení metodiky Určení výstupů 7

GAP analýza - Cíle Formální soulad se zákonem (rozsah VIS) Věcný odolné prostředí (rozsah KII) Praktický najít rozumnou rovnováhu mezi ISMS podle ZKB a ISO/IEC 27001:2013 8

GAP analýza - Etalon VIS řízení je do budoucna neudržitelné Chybí hodnocení podpůrných aktiv a jejich rizik Přezkoumání1x za 3 roky není použitelné v praxi Ad ERÚ chce pokračovat v certifikaci ISO/IEC 27001:2013, ISMS VIS a ISMS ISO27000 se rozchází Bude sledován etalon KII i VIS pro sjednocení s ISMS dle ISO/IEC 27001:2013 9

GAP analýza - Metodika Podrobný audit je potřeba mít celý obraz. Podklad auditu metodika dodavatele GAP analýzy, definice cca 450 oblastí, základem vyhláška 316/2014 Sb. ( VoKB) Silné auditorské (ISO27000) a technické know-how Potřebné role v týmu: Projektový manager se znalostí ZKB a ISO/IEC 27001:2013 Auditor ISO/IEC 27001:2013. Specialisté na síťovou bezpečnost Specialisté na aplikační bezpečnost Délka trvání auditu cca 2 měsíce Audit opřen o princip EN ISO 19011:2011 10

GAP analýza - Výstupy Podrobná analýza všech oblastí Interview Ověření 11

GAP analýza - Výstupy Hlavní organizační nápravná opatření Sjednocení přístupu k hodnocení aktiv podle ZKB (nyní ISO/IEC 27001:2013). Úprava analýzy rizik aktualizace Plánu zvládání rizik. Přesnější definice kompetencí v organizační struktuře. Nastavení standardů pro externí dodavatele. 12

GAP analýza - Výstupy Hlavní technická nápravná opatření Úprava nastavení autentizačních mechanismů Změna ochrany integrity sítě (změna segmentace sítě) Zvýšení úrovně zabezpečení proti škodlivému kódu Optimalizace sběru událostí a aktivní vyhodnocování KBU/KBI Změna kryptografických prostředků Zavedení testování zranitelností aplikací Aktualizace operačních systémů bezpečnostních nástrojů a ICT prostředků obecně 13

GAP analýza - Výstupy Dokumentace KBI Změna formátu bezpečnostní dokumentace pro praktické využití a nastavení procesu řízení změn. Změna kategorizace KBI Nastavení procesu zvládání KBI 14

GAP analýza - Shrnutí ERÚ si je vědom potřeb řízení bezpečnosti informací. ISMS je zavedený a funkční ve smyslu ISO/IEC 27001:2013. ISMS plně neodpovídá ZKB. ERÚ naplánoval další kroky k souladu se ZKB a obecnému zvýšení úrovně bezpečnosti informací. 15

Děkuji za pozornost. 16

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář