Státní pokladna. Centrum sdílených služeb

Podobné dokumenty

Kybernetická bezpečnost MV

Z K B V P R O S T Ř E D Í

Kybernetická bezpečnost resortu MV

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Organizační dopady při řešení kybenetické bezpečnosti. Ing. Zdeněk Seeman, CISA, CISM Mgr. Tomáš Rydvan

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Zákon o kybernetické bezpečnosti

Bezpečnostní politika a dokumentace

Kybernetická bezpečnost

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Zkušenosti s implementací ZoKB a problémy, které nás pálí. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Implementace systému ISMS

Dopady zákona o kybernetické bezpečnosti (ZKB) Jan Mareš

Bezpečnostní opatření a audit shody se ZKB. Ing. Martin Konečný,

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

V Brně dne 10. a

Zkušenosti z naplňování ZKB: Audit shody se ZKB. Ing. Martin Konečný,

Zákon o kybernetické bezpečnosti

Posuzování na základě rizika

TSB a kybernetická bezpečnost SMB a jím ovládaných subjektů

Zdravotnické laboratoře. MUDr. Marcela Šimečková

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

Vazba na Cobit 5

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Zákon o kybernetické bezpečnosti. Petr Nižnanský

ČESKÁ TECHNICKÁ NORMA

Kybernetická bezpečnost II. Management kybernetické bezpečnosti

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool

Jarní setkání

Obecné nařízení o ochraně osobních údajů

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Praktické zkušenosti s certifikací na ISO/IEC 20000

Stavíme informační systém

Bezpečnostní politika společnosti synlab czech s.r.o.

Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

srpen 2008 Ing. Jan Káda

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Strategie rozvoje ČP OZ ICTs

BEZPEČNOST IT A OT SYSTÉMŮ V ENERGETICE

KYBERBEZPEČNOST POHLEDEM MV ČR

Směrnice pro řízení projektů města Moravská Třebová

Strategie a Perspektivy ČP OZ ICT Služby 2015

Metody řízení kvality: ISO 9001

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

Pokyn generálního ředitele č. 19/2017

ROZHODNUTÍ GŘ č. 4/2017

Požadavky ISO 9001:2015 v cyklu PDCA Požadavky ISO 9001:2015 v cyklu P-D-C-A

Věc: Strategie EZÚ pro přechodné období zavádění normy ČSN OHSAS 18001

Systém řízení informační bezpečnosti (ISMS)

Příklad I.vrstvy integrované dokumentace

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

O2 a jeho komplexní řešení pro nařízení GDPR

Bezpečnostní politika společnosti synlab czech s.r.o.

Cobit 5: Struktura dokumentů

Řízení informační bezpečnosti a veřejná správa

Ing. Josef Svoboda, Ph.D. Regionservis Pleinservis, s.r.o Dětenice 11. května 2011

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

Semestrální práce z předmětu 4IT421 Téma: CMMI-DEV v.1.3 PA Project Monitoring and Control

Otázky kurzu 4IT417 Řízení podnikové informatiky verze z 1/2/ Podniková informatika pojmy a komponenty

Kybernetická bezpečnost resortu Ministerstva vnitra. Odbor kybernetické bezpečnosti a koordinace ICT KYBERNETICKÁ BEZPEČNOST obr. č.

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků

Návrh VYHLÁŠKA. ze dne 2014

ČESKÁ TECHNICKÁ NORMA

Systém řízení bezpečnosti informací v praxi

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Legislativa kybernetické bezpečnosti Kritická informační infrastruktura a Významné informační systémy Ing. Dušan Navrátil Ředitel

WS PŘÍKLADY DOBRÉ PRAXE

b) aktivem primární aktivum a podpůrné aktivum, c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém

Kybernetická bezpečnost: Rizika outsourcingu! Jak je právně ošet it?

Certifikace Ministerstva vnitra v oblasti kyberbezpečnosti

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Profesionální a bezpečný úřad Kraje Vysočina

Co je riziko? Řízení rizik v MHMP

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

SMĚRNICE DĚKANA Č. 4/2013

Specifikace předmětu zakázky

Zkušenosti se zaváděním ISMS z pohledu auditora

Transkript:

Státní pokladna Centrum sdílených služeb

Státní pokladna Centrum sdílených služeb

Organizační dopady při řešení kybernetické bezpečnosti Ing. Zdeněk Seeman, CISA, CISM

Obsah prezentace Podrobnější pohled na organizační bezpečnost obsazení rolí v oblasti kybernetické bezpečnosti logiku jejich fungování Bezpečnostní dokumentaci Význam dokumentace a její účel 4

Účel příspěvku Podrobnější pohled na organizační bezpečnost obsazení rolí v oblasti kybernetické bezpečnosti logiku jejich fungování Bezpečnostní dokumentaci Význam dokumentace a její účel str. 5

Co je ZKB na jednom slidu Impelementovat technická opatření Imeplementovat organizační opetření Mimo jiné stanovit role a odpovědnosti Ustavit procesy... reakce na kybernetické události a incidenty str. 6

Bezpečnostní opatření v ZKB Technická opatření 12x subkategorie Organizační opatření 13x subkategorie Organizační bezpečnost ( 6 VKB) Ustavení rolí a orgánů Definuje oddělení rolí Definuje povinné činnosti Bezpečnostní dokumentace ( 28 VKB) Bezpečnostní politika Vnitřní závazné předpisy Záznamy o řízení bezpečnosti str. 7

Organizační bezpečnost Bezpečnostní role (a orgán) ustavené vyhláškou ( 6) Ostatní bezpečnostně relevantní role str. 8

Role ZKB v e fázích životního cyklu IS Návrh a implementace Bezpečnostních opatření Systém řízení Bezpečnosti informací Audit Kybernetické bezpečnosti Architekt kybernetické bezpečnosti Manažer kybernetické bezpečnosti Auditor kybernetické bezpečnosti Výbor pro řízení kybernetické bezpečnosti Vlastník aktiva str. 9

Paralely mezi ZKB a ISMS dle ČSN ISO 27001 Systém řízení Bezpečnosti informací dle ZKB Systém řízení Bezpečnosti informací dle ISO 27001 Manažer kybernetické bezpečnosti Výbor pro řízení kybernetické bezpečnosti Přidělení odpovědností v oblasti bezpečnosti informací Vedení organizace Vlastník aktiva Vlastník aktiva str. 10

Odbočka č. 1 Aktiva vlastníci aktiv Dle 8 řízení aktiv Identifikuje aktiva Primární a podpůrná Určí garanty aktiv Doporučení: Udržujte spodní desítky Kritický nebo významný IS Primárná Primárná Primárná aktiva Primárná aktiva Primárná aktiva aktiva aktiva Podpůrná Podpůrná Podpůrná aktiva Podpůrná aktiva Podpůrná aktiva aktiva aktiva Technická Technická Technická aktiva Technická aktiva Technická aktiva Technická aktiva Technická aktiva Technická aktiva aktiva aktiva management Service mngt. Správci IT str. 11

Role Vlastník aktiva Definice dle 2 vyhl. 316/2014 Aktivum Primární aktiva Typicky koncová služba Podpůrná aktiva Technické aktivum Zaměstnanci dodavatelé Zcela interní role Vazba na interní organizační útvary Vedoucí pracovníci Dostatečné rozhodovací pravomoce (rozpočet) Rozumná struktura aktiv Jednotky, max. spodní desítky Využití stávajících vazeb mezi IS a útvary Součást stávajících pracovních povinností str. 12

Role Manažer kybernetické bezpečnosti Definice dle 6 vyhl. 316/2014 Odpovědnost za systém řízení bezpečnosti informací Lze chápat v kontextu ČSN ISO/IEC 27001..ISMS Provozní role komunikaci mezi mngt a výkonnými rolemi Řídí: rizika a aktiva, lidské zdroje, provoz a komunikace, řízení přístupu (téměř) interní role důraz na vykonávající osobu min dlouhodobý kontrakt Statut externího zaměstnance Úzká vazba na vedení organizace B-1 level Organizace setkání výboru kybernetické bezpečnosti Dostupný pro krizové situace str. 13

Role Architekt kybernetické bezpečnosti Definice dle 6 vyhl. 316/2014 Odpovědnost za návrh a implementaci Projektová role Částečně Projektová role, částečně provozní Výstavbové projekty lze sourcovat externě Interně udržovat koncepci a směrování architektury str. 14

Výbor pro řízení kybernetické bezpečnosti Definice dle vyhlášky 6, od. 7 Zajišťuje celkové řízení a rozvoj a koordinaci činností Interní řídící orgán - Rozhodovací pravomoci Účast managementu organizace Pravidelné setkání Typicky 2-3 měsíce Organizuje manažer KB Mimořádné jednání Výskyt kybernetické události / incidentu str. 15

Ostatní role pro kybernetickou bezpečnost V rámci provozu jsou ještě další důležité role Správci bezpečnostních technologií Správa bezpečnostních funkcí IS Řízení lidských zdrojů Fyzická ostraha budovy Nutné identifikovat a nastavit úrovně služeb (SLA) Specifikovat služby a metriky V případě potřeby aplikovat postupy jak se dostat z vleku dodavatele str. 16

Bezpečnostní dokumentace Vyhláška předepisuje sadu dokumentů 28 Bezpečnostní dokumentace Kromě toho existuje implicitní dokumentace Dokumentace vychází z životního cyklu str. 17

Bezpečnostní dokumentace Řídící dokumentace k systému řízení Politiky a pravidla (prohlášení managementu) Architektonická (návrhová) dokumentace Provozní postupy (pro jednotlivé role) Záznamy z provozních procesů a auditů Řízení záznamů a řízení dokumentů str. 18

Strukturovaný pohled na dokumenty Fáze životního cyklu Analýza Návrh Implementace Provoz Typické dokumenty Hodnocení aktiv a rizik Prohlášení o aplikovatelnosti Bezpečnostní politika (politiky) Plán zvládání rizik Plán rozvoje bezpečnostního povědomí Plán zvládání kybernetických incidentů Strategie řízení kontinuity Bezpečnostní testy Evidence aktiv (a vazeb) Dokumentace k bezpečnostním událostem Zprávy z auditu (a přezkoumání) Informace o státním podniku SPCSS str. 19

Závěr Dotazy a komentáře str. 20

Na shledanou Ing. Zdeněk Seeman, CISA, CISM Auditor kybernetické bezpečnosti SPCSS, s.p. zdenek.seeman@spcss.cz str. 21