Návrh zákona KB Národní centrum KB Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz
Návrh ZKB # Proč ZKB? # Jak to začalo? # Oblasti regulace ZKB # Hlavní požadavky ZKB # Vyhlášky k ZKB # Úrovně regulace ZKB / VKB # Hlavní požadavky VKB # Organizační a technická opatření VKB # Stav návrhu ZKB / VKB
Proč ZKB? Důležité funkce státu jsou závislé na ICT Vysoká rizika nezabezpečených ICT
Jak to celé začalo? Usnesení vlády č. 781 ze dne 19. října 2011 č Ustavení NBU gestorem kybernetické bezpečnosti a zároveň národní autoritou za tuto oblast Zřizuje Radu pro kybernetickou bezpečnost Schvaluje vznik NCKB jako součásti NBU Ukládá vypracování ZKB
Oblasti regulace ZKB # Kritická informační infrastruktura (KII) prvek nebo systém prvků kritické infrastruktury v odvětví komunikační a informační systémy ) v oblasti kybernetické bezpečnosti ) 2 zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon) # Významný informační systém (VIS) informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou a u kterého narušení bezpečnosti informací může ohrozit nebo výrazně omezit výkon činnosti veřejné správy; významné informační systémy a jejich určující kritéria stanoví prováděcí právní předpis
Hlavní požadavky ZKB # Bezpečnostní opatření (standardizace) # Hlášení kybernetických bezpečnostních incidentů # Reaktivní opatření
Vyhlášky k ZKB Vyhláška o kybernetické bezpečnosti (VKB) (standardizační ) Vyhláška kterou se stanoví významné informační systémy (VIS) (určující )
Úrovně regulace VKB # Kritická informační infrastruktura Silná racionální regulace vycházející z podstatných požadavků CSN/ ISO 27001, 27002 Efektivní nasazení bezpečnostních opatření, jejich vyhodnocování a optimalizaci # Významný informační systém Minimalistická regulace v rozsahu nejzákladnějších bezpečnostních požadavků # Dobrovolná certifikace ISMS podle normy CSN/ISO27001:2013
Hlavní požadavky VKB # Organizační opatření # Technická opatření
Organizační opatření VKB 3 Systém řízení bezpečnosti informací 4 Řízení rizik 5 Bezpečnostní politika 6 Organizační bezpečnost 7 Stanovení bezpečnostních požadavků pro dodavatele 8 Řízení aktiv 9 Bezpečnost lidských zdrojů 10 Řízení provozu a komunikací 11 Řízení přístupu a bezpečné chování uživatelů 12 Akvizice, vývoj a údržba 13 Zvládání kybernetických bezpečnostních událostí a incidentů 14 Řízení kontinuity činností 15 Kontrola a audit
Technická opatření VKB 16 Fyzická bezpečnost 17 Nástroj pro ochranu integrity komunikačních sítí 18 Nástroj pro ověřování identity uživatelů 19 Nástroj pro řízení přístupových oprávnění 20 Nástroj pro ochranu před škodlivým kódem 21 Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů 22 Nástroj pro detekci kybernetických bezpečnostních událostí 23 Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí 24 Aplikační bezpečnost 25 Kryptografické prostředky 26 Nástroje pro zajištění vysoké úrovně dostupnosti 27 Bezpečnost průmyslových a řídicích systémů
Stav návrhu ZKB 10. 1.2014 návrh ZKB předložen do PS 14.2. 2014 návrh ZKB schválen PS v prvním čtení s příkazem k projednání ve výborech 10.6.2014 návrh ZKB projedná PS ve druhém a třetím čtení Prozatím vzneseny 3 pozměňovací návrhy, které však nemění základní instituty ani charakter navrhované úpravy.
Stav návrhu vyhlášek ZKB 21. 2.2014 návrh VKB zveřejněn k připomínkování odbornou veřejností 11.4. 2014 vypořádání připomínek k návrhu VKB 7/ 2014 mezirezortní připomínkové řízení VKB 7/ 2014 mezirezortní připomínkové řízení VIS NV 432/2010 novelizace
# Proč NCKB # Struktura # Hlavní činnosti # Aktuální projekty NCKB
Proč NCKB? Zvládání KBI KII a VIS Podpora řízení KB v oblasti KII a VIS Zpětná vazba o stavu KB ČR
Struktura NCKB Národní bezpečnostní úřad Sekce kybernetická bezpečnost Národní centrum kybernetické bezpečnosti Vládní CERT ČR Odd. podpory CERT (GovCERT) (Policy, strategy) Brno Praha
Hlavní aktivity NCKB # Zvládání KBI (incident handling) # Hrozby a zranitelnosti (vulnerability management) # Proaktivní činnost Botnet Feed # Provozovat Vládní CERT # Podpora vzdělávání v oblasti KB # Tvorba koncepcí a strategií KB
Příklady projektů NCKB # Koordinační centrum pro české bezpečnostní týmy: videokonference se stálými i ad hoc členy řešení rozsáhlých bezpečnostních útoků; # Automatizované sdílení informací o incidentech: včetně sdílení dat; system to system komunikace; incident handlig oboustranná výměna inf. o incidentech # Využití klientských honeypotů automatizovaná kontrola webových stránek na malware; později lze nabízet jako jednu ze služeb. přítomnost
Závěrečné shrnutí # Aktiva (KII / VIS) # Stávající / nová bezpečnostní opatření # Rizika # Spolupráce
Děkuji za pozornost p.pazderka@nbu.cz