Legislativa kybernetické bezpečnosti Kritická informační infrastruktura a Významné informační systémy Ing. Dušan Navrátil Ředitel

Legislativa kybernetické bezpečnosti Kritická informační infrastruktura a Významné informační systémy Ing. Dušan Navrátil Ředitel

Václav Borovička Legislativa kybernetické bezpečnosti o Existuje množství právních předpisů, které mají dopad na kybernetickou bezpečnost o občanské, obchodní, správní, trestní, ústavní o V užším slova smyslu -zákon č. 181/2014 Sb., o kybernetické bezpečnosti, a související předpisy o Cílem prezentace je poskytnout přehled právních základů kybernetické bezpečnosti České republiky v

Základní milníky související se ZKB v čase Proces určování/ posuzování KII/VIS Proces implementace ZKB Provádění ICT bezpečnosti (PDCA) 2012 2013 2014 2015

Kybernetické předpisy o Zákon č. 181/2014 Sb., o kybernetické bezpečnostia o změně souvisejících předpisů (dále také ZKB ) o Základní zákon zajištění kybernetické bezpečnosti České republiky o Stanovuje okruh subjektů, které jsou povinny zavádět bezpečnostní opatření, vykonávat opatření vydaná NBÚ nebo hlásit kybernetické bezpečnostní incidenty o Vymezuje dohledová pracoviště Vládní CERT a Národní CERT a jejich působnost o Zavádí stav kybernetického nebezpečí jako krizový stav sui generis o Stanovuje kontrolu dodržování ZKB

Kybernetické předpisy o Vyhláška č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) (dále také VKB ) o vyhláškou jsou konkretizována bezpečnostní opatření uvedené v 5 ZKB, a je stanoven rozsah a struktura bezpečnostní dokumentace o vychází z obecných principů řízení bezpečnosti informací dle ISO 27001 o stanoven rozdílný rozsah opatření pro subjekty KII a VIS o stanovuje také náležitosti hlášení kybernetických bezpečnostních incidentů, kontaktních údajů apod.

Kybernetické předpisy o Vyhláška č. 317/2014 Sb., kterou se stanoví významné informační systémy a jejich určující kritéria o Stanovuje konkrétně určené VIS v příloze č. 1 o Stanovuje kritéria pro posouzení dalších informačních systémů správci ve smyslu VIS o Novelizované nařízení vlády ze dne 22. prosince 2010 č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury o novelou doplněna odvětvová kritéria pro oblast kybernetické bezpečnosti

Kybernetické předpisy Související o Zákon č. 127/2005 Sb., o elektronických komunikacích o jednak stanovuje určitou míru opatření pro zajištění funkčnosti veřejných sítí elektronických komunikací o ZKB na něj odkazuje při určování povinných subjektů, konkrétně poskytovatelů služeb elektronických komunikací a subjektů zajišťující sítě elektronických komunikací [ 3 písm. a) ZKB] o Zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (dále také KrZ ) o ZKB navazuje KII na KrZ, zejména pak proces jejího určování o KII je vždy i KI ve smyslu KrZ

Legislativa kybernetické bezpečnosti Vládní usnesení o Usnesení vlády ČR ze dne 19. října 2011 č. 781 o Udělena gesce NBÚ pro oblast kybernetické bezpečnosti o NBÚ ustanoven národní autoritou pro oblast kybernetické bezpečnosti o Uloženo vybudování Národního centra kybernetické bezpečnosti v Brně o Usnesení vlády ČR ze dne 23. května 2012 č. 364 o Přijata aktualizovaná Strategie pro oblast kybernetické bezpečnosti ČR na období let 2012 až 2015 a na ni navazující Akční plán

Legislativa kybernetické bezpečnosti Vládní usnesení ousnesení vlády ČR ze dne 16. února 2015 č. 105 oschválena nová Národní strategie kybernetické bezpečnosti České republiky na období let 2015 až 2020 (dále NSKB ) o Schválení Akčního plánu k NSKB odne 25.5. 2015 byl Akční plán schválen vládou ČR a je dostupný na webových stránkách www.govcert.cz

Kritická informační infrastruktura (KII) o Komplex informačních a komunikačních systémů (naplňující stanovená průřezová kritéria a odvětvová kritéria v oblasti kybernetické bezpečnosti), jejichž nefunkčnost by mohla způsobit závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu. o Pozor!: stejně jako KI -týká se veřejnoprávních i soukromoprávních subjektů.

KII proces určování Jsou dána průřezová (dopadová) kritéria Může narušení bezpečnosti informací způsobit ALESPOŇ jedno z průřezových kritérií? NE ANO Nesplněny podmínky pro KII Jsou dána odvětvová kritéria v oblasti kybernetické bezpečnosti Splňuje Váš IS nebo KS ALESPOŇ jedno z odvětvových kritérií? NE ANO Splněny podmínky pro KII Jste OSS? NE KII určeno OOP KII určeno usnesením vlády ANO

KII průřezová (dopadová) kritéria (Průřezová kritéria podle 1 nařízení vlády č. 432/2010 Sb., ve znění novely č. 315/2014 Sb.) a) Více než 250 mrtvých nebo více než 2 500 osob s následnou hospitalizací delší než 24 hodin. b) Mezní hodnota hospodářské ztráty je větší než 0,5 % HDP (např. v r. 2013 = 19,4 mld. Kč). c) Omezení poskytování nezbytných služeb nebo jiný závažný zásah do každodenního života postihující více než 125 000 osob.

KII proces určování Jsou dána průřezová (dopadová) kritéria Může narušení bezpečnosti informací způsobit ALESPOŇ jedno z průřezových kritérií? NE ANO Nesplněny podmínky pro KII Jsou dána odvětvová kritéria v oblasti kybernetické bezpečnosti Splňuje Váš IS nebo KS ALESPOŇ jedno z odvětvových kritérií? NE ANO Splněny podmínky pro KII Jste OSS? NE KII určeno OOP KII určeno usnesením vlády ANO

KII odvětvová kritéria oblast kybernetické bezpečnosti a) Ovlivňuje Váš IS významně nebo zcela činnost určeného prvku KI a zároveň je nahraditelný jen při vynaložení nepřiměřených nákladů nebo v časovém období delším jak 8 hodin? b) Ovlivňuje Váš KS významně nebo zcela činnost určeného prvku KI a zároveň je nahraditelný jen při vynaložení nepřiměřených nákladů nebo v časovém období delším jak 8 hodin? c) Je Váš IS spravovaný orgánem veřejné moci obsahující osobní údaje o více než 300 tis. osobách? d) Je Váš systém komunikačním systémem, který zajišťuje připojení nebo propojení prvku KI spravovaným orgánem veřejné moci s kapacitou přenosu min. 1 Gbit/s? e) Odvětvová kritéria pro určení prvku KI uvedená v písm. A. F., odvětví VI. přílohy nařízení vlády č. 432/2010 Sb., ve znění novely č. 315/2014 Sb., se použijí přiměřeně pro oblast KB, pokud je ochrana prvku naplňujícího tato kritéria nezbytná pro zajištění kybernetické bezpečnosti.

Predikce a současný stav určování KII prvků v daných oblastech SOUKROMÝ SEKTOR OSTATNÍ ORGANIZAČNÍ SLOŽKY STÁTU ÚSTŘEDNÍ SPRÁVNÍ ORGÁNY MINISTERSTVA 150 25 0 30 2 0 30 2 14 45 2 31 0 20 40 60 80 100 120 140 160 predikce celkového počtu prvky KII v procesu určení Určené KII

Předpokládaný poměr prvků KII v daných oblastech (predikce) 59% 17% 12% 12% ministerstva ústřední správní orgány ostatní organizační složky státu soukromý sektor

Plnění povinností KII (časová osa) 1.1.2015 26.6. 26.5.2016 25.5.2015 Určení 45 prvků KII (usnesením vlády) 0. Proces určování prvků KII (oboustranné jednání) viz. schéma na www.govcert.cz 1. Lhůta pro nahlášení kontaktních údajů 2. Přechodná lhůta (implementace bezpečnostních opatření podle vyhlášky č. 316/2014 Sb.) 3. Plnění povinností podle ZKB (hlášení kybernetických bezpečnostních incidentů, provádění bezp. opatření) 4. Možnost státního dozoru (auditu) ze strany NBÚ kontrola souladu se zákonem o kybernetické bezpečnosti

Významné informační systémy (VIS) o VIS je informační systém spravovaný orgánem veřejné moci, který není KII a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci. o VIS naplňují kritéria daná vyhláškou č. 317/2014 Sb. o Pozn.: Správcem VIS nemohou být obce (stanoveno ve vyhlášce) o Naplnění kritérií posuzuje správce

Predikce a současný stav počtu VIS 235 VÝZNAMNÉ INFORMAČNÍ SYSTÉMY 110 predikce celkového počtu 0 50 100 150 200 250 nahlášené VIS

Plnění povinností VIS (časová osa) 1. Lhůta pro nahlášení kontaktních údajů 2. Přechodná lhůta (implementace bezpečnostních opatření podle vyhlášky č. 316/2014 Sb.) Pozn.: již během přechodné lhůty je nutné plnit případná opatření ze strany NBÚ 3. Plnění povinností podle ZKB (hlášení kybernetických bezpečnostních incidentů, provádění bezp. opatření) 4. Možnost kontroly zavedení bezpečnostních opatření podle vyhlášky č. 316/2014 Sb. ze strany NBÚ

Nabízené služby z oblasti KII a VIS o Určování prvků kritické informační infrastruktury o Podpora při posuzování významných informačních systémů o Metodická podpora související s problematikou kybernetické bezpečnosti v: o legislativně-právní oblasti, o v oblasti managementu kybernetické bezpečnosti, o v technické oblasti. o Provádění auditů kybernetické bezpečnosti v rámci kontrol dodržování zákona Další činnosti NCKB v oblasti KII a VIS o o o o o Spolupráce s dalšími institucemi i firmami na mezinárodní i národní úrovni Vzdělávání v oblasti problematiky zákona o kybernetické bezpečnosti Příprava podpůrných materiálů Publikace Pořádání osvětových akcí a mnoho dalších

Děkuji za pozornost