Zákon o kybernetické bezpečnosti Ing. Ondřej Ševeček GOPAS a.s. MCSM:Directory2012 MCM:Directory2008 MVP:Enterprise Security CEH: Certified Ethical Hacker CHFI: Computer Hacking Forensic Investigator CISA CISM ondrej@sevecek.com www.sevecek.com GOPAS: info@gopas,cz www.gopas.cz www.facebook.com/p.s.gopas Premisy Tento zákon upravuje práva a povinnosti osob a působnost a pravomoci orgánů veřejné moci v oblasti kybernetické bezpečnosti Tento zákon se nevztahuje na informační nebo komunikační systémy, které nakládají s utajovanými informacemi Pod čarou prováděcí předpis upraven vyhláškou 316/2014 Sb. "vyhláška o kybernetické bezpečnosti" přepis klíčových bodů ISO/IEC/ČSN 27001 pro vládní instituce 1
Základy Bezpečnost = důvěrnost, integrita, dostupnost a spolehlivost Informační systém technické a programové vybavení Komunikační systém systémy, zařízení a prostředky pro přenos signálů a vysílání Bezpečnostní opatření technická opatření organizační opatření Správce a provozovatel orgán nebo osoba správce určuje účel a podmínky provozu provozoval zajišťuje funkčnost technických a programových prostředků Bezpečnostní událost a incident Událost událost týkající se bezpečnosti "nahlášená" změna oproti normálnímu chování Incident událost, která (by) skutečně vedla k významnému narušení bezpečnosti povýšení události na incident 2
Složitější termíny Kybernetický prostor internet nebo jiný oddělený prostor, kde se zpracovávají a přenáší elektronické informace Významný informační systém Významný komunikační systém výkon působnosti orgánu veřejné moci Významná síť elektronických komunikací zahraniční spojení přímé připojení ke kritické informační infrastruktuře Kritická informační infrastruktura významný I/K systém bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví, ekonomiky státu Správce a provozovatel kritického a významného I/K musí Musí provádět bezpečnostní opatření Vést o těchto bezpečnostních opatřeních bezpečnostní dokumentaci 3
Organizační bezpečnostní opatření ISMS řízení rizik bezpečnostní politika organizační bezpečnost stanovení bezpečnostních požadavků pro dodavatele řízení aktiv bezpečnost lidských zdrojů řízení provozu komunikačních systémů řízení přístupu k informačním systémům akvizice, vývoj a údržba I/K zvládání bezpečnostních událostí a incidentů řízení kontinuity provozu kontrola a audit Technická bezpečnostní opatření fyzická bezpečnost ochrana integrity I/K nástroje pro ověřování identity uživatelů nástroje řízení přístupu zaznamenávání činnosti I/K nástroje pro detekci bezpečnostních událostí nástroje pro sběr a vyhodnocování bezpečnostních událostí aplikační bezpečnost kryptografické prostředky zabezpečení průmyslových a řídících systémů 4
Detekce bezpečnostní událostí a incidentů Správci a provozovatelé jsou povinni detekovat bezpečnostní události Správci a provozovatel jsou povinni hlásit bezpečnostní incidenty významná síť na CERT kritická/významná I/K na NBU NBU Vede evidenci bezpečnostních incidentů co, odkud, postup řešení a výsledek Zaměstnanci mají mlčenlivost V reakci na incident NBU vydává opatření k ochraně před incidenty NBU vydává varování, pokud se dozví z jiných zdrojů (CERT) o hrozbách 5
Národní CERT Právnická osoba s veřejnoprávní smlouvou od NBU Zajišťuje sdílení informací na národní a mezinárodní úrovni v oblasti kybernetické bezpečnosti Pro ne-významné/ne-kritické I/K + významná síť Přijímá hlášení, vyhodnocuje incidenty Poskytuje podporu, kontaktní místo Hodnocení zranitelnosti Předává nahoru na NBU Vládní CERT interní součást NBU to stejné jako Národní CERT 6
Vyhláška 316/2014 Sb. Zákon o kybernetické bezpečnosti Obsah Organizační bezpečnostní opatření Technická bezpečnostní opatření Bezpečnostní dokumentace Bezpečnostní incidenty Minimální požadavky na kryptografické algoritmy Certifikace podle technické normy 7
Organizační bezpečnostní opatření Zákon o kybernetické bezpečnosti Organizační opatření zavést systém řízení bezpečnosti informací analyzovat a řídit rizika nedostatečná ochrana vnějšího perimetru nedostatečné povědomí uživatelů a správců nevhodné nastavení přístupových oprávnění nedostatečné postupy při identifikaci osob nedostatečné sledování porušení bezpečnostní politiky sabotáž dlouhodobé přerušení poskytovaných služeb nedostatek zaměstnanců s potřebnou kvalifikací sociální inženýrství zneužití výměnných médií nedostatečná míra nezávislé kontroly zavést bezpečnostní politiku zavést organizační strukturu řízení bezpečnosti manažer, architekt, auditor, výbor stanovit bezpečnostní požadavky pro dodavatele řídit a klasifikovat aktiva plus mazání a ničení datových nosičů 8
Organizační opatření zabezpečit lidské zdroje plán rozvoje bezpečnostního povědomí opakované poučení uživatelů a správců kontrola dodržování bezpečnostní politiky přidělování a vracení svěřených aktiv řídit provoz a komunikace práva a povinnosti osob zastávajících bezpečnostní role postupy pro spuštění a vypnutí systémů kontaktní osoby jako podpora řízení a schvalování změn sledování a hlášení incidentů zálohování a ověření použitelnosti oddělené vývojové, testovací a provozní prostředí bezpečnost a integrita komunikačních sítí Organizační opatření řídit přístup a bezpečné chování uživatelů omezit přidělování privilegovaných oprávnění správců přiděluje a odebírá uživatelské přístupy pravidelné přezkoumání přístupu bezpečné používání mobilních zařízení akvizice, vývoj a údržba ochrana vývojového prostředí bezpečný nákup a doprava aktiv sledovat bezpečnostní události a zvládat incidenty oznamování událostí uživateli i správci hodnocení událostí a vyvolávání a dokumentace incidentů poučení z incidentů zajištění kontinuity činností minimální úroveň poskytovaných služeb doby obnovení chodu doby a úrovně obnovení dat hodnocení incidentů vzhledem ke kontinuitě zvýšení odolnosti systémů a procesů opakovaná kontrola a audit posouzení dokumentace a stavu v souladu s bezpečnostní politikou, právními předpisy 9
Technická bezpečnostní opatření Zákon o kybernetické bezpečnosti Fyzická bezpečnost neoprávněný vstup do prostor neoprávněné zásahy do prostor poškození, krádeže, ztráty 10
Integrita komunikačních sítí řízení přístupu k síti segmentace kryptografie blokování dat, která neodpovídají účelu Ověření identity uživatelů a správců hesla 8+ (admin 15+) 3of4 <=100 dnů historie hesel doba nečinnosti 11
Řízení přístupu přístup k datům přístup k aplikacím čtení/zápis/mazání a změna oprávnění Nástroj pro ochranu přes škodlivým kódem komunikace vnitřní-vnější stanice servery a datová úložiště aktualizace 12
Nástroje pro zaznamenávání činností synchronizace času jednou za 24 hodin uchovávání 3 měsíce 13