Zákon o kybernetické bezpečnosti

Podobné dokumenty
Zákon o kybernetické bezpečnosti

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Návrh VYHLÁŠKA. ze dne 2014

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

316/2014 Sb. VYHLÁŠKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

b) aktivem primární aktivum a podpůrné aktivum, c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Návrh VYHLÁŠKA. ze dne 2014

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

SBÍRKA ZÁKONŮ. Ročník 2014 ČESKÁ REPUBLIKA. Částka 127 Rozeslána dne 19. prosince 2014 Cena Kč 109, O B S A H :

Kybernetická bezpečnost

Zákon o kybernetické bezpečnosti a související předpisy

Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

Strana 1 / /2014 Sb. VYHLÁKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

SBÍRKA ZÁKONŮ. Ročník 2018 ČESKÁ REPUBLIKA. Částka 43 Rozeslána dne 28. května 2018 Cena Kč 106, O B S A H :

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY

VYHLÁŠKA. ze dne 21. května 2018,

Zákon o kybernetické bezpečnosti a související předpisy

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Bezpečnostní politika a dokumentace

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

IDET AFCEA Květen 2015, Brno

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Zákon o kybernetické bezpečnosti. Petr Nižnanský

Kybernetická bezpečnost III. Technická opatření

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Kybernetická bezpečnost MV

Kybernetická bezpečnost resortu MV

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

Bezpečnostní politika společnosti synlab czech s.r.o.

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Seminář CyberSecurity II

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL

Bezpečností politiky a pravidla

Nabídka kurzů k systému řízení bezpečnosti informací (ISMS) ČSN ISO/IEC 27001:2014

Státní pokladna. Centrum sdílených služeb

Organizační opatření, řízení přístupu k informacím

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

TSB a kybernetická bezpečnost SMB a jím ovládaných subjektů

VLÁDNÍ NÁVRH ZÁKON. ze dne 2017,

Národní bezpečnostní úřad

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Václav Borovička. Seminář AFCEA a Policejní akademie ČR Listopad 2014, Praha

Kybernetický zákon Aspekty a konsekvence zákona o kybernetické bezpečnosti. ISSS 2015 jitesar@cisco.com 14. dubna 2015

ZÁKON ze dne 23. července 2014 o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Zákon o kybernetické bezpečnosti na startovní čáře

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

Úplné znění zákona o kybernetické bezpečnosti a části zákona o svobodném přístupu k informacím s vyznačením navrhovaných změn

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Jaroslav Šmíd náměstek ředitele

Obecné nařízení o ochraně osobních údajů

Technické aspekty zákona o kybernetické bezpečnosti

Ing. Miroslav Tůma, Ph.D. ředitel odboru Kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra ČR

srpen 2008 Ing. Jan Káda

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Dopady zákona o kybernetické bezpečnosti (ZKB) Jan Mareš

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

Kybernetická bezpečnost a GDPR. OBCE, MĚSTA, KRAJE a jiné organizace

Zkušenosti a výsledky určování KII a VIS

Projekty Ministerstva vnitra e-sbírka a e-legislativa z pohledu kybernetické bezpečnosti

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Bezpečnostní politika společnosti synlab czech s.r.o.

INFORMACE O ZMĚNÁCH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. účinných od 1. srpna 2017

Z K B V P R O S T Ř E D Í

Bezpečnostní politika

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Legislativa kybernetické bezpečnosti Kritická informační infrastruktura a Významné informační systémy Ing. Dušan Navrátil Ředitel

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

MOŽNOSTI FINANCOVÁNÍ PROJEKTŮ EGOVERNMENTU A KYBERNETICKÉ BEZPEČNOSTI Z INTEGROVANÉHO REGIONÁLNÍHO OPERAČNÍHO PROGRAMU (IROP) V PROGRAMOVÉM OBDOBÍ

Další postup v řešení. kybernetické bezpečnosti. v České republice

Právní výzvy v oblasti kybernetické bezpečnosti. Mgr. Petra Vrábliková advokát

181/2014 Sb. ZÁKON ČÁST PRVNÍ KYBERNETICKÁ BEZPEČNOST

Protecting Data in Microsoft Online Services. Studie zpracovaná na základě poptávky Microsoft s.r.o. Zakázka: MICR Verze: 2.

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Transkript:

Zákon o kybernetické bezpečnosti Ing. Ondřej Ševeček GOPAS a.s. MCSM:Directory2012 MCM:Directory2008 MVP:Enterprise Security CEH: Certified Ethical Hacker CHFI: Computer Hacking Forensic Investigator CISA CISM ondrej@sevecek.com www.sevecek.com GOPAS: info@gopas,cz www.gopas.cz www.facebook.com/p.s.gopas Premisy Tento zákon upravuje práva a povinnosti osob a působnost a pravomoci orgánů veřejné moci v oblasti kybernetické bezpečnosti Tento zákon se nevztahuje na informační nebo komunikační systémy, které nakládají s utajovanými informacemi Pod čarou prováděcí předpis upraven vyhláškou 316/2014 Sb. "vyhláška o kybernetické bezpečnosti" přepis klíčových bodů ISO/IEC/ČSN 27001 pro vládní instituce 1

Základy Bezpečnost = důvěrnost, integrita, dostupnost a spolehlivost Informační systém technické a programové vybavení Komunikační systém systémy, zařízení a prostředky pro přenos signálů a vysílání Bezpečnostní opatření technická opatření organizační opatření Správce a provozovatel orgán nebo osoba správce určuje účel a podmínky provozu provozoval zajišťuje funkčnost technických a programových prostředků Bezpečnostní událost a incident Událost událost týkající se bezpečnosti "nahlášená" změna oproti normálnímu chování Incident událost, která (by) skutečně vedla k významnému narušení bezpečnosti povýšení události na incident 2

Složitější termíny Kybernetický prostor internet nebo jiný oddělený prostor, kde se zpracovávají a přenáší elektronické informace Významný informační systém Významný komunikační systém výkon působnosti orgánu veřejné moci Významná síť elektronických komunikací zahraniční spojení přímé připojení ke kritické informační infrastruktuře Kritická informační infrastruktura významný I/K systém bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví, ekonomiky státu Správce a provozovatel kritického a významného I/K musí Musí provádět bezpečnostní opatření Vést o těchto bezpečnostních opatřeních bezpečnostní dokumentaci 3

Organizační bezpečnostní opatření ISMS řízení rizik bezpečnostní politika organizační bezpečnost stanovení bezpečnostních požadavků pro dodavatele řízení aktiv bezpečnost lidských zdrojů řízení provozu komunikačních systémů řízení přístupu k informačním systémům akvizice, vývoj a údržba I/K zvládání bezpečnostních událostí a incidentů řízení kontinuity provozu kontrola a audit Technická bezpečnostní opatření fyzická bezpečnost ochrana integrity I/K nástroje pro ověřování identity uživatelů nástroje řízení přístupu zaznamenávání činnosti I/K nástroje pro detekci bezpečnostních událostí nástroje pro sběr a vyhodnocování bezpečnostních událostí aplikační bezpečnost kryptografické prostředky zabezpečení průmyslových a řídících systémů 4

Detekce bezpečnostní událostí a incidentů Správci a provozovatelé jsou povinni detekovat bezpečnostní události Správci a provozovatel jsou povinni hlásit bezpečnostní incidenty významná síť na CERT kritická/významná I/K na NBU NBU Vede evidenci bezpečnostních incidentů co, odkud, postup řešení a výsledek Zaměstnanci mají mlčenlivost V reakci na incident NBU vydává opatření k ochraně před incidenty NBU vydává varování, pokud se dozví z jiných zdrojů (CERT) o hrozbách 5

Národní CERT Právnická osoba s veřejnoprávní smlouvou od NBU Zajišťuje sdílení informací na národní a mezinárodní úrovni v oblasti kybernetické bezpečnosti Pro ne-významné/ne-kritické I/K + významná síť Přijímá hlášení, vyhodnocuje incidenty Poskytuje podporu, kontaktní místo Hodnocení zranitelnosti Předává nahoru na NBU Vládní CERT interní součást NBU to stejné jako Národní CERT 6

Vyhláška 316/2014 Sb. Zákon o kybernetické bezpečnosti Obsah Organizační bezpečnostní opatření Technická bezpečnostní opatření Bezpečnostní dokumentace Bezpečnostní incidenty Minimální požadavky na kryptografické algoritmy Certifikace podle technické normy 7

Organizační bezpečnostní opatření Zákon o kybernetické bezpečnosti Organizační opatření zavést systém řízení bezpečnosti informací analyzovat a řídit rizika nedostatečná ochrana vnějšího perimetru nedostatečné povědomí uživatelů a správců nevhodné nastavení přístupových oprávnění nedostatečné postupy při identifikaci osob nedostatečné sledování porušení bezpečnostní politiky sabotáž dlouhodobé přerušení poskytovaných služeb nedostatek zaměstnanců s potřebnou kvalifikací sociální inženýrství zneužití výměnných médií nedostatečná míra nezávislé kontroly zavést bezpečnostní politiku zavést organizační strukturu řízení bezpečnosti manažer, architekt, auditor, výbor stanovit bezpečnostní požadavky pro dodavatele řídit a klasifikovat aktiva plus mazání a ničení datových nosičů 8

Organizační opatření zabezpečit lidské zdroje plán rozvoje bezpečnostního povědomí opakované poučení uživatelů a správců kontrola dodržování bezpečnostní politiky přidělování a vracení svěřených aktiv řídit provoz a komunikace práva a povinnosti osob zastávajících bezpečnostní role postupy pro spuštění a vypnutí systémů kontaktní osoby jako podpora řízení a schvalování změn sledování a hlášení incidentů zálohování a ověření použitelnosti oddělené vývojové, testovací a provozní prostředí bezpečnost a integrita komunikačních sítí Organizační opatření řídit přístup a bezpečné chování uživatelů omezit přidělování privilegovaných oprávnění správců přiděluje a odebírá uživatelské přístupy pravidelné přezkoumání přístupu bezpečné používání mobilních zařízení akvizice, vývoj a údržba ochrana vývojového prostředí bezpečný nákup a doprava aktiv sledovat bezpečnostní události a zvládat incidenty oznamování událostí uživateli i správci hodnocení událostí a vyvolávání a dokumentace incidentů poučení z incidentů zajištění kontinuity činností minimální úroveň poskytovaných služeb doby obnovení chodu doby a úrovně obnovení dat hodnocení incidentů vzhledem ke kontinuitě zvýšení odolnosti systémů a procesů opakovaná kontrola a audit posouzení dokumentace a stavu v souladu s bezpečnostní politikou, právními předpisy 9

Technická bezpečnostní opatření Zákon o kybernetické bezpečnosti Fyzická bezpečnost neoprávněný vstup do prostor neoprávněné zásahy do prostor poškození, krádeže, ztráty 10

Integrita komunikačních sítí řízení přístupu k síti segmentace kryptografie blokování dat, která neodpovídají účelu Ověření identity uživatelů a správců hesla 8+ (admin 15+) 3of4 <=100 dnů historie hesel doba nečinnosti 11

Řízení přístupu přístup k datům přístup k aplikacím čtení/zápis/mazání a změna oprávnění Nástroj pro ochranu přes škodlivým kódem komunikace vnitřní-vnější stanice servery a datová úložiště aktualizace 12

Nástroje pro zaznamenávání činností synchronizace času jednou za 24 hodin uchovávání 3 měsíce 13

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář