Seminář CyberSecurity II

Podobné dokumenty
Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Kybernetický zákon Aspekty a konsekvence zákona o kybernetické bezpečnosti. ISSS 2015 jitesar@cisco.com 14. dubna 2015

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Kybernetická bezpečnost III. Technická opatření

Zákon o kybernetické bezpečnosti

Technické aspekty zákona o kybernetické bezpečnosti

Návrh VYHLÁŠKA. ze dne 2014

Návrh VYHLÁŠKA. ze dne 2014

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

b) aktivem primární aktivum a podpůrné aktivum, c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém

316/2014 Sb. VYHLÁŠKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Kybernetická bezpečnost

SBÍRKA ZÁKONŮ. Ročník 2014 ČESKÁ REPUBLIKA. Částka 127 Rozeslána dne 19. prosince 2014 Cena Kč 109, O B S A H :

Zákon o kybernetické bezpečnosti

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

Strana 1 / /2014 Sb. VYHLÁKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Bezpečnostní politika a dokumentace

Z K B V P R O S T Ř E D Í

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Úroveň znalostí bezpečnostních rolí podle Zákona o kybernetické bezpečnosti

10. VÝZVA IROP KYBERNETICKÁ BEZPEČNOST

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Bezpečnostní politika společnosti synlab czech s.r.o.

SBÍRKA ZÁKONŮ. Ročník 2018 ČESKÁ REPUBLIKA. Částka 43 Rozeslána dne 28. května 2018 Cena Kč 106, O B S A H :

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

VYHLÁŠKA. ze dne 21. května 2018,

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Kybernetická bezpečnost MV

Kybernetická bezpečnost resortu MV

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Monitorování datových sítí: Dnes

Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL

Nabídka kurzů k systému řízení bezpečnosti informací (ISMS) ČSN ISO/IEC 27001:2014

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Zákon o kybernetické bezpečnosti: kdo je připraven?

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Informatika / bezpečnost

STUPNICE PRO HODNOCENÍ DOPADU ZPRACOVÁNÍ / INCIDENTU

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

ISSS Mgr. Pavel Hejl, CSc. T- SOFT spol. s r.o.

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Dopady zákona o kybernetické bezpečnosti (ZKB) Jan Mareš

Dohledové centrum egovernmentu. Aplikace ZoKB v praxi

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s.

Protecting Data in Microsoft Online Services. Studie zpracovaná na základě poptávky Microsoft s.r.o. Zakázka: MICR Verze: 2.

Michal Andrejčák, Klub uživatelů ŘS MicroSCADA, Hotel Omnia Janské Lázně, Cyber security Novinky / Statistiky.

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

egc tým Bezpečnost Hodnocení dopadů a zařazování do bezp. úrovní Závazná bezpečnostní opatření pro dodavatele

Bezpečností politiky a pravidla

Připojení městských částí do infrastruktury MepNET. Dotazníkové šetření Bohdan Keil,

MOŽNOSTI FINANCOVÁNÍ PROJEKTŮ EGOVERNMENTU A KYBERNETICKÉ BEZPEČNOSTI Z INTEGROVANÉHO REGIONÁLNÍHO OPERAČNÍHO PROGRAMU (IROP) V PROGRAMOVÉM OBDOBÍ

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Státní pokladna. Centrum sdílených služeb

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice

Organizační opatření, řízení přístupu k informacím

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Zkušenosti s implementací ZoKB a problémy, které nás pálí. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT

Implementace systému ISMS

Bezepečnost IS v organizaci

Security. v českých firmách

Nástroje IT manažera

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

PREZENTACE PRO ŽADATELE K 10. VÝZVĚ IROP KYBERNETICKÁ BEZPEČNOST BRNO Ing. Andrea Jonštová, konzultace dotačních programů

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM č. 2. Název veřejné zakázky: Dodávka SAN switchů včetně příslušenství pro datová centra

Technická a organizační opatření Českých Radiokomunikací

Z internetu do nemocnice bezpečně a snadno

Systém řízení bezpečnosti informací v praxi

Zabezpečení v síti IP

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Kybernetické hrozby - existuje komplexní řešení?

Obrana sítě - základní principy

Koncept BYOD. Jak řešit systémově? Petr Špringl

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Jednotný NIS Prezentace k zahájení projektu pro Radu kraje Vysočina. Projektový manažer - Ing. Ivan Sokolov, Ph.D.

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Zkušenosti z nasazení a provozu systémů SIEM

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

ICT bezpečnost a její praktická implementace v moderním prostředí

Úvod - Podniková informační bezpečnost PS1-2

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Transkript:

Seminář CyberSecurity II

AGENDA 1. Implementace ZKB 2. Organizační opatření 3. Technická opatření 2

Implementace ZKB Michal Zedníček Security Consultant ALEF NULA

CÍLE ZKB 1. Formální cíl: soulad se ZKB 2. Věcný cíl: Systematické Plánování/Dosažení/Controlování/A zlepšování bezpečnosti ICT 4

IMPLEMENTACE ZKB Postup implementace ZKB - 1.poločas GAP Analýza Cíl: hodnocení stávajícího prostředí Časový milník: hned Výsledek: Zpráva o stavu prostředí k ZKB 5

IMPLEMENTACE ZKB Postup implementace ZKB - 2.poločas Realizace organizačních a technických opatření, dokumentace Cíl: Plný soulad se ZKB Časový milník: konec překlenovací lhůty Výsledek Etapa 1: Plán zvládání rizik Výsledek Etapa 2: soulad se ZKB a zabezpečené ICT 6

IMPLEMENTACE ZKB Realizace organizačních a technických opatření, dokumentace, certifikace Organizační opatření Stanovení cílů, naplánování a popsání cesty, nastavení procesů Technická opatření Implementace technických nástrojů s ohledem na Plán zvládání rizik Dokumentace Definice procesů a jejich zaznamenání písemnou formou Certifikace Zjednodušení kontroly státem 7

ORGANIZAČNÍ OPATŘENÍ Organizační opatření Plánování Povzbuzují k plánování činností Plán zvládání rizik Klíčový dokument popisující postup implementace ZKB Procesy Vedou k zavedení chování podle ZKB procesů 8

TECHNICKÁ OPATŘENÍ Technická opatření Implementace technických opatření Zvolení priority implementačních projektů podle Plánu zvládání rizik Integrita s Organizačními opatřeními 9

DOKUMENTACE Dokumentace Obsah a rozsah Vzor i povinnosti v ZKB Cíle dokumentace Doklad naplnění ZKB Nástroj k efektivnímu rozvoji Nástroj pro efektivní řešení problémů 10

CERTIFIKACE Certifikace Systém řízení informační bezpečnosti je možné ověřit Implementace ZKB je přípravou na certifikační audit ISO/IEC 27001 Výhody certifikace Usnadnění auditu státní správou Nezávislý pohled na řízení informační bezpečnosti 11

SHRNUTÍ 1. GAP analýza 2. Organizační opatření k Plánu zvládání rizik 3. Organizační opatření dle Plánu zvládání rizik 4. Implementace technických opatření + průběžné vytváření/doplňování dokumentace + certifikace (volitelně) 12

Pohled na Organizační opatření Michal Zedníček Security Consultant ALEF NULA

VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI Organizační opatření 3 Systém řízení bezpečnosti informací 4 Řízení rizik 5 Bezpečnostní politika 6 Organizační bezpečnost 7 Stanovení bezpečnostních požadavků pro dodavatele 8 Řízení aktiv 9 Bezpečnost lidských zdrojů 10 Řízení provozu a komunikací 11 Řízení přístupu a bezpečné chování uživatelů 12 Akvizice, vývoj a údržba 13 Zvládání kybernetických bezpečnostních událostí a incidentů 14 Řízení kontinuity činností 15 Kontrola a audit 14

ORGANIZAČNÍ OPATŘENÍ 3 Systém řízení bezpečnosti informací Stanovení hranic systému Kde systém začíná a končí Stanovení etalonu Vzorem je ZKB Zavedení PDCA Rozdíly KII a VIS ve zpětné vazbě 15

ORGANIZAČNÍ OPATŘENÍ 4 Řízení rizik Metodika identifikace a hodnocení aktiv a rizik Přílohy 1 a 2 VKB Scénáře hrozeb a zranitelností Předepsané oblasti k řešení Významný milník Dokument Plán zvládání rizik 16

ORGANIZAČNÍ OPATŘENÍ 5 Bezpečnostní politika Povinné oblasti pro bezpečnostní politiku 14 pro VIS, 21 pro KII Souvislost Povinnost znalosti pro všechny role, zahrnutí do Plánu rozvoje bezpečnostního povědomí 17

ORGANIZAČNÍ OPATŘENÍ 6 Organizační bezpečnost Kompetence řízení informační bezpečnosti v rukách Výboru pro řízení kybernetické bezpečnosti Stanovení rolí a jejich kompetencí Přepsané role pro KII Manažer, Architekt, Auditor Kybernetické bezpečnosti Garanti aktiv 18

ORGANIZAČNÍ OPATŘENÍ 7 Stanovení bezpečnostních požadavků pro dodavatele Dohoda o pravidlech Forma ustanovení ve smlouvě, smlouva o úrovni služeb Analýza rizik KII řídí rizika spojená s dodavateli 19

ORGANIZAČNÍ OPATŘENÍ 8 Řízení aktiv Práce s aktivy Identifikace, hodnocení, klasifikace aktiv Metodika Příloha č. 1 VKB Kompetence za aktiva Garanti aktiv 20

ORGANIZAČNÍ OPATŘENÍ 9 Bezpečnost lidských zdrojů Školení osob Vstupní a pravidelná školení všech osob, včetně evidence Dokument Plán rozvoje bezpečnostního povědomí Další povinnosti Vedení přístupových oprávnění Kontrola dodržování bezpečnostní politiky Zajištění vrácení svěřených aktiv a odebrání přístupových práv při ukončení smluvního vztahu 21

ORGANIZAČNÍ OPATŘENÍ 10 Řízení provozu a komunikací Detekce KBU Za pomoci 21 a 23 Bezpečný provoz Zajištění bezpečného provozu, stanovení provozních pravidel a postupů 22

ORGANIZAČNÍ OPATŘENÍ 11 Řízení přístupu a bezpečné chování uživatelů Povinnost řízení přístupu Včetně ochrany autorizačních údajů 23

ORGANIZAČNÍ OPATŘENÍ 12 Akvizice, vývoj, údržba Řešení změn IS nebo KS Bezpečnostní požadavky zahrnuty do projektu akvizice, vývoje a údržby 24

ORGANIZAČNÍ OPATŘENÍ 13 Zvládání KBU a KBI KBU Detekce včetně vyhodnocení KBI Klasifikace a hlášení Hodnocení příčiny, účinnost řešení a nastavení opatření 25

ORGANIZAČNÍ OPATŘENÍ 14 Řízení kontinuity činností Stanovuje cíle řízení kontinuity formou Minimální přijatelná úroveň poskytovaných služeb Doba obnovení chodu na minimální přijatelnou úroveň Doba obnovení dat Stanovuje strategii řízení kontinuity činností Musí obsahovat naplnění cílů řízení kontinuity 26

ORGANIZAČNÍ OPATŘENÍ 15 Kontrola a audit kybernetické bezpečnosti Integrace s dalšími zákony Posuzuje se soulad s jinými právními a regulatorními předpisy Kontrola systému řízení informační bezpečnosti Plán, postup a evidence pravidelných kontrol 27

Thank you!

Pohled na technická opatření Petr Vácha Security Manager ALEF NULA

PŘEHLED TECHNICKÝCH OPATŘENÍ (VYHLÁŠKA) 16 Fyzická bezpečnost 17 Nástroj pro ochranu integrity komunikačních sítí 18 Nástroj pro ověřování identity uživatelů 19 Nástroj pro řízení přístupových oprávnění 20 Nástroj pro ochranu před škodlivým kódem 21 Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a správců 22 Nástroj pro detekci kybernetických bezpečnostních událostí 23 Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí 24 Aplikační bezpečnost 25 Kryptografické prostředky 26 Nástroje pro zajištění vysoké úrovně dostupnosti 27 Bezpečnost průmyslových a řídicích systémů

KDE, JAK A PROČ APLIKOVAT? Pochopení PODSTATY činnosti organizace => vyspecifikování důležitých částí v rámci ICT, lidských zdrojů, Smysluplné aplikování požadavků ZKB => aplikuje se dle plánu na zvládání rizik Nedělejme si to složitější než je to nutné Zákon vychází z best practice pro dané oblasti Nutnost prozkoumat všechny paragrafy

VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 16 Fyzická bezpečnost VIS i KII zamezení neoprávněnému vstupu, zamezení poškození a zásahům, kompromitace aktiv KII ochrana objektů, ochrana vymezených prostor s technickými aktivy, ochrana jednotlivých technických aktiv Prostředky fyzické bezpečnosti mechanické zábranné, EZS, systémy pro kontrolu vstupu, kamerové systémy, ochrana před výpadkem el. en., systémy pro zajištění optimálních provoz. podmínek

16 - FYZICKÁ BEZPEČNOST Řešení fyzické bezpečnosti - kamerové systémy - EZS - čipové ověřování - biometrické ověřování - klimatizace - UPS - Diesel agregáty pro napájení -

VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 17 Nástroj pro ochranu integrity komunikačních sítí VIS i KII ochrana integrity rozhraní vnější a vnitřní sítě řízení bezpečného přístupu mezi vnější a vnitřní sítí segmentace pomocí DMZ => dojde ke zvýšení bezpenosti aplikací v DMZ a k zamezení přímé komunikace mezi vnější a vnitřní sítí šifrování vzdáleného přístupu a u přístupu pomocí bezdrátových technologií odstranění nebo blokování informací, které neodpovídají požadavkům na ochranu integrity KS KII - ochrana integrity vnitřní sítě její segmentací (DMZ...)

17 - NÁSTROJ PRO OCHRANU INTEGRITY Řešení ochrany integrity komunikačních sítí - Firewally, Next Generation Firewally, - 802.1x - Intrusion Prevention System - LAN přepínače - Směrovače - Segmentace sítě - VPN brány - WiFi prvky - Vhodně aplikovaný design sítě dle best practice -

VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 18 Nástroj pro ověřování identity uživatelů VIS+KII nástroje pro ověření identity musí zajistit Ověření identity všech uživatelů a administrátorů Minimální délka hesla je 8 znaků Minimální složitost hesla vyžaduje alespoň 3 ze 4 parametrů: jedno velké písmeno, jedno malé písmeno, jednu číslici a jeden speciální znak Maximální doba platnosti hesla je 100 dní

VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 18 Nástroj pro ověřování identity uživatelů KII zvýšené nároky na politiku hesel Zajištění kontroly dříve použitých hesel Zamezení více násobné změn hesla jednoho uživatele během definovaného období (nejméně 24 hodin) Vynucení minimální délky hesla u administrátorských účtů 15 znaků

18 - NÁSTROJ PRO OVĚŘOVÁNÍ IDENTITY Řešení nástrojů pro ověřování identity uživatelů - Požadavky na komplexitu hesel a pravidelnou obměnu, - Obvykle nastaveno v nějaké adresářové službe Active Directory, LDAP - Nezapomínat na aplikační služby vytvořené na zakázku - Ověrovat lze na různých místech sítě. Obecně platí, čím dříve, tím lépe - BYOD, 802.1x -

VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 19 Nástroj pro řízení přístupových oprávnění VIS i KII musí se použít nástroje pro řízení přístupových oprávnění, které musí zajistit Řízení oprávnění uživatelů pro přístup k aplikacím a datovým souborům Řízení oprávnění pro čtení, zápis dat a pro změna oprávnění KII povinnost zaznamenávat použití přístupových oprávnění

19 - NÁSTROJ PRO ŘÍZENÍ PŘÍSTUPOVÝCH OPRÁVNĚNÍ Řešení nástrojů pro řízení přístupových oprávnění - Definice práv na úrovni aplikací a operačních systémů - Nezapomínat na klíčové aplikace tvořené na zakázku - I firewall řídí přístupová oprávnění (minimálně na základě IP adres) - 802.1x a BYOD je skvělý způsob řízení přístupu -

VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 20 Nástroj pro ochranu před škodlivým kódem VIS i KII povinnost použití nástrojů pro antivirovou ochranu Ověření a kontrola komunikace mezi vnější a vnitřní sítí Ověření a kontrola serverů a sdílených datových uložišť Ověření a kontrola pracovních stanic Požadavek na pravidelnou aktualizaci definic a signatur

20 - NÁSTROJ PRO OCHRANU PŘED ŠKODLIVÝM KÓDEM Řešení ochrany před škodlivým kódem - Anvirus a antimalware řešení pro koncové stanice, servery, datová uložiště - Ideální je řešit tyto hrozby u vstupu do sítě (Web, Email, FTP brány, NGFW ) - Klasické antivirové kontroly již nedostačují a je nutné používat pokročilejší techniky na odhalování malwaru -

VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 21 Nástroj pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů VIS i KII má povinnost použít nástroje pro zaznamenávání činností, které zajistí Sběr informací o provozních a bezpečnostních událostech Zaznamenání zejména událostí typ činnosti přesný čas události (synchronizace času min. každých 24 hodin) identifikace technického aktiva, který činnost zaznamenal identifikace původce a místa činnosti úspěšnost či neúspěšnost činnosti Ochranu informací před neoprávněným čtením a změnou

VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 21 Nástroj pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů VIS i KII zaznamenává - přihlášení a odhlášení uživatelů a administrátorů - činnosti provedené administrátory - činnosti vedoucí ke změně oprávnění - neúspěšné činnosti - spuštění a ukončení práce systému - varovná nebo chybová hlášení - přístupy logům, pokus o manipulaci - použití mechanismů identifikace a autentizace, včetně změn údajů k přihlášení

VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 21 Nástroj pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů pro KII Povinnost uchovávat logy min. 3 měsíce

21 - NÁSTROJ PRO ZAZNAMENÁVÁNÍ ČINNOSTÍ KII A VIS Řešení pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů - Logování z klíčových aplikací - Aplikace na míru mají často nedostatky vůči požadavkům na logování - Logování na úrovni OS (auditování) - Logování přístupu a práce se síťovými prvky (TACACS, radius, syslog ) - Nejlépe zvolit aplikaci sběrač logů pro centrální sběr událostí -

VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 22 Nástroj pro detekci kybernetických bezpečnostních událostí (KBU) VIS i KII povinnost použití nástroje pro detekci KBU zajištění ověření, kontroly a případné blokování komunikace mezi vnitřní a vnější sítí KII ověření, kontrola a případné blokování komunikace v rámci vnitřní komunikační sítě ověření, kontrola a případné blokování komunikace v rámci určených serverů

22 - NÁSTROJ PRO DETEKCI KBU Řešení pro detekci kybernetických bezpečnostních událostí (KBU) - Vyhodnocování útoků pomocí Intrusion Prevention Systemů - Řešení problematiky DoS a DDoS (Pozor! IPS, firewally nejsou nástroje pro efektivní řešení těchto hrozeb) - Next Generation Firewally mají rozšířenou aplikační kontrolu - Nástroje pro behaviorální analýzu provozu

VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 23 Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí (KBU) pro KII povinné použití nástroje pro sběr a vyhodnocení KBU poskytnutí informací o KBU bezpečnostním rolím nepřetržité vyhodnocování KBU stanovení bezpečnostní politiky pro použití a údržbu nástroje pravidelná aktualizace nastavených pravidel pro zpřesnění chodu nástroje pro vyhodnocování KBU zajištění využívání získaných informací o KBU k optimalizaci bezpečnostních vlastností ICT

23 - NÁSTROJ PRO SBĚR A VYHODNOCENÍ KBU UDÁLOSTÍ Řešení pro sběr a vyhodnocení kybernetických bezpečnostních událostí (KBU) pro KII - Sběr a vyhodnocení událostí z pohledu bezpečnosti - Řeší se nasazením SIEMu - Co sledovat? Správná analýza rizik a bezpečnostní politika vyznamně napoví.

VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 24 Aplikační bezpečnost VIS i KII provádí se bezpečnostní testy aplikací, které jsou přístupné z vnější sítě před uvedením do provozu a po každé zásadní změně bezpečnostních mechanizmů KII zajišťuje ochranu aplikací a informací dostupných z vnějších sítí neoprávněnou činností popřením provedených činností kompromitací nebo neautorizovanou změnou transakcí před nedokončením, nesprávným směrováním, neautorizovanou změnou, kompromitací, neautorizovaným duplikováním, opakováním

24 - APLIKAČNÍ BEZPEČNOST Řešení nástrojů pro aplikační bezpečnost - U kritických aplikací je pro KII nutný specializovaný aplikační firewall - Je nutné aplikace pravidelně prověřovat pomocí auditovacích a penetračních nástrojů -

VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 25 Kryptografické prostředky VIS i KII stanovuje bezpečnostní politiku pro používání kryptografické ochrany Typ a síla kryptografického algoritmu Ochrana citlivých dat při přenosu po KS, při uložení na mobilní zařízení nebo na vyměnitelná média Povinnost kryptografickými prostředky zajistit Ochranu důvěryhodnosti a integrity předávaných nebo ukládaných dat Prokázání odpovědnosti za provedené činnosti

VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 25 Kryptografické prostředky dle přílohy č. 3 KII stanovení požadavků na správu a minimálních požadavků na sílu šifrovacích klíčů Symetrické algoritmy blokové a proudové šifry AES (128,192,256), RC4 (min. 128), SNOW 2.0 (128,256) Omezené použití pro 3DES (168)... => migrace na AES Symetrické algoritmy šifrovací módy pro integritu dat HMAC, CBC-MAC-EMAC,CMAC Omezené použití pro CBC-MAC-X9.19 Asymetrické algoritmy pro technologii digitálního podpisu DSA (min. 2048,224), EC-DSA (min. 224), EC-DSA (min. 224), RSA PSS (min. 2048) Asymetrické algoritmy pro procesy dohod na klíči a šifrování klíčů Diffie-Hellman (min.2048,224), ECDH (min.224), ECIES-KEM (min.256), PSEC-KEM (min.256), (ACE-KEM (min.256), RSA-OAEP (min.2048), RSA-KEM (min.2048) Algoritmy hash funkcí SHA2 (SHA-224, SHA-256, SHA-384, SHA-512/224, SHA-512/256) RIPEMD-160 Whirpool SHA1 nepoužívat v podepisovaných algoritmech

25 - KRYPTOGRAFICKÉ PROSTŘEDKY Řešení nástrojů pro kryptografickou bezpečnost - Nutné prověřit aktivní prvky, aplikace i operační systémy z hlediska podporovaných šifrovacích standardů - Je nutné řešit i mobilní zařízení a přenosná datové uložiště -

VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 26 Nástroje pro zajištění vysoké úrovně dostupnosti pro KII použití nástrojů pro vysokou úroveň dostupnosti a odolnosti, které zajistí Potřebnou úroveň kontinuity činností Odolnost vůči útokům (KBU) na snížení dostupnosti Zálohováním důležitých technických aktiv Využitím redundance v návrhu Zajištěním výměny vadných technických aktiv v definovaném čase

26 - ZAJIŠTĚNÍ VYSOKÉ ÚROVNĚ DOSTUPNOSTI Zajištění vysoké úrovně dostupnosti pro KII - Použitém redudantního designu pokud to je nutné a finančně opodstatněné - Je možné si nasmlouvat službu na výměnu pod SLA - Je nutné pravidelně prověřovat dodavatele

VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 27 Bezpečnost průmyslových a řídicích systémů pro KII Omezení fyzického přístupu k průmyslovým a řídícím systémům Omezení propojení a vzdáleného přístupu k průmyslovým a řídícím systémům Ochrana jednotlivých technických aktiv před známými zranitelnostmi Obnovení chodu po kybernetickém bezpečnostním incidentu

27 - BEZPEČNOST PRŮMYSLOVÝCH A ŘÍDICÍCH SYSTÉMŮ Zajištění bezpečnost průmyslových a řídicích systémů pro KII - Obvykle se jedná o sítě typu SCADA - Sítě typu SCADA = nízké riziko, ale hrozba vysoká - SCADA má velmi nízkou úroveň zabezpečení - Rizika jsou hodně spjaty i s fyzickou bezpečností - Obvykle komplikované řízení přístupu pro externí dodavatele - Nutnost oddělení od běžného uživatelského provozu - Je vhodný spíše konzervativní neinvazivní model zabezpečení

Thank you!

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář