Z K B V P R O S T Ř E D Í MSP
Co vás čeká (agenda) Přiblížení prostředí Výchozí stav ( před ZKB ) Volba přístupu Struktura politik Základní role Pár postřehů z implementace 2
MSP z pohledu ZKB Resort MSP Ministerstvo spravedlnosti soudy státní zastupitelství Vězeňská služba ČR Rejstřík trestů Probační a mediační služba 3
MSP z pohledu ZKB (pokr.) Prvky kritické infrastruktury 4x KII Významné informační systémy 5x VIS Změna spojená s novelizací vyhlášky č. 317/2014 Sb. 1.7.2016 4
Výchozí stav Specifická omezení resortu Vysoká autonomie jednotlivých složek (zejména soudy) Rozdíly v úrovni nasazených technologií na jednotlivých složkách Existující struktura předpisů upravující oblast bezpečnosti informací Gesce odboru informatiky MSP Definující základní úroveň bezpečnosti Dokumenty nižší úrovně 5
Výchozí stav (pokr.) Instrukce Ministerstva spravedlnosti o zajištění bezpečnosti informací v prostředí informačních a komunikačních technologií resortu spravedlnosti Základní rámec odpovídající politice systému řízení Politika bezpečnosti informací v ICT resortu spravedlnosti Hlavní standardizační politika Vycházející strukturou z ISO/IEC 17799:2005 Zástupce dílčích politik upravujících konkrétní oblasti Politika vzdáleného přístupu do resortní sítě z mobilních zařízení 6
Volba přístupu Cíle Naplnění požadavků ZKB Jednoduché používání (v rámci možností) Zvýšení úrovně bezpečnosti Volby Jeden systém nebo více systémů řízení Jedna politika (stávající model) nebo více politik po oblastech (cca 25 politik, model podle VKB) Samostatné politiky pro SIS, VIS a KII nebo politika zahrnující všechny oblasti Vytvoření samostatných politik pro VIS a KII a ponechání stávající politiky Obecnější vyžadující podpůrné předpisy nebo samonosná 7
Volba přístupu (pokr.) Volby Jeden systém nebo více systémů řízení jeden ISMS Jedna politika (stávající model) nebo více politik po oblastech (cca 25 politik, model VKB) více politik Samostatné politiky pro SIS, VIS a KII nebo politika zahrnující všechny oblasti po oblastech Obecnější vyžadující podpůrné předpisy nebo samonosná - samonosná 8
Struktura nových politik resortu 1. Politika řízení bezpečnosti informací resortu Ministerstva spravedlnosti 2. Politika organizační bezpečnosti Politika řízení provozu a komunikací Politika řízení přístupu 3. Zajištění bezpečné infrastruktury prostředí ICT Politika vzdáleného přístupu do resortní sítě z mobilních zařízení Politika řízení bezpečnosti informací resortu Ministerstva spravedlnosti 1. úroveň Odpovídá stávající instrukci Ministerstva spravedlnosti dalších 22 politik Obecná, obsahuje základní principy. Strategie řízení kontinuity činností Konkrétní postupy rozvádí předpisy 3. úrovně (Příručka systému řízení) 9
10 Struktura nových politik resortu (pokr.) Standardizační politiky 2. úroveň Odpovídají stávající Politice BICT Obsahuje konkrétní požadavky Standardizační směrnice 3. úroveň Upravuje dílčí oblasti Příklady: Stávající politika přístupu z mobilních zařízení, Zajištění bezpečné infrastruktury prostředí ICT, Příručka systému řízení bezpečnosti informací a Metodika analýzy rizik
Přehled politik 11 Celkem 1 politika systému řízení (1. úroveň) 24 standardizačních politik (2. úroveň) 4 standardizační směrnice (3. úroveň) Základní informace Vychází z původní politiky ALE Minimalizace odkazů na další neexistující dokumenty Doplnění v oblastech požadovaných ZKB Dílčí posílení na základě AR Struktura vychází z VKB, ale doplněny 3 politiky (byly potřeba) Platné v celém resortu důležitý je charakter IS, ne typ organizace
Přehled politik (pokr.) 12 Počet politik Vyhláška vyžaduje pro KII: 21 (22) politik Vyhláška vyžaduje pro VIS: 14 politik MSp: 25 politik Nové Politika zvládání kybernetických bezpečnostních incidentů Politika auditu a kontroly souladu Politika akvizice a vývoje Důvody Vyhláška v jednotlivých oblastech definuje bezpečnostní požadavky nezávisle na skutečnosti, zdali předepisuje existenci politiky
Základní role Manažer kybernetické bezpečnosti (MKB) Hlavní výkonná role zajišťující řízení bezpečnosti informací v resortu Jedna role pro celý resort Odpovědný za provádění analýz, určování pravidel, revize dokumentů, zvyšování bezpečnostního povědomí, udělování výjimek Zajišťuje každodenní provoz Zejména odpovědný za organizační stránku Architekt Technická role spolupracující s MKB Jedna role pro celý resort Zejména odpovědný za technickou stránku 13
Základní role (pokr.) Auditor kybernetické bezpečnosti Hlavní kontrolní role provádějící audity Jedna role pro celý resort Garant aktiva (IS) Hlavní role spojená s IS definující pravidla jeho používání (v rámci daných limitů) Předpokládán zástupce klíčových uživatelů Jedna role pro každý IS Technický garant IS Zajišťuje bezpečný provoz v rámci limitů daných Garantem aktiva, volitelná role Odpovídá za technické aspekty provozu Předpokládán hlavní správce IS Jedna role pro každý IS 14
Základní role (pokr.) Výbor pro řízení kybernetické bezpečnosti Kontrolní a poradní orgán, kterému předsedá zástupce vedení organizace Obsahuje zástupce IT a odborných útvarů 15
Pár postřehů z implementace Audit dle ZKB vs interní audit resp. vnitřní kontrola zákon č. 320/2001 Sb. o finanční kontrole Potřeba posílení zpětné vazby VŘKB Audity Další komunikační kanály Obsazování rolí málo zájemců řešit příkazem (např. ministra) Více politik vs jedna politika 16
Děkuji za pozornost Ondřej Steiner S.ICZ a.s. ondrej.steiner@i.cz 17