Kybernetický zákon z pohledu dat a informací

15. 10. 2014 | Praha

SAS VS Roadshow 2014

2© 2014 Deloitte Česká republika

Agenda

• Úvod do problematiky

• Právní normy

• Subjekty, kterých se zákon týká

• Základní relevantní pojmy

• Bezpečnostní opatření

• Jak to vlastně funguje?

123

3© 2014 Deloitte Česká republika

Zákon o kybernetické bezpečnosti

• Zákon č. 181/2014 Sb. O kybernetické bezpečnosti ze dne 23. 7. 2014

• Účinnost 1. 1. 2015

• Upravuje práva a povinnosti osob a působnost a pravomoci orgánů veřejné moci v oblasti kybernetické bezpečnosti

• Připravují se prováděcí vyhlášky

123

4© 2014 Deloitte Česká republika

Orgány a osoby, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti

• Poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací1)

• Orgán nebo osoba zajišťující významnou síť 2)

• Správce informačního systému kritické informační infrastruktury,

• Správce komunikačního systému kritické informační infrastruktury

• Správce významného informačního systému.

1) pokud není orgánem nebo osobou podle písmene b),2) pokud nejsou správcem komunikačního systému podle písmene d)

123

Do 1 roku od určení jejich KS KII

Do 1 roku ode dne naplnění určujících kritérií VIS

Do 1 roku od účinnosti zákona

Do 1 roku od určení jejich IS KII

Zave

dení

bezp

ečno

stní

ch o

patř

ení

Plně

ní p

ovin

nost

í

5© 2014 Deloitte Česká republika

Orgány veřejné moci v oblasti kybernetické bezpečnosti

• Státní správu v oblasti kybernetické bezpečnosti vykonává Národní bezpečnostní úřad

• Součástí NBÚ je Vládní CERT

• NBÚ uzavírá smlouvy s Národními CERTy

• Pravomoci a odpovědnosti jednotlivých orgánů veřejné moci jsou vyjmenované v zákoně o kritické bezpečnosti

• CERT = Computer Emergency Response Team

123

6© 2014 Deloitte Česká republika

Kritická informační infrastruktura

• Prvek nebo systém prvků kritické infrastruktury v odvětví komunikační a informační systémy v oblasti kybernetické bezpečnosti,

• Kritická infrastruktura upravena zákonem č. 240/2000 Sb. Zákon o krizovém řízení a o změně některých zákonů (krizový zákon)

• Kritickou infrastrukturou je prvek kritické infrastruktury nebo systém prvků kritické infrastruktury, narušení jehož funkce by mělo závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu,

• Prvkem kritické infrastruktury je zejména stavba, zařízení, prostředek nebo veřejná infrastruktura, určené podle průřezových a odvětvových kritérií

• Subjektem kritické infrastruktury provozovatel prvku kritické infrastruktury

• Nařízení vlády č. 432/2010 Sb. o kritériích pro určení prvku kritické infrastruktury – připravuje se novela, kterou se změní kritéria pro určení prvku kritické infrastruktury – pro KII relevantní nově navrhovaná odvětvová kritéria pro komunikační a informační systémy

123

7© 2014 Deloitte Česká republika

Významný informační systém (VIS)

• Informační systém spravovaný orgánem veřejné moci, který není kritickou informační infrastrukturou a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci,

• Národní bezpečnostní úřad a Ministerstvo vnitra stanoví vyhláškou VIS a jejich určující kritéria

• Národní bezpečností úřad stanoví vyhláškou:

• Obsah a strukturu bezpečnostní dokumentace, obsah bezpečnostních opatření a rozsah bezpečnostních opatření podle § 6 písm. a) až c),

• Typy a kategorie kybernetických bezpečnostních incidentů a náležitosti a způsob hlášení kybernetického bezpečnostního incidentu podle § 8 odst. 4,

• Náležitosti oznámení o provedení reaktivního opatření a jeho výsledku podle § 13 odst. 4 a

• Vzor oznámení kontaktních údajů a jeho formu podle § 16 odst. 6.

123

8© 2014 Deloitte Česká republika

Kybernetická bezpečnostní událost x kybernetický bezpečnostní incident

• Kybernetická bezpečnostní událost (KBU)

• událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací.

• Kybernetický bezpečnostní incident (KBI)

• narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací1) v důsledku kybernetické bezpečnostní události.

• Povinné osoby/orgány mají povinnost DETEKCE kybernetických bezpečnostních událostí.

• Povinné osoby/orgány mají povinnost HLÁSIT kybernetické bezpečností incidenty.

123

9© 2014 Deloitte Česká republika

Bezpečnostní opatření podle zákona

• Systém řízení bezpečnosti informací• Řízení rizik• Bezpečnostní politika (ISO 27K)• Organizační bezpečnost – nové role:

• Manažer kybernetické bezpečnosti

• Architekt kybernetické bezpečnosti

• Auditor

• Garant aktiv

• Stanovení bezpečnostních požadavků pro dodavatele

• Řízení aktiv• Bezpečnost lidských zdrojů• Řízení provozu a komunikací KII/VIS• Řízení přístupu ke KII/VIS• Akvizice, vývoj a údržba KII/VIS• Zvládání KBU/KBI• Řízení kontinuity činností• Kontrola a audit KII a VIS

• Fyzická opatření• Nástroje pro ochranu integrity komunikačních

sítí• Nástroj pro ověřování identity uživatelů• Nástroj pro řízení přístupových oprávnění• Nástroj pro ochranu před škodlivým kódem• Nástroj pro zaznamenávání činnosti KII a VIS,

jejich uživatelů, administrátorů• Nástroj pro detekci KBU• Nástroj pro sběr a vyhodnocení KBU• Aplikační bezpečnost• Kryptografické prostředky• Nástroj pro zajišťování úrovně dostupnosti

informací• Bezpečnost průmyslových a řídících systémů

Organizační opatření Technická opatření

123

10© 2014 Deloitte Česká republika

Technická opatření – prostředky k naplnění požadavků zákona

• § 17 Nástroje pro ochranu integrity komunikačních sítí

• § 18 Nástroj pro ověřování identity uživatelů

• § 19 Nástroj pro řízení přístupových oprávnění

• § 20 Nástroj pro ochranu před škodlivým kódem

• § 21 Nástroj pro zaznamenávání činnosti KII a VIS, jejich uživatelů, administrátorů

• § 22 Nástroj pro detekci KBU

• § 23 Nástroj pro sběr a vyhodnocení KBU

• § 24 Aplikační bezpečnost

• § 25 Kryptografické prostředky

• § 26 Nástroj pro zajišťování úrovně dostupnosti informací

Technická opatření

Firewall, Směřovače (segmentace sítě) Vhodné bezdrátové přístupové body

(podporující dostatečnou úroveň šifrování)DLP, IDS/IPS

VPN, SSH

Identity Management System

Antivirus

Provozní monitoringSyslog server

IDS/IPS

SIEM – automatické vyhodnocováníSyslog – manuální vyhodnocování

Penetrační testyVulnerability management systém

Aplikační firewallŠifrátor, Site-2-site VPN

PKIBCP, DRP

HA instalace kritické infrastrukturyZálohovací zařízení

Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti bezpečnosti (vyhláška o kybernetické bezpečnosti)

123

11© 2014 Deloitte Česká republika

Jak to vlastně funguje?

Firewall

Kybernetické hrozby

KBU KBI IT systém

Subjekt podle zákona o KB

EVIDENCE KBI

Hlášení KBI

KATEGORIZACE KBI

URČENÍ DOPADU

SIEM

MONITORINGDETEKCE KBUDETEKCE KBI

VYHODNOCOVÁNÍ DAT

IT SecGarant aktiv

Auditor KBArchitekt KBManažer KB

ZVLÁDÁNÍ KBI

NBÚ/CERT

RozhodnutíDatabázeEVIDENCE KBI

ANALÝZYOpatření obecné

povahyOznámení o

provedení opatření

OPATŘENÍ

VarováníReaktivní opatřeníOchranná opatření STAV KYBERNETICKÉ

NOUZE

PROVÁDĚNÍ KONTROL

123

12© 2014 Deloitte Česká republika

Co z toho plyne v oblasti dat?

• Monitorovat provoz a bezpečnost IT infrastruktury

• Monitorovat kybernetické hrozby a útoky

• Detekovat kybernetické bezpečnostní události

• Hlásit kybernetické bezpečnostní incidenty – manuálně/automaticky formou předepsaného hlášení

• Udržovat ISMS – aktiva, analýza rizik….

123

© 2014 Deloitte Česká republika 13

Děkuji za pozornost

Q&A

Vlastimil ČervenýDeloitte AdvisorySenior Manager Security&Privacyvcerveny@deloittece.com

@deloittece.com

Deloitte označuje jednu či více společností Deloitte Touche Tohmatsu Limited, britské privátní společnosti s ručením omezeným zárukou („DTTL“), jejích členských firem a jejich spřízněných subjektů. Společnost DTTL a každá z jejích členských firem představuje samostatný a nezávislý právní subjekt. Společnost DTTL (rovněž označovaná jako „Deloitte Global“) služby klientům neposkytuje. Podrobný popis právní struktury společnosti Deloitte Touche Tohmatsu Limited a jejích členských firem je uveden na adrese www.deloitte.com/cz/onas.

Společnost Deloitte poskytuje služby v oblasti auditu, daní, poradenství a finančního a právního poradenství klientům v celé řadě odvětví veřejného a soukromého sektoru. Díky globálně propojené síti členských firem ve více než 150 zemích a teritoriích má společnost Deloitte světové možnosti a poskytuje svým klientům vysoce kvalitní služby v oblastech, ve kterých klienti řeší své nejkomplexnější podnikatelské výzvy. Přibližně 200 000 odborníků usiluje o to, aby se společnost Deloitte stala standardem nejvyšší kvality.

Společnost Deloitte ve střední Evropě je regionální organizací subjektů sdružených ve společnosti Deloitte Central Europe Holdings Limited, která je členskou firmou sdružení Deloitte Touche Tohmatsu Limited ve střední Evropě. Odborné služby poskytují dceřiné a přidružené podniky společnosti Deloitte Central Europe Holdings Limited, které jsou samostatnými a nezávislými právními subjekty. Dceřiné a přidružené podniky společnosti Deloitte Central Europe Holdings Limited patří ve středoevropském regionu k předním firmám poskytujícím služby prostřednictvím více než 3 900 zaměstnanců ze 34 pracovišť v 17 zemích.

© 2014 Deloitte Česká republika