regulatorni okvir kibernetiČke sigurnosti u republici … · 2019-10-18 · regulatorni okvir...
TRANSCRIPT
![Page 1: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/1.jpg)
REGULATORNI OKVIR KIBERNETIČKESIGURNOSTI U REPUBLICI HRVATSKOJ
- CSC 2018, OSIJEK, 10. listopada 2018. -
Dr. sc. Aleksandar Klaić, dipl. ing. el.Pomoćnik predstojnice za informacijsku sigurnost i
Predsjednik Nacionalnog vijeća za kibernetičku sigurnost
Ured Vijeća za nacionalnu sigurnost
![Page 2: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/2.jpg)
URED VIJEĆA ZA NACIONALNU SIGURNOST (UVNS)
• UVNS • National Security Authority (NSA)
• Središnje državno tijelo za informacijsku sigurnost
• Designated Security Authority (DSA)
• Središnje državno tijelo za područje sigurnosti poslovne suradnje
-----------
• Nadzor rada sigurnosno-obavještajnih agencija
• Strateška analiza za potrebe Predsjednice Republike i predsjednika Vlade
• Strateška, operativna i/ili administrativna podrška:
• Vijeće za nacionalnu sigurnost
• Savjet za koordinaciju sigurnosno-obavještajnih agencija
• Koordinacija za sustav domovinske sigurnosti
• Nacionalno vijeće za kibernetičku sigurnost
2
UVNS
PREDSJEDNICA
REPUBLIKE
PREDSJEDNIK
VLADE
VIJEĆE ZA NACIONALNU SIGURNOST
KOORDINACIJA ZA SUSTAV DOMOVINSKE SIGURNOSTI
NACIONALNO VIJEĆE ZA KIBERNETIČKU SIGURNOST
SAVJET ZA KOORDINACIJU SIGURNOSNO-
OBAVJEŠTAJNIH AGENCIJA
SIGURNOSNO-OBAVJEŠTAJNA AGENCIJA
(SOA)
VOJNA SIGURNOSNO-OBAVJEŠTAJNA
AGENCIJA (VSOA)
OPERATIVNO-TEHNIČKI
CENTAR ZA NADZOR
TELEKOMUNIKACIJA (OTC)
ZAVOD ZA SIGURNOST
INFORMACIJSKIH SUSTAVA
(ZSIS))
![Page 3: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/3.jpg)
TEME
1. Taksonomija pojmova
2. Formativno razdoblje informacijske sigurnosti
3. Organizacija informacijske sigurnosti
4. Nacionalna strategija kibernetičke sigurnosti
5. Kritična komunikacijska i informacijska infrastruktura i javno-privatno partnerstvo
3
![Page 4: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/4.jpg)
SIGURNOSNA POLITIKA
4
Nadležnosti i
odgovornosti
Sigurnosna svijest,
znanje,
procjenjivanje
Procesuiranje
propusta i
kaznenih djela
Tem
elj
Provedba
primjerenih
mjera zaštite
(Duty of Care)
Svijest i odgovornost
za rizike poslovanja
(Duty of Diligence)
Ljudi,procesi,
tehnologija
![Page 5: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/5.jpg)
TAKSONOMIJA POJMOVA
• Politika informacijske sigurnosti (Security Policy)
• Djelatnosti za pripremu osiguravanja od izvora budućih prijetnji u prirodi, društvu i među društvima
• U užem smislu zbroj svih mjera, djelatnosti i postupaka namijenjenih uspostavljanju i djelovanju sustava nacionalne sigurnosti
• Kibernetički prostor
• Virtualni prostor unutar kojeg se odvija komunikacija između mrežnih i informacijskih sustava te koji obuhvaća sve mrežne i informacijske sustave neovisno o tome jesu li povezani s Intenetom
• Kibernetička sigurnost
• obuhvaća aktivnosti i mjere kojima se postiže povjerljivost, cjelovitost i dostupnost podataka i sustava u kibernetičkom prostoru.
• Kritična komunikacijska i informacijska infrastruktura (CII)
• komunikacijski i informacijski sustavi čiji bi poremećaj u funkcioniranju bitno poremetio rad pojedine ili više identificiranih nacionalnih kritičnih infrastruktura
5
![Page 6: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/6.jpg)
• Kibernetička sigurnost (Cyber Security)
• Kibernetički kriminalitet (Cyber Crime) – posebna strategija/politika
• Kibernetička obrana (Cyber Defence) - vojna doktrina/strategija obrane
• Kibernetička špijunaža (Cyber Espionage) - posebna strategija/politika
• Kibernetički terorizam (Cyber Terrorism) - posebna strategija/politika
• . . .
• CERT = CSIRT
• Computer Emergency Response Team = Computer Security Incident Response Team
• National, Governmental, Departmental, Economic Sectors/Regulators, Companies (Abuse Teams, SOC / CSOC, …) - subsidiarity principle
POVEZANI POJMOVI
6
![Page 7: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/7.jpg)
SIGURNOSNI INCIDENTI
• Povreda sigurnosti• označava svaki oblik neovlaštenog otkrivanja, zlouporabe, izmjene,
oštećivanja ili uništavanja klasificiranih podataka, kao i bilo koje drugo činjenje ili nečinjenje, čiji je rezultat gubitak njihove povjerljivosti, cjelovitosti ili dostupnosti
• Incident u kontekstu kibernetičkog prostora• incident je bilo koji događaj koji ima stvaran negativni učinak na
sigurnost mrežnih i informacijskih sustava
• Nesreće, otkazi, napadi (Accident, Failure, Attack)
• Nacionalna taksonomija računalno sigurnosnih incidenata (Nacionalni CERT/CARNET i ZSIS)• https://www.cert.hr/objavljena-nacionalna-taksonomija-racunalno-
sigurnosnih-incidenata/
7
![Page 8: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/8.jpg)
FORMATIVNO RAZDOBLJE
• Nacionalni program informacijske sigurnosti
- Nositelj: Središnji državni ured za e-Hrvatsku
- Usvojila Vlada RH u ožujku 2005.- https://www.cis.hr/www.edicija/LinkedDocuments/CCERT-PUBDOC-2005-04-
110.pdf
• Definira ciljeve informacijske sigurnosti na razini RH, nadležnostii poslove pojedinih institucija u području informacijskesigurnosti, kao i potrebnu međusobnu koordinaciju svihčimbenika informacijske sigurnosti. Nacionalni programinformacijske sigurnosti stvara čvrstu osnovu za razvojsuvremenog informacijskog društva i prosperitet građana,gospodarstva i države te pretpostavke za međunarodneintegracije u Europsku uniju i Sjevernoatlantski savez (NATO) . ..
8
![Page 9: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/9.jpg)
9
TRANSFORMACIJA SIGURNOSNE REGULATIVE
![Page 10: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/10.jpg)
POLITIKA INFORMACIJSKE SIGURNOSTI
10
KIBERNETIČKA SIGURNOST:- Strategija- Akcijski plan- Regulativa
![Page 11: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/11.jpg)
11
ORGANIZACIJA INFORMACIJSKE SIGURNOSTI
KIBERNETIČKA SIGURNOST U RH
11
![Page 12: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/12.jpg)
SAŽETAK ZADAĆA HRVATSKOG NSA/DSA
• Centralizirano NSA/DSA tijelo• Neke decentralizirane interne nacionalne funkcije:
• sigurnosne provjere, SAA, NDA, TEMPEST, …
• Koordinacijske aktivnosti• Pitanja nacionalne sigurnosne politike i međunarodne suradnje
• Nacionalna strategija kibernetičke sigurnosti
• Regulatorne aktivnosti• Pregovaranje o sigurnosnim ugovorima, prijedlozi zakona i propisa
• Funkcionalne aktivnosti• Proces donošenja odluka i centralizirano izdavanje svih certifikata za
fizičke i pravne osobe
• Nadzor informacijske sigurnosti – državni sektor / certificirane tvrtke
• Središnji registar za distribuciju međunarodnih klasificiranih podataka
12
![Page 13: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/13.jpg)
OSTALA SIGURNOSNA TIJELA
• Sigurnosno-obavještajna agencija (SOA)• nadležna za sigurnosne provjere (za fizičke i pravne osobe)
• Vojna sigurnosno-obavještajna agencija (VSOA)• nadležna za sigurnosne provjere (vojne osobe i zaposlenici MORH-a)
• Zavod za sigurnost informacijskih sustava (ZSIS)• NCSA, NDA, SAA, Tempest, koordinacija CERT funkcionalnosti u
državnim tijelima
• Hrvatska akademska i istraživačka mreža (CARNet)• nacionalni CERT
• prevencija i odgovor na računalne ugroze sigurnosti javnih informacijskih sustava
13
![Page 14: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/14.jpg)
• Uzajamna razmjena i zaštita klasificiranih podataka • General Security Agreements - GSA
• Okvir za priznavanje sigurnosnih certifikata fizičkih i pravnih osoba:• PSC – Personal Security Clearance (Sigurnosni certifikat osobe)
• FSC – Facility Security Clearance (Certifikat sigurnosti poslovne suradnje)
• Temelj za različite međudržavne ugovore o suradnji• Vojna, policijska, granice, gospodarstvo, …
• Nepostojanje ugovora – samo klasificirani podaci OGR• Diplomatska razmjena pisama namjere između NSA tijela
• Bilateralni resorni ugovori
MEĐUNARODNI SIGURNOSNI UGOVORI
14
![Page 15: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/15.jpg)
SEKTORSKE SLIČNOSTI U PRISTUPU INFORMACIJSKOJ SIGURNOSTI
• HRN ISO/IEC 27001 i ranije inačice ove norme:
• Područje zaštite osobnih podataka, Zakon/Uredba 2004.g.• „Mjere, postupci i osobe ovlaštene za osiguranje, pohranjivanje i zaštitu sustava
određuju se, ostvaruju i provjeravaju prema planu kojeg donosi voditelj zbirke osobnih podataka a u skladu s međunarodnim preporukama za to područje (ISO 17799)”
• Sektor bankarstva: HNB, Smjernice za upravljanje informacijskim sustavom u cilju smanjenja rizika, 2006.g.
• Državni sektor: ZoIS/Uredba, 2007.g.• zaštita neklasificiranih podataka koji se koriste samo za službenu uporabu i
• osnova za zaštitu klasificiranih podataka najnižeg stupnja tajnosti OGR
• Telekomunikacijski sektor: HAKOM, Pravilnik o načinu i rokovima provedbe mjera zaštite sigurnosti i cjelovitosti mreža i usluga, 2012.g.
15
![Page 16: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/16.jpg)
PROVEDBA NACIONALNOG PROGRAMA INFORMACIJSKE SIGURNOSTI DONESENOG 2005. I KASNIJE AKTIVNOSTI:
16
Ključne ugroze javnog telekom sustava (2009)
Croatian Internet Exchange (CIX)(2010)Telecomm FW Directive – Art.13 / 13aHAKOM Pravilnik o sigurnosti mreža (2012)
KIBERNETIČKA SIGURNOST
SIGURNOSNA POLITIKA DRŽAVNOG SEKTORA
![Page 17: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/17.jpg)
(Organizirani) kriminal . . .
Terorizam
Strano obavještajno djelovanje
Izloženost klasificiranih podataka
Osoblje (unutarnja ugroza)
Kibernetičke ugroze
. . .
PROMJENA OKRUŽENJA SIGURNOSNIH PRIJETNJI
Globalizacija
----------------
Virtualna
dimenzija
društva –
Kibernetički
prostor
---------------
Kibernetički
parovi
tradicionalnih
ugroza
Tradicionalno društvo
---------------
Tradicionalne
ugroze
SimetričneAsimetrične
DIMEFIL = Diplomacy, Information, Military, Economy, Financial, Intelligence, Law Enforcement/Legal
17
![Page 18: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/18.jpg)
OKRUŽENJE PRIJETNJI KIBERNETIČKE SIGURNOSTI
Ransomware (WannaCry, …),
DDOS, …
APTs:Banking Malware
(Zeus family), Espionage APTs (Turla
family), …
(Regional) Phishing Campaign (Tax, …)
Viruses, …
18
![Page 19: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/19.jpg)
NACIONALNI CERT - STATISTIKA I TRENDOVI KIBERNETIČKIHPRIJETNJI U 2017. GODINI (SRU@HR)
No. Cyber Security Incident Type Number Trend
1. Web Defacement 370
2. Phishing URL 127
3. Phishing 59
4. Malware URL 42
5. Spam 29
6. Forbidden Network Activities 28
7. Spam URL 26
8. Bots 7
9. Denial of Service (DoS) 10
10. Malware Domains 4
11. Command & Control Centers 2 -
12. . . . 19
![Page 20: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/20.jpg)
IP address Domain Physical Location Domain Owner
1. Croatian S/H* Providers .hr Croatia (RH) Domestic/Foreign
2. Croatian S/H* Providers .com; .net; .org; … Croatia (RH) Domestic/Foreign
3. Foreign S/H* Providers .hr Out of Croatia Domestic/Foreign
4. Foreign S/H* Providers .com; .net; .org; … Out of Croatia Domestic
ODGOVORNOSTI NACIONALNOG CERT-A I RAZVOJ PODRUČJA MEĐUNARODNE RAZMJENE PODATAKA O SIGURNOSNIM INCIDENTIMA (2008-2012)
• S/H = Service or Hosting
Red Arrows =
Notifications/Feeds to
National CERT
Blue Arrows =
Notifications from
National CERT
Early Warning
Incident Handling
Analysis and Forensics
Information Sharing
Situational Awareness
Neposredan
funkcionalni i sektorski
pristup potreban
20
![Page 21: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/21.jpg)
Dodatni složeni organizacijski faktor (nacionalni/međunarodni) Osobe + proces + tehnologija
Nove međuovisnosti četiri ključna faktora
Različit tretman rizika: kibernetička sigurnost - informacijska sigurnost
strateški rizik - operativni rizik
Uprava organizacije - IT odjel
Države/sektori društva – novi pristup: klasificirani podatci – čelnik tijela vlasnik rizika
Kritična komunikacijska i informacijska infrastruktura
Osobni podatci (GDPR)
. . .
RAZLIKA U PRISTUPU POLITIKA INFORMACIJSKE I KIBERNETIČKE SIGURNOSTI ?
21
![Page 22: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/22.jpg)
SVIJEST O RIZICIMA I UPRAVLJANJE RIZIKOM
22
![Page 23: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/23.jpg)
• UK – Cyber Essential Scheme:
• Opći pristup za najširi broj organizacija: Boundary firewalls and internet gateways, Secure configuration, Access Control, Malware Protection, Patch Management, …
• Mapping to ISO 27001/02, ISF, HMG – Gov, security Policy, …
• USA - Framework for Improving Critical InfrastructureCybersecurity:
• Poseban pristup za državni sektor i za industriju
• Mapping to NIST SP800-53, ISO 27001, CoBIT, …
POLITIKE KIBERNETIČKE SIGURNOSTI I POLITIKE INFORMACIJSKE SIGURNOSTI
23
![Page 24: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/24.jpg)
REGULATIVA KIBERNETIČKOGPROSTORA I SIGURNOSNA POLITIKA(GAP ANALIZA):
24
Politika
informacijske
sigurnosti
državnog
sektora
-----------------
Zaštita
klasificiranih i
neklasificiranih
podataka
Zaštita
kritične
infrastrukture
-----------------
Nacionalno
određeni
sektori kritične
infrastrukture
Duty of Diligence
---------------
Svijest i odgovornost za
rizike poslovanja
Duty of Care
---------------
Provedba primjerenih
mjera zaštite
Osjetljivost podataka
Osjetljivost infrastrukture
![Page 25: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/25.jpg)
SIGURNOST VIRTUALNE DIMENZIJE DRUŠTVA
SIGURNOST POVJERENJE
Komunikacija
Suradnja
Nove rastuće
prijetnjeRazmjena i
ustupanje
podataka
e-Government
Javne elektroničke
komunikacije
CIP / CIIP
Sigurnosna edukacija
i razvoj svijesti
25
![Page 26: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/26.jpg)
26
GLAVNI ELEMENTI NACIONALNE STRATEGIJE KIBERNETIČKESIGURNOSTI RH (10/2015):
EU NIS Directive
08/2016
https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map 26
![Page 27: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/27.jpg)
Strateška razina
Planiranje
Strategija i nacionalna
politika
Taktička razina
Ostvarenje
Nacionalna i sektorske politike
Operativno-tehnička razina
Provedba
Razmjena i ustupanje podataka, koordinirana
obrada sigurnosnih incidenata, …
ŽELJENE RAZINE PLANIRANJA STRATEGIJE
27
![Page 28: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/28.jpg)
OBUHVAĆENOST RAZINA PLANIRANJA
STRATEGIJA I AKCIJSKI PLAN (10/2015)Međuresorna tijela (06/2016 – 02/2017)
Daljnja unaprjeđenja godišnjim
praćenjem provedbe Akcijskog plana
i trogodišnjom revizijom Strategije
28
![Page 29: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/29.jpg)
STRATEGIJA I AKCIJSKI PLAN KAO OKVIR ZA RAZVOJ DRUGIH PROGRAMA
(NATO CD ASSESSMENT IZ 2017.)
29
NATO CD Assessment Strategy AP ResponsibleInstitution
2017, 2018, …
I. (Goals) Develop the … - - -
a. (Q) Provide information …
A.x.y Institution 1 Results / plan
b. (Q) Has your nation … C.x.y Institution 2 Results / plan 29
![Page 30: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/30.jpg)
SUDJELOVANJE DIONIKA I UPRAVLJANJE PROVEDBOM STRATEGIJE
Nacionalno vijeće za
kibernetičku sigurnost(16 institucija, nositelj UVNS,
Odluka VRH NN 61/2016)
Tijela nositelji i
sunositelji mjera iz
Akcijskog plana,
društveni sektori
Operativno-tehnička
koordinacija za kibernetičku sigurnost
(8 institucija, nositelj
MUP)
EU NIS Grupa za
stratešku suradnju
Nadležna
sektorska tijela
Implementacija EU NIS direktive
Strateška
problematika
Operativno
tehnička
problematika
EU CEF financiranjegrowCERT (12/2016)- Nacionalni CERT- MZO, UVNS
Energetik
aTransport
Bankarstv
o
Infrastrukture
financijskog
tržišta
Zdravlje
Distribucija i
opskrba
pitkom
vodom
Digitalna
infrastruktura
Davatelji digitalnih usluga
EU Mreža
CSIRT tijela
NATO Cyber
Defense
koordinacija, MORH
Smart Specialisation Strategy (04/2016) (Security/Cyber area)- MGPO- UVNS
EU CEF
financiranje S3 financiranje
30
![Page 31: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/31.jpg)
Odluke Vlade RH:
• 10/2015
• 06/2016
• 02/2017
• 03/2018
Nacionalno vijeće za kibernetičkusigurnost
• Ured Vijeća za nacionalnu sigurnost(predsjedatelj)
•Ministarstvo unutarnjih poslova, Ministarstvo vanjskih i europskih poslova, Ministarstvo uprave, Ministarstvo gospodarstva , poduzetništva i obrta, Ministarstvo znanosti i obrazovanja, Ministarstvo obrane, Ministarstvo pravosuđe,Minstarstvo mora, prometa i infrastrukture, Središnji državni ured za razvoj digitalnog društva
•Sigurnosno-obavještajna agencija, Operativno-tehnički centar za nadzor telekomunikacija
•Hrvatska akademska i istraživačka mreža -Nacionalni CERT, Zavod za sigurnost informacijskih sustava (GovCERT)
•Državna uprava za zaštitu i spašavanje
•Hrvatska regulatorna agencija za mrežne djelatnosti - HAKOM, Hrvatska narodna banka – HNB
•Agencija za zaštitu osobnih podataka - AZOP
Operativno-tehnička koordinacija za kibernetičkusigurnost
•Ministarstvo unutarnjih poslova(koordinator)
• Hrvatska akademska i istraživačka mreža - Nacionalni CERT, Zavod za sigurnost informacijskih sustava(GovCERT))
• Hrvatska regulatorna agencija za mrežne djelatnosti - HAKOM, Hrvatska narodna banka – HNB
• Sigurnosno-obavještajna agencija, Operativno-tehnički centar za nadzor telekomunikacija
• Ministarstvo obrane
HRVATSKA NACIONALNA MEĐURESORNA TIJELA
31
![Page 32: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/32.jpg)
EU NIS DIREKTIVA• Cybersecurity Strategy of the European Union: An Open, Safe and
Secure Cyberspace, 7.2.2013, JOIN(2013)1 final
• DIRECTIVE (EU) 2016/1148 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union (EU NIS DIRECTIVE)• Provedbeni akti obveza EU država članica – sektori, podsektori, ključne usluge
• COMMISSION IMPLEMENTING REGULATION (EU) 2018/151 of 30 January 2018 • Provedbeni akt za davatelje digitalnih usluga
• Koordinacija na EU razini:• NIS Cooperation Group (UVNS), CSIRTs Network (ZSIS, Nacionalni CERT)
• Obveza nacionalne transpozicije država članica EU:• National Regulation Solution – 05/2018, Implementation Report – 11/2018
32
![Page 33: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/33.jpg)
TRANSPOZICIJA EU NIS DIREKTIVE U HRVATSKOJ – NACIONALNI TEMELJI
• Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu (2015.)
• Odluka Vlade o uspostavi međuresornih tijela za kibernetičku sigurnost (2016.)
• Nacionalno vijeće za kibernetičku sigurnost (2017.)• Predsjedatelj UVNS, članovi iz 18 institucija, strateško usmjeravanje i praćenje
provedbe Strategije
• Operativno-tehnička koordinacija za kibernetičku sigurnost (2017.)
• Koordinira MUP, članovi iz 8 institucija s resursima i operativnim nadležnostima
• EU CEF financiranje:• https://ec.europa.eu/inea/en/connecting-europe-facility/cef-telecom/apply-
funding/2018-cyber-security
33
![Page 34: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/34.jpg)
ZAŠTITA KRITIČNE KOMUNIKACIJSKE I INFORMACIJSKE INFRASTRUKTURE U RH
• Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (2018)
• Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (2018)
• Sektori kritične komunikacijske i informacijske infrastrukture utvrđeni Zakonom:• EU OES sektori (podsektori): energija (električna, nafta, plin), prijevoz
(zračni, željeznički, vodeni, cestovni), bankarstvo, infrastrukture financijskog tržišta, zdravstvo, snabdijevanje i distribucija pitke vode, digitalna infrastruktura (IXPs, DNS, TLD)
• Dodatni nacionalni OES sektori (podsektori): poslovne usluge za državna tijela (usluge u sustavu e–Građani poslovne usluge za korisnike državnog proračuna)
• DSP-ovi: internetsko tržište, internetska tražilica, usluge računalstva u oblaku
34
![Page 35: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/35.jpg)
NADLEŽNA TIJELA ZA KKI/NIS• Jedinstvena nacionalna kontaktna točka (Croatian Single
Point of Contact - SPOC):• Ured Vijeća za nacionalnu sigurnost - UVNS (Croatian NSA/DSA)
• Nacionalna CSIRT tijela:• Zavod za sigurnost informacijskih sustava – ZSIS (GovCERT)
• energija (električna, nafta, plin), prijevoz (zračni, željeznički, vodeni, cestovni), zdravstvo, snabdijevanje i distribucija pitke vode, digitalna infrastruktura (IXPs, DNS, TLD), poslovne usluge za državna tijela (usluge u sustavu e – Građani poslovne usluge za korisnike državnog proračuna)
• Hrvatska akademska i istraživačka mreža - Nacionalni CERT
• bankarstvo, infrastrukture financijskog tržišta, digitalna infrastruktura (IXPs, DNS, TLD), DSP-ovi
• Tehničko tijela za ocjenu sukladnosti : • Zavod za sigurnost informacijskih sustava – ZSIS
• Hrvatska akademska i istraživačka mreža - CARNET
35
![Page 36: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/36.jpg)
NADLEŽNA SEKTORSKA TIJELA ZA KKI/NIS• Nadležna sektorska tijela (8 ključnih sektora i digitalne usluge):• Ministarstvo zaštite okoliša i energetike (MZOE):
• Energija (električna, nafta, plin),
• Snabdijevanje i distribucija pitke vode
• Ministarstvo mora, prometa i infrastrukture (MMPI):
• Prijevoz (zračni, željeznički, vodeni, cestovni)
• Hrvatska narodna banka (HNB):
• Bankarstvo
• Hrvatska agencija za nadzor financijskih usluga (HANFA)
• Infrastrukture financijskog tržišta
• Ministarstvo zdravstva (MZ)
• Zdravstvo
• Središnji državni ured za razvoj digitalnog društva (SDU RDD)
• Poslovne usluge za državna tijela (usluge u sustavu e–Građani poslovne usluge za korisnike državnog proračuna)
• Ministarstvo gospodarstva, poduzetništva i obrta (MGPO)
• davatelji digitalnih usluga (internetsko tržište, internetska tražilica, usluge računalstva u oblaku)
36
![Page 37: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/37.jpg)
REPOZITORIJ KIBERNETIČKE SIGURNOSTI
• Web mjesto UVNS-a: https://www.uvns.hr/hr/normativni-akti/informacijska-sigurnost/kiberneticka-sigurnost
• Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu
• Odluka o osnivanju međuresornih tijela za kibernetičku sigurnost
• Godišnje izvješće o radu Nacionalnog vijeća za kibernetičkusigurnost (2017)
• Izvješće o provedbi Akcijskog plana u 2016. i 2017. godini
• Analiza potreba i sposobnosti kibernetičkog djelovanja na razini RH
• Organizacijski i ustrojbeni položaj tijela za kibernetičko djelovanje na razini RH
• Zakon i Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
37
![Page 38: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/38.jpg)
• Pomak usmjerenosti:• Klasificirani podatci - osjetljivi podatci• primjena načela:• svijesti i odgovornosti za rizike poslovanja (Duty of Diligence) i
• provedbe primjerenih mjera zaštite (Duty of Care)
• Državni sektor - društvo u cjelini• minimalne sigurnosne kontrole - upravljanje rizikom
• Propisivanje obveza - javno-privatno partnerstvo• usmjerenost na metode certifikacije/akreditacije/revizije
• Selektivni sigurnosni pristup - digitalna higijena društva• kritičnosti postaju pomična meta na razini društva u cjelini
ZAKLJUČNO - TRENDOVI SIGURNOSNE POLITIKE
38
![Page 39: REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI … · 2019-10-18 · REGULATORNI OKVIR KIBERNETIČKE SIGURNOSTI U REPUBLICI HRVATSKOJ - CSC 2018, OSIJEK, 10. listopada 2018](https://reader030.vdocuments.pub/reader030/viewer/2022040812/5e5639abdf0ae51c75316959/html5/thumbnails/39.jpg)
39
HVALA !
Dr. sc. Aleksandar Klaić, dipl. ing. el.Pomoćnik predstojnice za informacijsku sigurnost
Predsjednik Nacionalnog vijeća za kibernetičku sigurnost
Ured Vijeća za nacionalnu sigurnost
Jurjevska 34, Zagreb
tel. +385.1.4681 222; fax. +385.1.4686 049
www.uvns.hr