Řízení kybernetické a - cevro institut...od 1.1.2015 zákon o kybernetické bezpečnosti....
TRANSCRIPT
Vysoká škola osobností
www.cevroinstitut.cz
Řízení kybernetické a
informační bezpečnosti
Martin Hanzal
předseda sekce Kybernetická a informační bezpečnost AOBP
CEVRO Institut, 22. dubna 2014
Vysoká škola osobností
www.cevroinstitut.cz
Sekce Kybernetická a informační bezpečnost
• Platforma pro komunikaci státní správy s odbornými firmami v
oblasti kybernetické a informační bezpečnosti, především při
návrhu a realizaci projektů z pohledu bezpečnosti.
• Provádění osvětové činnosti směrem k vrcholovému vedení
organizací.
• Společná podpora českých firem v zahraničí.
Je nevládní, nezávislou, nepolitickou,
neziskovou a neobchodní organizací sdružující
firmy obranného a bezpečnostního průmyslu.
Vysoká škola osobností
www.cevroinstitut.cz
Cyberspace – kybernetický prostor
CYBER SPACE
Cyberspace – kybernetický prostor
Nehmotný svět informací, který vzniká propojením informačních a komunikačních systémů a umožňuje vytvářet, uchovávat, využívat a vzájemně vyměňovat informace. Tento prostor v sobě zahrnuje počítače, aplikace, databáze, procesy, pravidla a komunikační prostředky.
Lisabonský summit NATO na podzim roku 2010 uznal Cyberspace jako pátý bojový prostor.
Vysoká škola osobností
www.cevroinstitut.cz
Rozdělení jednotlivých bezpečnostních oblastí
National Cyber Security Framework Manual a ISO/IEC 27032:2012 Guidelines for cybersecurity
Vysoká škola osobností
www.cevroinstitut.cz
Informační bezpečnost
National Cyber Security Framework Manual a ISO/IEC 27032:2012 Guidelines for cybersecurity
INFORMATION SECURITY Zajistit informacím důvěrnost, integritu a dostupnost (Confidetiality, Integrity, Availability). Informace není dostupná nebo není odhalena neautorizovaným jednotlivcům, entitám nebo procesům, je zajištěna její přesnost, úplnost a je přístupná a použitelná na žádost autorizované entity.
Vysoká škola osobností
www.cevroinstitut.cz
Kybernetická bezpečnost
National Cyber Security Framework Manual a ISO/IEC 27032:2012 Guidelines for cybersecurity
CYBERSECURITY Schopnost odolávat úmyslně i neúmyslně vyvolaným kybernetickým útokům a zmírňovat jejich následky včetně obrany proti probíhajícímu kybernetickému útoku a zmírňování jeho následků díky odolnosti kybernetického prostoru a schopnosti se účinně bránit.
Vysoká škola osobností
www.cevroinstitut.cz
Data a informace organizace
Pracovní data
Zpracovávané dokumenty jednotlivými pracovníky v různých formátech
Komunikace pracovníků
Osobní údaje
Údaje o zaměstnancích
Údaje o klientech
Zvláště citlivé údaje o klientech
Data organizace
Know-how organizace
Strategické plány
Klíčové aktivity na kterých je organizace postavena
Porušení důvěrnosti, integrity a dostupnosti těchto dat vede k finanční ztrátě, ztrátě konkurenceschopnosti, dobrého jména organizace či porušení zákona
Zakotveno v zákoně č. 101 na ochranu osobních údajů
Ochrana soukromí §86, obchodní tajemství §504 NOZ
Standard ČSN ISO 27001 – ISMS (celá řada ISO 27tis)
Od 1.1.2015 zákon o kybernetické bezpečnosti
Vysoká škola osobností
www.cevroinstitut.cz
Ochrana osobních údajů
Postih a sankce
Za porušení až 5mil Kč pokuta
Za porušení u zvláště citlivých osobních údajů až 10mil Kč
Zatím největší pokuta byla 3,5mil Kč
Správce a zpracovatel
Správce a zpracovatel jsou zodpovědni za způsob nakládání s osobními údaji
Za organizaci je zodpovědný statutátrní zástupce, který deleguje povinnosti na svoje podřízené
Zabzpečení osobních
údajů §13 zák.
Povětšinou mylná domněnka, že to je věc IT oddělení
IT oddělení je zodpovědno za porovoz informačních systémů
Bezpečnostní politika je věc vrcholového vedení
Incidenty a postihy v roce 2013
Dle předběžné zprávy celkem 24 pravomocných zjištění porušení zákona. Za porušení §13 pokuta 1,8mil Kč pro KB Penzijní společnost (prosinec 2013).
Vysoká škola osobností
www.cevroinstitut.cz
Řízení kybernetické bezpečnosti organizace
Manažer kybernetické bezpečnosti – CSIRT/CIRC
Zodpovědná osoba za řízení kybernetické bezpečnosti včetně zvládání kybernetických incidentů
Výbor pro kybernetickou bezpečnost
Tří až pěti-členný vrcholový orgán složený z členů vrcholového vedení organizace
První etapa
Plánování Druhá etapa
Realizace Třetí etapa
Kontrola
Čtvrtá etapa
Zlepšování
ČSN ISO 27001 ISMS
Vysoká škola osobností
www.cevroinstitut.cz
Řízení kybernetické bezpečnosti – ČSN ISO 27001 ISMS
První etapa
Plánování a určení rozsahu
Analýza rizik
Bezpečnostní politika
Definice bezpečnotních pravidel a opatření
Druhá etapa
Stanovení dílčích plánů na zvládání rizik
Definování a řízení bezpečnostních projektů
Vysvětlování a stálá „edukace“ účastníků
Třetí etapa
Provádění interních auditů a vyhodnocování systému řízení bezpečnosti
Zpřesnění dalších cílů
Schválení vedením organizace
Čtvrtá etapa
Sledování trendu a sdílených zkušeností jiných organizací a subjektů
Zjednodušování a zkvalitňování systému řízení bezpečnosti informací
Vysoká škola osobností
www.cevroinstitut.cz
Řízení kybernetické bezpečnosti – stavy organizace
Manažer kybernetické bezpečnosti – CSIRT/CIRC
Zodpovědná osoba za řízení kybernetické bezpečnosti včetně zvládání kybernetických incidentů
Post-krizový stav
Co nejrychlejší změna z krizového do normálního stavu
Vyhodnocení krizového stavu
Zlepšení řízení kybernetické bezpečnosti do další krize
Realizace nápravných procesů
Normální stav
Řízení rizik
Zavádění organizačních
a technických opatření
Monitorování, sledování
a vyhodnocování
bezpečnostních událostí
v organizace
Příprava na možný
krizový stav
Krizový stav
Probíhá kybernetický útok, který výrazně omezuje a ohružuje organizaci
Činost organizace je věnována především na kybernetickou obranu a rychlé zotavení činností organizace
CSIRT hlavním místem kybernetické obrany
Vysoká škola osobností
www.cevroinstitut.cz
Závěrečné shrnutí
Nemusíme s řešením čekat na žádný zákon
Kybernetická bezpečnost musí vycházet z
podpory vrcholového vedení
ICT odbor nebo oddělení není automaticky
zodpovědné za kybernetickou bezpečnost
Vysoká škola osobností
www.cevroinstitut.cz
Kontakt
Děkuji za pozornost
Martin Hanzal
ASOCIACE OBRANNÉHO A BEZPEČNOSTNÍHO PRŮMYSLU
předseda sekce Kybernetická a informační bezpečnost
Washingtonova 25, Praha 1
Email: [email protected]
Mobil: +420 602 702 780