Řízení kybernetické a - cevro institut...od 1.1.2015 zákon o kybernetické bezpečnosti....

Vysoká škola osobností

www.cevroinstitut.cz

Řízení kybernetické a

informační bezpečnosti

Martin Hanzal

předseda sekce Kybernetická a informační bezpečnost AOBP

CEVRO Institut, 22. dubna 2014



Sekce Kybernetická a informační bezpečnost

• Platforma pro komunikaci státní správy s odbornými firmami v

oblasti kybernetické a informační bezpečnosti, především při

návrhu a realizaci projektů z pohledu bezpečnosti.

• Provádění osvětové činnosti směrem k vrcholovému vedení

organizací.

• Společná podpora českých firem v zahraničí.

Je nevládní, nezávislou, nepolitickou,

neziskovou a neobchodní organizací sdružující

firmy obranného a bezpečnostního průmyslu.



Cyberspace – kybernetický prostor

CYBER SPACE

Cyberspace – kybernetický prostor

Nehmotný svět informací, který vzniká propojením informačních a komunikačních systémů a umožňuje vytvářet, uchovávat, využívat a vzájemně vyměňovat informace. Tento prostor v sobě zahrnuje počítače, aplikace, databáze, procesy, pravidla a komunikační prostředky.

Lisabonský summit NATO na podzim roku 2010 uznal Cyberspace jako pátý bojový prostor.



Rozdělení jednotlivých bezpečnostních oblastí

National Cyber Security Framework Manual a ISO/IEC 27032:2012 Guidelines for cybersecurity



Informační bezpečnost


INFORMATION SECURITY Zajistit informacím důvěrnost, integritu a dostupnost (Confidetiality, Integrity, Availability). Informace není dostupná nebo není odhalena neautorizovaným jednotlivcům, entitám nebo procesům, je zajištěna její přesnost, úplnost a je přístupná a použitelná na žádost autorizované entity.



Kybernetická bezpečnost


CYBERSECURITY Schopnost odolávat úmyslně i neúmyslně vyvolaným kybernetickým útokům a zmírňovat jejich následky včetně obrany proti probíhajícímu kybernetickému útoku a zmírňování jeho následků díky odolnosti kybernetického prostoru a schopnosti se účinně bránit.



Data a informace organizace

Pracovní data

Zpracovávané dokumenty jednotlivými pracovníky v různých formátech

Komunikace pracovníků

Osobní údaje

Údaje o zaměstnancích

Údaje o klientech

Zvláště citlivé údaje o klientech

Data organizace

Know-how organizace

Strategické plány

Klíčové aktivity na kterých je organizace postavena

Porušení důvěrnosti, integrity a dostupnosti těchto dat vede k finanční ztrátě, ztrátě konkurenceschopnosti, dobrého jména organizace či porušení zákona

Zakotveno v zákoně č. 101 na ochranu osobních údajů

Ochrana soukromí §86, obchodní tajemství §504 NOZ

Standard ČSN ISO 27001 – ISMS (celá řada ISO 27tis)

Od 1.1.2015 zákon o kybernetické bezpečnosti



Ochrana osobních údajů

Postih a sankce

Za porušení až 5mil Kč pokuta

Za porušení u zvláště citlivých osobních údajů až 10mil Kč

Zatím největší pokuta byla 3,5mil Kč

Správce a zpracovatel

Správce a zpracovatel jsou zodpovědni za způsob nakládání s osobními údaji

Za organizaci je zodpovědný statutátrní zástupce, který deleguje povinnosti na svoje podřízené

Zabzpečení osobních

údajů §13 zák.

Povětšinou mylná domněnka, že to je věc IT oddělení

IT oddělení je zodpovědno za porovoz informačních systémů

Bezpečnostní politika je věc vrcholového vedení

Incidenty a postihy v roce 2013

Dle předběžné zprávy celkem 24 pravomocných zjištění porušení zákona. Za porušení §13 pokuta 1,8mil Kč pro KB Penzijní společnost (prosinec 2013).



Řízení kybernetické bezpečnosti organizace

Manažer kybernetické bezpečnosti – CSIRT/CIRC

Zodpovědná osoba za řízení kybernetické bezpečnosti včetně zvládání kybernetických incidentů

Výbor pro kybernetickou bezpečnost

Tří až pěti-členný vrcholový orgán složený z členů vrcholového vedení organizace

První etapa

Plánování Druhá etapa

Realizace Třetí etapa

Kontrola

Čtvrtá etapa

Zlepšování

ČSN ISO 27001 ISMS



Řízení kybernetické bezpečnosti – ČSN ISO 27001 ISMS

První etapa

Plánování a určení rozsahu

Analýza rizik

Bezpečnostní politika

Definice bezpečnotních pravidel a opatření

Druhá etapa

Stanovení dílčích plánů na zvládání rizik

Definování a řízení bezpečnostních projektů

Vysvětlování a stálá „edukace“ účastníků

Třetí etapa

Provádění interních auditů a vyhodnocování systému řízení bezpečnosti

Zpřesnění dalších cílů

Schválení vedením organizace

Čtvrtá etapa

Sledování trendu a sdílených zkušeností jiných organizací a subjektů

Zjednodušování a zkvalitňování systému řízení bezpečnosti informací



Řízení kybernetické bezpečnosti – stavy organizace

Manažer kybernetické bezpečnosti – CSIRT/CIRC

Zodpovědná osoba za řízení kybernetické bezpečnosti včetně zvládání kybernetických incidentů

Post-krizový stav

Co nejrychlejší změna z krizového do normálního stavu

Vyhodnocení krizového stavu

Zlepšení řízení kybernetické bezpečnosti do další krize

Realizace nápravných procesů

Normální stav

Řízení rizik

Zavádění organizačních

a technických opatření

Monitorování, sledování

a vyhodnocování

bezpečnostních událostí

v organizace

Příprava na možný

krizový stav

Krizový stav

Probíhá kybernetický útok, který výrazně omezuje a ohružuje organizaci

Činost organizace je věnována především na kybernetickou obranu a rychlé zotavení činností organizace

CSIRT hlavním místem kybernetické obrany



Závěrečné shrnutí

Nemusíme s řešením čekat na žádný zákon

Kybernetická bezpečnost musí vycházet z

podpory vrcholového vedení

ICT odbor nebo oddělení není automaticky

zodpovědné za kybernetickou bezpečnost



Kontakt

Děkuji za pozornost

Martin Hanzal

ASOCIACE OBRANNÉHO A BEZPEČNOSTNÍHO PRŮMYSLU

předseda sekce Kybernetická a informační bezpečnost

Washingtonova 25, Praha 1

Email: [email protected]

Mobil: +420 602 702 780

Řízení kybernetické a - cevro institut...od 1.1.2015 zákon o kybernetické bezpečnosti....

Documents