Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Kybernetická bezpečnost ve veřejné zprávě Bohdan Lajčuk Chomutov 27.05.2013.

Podobné prezentace


Prezentace na téma: "Kybernetická bezpečnost ve veřejné zprávě Bohdan Lajčuk Chomutov 27.05.2013."— Transkript prezentace:

1 Kybernetická bezpečnost ve veřejné zprávě Bohdan Lajčuk Chomutov

2 Co je to kybernetická bezpečnost?

3 K Y B E R N E T I C K Á B E Z P E Č N O S T je soubor povinností, zásad a pravidel, jež jsou závazná pro každého uživatele či provozovatele informačních technologií a systémů.

4 Týká se nás tato problematika?

5 Několik důvodů proč se vůbec zabývat kybernetickou bezpečností 1. Musím chránit data. 2. Vyžaduje to zákon. 3. Vyžaduje to dotace. 4. Je tady trestní odpovědnost. 5. V blízké době to bude vyžadovat i EU.

6 1. Ochrana dat Toto je logické vyústění naší doby. Většina vytvářených dokumentů je již v elektronické podobě. Trend do budoucna je stejný a ještě více se zaměřuje na elektronickou podobu komunikace jak s občany, tak komunikace mezi úřady. S prohlubováním počítá i koncepce eGovernmentu

7 2. Zákony V současné době je to již dosluhující zákon: 365/2000 Sb. v §5a odst. 1 a §5b zákona a ustanovení §10 odst. 2 písm. a) vyhlášky č. 529/2006 Sb.

8 § 5a Dlouhodobé řízení informačních systémů veřejné správy (1) Orgány veřejné správy vytvářejí a vydávají informační koncepci, uplatňují ji v praxi a vyhodnocují její dodržování. V informační koncepci orgány veřejné správy stanoví své dlouhodobé cíle v oblasti řízení kvality a bezpečnosti spravovaných informačních systémů veřejné správy a vymezí obecné principy pořizování, vytváření a provozování informačních systémů veřejné správy. Obsah a strukturu informační koncepce, jakož i postupy orgánů veřejné správy při jejím vytváření, vydávání a při vyhodnocování jejího dodržování a požadavky na řízení bezpečnosti a kvality informačních systémů veřejné správy stanoví prováděcí právní předpis.

9 § 5b Orgány veřejné správy uplatňují opatření odpovídající bezpečnostním požadavkům na zajištění důvěrnosti, integrity a dostupnosti informací zpracovávaných v informačních systémech veřejné správy.

10 A dále vyhláška č. 529 / 2006 Sb.: § 10 Požadavky na strukturu provozní dokumentace (1) Provozní dokumentaci informačního systému veřejné správy tvoří tyto dokumenty: a) bezpečnostní dokumentace informačního systému veřejné správy, b) systémová příručka, c) uživatelská příručka. (2) Bezpečnostní dokumentaci informačního systému veřejné správy podle odstavce 1 písm. a) tvoří: a) bezpečnostní politika informačního systému veřejné správy, a to vždy pokud systém má vazby s informačním systémem veřejné správy jiného správce nebo pokud orgán veřejné správy není provozovatelem tohoto systému, b) bezpečnostní směrnice pro činnost bezpečnostního správce systému.

11 Toto byli zákony, které již platí nějakou dobu. Dnes máme již nový vítr v plachtách.

12 Národní centrum kybernetické bezpečnosti Dne 19. října 2011 přijala vláda České republiky usnesení č. 781 o ustavení Národního bezpečnostního úřadu gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast. Přílohou usnesení je Statut Rady pro kybernetickou bezpečnost. Na základě přijatého usnesení vzniklo Národní centrum kybernetické bezpečnosti (NCKB), jako součást Národního bezpečnostního úřadu, se sídlem v Brně.

13 Posílení pozice NCKB Usnesení vlády české republiky ze dne 23. května 2012 č. 364, kterým vláda schválila: Strategii pro oblast kybernetické bezpečnosti České republiky na období let 2012 až 2015 a Akčním plánu opatření ke Strategii pro oblast kybernetické bezpečnosti České republiky na období let 2012 až 2015.

14 A dále. Usnesení vlády české republiky ze dne 30. května 2012 č. 382, kterým vláda schválila: Věcný záměr zákona o kybernetické bezpečnosti

15 3. Výzva IOP06 Příručka pro žadatele a příjemce finanční podpory v rámci IOP Technologické centrum obce s rozšířenou působností (Koncept a východiska) Ze dne

16 Tato příručka definovala kybernetickou bezpečnost takto: Každá aplikace (IS, registr) je zranitelná, bezpečnostní politika IS pouze snižuje pravděpodobnost uplatnění hrozeb a úroveň zranitelnosti. Provozovatel je povinen při provozování aplikací (systémů) a správě dat uložených v TC zajišťovat ochranu a bezpečnost informací. Bezpečnost informací tvoří systém opatření, jejichž cílem je zajistit důvěrnost, integritu a dostupnost informací, s nimiž tyto aplikace nakládají, a prosadit odpovědnost správců a uživatelů za prováděnou činnost. Cíle bezpečnosti informaci TC musí být stanoveny v rámci studie proveditelnosti, v části popisující bezpečnostní politiku TC ve smyslu ustanovení §5a odst. 1 a §5b zákona č 365/2000 Sb., a ustanovení §10 odst. 2 písm. a) vyhlášky č. 529/2006 Sb. Ta stanoví minimálně: 0 identifikaci aktiv a bezpečnostních hrozeb, 0 stanovení klasifikace ukládaných dat, 0 popis komunikační HW architektury z pohledu bezpečnosti (popis protokolů, portů, atd.), 0 popis umístění komponent HW architektury, včetně zajištění jejich využívání a správy, 0 popis zajištění dohledu nad celou architekturou řešení (napojení na dohledové systémy), 0 popis správy a ověřování uživatelských přístupů, 0 popis metod a postupů pro vypracování bezpečnostního projektu TC.

17 Komponenty systému musí být provozovány v prostorách splňujících následující minimální požadavky: 0 teplota prostředí se pohybuje v rozmezí od 18°C do 24°C, relativní vlhkost v rozmezí 35%-65%, 0 v místnostech datových center budou instalována požární čidla kouře a teploty, 0 tyto prostory jsou napojeny na systém elektronické zabezpečovací signalizace, 0 v prostorách je zajištěn rozvod elektrické energie 230/50V s „bezvypadkovým“ zálohováním, samostatně jištěný pro rozvaděč nebo prostor a jsou rovněž zajištěny diesel (benzin) agregáty, 0 vnější ochrana budovy vlastníkem, nebo bezpečnostní službou 24 hodin denně a 7 dní v týdnu, 0 jsou prokazatelně evidovány osoby vstupující do vyjmenovaných technologických prostor, 0 prostory, v nichž se datová centra nacházejí, leží mimo zátopovou oblast tzv. stoleté vody.

18 4. Trestní odpovědnost § 230 Trestního zákoníku nazvaný "Neoprávněný přístup k počítačovému systému a nosiči informací".

19 5. Evropská unie Dne představila Strategii kybernetické bezpečnosti Evropské komise ta se jmenuje nařízení síťové a informační bezpečnosti (Directive on Network and Information Security). Návrh evropské kybernetické bezpečnostní strategie se má objevit ještě před koncem roku.

20 Děkuji za pozornost Bohdan Lajčuk nezávislý IT konzultant pro kybernetickou bezpečnost a eGovernment


Stáhnout ppt "Kybernetická bezpečnost ve veřejné zprávě Bohdan Lajčuk Chomutov 27.05.2013."

Podobné prezentace


Reklamy Google