Kybernetická bezpečnost ve veřejné zprávě Bohdan Lajčuk Chomutov 27.05.2013.

Slides:



Advertisements
Podobné prezentace
Spisová služba pro organizace zřízené Olomouckým krajem
Advertisements

Pojmy Dlouhodobé řízení ISVS (tj. souhrnně všech, u kterých OVS vykonává funkci správce) OVS zpracovává IK a PD, předmětem posuzování AS je IK, PD za určitých.
Změna legislativy při zadávaní veřejných zakázek
Přístupnost jako komplexní problematika eGovernmentu Michal Rada Iniciativa informatiky pro občany.
Podpora KVET v novele zákona o hospodaření energií
Podívejme se nejen na mobilní bezpečnost v širším kontextu Michal Rada Iniciativa Informatiky pro Občany.
Oběh dokumentů mezi ústředními orgány státní správy k Ing. Jan Duben Vedoucí projektového týmu březen 2003.
IISPP ■ pojem definován v letech v rámci přípravy výzkumných záměrů NPÚ na roky ■ dlouhodobý projekt na vybudování nového komplexního.
STUDIE PROVEDITELNOSTI PRO PROJEKT „Technologické centrum“ Zpracovatel: EUNICE CONSULTING a.s. 1.
Nástroje územního plánování
EGovernment Zpracoval: Ing. Tomáš Vašica 1 Datum: Jednání implementátorů ORP Moravskoslezského kraje Zpracoval: Ing. Tomáš Vašica Datum: 20.
PLÁNOVÁNÍ ROZVOJE SLUŽEB ICT VE ŠKOLE NÁLEŽITOSTI ICT PLÁNU ŠKOLY listopad 2006 (c) Radek Maca.
1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
Informační technologie pro IZS a krizové řízení
Legislativa a dokumenty Informační systémy ve státní správě a samosprávě.
Analýza dopadu zákona č. 300/2008 Sb. do území JUDr. Kateřina Černá Ing. Václav Koudele.
3. přednáška, Informační systémy veřejné správy (ISVS) Situace v ČR Úvod do eGovernmentu Výběrová přednáška.
Absolventská práce 2002 Aplikace XML rozhraní v prostředí krajského úřadu Autor : Marek Cop Vedoucí : Ing. Petr Pavlinec 2002.
JEDEN CÍL, SPOLEČNÁ CESTA Ministerstvo vnitra České republiky & Ministerstvo vnitra Ing. Jaroslav Svoboda
1 National Security Authority. 2 Příprava nové legislativy a systému kybernetické bezpečnosti v ČR.
Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě.
STÁTNÍ INFORMAČNÍ POLITIKA Cesta k informační společnosti Ing. Karel Březina ministr a předseda Rady vlády pro státní informační politiku.
Projekt realizace referenčního rozhraní Ing. Jan Pokorný Ministerstvo informatiky ČR ISSS, 5. dubna 2005.
Právo na informace Tereza Danielisová,
KONFERENCE PROTIPOVODŇOVÁ OCHRANA – PREZENTACE VÝSLEDKŮ PILOTNÍHO PROJEKTU „ATLAS LABE NA ÚZEMÍ KRÁLOVÉHRADECKÉHO KRAJE“ Projekt je spolufinancován Evropskou.
Zvýšení kvality řízení KÚPK aktivita A3 Informační strategie Analýza Workshop
MU Brno, Vzdělávání knihovníků Mgr. Jana Nejezchlebová Moravská zemská knihovna
Zkušenosti ze zavedení systému řízení bezpečnosti informací ve shodě s ISO a ISO na Ministerstvu zdravotnictví ČR Ing. Fares Shima Ing. Fares.
Příprava zákona o elektronických komunikacích Jaromír Šiška, CSc. náměstek ministra - ředitel sekce elektronických komunikací a poštovních služeb Konference.
Systém kontrolní činnosti SEI
Systém kontrolní činnosti SEI
Vydávání výstupů z informačních systémů veřejné správy
Kvalita a bezpečnost IT ve zdravotnictví
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.
Propojení zákona o integrované prevenci a zákona o hospodaření energií Ing. František Plecháč Státní energetická inspekce.
Informační bezpečnost jako rámec ochrany osobních údajů v orgánech veřejné správy Hradec Králové
Přístup k řešení bezpečnosti IT Nemochovský František ISSS Hradec Králové, dubna 2005.
1 Elektronický podpis v ČR Bezpečnost IS/IT Jaroslav Malý.
STÁTNÍ INFORMAČNÍ POLITIKA E-Government a elektronický podpis Ing. Karel Březina ministr a předseda Rady vlády pro státní informační politiku.
Technické řešení PostSignum QCA
Novelizace zákona č. 365/2000 Sb., o ISVS Hradec
ISSS 2003 PORTÁL VEŘEJNÉ SPRÁVY Ing. Dana Bérová Ministerstvo informatiky.
Vysoká škola technická a ekonomická v Českých Budějovicích
Vládní výbor pro zdravotně postižené občany. JUDr. Pavel Ptáčník vedoucí Oddělení sekretariátu Vládního výboru pro zdravotně postižené občany.
Stav eGovernmentu v ČR a aktuální výzvy Praha, JUDr. Jaroslav Strouhal náměstek ministra vnitra pro informační a komunikační technologie.
Konference Transformace a deinstitucionalizace sociálních služeb a Hradec Králové Národní centrum podpory transformace sociálních služeb.
Aktuální stav plnění usnesení vlády týkajících se projektu Systém včasné intervence Mgr. Hana Jamrichová MPSV.
Návrh nařízení Evropského parlamentu a Rady o elektronické identifikaci a důvěryhodných službách pro elektronické transakce na vnitřním trhu (eIDAS) Lucie.
Kamerové systémy metodika Plzeňský kraj 7. března 2013 ÚOOÚ.
SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka.
Základní registr územní identifikace a nemovitostí Zbyněk Havelda Úřad pro veřejné informační systémy Seminář sdružení Nemoforum.
Mezinárodní konference ICT Fórum PERSONALIS 2006 Procesní řízení informační bezpečnosti ve státní správě Ing. Jindřich KODL, CSc. Praha
Biomedicíncký výzkum s podporou evropských zdrojů v nemocnicích 2012 Perspektivy elektronizace ve zdravotnictví v ČR 12. dubna 2012.
Certifikace informačních systémů veřejné správy (ISVS) ve smyslu zákona č. 365/2000 Sb. - atest-
PREZENTUJÍCÍ Registry ve veřejné správě Mgr. David Marek
Zákon 179/2010 Sb., kterým se mění zákon č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů, a některé další zákony Změny v oblasti uveřejňování.
Duben 2013 Odbor informatiky KrÚ JMK Výzva č. 08 Integrovaného operačního programu na Integrovaného operačního programu na Rozvoj služeb eGovernmentu v.
SAFETY 2017 Význam a zásady fyzické bezpečnosti při ochraně (nejen) utajovaných informací. Hradec Králové duben
Národní rozvojový program mobility pro všechny (NRPM)
Je kybernetická bezpečnost dostačující?
Kybernetická obrana české republiky
Rozkrývání vlastnických struktur a skutečných majitelů
BEZPEČNOST NA KONTAKTNÍCH MÍSTECH Czech POINT
Budování Integrovaného informačního systému Národního památkového ústavu Petr Volfík, NPÚ ÚP
Ústí nad Labem 4/2008 Ing. Jaromír Vachta
Výbor pro audit ing. Bohuslav Poduška, CIA, CRMA
Městská část Praha 6 Postup příprav GDPR Ing. Jan Holický, MBA
Závazná stanoviska orgánů územního plánování po novele stavebního zákona Štiřín
Stavební právo.
Obrana státu Zajišťování obrany České republiky (část 1)
Transkript prezentace:

Kybernetická bezpečnost ve veřejné zprávě Bohdan Lajčuk Chomutov

Co je to kybernetická bezpečnost?

K Y B E R N E T I C K Á B E Z P E Č N O S T je soubor povinností, zásad a pravidel, jež jsou závazná pro každého uživatele či provozovatele informačních technologií a systémů.

Týká se nás tato problematika?

Několik důvodů proč se vůbec zabývat kybernetickou bezpečností 1. Musím chránit data. 2. Vyžaduje to zákon. 3. Vyžaduje to dotace. 4. Je tady trestní odpovědnost. 5. V blízké době to bude vyžadovat i EU.

1. Ochrana dat Toto je logické vyústění naší doby. Většina vytvářených dokumentů je již v elektronické podobě. Trend do budoucna je stejný a ještě více se zaměřuje na elektronickou podobu komunikace jak s občany, tak komunikace mezi úřady. S prohlubováním počítá i koncepce eGovernmentu

2. Zákony V současné době je to již dosluhující zákon: 365/2000 Sb. v §5a odst. 1 a §5b zákona a ustanovení §10 odst. 2 písm. a) vyhlášky č. 529/2006 Sb.

§ 5a Dlouhodobé řízení informačních systémů veřejné správy (1) Orgány veřejné správy vytvářejí a vydávají informační koncepci, uplatňují ji v praxi a vyhodnocují její dodržování. V informační koncepci orgány veřejné správy stanoví své dlouhodobé cíle v oblasti řízení kvality a bezpečnosti spravovaných informačních systémů veřejné správy a vymezí obecné principy pořizování, vytváření a provozování informačních systémů veřejné správy. Obsah a strukturu informační koncepce, jakož i postupy orgánů veřejné správy při jejím vytváření, vydávání a při vyhodnocování jejího dodržování a požadavky na řízení bezpečnosti a kvality informačních systémů veřejné správy stanoví prováděcí právní předpis.

§ 5b Orgány veřejné správy uplatňují opatření odpovídající bezpečnostním požadavkům na zajištění důvěrnosti, integrity a dostupnosti informací zpracovávaných v informačních systémech veřejné správy.

A dále vyhláška č. 529 / 2006 Sb.: § 10 Požadavky na strukturu provozní dokumentace (1) Provozní dokumentaci informačního systému veřejné správy tvoří tyto dokumenty: a) bezpečnostní dokumentace informačního systému veřejné správy, b) systémová příručka, c) uživatelská příručka. (2) Bezpečnostní dokumentaci informačního systému veřejné správy podle odstavce 1 písm. a) tvoří: a) bezpečnostní politika informačního systému veřejné správy, a to vždy pokud systém má vazby s informačním systémem veřejné správy jiného správce nebo pokud orgán veřejné správy není provozovatelem tohoto systému, b) bezpečnostní směrnice pro činnost bezpečnostního správce systému.

Toto byli zákony, které již platí nějakou dobu. Dnes máme již nový vítr v plachtách.

Národní centrum kybernetické bezpečnosti Dne 19. října 2011 přijala vláda České republiky usnesení č. 781 o ustavení Národního bezpečnostního úřadu gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast. Přílohou usnesení je Statut Rady pro kybernetickou bezpečnost. Na základě přijatého usnesení vzniklo Národní centrum kybernetické bezpečnosti (NCKB), jako součást Národního bezpečnostního úřadu, se sídlem v Brně.

Posílení pozice NCKB Usnesení vlády české republiky ze dne 23. května 2012 č. 364, kterým vláda schválila: Strategii pro oblast kybernetické bezpečnosti České republiky na období let 2012 až 2015 a Akčním plánu opatření ke Strategii pro oblast kybernetické bezpečnosti České republiky na období let 2012 až 2015.

A dále. Usnesení vlády české republiky ze dne 30. května 2012 č. 382, kterým vláda schválila: Věcný záměr zákona o kybernetické bezpečnosti

3. Výzva IOP06 Příručka pro žadatele a příjemce finanční podpory v rámci IOP Technologické centrum obce s rozšířenou působností (Koncept a východiska) Ze dne

Tato příručka definovala kybernetickou bezpečnost takto: Každá aplikace (IS, registr) je zranitelná, bezpečnostní politika IS pouze snižuje pravděpodobnost uplatnění hrozeb a úroveň zranitelnosti. Provozovatel je povinen při provozování aplikací (systémů) a správě dat uložených v TC zajišťovat ochranu a bezpečnost informací. Bezpečnost informací tvoří systém opatření, jejichž cílem je zajistit důvěrnost, integritu a dostupnost informací, s nimiž tyto aplikace nakládají, a prosadit odpovědnost správců a uživatelů za prováděnou činnost. Cíle bezpečnosti informaci TC musí být stanoveny v rámci studie proveditelnosti, v části popisující bezpečnostní politiku TC ve smyslu ustanovení §5a odst. 1 a §5b zákona č 365/2000 Sb., a ustanovení §10 odst. 2 písm. a) vyhlášky č. 529/2006 Sb. Ta stanoví minimálně: 0 identifikaci aktiv a bezpečnostních hrozeb, 0 stanovení klasifikace ukládaných dat, 0 popis komunikační HW architektury z pohledu bezpečnosti (popis protokolů, portů, atd.), 0 popis umístění komponent HW architektury, včetně zajištění jejich využívání a správy, 0 popis zajištění dohledu nad celou architekturou řešení (napojení na dohledové systémy), 0 popis správy a ověřování uživatelských přístupů, 0 popis metod a postupů pro vypracování bezpečnostního projektu TC.

Komponenty systému musí být provozovány v prostorách splňujících následující minimální požadavky: 0 teplota prostředí se pohybuje v rozmezí od 18°C do 24°C, relativní vlhkost v rozmezí 35%-65%, 0 v místnostech datových center budou instalována požární čidla kouře a teploty, 0 tyto prostory jsou napojeny na systém elektronické zabezpečovací signalizace, 0 v prostorách je zajištěn rozvod elektrické energie 230/50V s „bezvypadkovým“ zálohováním, samostatně jištěný pro rozvaděč nebo prostor a jsou rovněž zajištěny diesel (benzin) agregáty, 0 vnější ochrana budovy vlastníkem, nebo bezpečnostní službou 24 hodin denně a 7 dní v týdnu, 0 jsou prokazatelně evidovány osoby vstupující do vyjmenovaných technologických prostor, 0 prostory, v nichž se datová centra nacházejí, leží mimo zátopovou oblast tzv. stoleté vody.

4. Trestní odpovědnost § 230 Trestního zákoníku nazvaný "Neoprávněný přístup k počítačovému systému a nosiči informací".

5. Evropská unie Dne představila Strategii kybernetické bezpečnosti Evropské komise ta se jmenuje nařízení síťové a informační bezpečnosti (Directive on Network and Information Security). Návrh evropské kybernetické bezpečnostní strategie se má objevit ještě před koncem roku.

Děkuji za pozornost Bohdan Lajčuk nezávislý IT konzultant pro kybernetickou bezpečnost a eGovernment