Zákon o kybernetické bezpečnosti č. 181/2014 Sb. Presentation title
Page 2 Kybernetická bezpečnost - sci-fi nebo realita? Presentation title Official AP account on Twitter: “Breaking: Dvě explose v Bílém domě, Obama je raněn Za kolik se dá útok dnes koupit ► Konzultace spojené s útokem typu botnet $350-$400 ► Infekce a její rozšíření ~$100 za 1 tisíc instalací ► Další služby: ► Direct Denial of Service (DDoS) $535 za 5 hodin denně v trvání jednoho týdne, ► spam $40 / 20 tisíc ů) and Web spam ($2 za 30 umístění) Source:
Page 3 Zákon o kybernetické bezpečnosti č. 181/2014 Sb. ► Zásady zákona: ► Minimalizace zásahů do práv soukromoprávních subjektů ► Individuální zodpovědnost za bezpečnost vlastních informačních systémů ► Povinné osoby ► Kritická infrastruktura ► Významná infrastruktura ► Základní úkoly: ► Bezpečnostní opatření postavené na normě ISO – standardizované (ISMS) ► Technologicky a procesně nezávislé ► Hlášení bezpečnostních incidentů ► Reakce na incidenty – protiopatření ►
Page 4 Důsledky pro IA ► Dopady pro vnitřní kontrolní systém ► Je-li vybudován a pravidelně auditován funkční ISMS, pak je nutné doplnit stávající plán auditu na oblasti vzešlé z KI nebo VI: ► Výkon povinností týkajících se informačních aktiv ► Řízení souvisejících rizik a jejich dopadu na aktiva ► Detekce a hlášení incidentů ► Funkčnost CERT týmu organizace a jeho řešení mimořádných událostí ► Aktivní role IA: ► Ujištění o stavu implementace souladu s ZKB ► Komunikovat nově zjištěná rizika managementu ► Zapracovat do auditních plánů
Page 5 Příloha Presentation title
Page 6 Zákon o kybernetické bezpečnosti ► Platný od , nutné zavést do ► Prováděcí předpis obsahuje : ► Organizační opatřeni ► Technická opatřeni ► Bezpečnostní dokumentace ► Kybernetický bezpečnostní incident ► Reaktivní opatřeni a kontaktní údaje ► Přílohy ► Hodnoceni a úrovně aktiv ► Hodnoceni rizik ► Minimální požadavky na kryptografické algoritmy ► Struktura bezpečnostní dokumentace
Page 7 Související legislativa ► Kritická informační infrastruktura ► Průřezová a odvětvová kritéria pro určení prvku kritické infrastruktury (Nařízení vlády 432/2010 Sb.) ► Významný informační systém ► jsou to (mimo jiné) informační systémy u kterých ohrožení nebo omezení činnosti má negativní dopad na poskytování služeb (a informací) obyvatelstvu, na veřejné zájmy, dobré jméno nebo dobrou pověst. ► Návrh vyhlášky o stanovení významných informačních systémů a jejich určujících kritériích k provedení zákona je v mezirezortním připomínkovém řízení. Návrh vyhlášky stanoví konkrétní významné informační systémy včetně určujících kritérií, jejichž správci budou podléhat povinnostem podle zákona o kybernetické bezpečnosti.
Page 8 Implementace zákona o kybernetické bezpečnosti ► Implementace požadavků ZKB ► Funkční ISMS podle normy ISO27001 a něco navíc… : ► Doplnění systému řízení informačních aktiv a souvisejících rizik ► Vymezení kritické a/nebo významné informační infrastruktury ► Systém detekce a hlášení incidentů ► Spolupráce s vládním CERT týmem (computer emergency response) ► Metodiky implementace a provozu v rámci resortu ► Zákon stanovuje nové role – musí být: ► Manažer kybernetické bezpečnosti ► Architekt kybernetické bezpečnosti ► Auditor kybernetické bezpečnosti ► Garant aktiva