9/26/2019 GDPR BEZ KYBERNETICKÉ OCHRANY? Jak budovat ochranu organizace před internetovými hrozbami a vypořádat se s nástrahami nové legislativy (NIS,

Slides:



Advertisements
Podobné prezentace
Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví
Advertisements

Strategické řízení školy s využitím sebehodnocení školy dle modelu CAF RNDr. Hana Žufanová.
Založení firmy postup. Postup založení firmy 1) Výběr oboru podnikání a vymezení předmětu živnosti 2) Volba právní formy podnikání 3) Určení názvu a umístění.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Operační program Průmysl a podnikání Programové dokumenty OP – Průmysl a podnikání Národní rozvojový plán ostatní operační programy Socioekonomická.
Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví
Využití informačních technologií při řízení obchodního řetězce Interspar © Ing. Jan Weiser.
Zákon o kybernetické bezpečnosti č. 181/2014 Sb. Presentation title.
Procesy ve veřejné správě Ivo Vašíček Proces veřejné správy Získávání zdrojů dané, poplatky, pokuty Vnitřní a vnější bezpečnost Správa zdrojů Údržba.
 2006  Ministerstvo průmyslu a obchodu Příprava aplikace zákona č. 179/2006 sb. o ověřování a uznávání výsledků dalšího vzdělávání do působnosti Ministerstva.
INTERREG V-A AT-CZ Listopad 2015 Informace pro Pracovní skupinu/regionální kolegium pro cestovní ruch při RSK JMK.
1 Aplikovaná informatika Aplikovaná informatika Případová studie bezpečnosti IS – zadání a vypracování ZEMÁNEK, Z. - PLUSKAL, D. Operační program Vzdělávání.
Výzkum efektivnosti fungování veřejné správy Interní grant VŠP Jihlava Měrtlová - Nečadová - Kovář.
Publicita v projektech financovaných z ESF v rámci Operačního programu Lidské zdroje a zaměstnanost Seminář pro žadatele.
Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu Registrační.
Informační bezpečnost VY_32_INOVACE _BEZP_15. DEFINICE  Informační bezpečnost chápeme jako zodpovědnost za ochranu informací během jejich vzniku, zpracování,
Jihlava 29. února Chci-li rozhodnout o tom jak a co mám měnit, zlepšovat, modernizovat, musím vědět PROČ TO DĚLÁM a PRO KOHO. Tedy znát ÚČEL……
Mgr. Bedřich Myšička vrchní ředitel sekce ekonomické Sekce ekonomická 10. dubna 2014.
Registrační číslo projektu:CZ.1.07/3.2.04/ Název projektu:Inovace do praxe Název a číslo globálního grantu:Podpora nabídky dalšího vzdělávání v.
Společně bezpečně v Evropské unii EU – Hodnocení rizik u malých firem a mikrofirem 2012.
Krizové štáby. Zákon č. 240/2000 Sb., § 14 (1) Hejtman zajišťuje připravenost kraje na řešení krizových situací; ostatní orgány kraje se na této připravenosti.
Podnik ro Název projektu: Nové ICT rozvíjí matematické a odborné kompetence Číslo projektu: CZ.1.07/1.5.00/ Název školy: Střední odborná.
Principy Základních registrů Ing. Ondřej Felix, CSc.
Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu Registrační.
ASEBS, 4. sem..  Široké chápání profesní sebeobrany a jejího projektování  Samostatná práce  Schopnost integrovat znalosti  Pochopení problému v širších.
1. WORKSHOP.
Držitel certifikátu kvality ISO 9001 a ISO 14001
Vysoká škola technická a ekonomická v Českých Budějovicích Ústav podnikové strategie Analýza marketingového mixu vybrané banky Autor bakalářské práce:
PROJEKT ISTI INFORMAČNÍ SYSTÉM TECHNICKÉ INFRASTRUKTURY VEŘEJNÉ SPRÁVY
Revoluce jménem GDPR Eduard Pavlar Risk Assurance.
Akreditační standardy SAK ČR pro nemocnice - I
Dokument KAP MSK - obsah
Stávající systém kontroly při těžbě dřeva
Mgr. Jiří Starý Odbor strategického rozvoje
Zkušenosti s implementací vybraných požadavků ISO 9001:2015
Systémy řízení EMS/QMS/SMS
Realizace interní benchmarkingové analýzy výkonnosti pracovnic úklidu
Společenská odpovědnost ve školství
P2 MARKETINGOVÉ PROSTŘEDÍ
Mobilní bezpečná platforma Policie ČR CZ / /17
RIZIKO.
Management Přednáška 7, 8: Plánování.
IKI jako prostředek pro komunikaci mezi VS a občany Pavel Parma
Obchodní plán projektu
Marketingová komunikace ve vybrané společnosti
GDPR aneb to chceme.
Národní konference GDPR 2017, Praha, 23. listopadu 2017
Aktuální právní úprava činnosti školy a nové úkoly zástupce ředitele
GDPR: ochrana osobních údajů
Seminář ,,Právo a podnikání v digitálním věku” – Praha,
Energetický management
Bezpečnost nade vše... Dominik Marek.
RIZIKO.
Technická Evidence Zdravotnických Prostředků 1
PROCES CERTIFIKACE EnMS
GDPR v sociálních službách - metodika implementace
Dostupné vzdělání pro všechny kdo chtějí znát a umět víc…
Hodnocení korupčních rizik (CIA) Oddělení boje s korupcí Praha, 2018
Prodeji produktu nebo služby
PROCES STANDARDIZACE SOCIÁLNÍ PRÁCE V LOVOSICÍCH
Dostupné vzdělání pro všechny kdo chtějí znát a umět víc…
Seminář AMG, Písek 2018 GDPR.
Střední škola obchodně technická s. r. o.
O požadavcích ISO 9001 Ing. Josef Veselý, CSc..
Zkušenosti z inspekcí kvality sociálních služeb
Podpora sociální práce na území Statutárního města Kladna
Obecné nařízení o ochraně osobních údajů
Primární emise akcií (IPO) VOKT (P-8)
Hodnocení, realizace a kontrolní etapa
Mobilní bezpečná platforma Policie ČR CZ / /17
Transkript prezentace:

9/26/2019 GDPR BEZ KYBERNETICKÉ OCHRANY? Jak budovat ochranu organizace před internetovými hrozbami a vypořádat se s nástrahami nové legislativy (NIS, GDPR) Jindřich Šavel 23.11.2017

Jak se s GDPR vypořádat? Cesta ke splnění GDPR požadavků Srovnávací analýza stavu ochrany OÚ Plán implementace Analýza rizik zpracování OÚ Posouzení vlivu na ochranu OÚ Implementace a zdokumentování procesů Zahájení technické úpravy IS (+ možné zavedení podpůrných nástrojů) Technická úprava IS Školení uživatelů Testy a přezkoumání systému ochrany GDPR – akceptování závažnosti Platí pro všechny firmy a organizace Rozšiřuje definici významu osobních dat Zpřísňuje pravidla pro získání platného souhlasu s použitím osobních údajů Požaduje jmenování inspektora ochrany údajů (DPO – Data Protection Officer) Zavádí povinné PIA – Privacy Impact Assessment Zavádí podmínku oznámení úniků dat pro všechny Zavádí právo být zapomenut Rozšiřuje odpovědnost správce údajů osobních dat Vyžaduje ochranu soukromí již v návrhu systému Zavádí koncept jednotného přístupu 25.5.2018

A jak to souvisí s kybernetickou ochranou? GDPR se zaměřuje především na zajištění ochrany osobních údajů Bez zajištění bezpečnosti počítačové sítě není možné zajistit ochranu osobních údajů Informační systém Aplikace Osobní údaje Uživatelé Servery/úložiště Počítačová síť Počítačová síť

Jak se budovat kybernetickou bezpečnost? Definice výhod Stanovení cílů Stanovení standardů pro implementaci Organizace implementace Posouzení/analýza rizik Implementace zvládání rizik Výcvik a povědomí Implementace KB je nekonečný příběh

1. Definice výhod KB Nutnost získání podpory vrcholového managementu pro projekt KB pokud neexistuje podpora managementu, implementace KB s vysokou pravděpodobností selže Management má k dispozici finanční prostředky a lidské zdroje Benefity Soulad s legislativou Při správné identifikaci zákonných norem a zajištění souladu s nimi, nehrozí společnosti riziko postihů ani pokut Marketing a kredibilita Možná deklarace pro obchodní partnery o bezpečném nakládání s jejich informacemi Snižování nákladů KB je o prevenci. Investuje se do ní nyní aby se ušetřilo v budoucnu Optimalizace business procesů KB je o jasně definovaných procesech a pracovních postupech

Vhodné stanovit cíle – například 2. Stanovení cílů „Co se měří, to se dá řídit“ Jak mohu vědět, že jsem např. v souladu s legislativou, či získám marketingovou výhodu? Vhodné stanovit cíle – například zachování všech existujících zákazníků získání 2% nových zákazníků, kteří jsou citliví na KB v následujících 12 měsících být v souladu se všemi zákonnými normami do 6 měsíců Snížit náklady na KB v následujících 2 letech o 50%... Jedině nastavením obdobných cílů je možné následně vyhodnotit úspěšnost implementace všech kroků ke KB.

3. Stanovení standardů pro implementaci KB Po stanovení cílů, je nutné určit plán, jak jich dosáhnout implementace je činnost na delší dobu Projekt zahrnuje zaměstnance, dodavatele, partnery, klienty, změny ve stávajících pracovních postupech, stanovených povinnostech atd. je výhodné využít služeb společností, které se implementací KB zabývají Rozšířené standardy ISO/IEC 27001 (ISMS) COBIT CRAMM PCI DSS ITIL ISO 22301 (BCMS)

4. Organizace implementace Zavedení projektového řízení (produkt, peníze, čas) získání know-how zvolené standardy samy nezajistí potřebné know-how Je nutné rozhodnout o způsobu implementace implementace KB vlastními zaměstnanci implementace KB vlastními zaměstnanci pod vedením externího specialisty implementace KB výhradně specialisty/konzultanty zvenčí stanovení potřebných zdrojů (lidské, finanční)

5. Posouzení/analýza rizik nelze se spoléhat na instinkty IT pracovníci jsou schopni identifikovat cca 40% rizik pracovníci z obchodu jsou schopni identifikovat cca 25% rizik Vysvětlení procesu tvorby analýzy rizik zaměstnanci na počátku často ani neví, že jsou správci aktiv… je vhodné vycházet ze seznamu hrozeb a zranitelností je vhodné využití nástrojů pro správu rizik

6. Implementace zvládání rizik Po zhodnocení rizik je nutné stanovit akční plán zvládání rizik s určením opatření termínů odpovědností rozpočtu komunikační matice akční plán je nedílnou součástí projektu implementace KB KB se obvykle implementuje pomocí těchto prostředků stanovení nových pravidel implementace nových technologií změny v organizační struktuře

7. Výcvik a povědomí Nedostatek školení a zvyšování povědomí je další příčinou neúspěchu kybernetických bezpečnostních projektů. Proč? bezpečnost je obvykle otrava bezpečnost obvykle vyžaduje nové vědomosti a zdatnosti Je potřeba vzít do úvahy KB není záležitostí pouze IT, je třeba zapojit všechny zaměstnance při implementaci nových opatření je třeba paralelně provádět školení a posilovat povědomí o KB školení a posilování povědomí jsou nekončící proces…

8. Implementace KB je nekonečný příběh KB není o jednom kroku, ale o aktivitách prováděných průběžně S cílem udržovat a zlepšovat systém je třeba zavést monitoring měření obecné cíle cíle u jednotlivých opatření naslouchání návrhům na zlepšení interní audit přezkoumání vedením např. čtvrtletně osoba zodpovědná za KB předloží na poradě vedení výsledky měření, výsledky interního auditu, seznam incidentů, nově identifikované hrozby, požadované výdaje (náklady), návrhy na změny v politikách atd. certifikační audit (nepovinný) neustálé zlepšování (nápravná a preventivní opatření)

Aktivní bezpečnost sítě Koncept připravený na půdě NSMC Network Security Monitoring Cluster kooperační odvětvové uskupení zaměřené na oblast bezpečnosti počítačových sítí a bezpečnosti v ICT Aktivity klastru společné projekty v oblasti technické infrastruktury inovačního charakteru, aplikovaného výzkumu, vývoje a inovací návrh a integrace komplexních řešení v oblasti monitorování bezpečnosti sítí osvěta týkající se bezpečnosti počítačových sítí a informací, školení a vzdělávání návrhy úprav právních norem v oblasti bezpečnosti ICT infrastruktury a jejího zabezpečení komunikace s organizacemi a asociacemi zabývající se bezpečností počítačových sítí (např. ENISA, IT Security in Germany,…) tvorba a akreditace výukových programů kybernetické bezpečnosti pro střední a vysoké školy

Koncept Aktivní bezpečnosti sítě SOC (Security Operation Center) Internet SIEM Log Management Ochrana perimetru Firewall Audit privilegovaných uživatelů DDI - IP address management DHCP, DNS IDS/IPS Network DLP NAC - 802.1x MAC authentication / authorisation NBA Network behaviour analysis MoNet Infrastrukturní monitoring L2 monitoring Flow monitoring Aplikační monitoring Plan Do Check Act Ochrana klientů EndPoint Security / DLP Klienti Desktopy Mobilní klienti Síť Síťové prvky Wifi Infrastruktura Servery Aplikace Procesy ISMS Antivirus Antimalware

Další technické prostředky Kryptování dat na serverech v cloudu na klientech Ochrana proti DDOS Zamezení komunikace zahlcující infrastrukturu Aplikační firewally Garance dostupnosti a důvěryhodnosti webových aplikací Zabezpečená komunikace mezi zaměstnanci mezi obchodními partnery K omunikační kanály Email, SMS, Chat

Vzdělávání a získávání dovedností Vzdělávání ve školách vysoké školy střední školy Kurzy kybernetické bezpečnosti přehledové pro management detailnější pro technické pracovníky Cvičení kybernetické ochrany kybernetické arény cvičení obránců a útočníků (modří a červení) Cvičení managementu pro zvládání krizových situací Např. cvičení blackout v Praze

Testování zranitelnosti Ověření nastavení technických prostředků proti známým hrozbám Jednorázové scany Periodické scany Testování zranitelnosti kódu Etický hacking Odolnost vůči sociálnímu inženýrství

Kybernetická bezpečnost – shrnutí stavu Technologie velký výběr: komerční řešení x opensource nástroje Lidské zdroje nedostatek sil na pracovním trhu nepřipravenost pro 24x7x365 Znalosti nedostatečné detekční znalosti neschopnost reagovat na incidenty

Kybernetická bezpečnost – optimální model Pokročilý model bezpečnosti Zabezpečení provozních potřeb sítě Inhouse (alernativně outsourcing) Potřeba provozu typicky 8-17 Zabezpečení bezpečnostních potřeb sítě Poskytovatel služeb Potřeba provozu 24x7x365

Zajištění provozních potřeb sítě Konvenčně zvládnuto základní správa sítě a stanic ochrana perimetru (firewall) ochrana klientů (antivirus, antimalware) infrastrukturní monitoring Nezvládnuté nebo podceňované Komplexní správa IP prostoru Dílčí řešení: Open source nástroje X Microsoft DDI (DHCP, DNS, IPAM) Řízení přístupu do sítě (NAC) Autentizace, Autorizace (přiřazení zařízení do VLAN)

Zabezpečení sítě organizace Managed Security Services (Security as a Service) Internet Ochrana perimetru Síť organizace AddNet Flowmon Firewall DDI - IP address management DHCP, DNS IDS/IPS Network DLP Syslog concentrator NAC - 802.1x MAC authentication / authorization NBA Network behavior analysis Infrastrukturní monitoring L2 monitoring Flow monitoring Aplikační monitoring Plan Do Check Act Ochrana klientů EndPoint Security / DLP Klienti Desktopy Mobilní klienti Network Switche Wifi Infrastruktura Servery Aplikace Proceses ISMS Antivirus Antimalware

Zajištění bezpečnostních potřeb sítě Pokročilá detekce vyhodnocení provozu flow monitoring syslog Bezpečnostní dohled služba SOC (Security Operating Center) využití nástrojů Logmanagment/SIEM Zajištění incident response Služba SOC bez integrovaných nástrojů řízení sítě zákazníka nedokáže aktivně a samostatně řešit incident response

Managed Security & Security as a Service Managed Security Services Cloud Services - Security Security Expert Services SOC Applications Security Assessment Infrastructure Vulnerability Scanning SIEM Log Management Business continuity & DR Continuous Monitoring Plan Do Check Act Privileged user management Email protection Proceses ISMS Flow monitoring / NBA Encryption DDoS Protection DLP Protection DDI/NAC Management Intrusion management

Pokročilý model bezpečnosti Internet Přínosy modelu pro organizace Využití špičkových znalostí cyber defense Provoz 24 x 7 x 365 Okamžitá reakce na bezpečnostní incidenty CAPEX úspory odpadají investice do nástrojů pokročilé detekce a řízení sítě OPEX optimalizace odpadá nutnost zajistit kvalifikovaný tým pro práci v režimu 24x7

Shrnutí Kybernetická bezpečnost je nekonečný příběh Nikdy nebudete mít jistotu, že váš soubor technických opatření postihne nejnovější typy útoků Zero day attacks zneužití dat a technologií z vnitřku organizace Proto je nutné kombinovat typy opatření periodicky vyhodnocovat stav ochrany a následně ho vylepšovat kontinuálně vzdělávat pracovníky zodpovědné za KB školení, tréninky bojů proti útočníkům Využijte optimální model bezpečnosti zaměřte se na zajištění vlastních provozních potřeb válku s hackery nechte na odbornících

Další informace Novicom, s.r.o. Jindřich Šavel Třebohostická 14 100 00 Praha 10 www.novicom.cz sales@novicom.cz Jindřich Šavel obchodní ředitel jindrich.savel@novicom.cz +420 271 777 231 +420 777 222 961