1 National Security Authority
2 Příprava nové legislativy a systému kybernetické bezpečnosti v ČR
3 National Security Authority Odpovědnost NBÚ v oblasti kybernetické bezpečnosti Usnesení vlády č. 781 ze dne 19. října 2011 NBÚ ustaven gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast Zřízena Rada pro kybernetickou bezpečnost Ř/NBÚ má předložit návrh věcného záměru zákona o kybernetické bezpečnosti vládě do 31. března 2012 Ř/NBÚ má vybudovat do 31. prosince 2015 plně funkční Národní centrum kybernetické bezpečnosti a jako jeho součást vládní koordinační místo pro okamžitou reakci na počítačové incidenty (vládní CERT - Computer Emergency Response Team),
4 National Security Authority Materiální zajištění Zřízení nových funkčních míst ( 8 v roce 2012, 10 v roce 2013, 10 v roce 2014, 5 v roce 2015) a převod 1 funkčního místa z MV na NBÚ Financování: Státní rozpočet Bezpečnostní výzkum Prostředky z EU Budova v Brně
5 National Security Authority Subjekty aktivní v oblasti kybernetické bezpečnosti V ČR je několik mezinárodně uznaných týmů Jsou provozovány soukromými nebo akademickými subjekty Nejdůležitější jsou Vládní CERT jenž je součástí NBÚ a Národní CERT provozovaný sdružením CZ.NIC
6 National Security Authority Základní principy navrhovaného řešení Individuální zodpovědnost provozovatele za bezpečnost vlastní sítě (jak zajištění proti útokům zvenčí, tak i zabezpečení proti zneužití k útokům na jiné sítě) Rozdělení kyberprostoru na část spravovanou vládním CERT (kritická informační infrastruktura definovaná nařízením vlády) a národním CERT Nákladově efektivní řešení, bez přehnaného zasahování do práv soukromoprávních subjektů
7 National Security Authority Role NBÚ Zřizuje a provozuje Národní centrum kybernetické bezpečnosti Vládní CERT Spolupráce s ostatními CERTs/CSIRTs; ISPs; Mezinárodní spolupráce Výzkum, vývoj a vzdělávání Vydávání / navrhování prováděcí legislativy včetně standardů založených na mezinárodně uznaných normách Vyhodnocování kybernetických bezpečnostních incidentů Státní dozor zaměřený na dodržování vydaných standardů Ukládání sankcí za nedodržení povinností stanovených zákonem o kybernetické bezpečnosti Spolupráce s ostatními orgány státní správy Navrhuje vyhlášení stavu kybernetického nebezpečí (Vyhlašován předsedou vlády)
8 National Security Authority Vládní CERT Do jeho kompetence spadají: Správci IS veřejné správy Správci systémů kritické informační infrastruktury (ve spolupráci s ČTÚ – kontrola plnění licenčních podmínek u správců komunikačních systémů) Základní povinnosti: - oznámit NBÚ kontaktní údaje pro okamžité předávání informací o kybernetických bezpečnostních událostech; - chránit své informační systémy bezpečnostními opatřeními, jejichž náležitosti stanoví NBÚ vyhláškou; - hlásit výskyt kybernetických bezpečnostních událostí NBÚ a provádět protiopatření, která jim NBÚ stanoví.
9 National Security Authority Národní CERT Provozován soukromoprávním subjektem na základě veřejnoprávní smlouvy s NBÚ Zprostředkovává sdílení informací, a to zejména pro soukromoprávní subjekty, akademickou sféru, oblast samosprávy, neziskový sektor, nespadající do kompetence vládního CERTu
10 National Security Authority Vláda ČR Předseda vlády NBÚ Ředitel Národní centrum kybernetické bezpečnosti Vládní CERT/CSIRT Kritická informační infrastruktura IS veř. správy Významné IS Národní CERT/CSIRT ISPs Vybraní poskytovatelé služeb elektronických komunikací Stav kybernetického nebezpečí Hlášení bezpečnostních událostí Aplikace bezpečnostních opatření Aplikace protiopatření Spolupráce, sdílení informací Komise KB
11 National Security Authority Další postup 30. květen 2012 – schválení věcného záměru vládou Září začátek fungování vládního CERTu (počáteční operační schopnost) Listopad 2012 – účast na cvičení „Cyber Coalition 2012“ Prosinec zpráva o stavu KB pro vládu (SS a VS) Nejpozději červenec 2013 – předložení návrhu zákona vládě (paragrafové znění) (odhad) polovina 2013 – Předložení návrhu zákona Parlamentu Prosinec zpráva o stavu KB pro vládu (soukromé subjekty) (odhad) počátek 2015 – účinnost Do – Plně funkční Národní centrum kybernetické bezpečnosti
12 National Security Authority Národní spolupráce Nové memorandum s CZ.NIC o provozování národního CSIRT pracoviště Smlouva s Masarykovou universitou Brno Smlouva s Universitou Obrany Brno Smlouva s VUT Brno Smlouva s ČVUT Praha Zapojení do projektů „112“, KIVS II., CMS II.
13 National Security Authority Mezinárodní spolupráce NATO – účast na cvičení Cyber Coalition 2011 (jako pozorovatel) a Cyber Coalition 2012 (jako účastník) 14. březen 2012 – Podpis memoranda o porozumění s NATO o kybernetické obraně Setkání ke sdílení zkušeností a informací s institucemi v partnerských státech (dosud Polsko, Španělsko, Lucembursko, Německo, USA, Chorvatsko); kontakt navázán také s Norskem, Rakouskem, Nizozemím; další jednání jsou plánována AFCEA – Spolupráce na „Výkladovém slovníku kybernetické bezpečnosti“
14 National Security Authority Dotazy?