Informačná bezpečnosť a jej aplikácia v praxi

Prezentace na téma: "Informačná bezpečnosť a jej aplikácia v praxi"— Transkript prezentace:

1 Informačná bezpečnosť a jej aplikácia v praxi
Fakulta práva Bratislavskej vysokej školy práva Prednášky Jan Hochmann, Odbor legislatívy, metodiky, štandardov a bezpečnosti, sekcia informatizácie spoločnosti Ministerstvo financií SR

2 Všeobecné informácie Predmet: Informačná bezpečnosť a jej aplikácia v praxi Forma výučby: prednášky Cyklus prednášok: 12 (6 + 6) Priebežné hodnotenie: 2 testy (40 bodov) ústna skúška (60 bodov) Cieľ predmetu: Poskytnúť ucelený systém poznatkov o IB s dôrazom na jej aplikáciu v praxi, schopnosť reagovať na bezpečnostné incidenty a zvýšiť bezpečnostné povedomie, ako používateľov IKT.

3 Stručná osnova predmetu
Úvod do štúdia IB pre oblasť IKT Východiská Strategické ciele Strategické priority Akčný plán a kľúčové úlohy Digitálny priestor z pohľadu EÚ a SR, jeho ochrana Kategorizácia používateľov digitálneho priestoru v SR Cieľové skupiny (inštitúcie verejnej moci, verejná správy komerčný sektor, laická verejnosť Legislatíva a normatívne prostredie Interoperabilita, normy a štandardy Pojmológia (sémantika) Špecializovaná jednotka pre riešenie počítačových incidentov CSIRT.SK a jej poslanie

4 Obsah Úvod - východiská Legislatíva Úlohy NSIB v Slovenskej republike
Zákon č. 275/2006 Z. z. o ISVS a jeho novely Vykonávacie predpisy k zákonu č. 275/2006 Z. z. o ISVS Zákon ochrane utajovaných informácií Zákon o ochrane kritickej infraštruktúry Zákon o informačnej bezpečnosti verejnej správy Úlohy NSIB v Slovenskej republike Uznesenie vlády SR č. 570/2008

5 1. Úvod Východiská: Národná stratégia pre informačnú bezpečnosť v SR (uznesenie vlády SR č. 570/2007 z 27. augusta 2008) Strategické ciele Strategické priority Úlohy akčného plánu (2008 – 2013) Správa o plnení úloh k Národnej stratégii pre informačnú bezpečnosť v SR (uznesenie vlády SR č. 283/2009) Smernica Rady 2008/114/ES o identifikácii a označení kritických infraštruktúr a zhodnotení potreby zlepšiť ich ochranu

6 Legislatíva Zákon č. 275/2006 Z. z. o informačných systémoch verejnej správy a o zmene a doplnení niektorých zákonov (účinnosť zákona od 1. júna 2006) Zákon upravuje: práva a povinnosti povinných osôb v oblasti ISVS a činnosti, ktoré zabezpečujú ich prevádzku, základné podmienky na zabezpečenie integrovateľnosti a bezpečnosti ISVS, správu a prevádzku ÚPVS, postup pri vydávaní elektronického odpisu údajov z ISVS a výstupov z ISVS. Novely: zák. č. 678/2006 Z. z. (2007), zák. č. 385/2008 Z. z. (2009), zák. č. 553/2009 Z. z. (2009), zák. č /200? Z. z. ( ? )

7 Návrh novely k zákonu č. 275/2006 Z. z. o ISVS
povinné osoby a úprava práv a povinností (správca, prevádzkovateľ), koncepcie rozvoja IS (predkladanie, schvaľovanie, lehoty), metainformačný systém (sprístupňovanie informácií), odstránenie duálneho predkladania informácie povinnej osobe, ktorá touto informáciou disponuje vo svojom IS (od 1. januára 2010), vydávanie štandardov (aj iné povinné osoby podľa osobitného predpisu), kontrola dodržiavania štandardov (aj iná osoba, okrem IB), riadenie a koordinácia informačnej bezpečnosti (okrem utajovaných informácií),

8 Návrh novely k zákonu č. 275/2006 Z. z. o ISVS
prevádzka ÚPVS, prevádzka a správa siete GOVNET, základné pojmy ( 9  27 pojmov), vydávanie výstupov cez IOM, rozšírenie osvedčujúcich osôb, pokuty a správne konania za nedodržiavanie zákona, ďalšie vykonávacie predpisy (štandardy, IOM, KRIS), metainformačný systém VS, obsah a spôsob predkladania zmien úsekov a agend do centrálneho číselníka), zníženie poplatkov pri podaní elektronickými prostriedkami o 50%, úhrada poplatku platná dátumom odpisu z účtu. Stav návrhu zákona: návrh predkladaný na rokovanie NR SR dňa

9 Výnos MF SR č. 13261/2008-132 o štandardoch pre ISVS (účinnosť od 1
Výnos MF SR č / o štandardoch pre ISVS (účinnosť od 1. októbra 2008) technické štandardy (prepojenie, prístup k el. službám, webové služby, integrácia dát), štandardy prístupnosti web stránok (prístupnosť podľa W3C), štandardy použitia súborov (formáty výmeny údajov), názvoslovie a elektronické služby (infraštruktúra), bezpečnostné štandardy (architektúra riadenia, minimálne zabezpečenie), dátové štandardy (údaje, číselníky), štandardy pre elektronické formuláre, štandardizácia v oblasti terminológie.

10 Návrh zákona o ochrane utajovaných informácií (predpokladaná účinnosť od 1. apríla 2010)
Návrh zákona upravuje: problematiku ochrany utajovaných informácií vzhľadom na požiadavky aplikačnej praxe, ako aj požiadavky EÚ a NATO a rieši ochranu pre neutajované informácie, Ďalej: zavádza novú terminológiu, rieši problematiku utajovaných informácií, snaží sa čiastočne riešiť problematiku neutajovaných informácií, zavádza štátny dozor, audit, penetračné testovanie informačných systémov aj pre neutajované informácie,

11 Návrh zákona o ochrane utajovaných informácií
rieši posudzovanie odbornej kompetencie osôb, koncepčná činnosť pre tieto systémy, určuje gestora vykonávania školení, určuje zastupovanie v zahraničí, stanovuje vydávanie štandardov, určuje kontrolu dodržiavania štandardov a udeľovanie pokút, stanovuje správne poplatky atď. Stav návrhu: prebieha 2. kolo rozporových konaní (viac ako 1000 pripomienok) (Pozn.: väčšina zásadných pripomienok už bolo odstránených)

12 Návrh zákona o ochrane kritickej infraštruktúry (predpokladaná účinnosť zákona od 1. januára 2011)
Východisko: Smernica Rady 2008/114/ES o identifikácii a označení kritických infraštruktúr a zhodnotení potreby zlepšiť ich ochranu (s účinnosť od 8. decembra 2008), vykonanie smernice do 12. január 2011 a jej preskúmanie od 12. január 2012. Zákon ustanovuje: organizáciu a pôsobnosť orgánov štátnej správy na úseku ochrany kritickej infraštruktúry, povinnosti právnických osôb a fyzických osôb – podnikateľov na úseku ochrany kritickej infraštruktúry, ako aj zodpovednosť za porušenie týchto povinností.

13 Návrh zákona o ochrane kritickej infraštruktúry
Obsah návrhu zákona: - (pracovná verzia) zavádza nové základné pojmy, úlohy orgánov štátnej správy na úseku ochrany KI, určuje prvky KI a prierezové kritériá, povinnosti prevádzkovateľov a zodpovedné osoby, bezpečnostný plán, definovanie citlivej informácie, zodpovednosť za porušenie povinnosti, sankcie, určenie sektorov KI a zodpovedných subjektov za sektory.

14 Sektory, podsektory a zodpovedné subjekty
1. Voda Zabezpečenie vody MŽP SR 2. Potraviny MP SR 3. Zdravotníctvo Siete poskytovateľov zdravotnej starostlivosti, MZ SR 4. Energetika Elektroenergetika, plyn, ropa, baníctvo, MH SR 5. Jadrová energetika ÚJD SR 6. Elektronické komunikácie Mobilné siete, pevné siete, satelity, TV a rozhlas, rádio navigácia, Internet, ochrana informačných sietí, MDPT SR, MF SR 7. Doprava Cestná, železničná, letecká, vodná MDPT SR 8. Priemysel Farmaceutický, chemický, obranný, hutnícky 9. Financie Platobné systémy, zúčtovacie systémy 10. Pošta Poskytovanie poštových služieb

15 Zákon o informačnej bezpečnosti verejnej správy (Legislatívny zámer zákona, predpokladaná účinnosť zákona od 1. januára 2011) Úloha B.3 uznesenia vlády SR č. 570/ zo dňa : predložiť na rokovanie vlády SR návrh legislatívneho zámeru zákona o IB verejnej správy v SR (do 31. decembra 2009). Súvisiace úlohy: B.1. vytvorenie CSIRT.SK, B.2. Akčný plán IB 2009 – 2013, B.5. vzdelávanie v IB. sémantická interoperabilita (pojmológia) medzi zákonmi!

16 Úlohy NSIB v Slovenskej republike
Návrh organizačného, personálneho, materiálno-technického a finančného zabezpečenia na vytvorenie špecializovanej jednotky (CSIRT.SK) pre riešenie počítačových incidentov v SR, Prehľad stavu štandardizačnej činnosti v oblasti IB, Analýza stavu IB v SR, Návrh systému vzdelávania v oblasti IB, Návrh Akčného plánu k dokumentu „Národná stratégia pre informačnú bezpečnosť v SR“ na obdobie rokov 2008 až 2013, Legislatívny zámer zákona o informačnej bezpečnosti (IB) VS v SR, Vydávanie metodických materiálov z oblasti IB,

17 Návrh organizačného, personálneho, materiálno-technického a finančného zabezpečenia na vytvorenie špecializovanej jednotky (CSIRT.SK) pre riešenie počítačových incidentov v SR (Materiál schválený uznesením vlády SR č. 479/2009 dňa ) Úlohy: B.1 zabezpečiť zriadenie špecializovanej jednotky pre riešenie počítačových incidentov (CSIRT.SK) v SR B.2 postupovať podľa harmonogramu realizácie B.3 poskytovať súčinnosť pri plnení úloh vyplývajúcich z predloženého materiálu

18 Zriadenie CSIRT.SK Zriadenie špecializovaného organizačného útvaru CSIRT.SK dňa , ako súčasť rozpočtovej organizácie MF SR DataCentrum Súvisiace predpisy: zák. č. 523/2004 Z. z. o rozpočtových pravidlách VS, zák. č. 575/2001 Z. z. o organizácii činnosti vlády a organ. ÚŠS, uznesenie vlády SR č. 479 z 1. júla 2009. Náplň útvaru: poskytuje štátnej správe služby v oblasti informačnej bezpečnosti, monitoruje a zhromažďuje informácie o úrovni informačnej bezpečnosti v SR o aktuálnych hrozbách a rizikách voči národnej komunikačnej infraštruktúre (NIKI) a spolupracuje so zahraničnými sesterskými organizáciami oblasti IB na medzinárodnej úrovni, rieši informačno-bezpečnostné incidenty v SR v spolupráci s vlastníkmi a prevádzkovateľmi postihnutých častí NIKI.

19 Analýza stavu informačnej bezpečnosti v SR
Komplexná metodika analýzy – 4 fázy: Prieskum stavu – dotazníková metóda (december 2008) Inštitúcie VS (ÚOŠS, VÚC, mestá / obce, školy, finančné inštitúcie) Overovanie stavu (priamy kontrolný mechanizmus, metodiky MF SR, pohovory, konzultácie, hodnotenie, závery) Inštitúcie VS (ÚOŠS, VÚC, mestá / obce) Analýza dokumentov (legislatívnych / nelegislatívnych, jednotná metodika vplyvov, stanoviská, pripomienkové konania) ÚOŠS SR Hodnotenie pracovných stretnutí (pracovné komisie, rozporové konania, a pod.)

20 Komplexná metodika analýzy
Prieskum stavu IB – dotazníková metóda vykonaný prieskum stavu IB vo verejnej správe v decembri 2008 (MF SR, KPMG) účasť 258 subjektov (VS, zdravotnícke zariadenia, neziskové organizácie) test 46 otázok zaradených do 6-tich skupín: Popis prostredia (17) Riadenie rizík (3) Riešenie incidentov (8) Riadenie zmien informačných systémov (8) Vzdelávanie v oblasti IB (4) Súlad s legislatívou (6)

21 2. Zhrnutie výsledkov prieskumu IB – dotazníková metóda
Z vyhodnotenia otázok respondentov je možné konštatovať, že: v procesoch riadenia IB je málo zaužívaná pravidelná kontrolná činnosť zo strany vedenia organizácií a zodpovedných riadiacich pracovníkov; títo sa zapájajú do činnosti obvykle iba v prípade potreby (už vzniknutých problémov), v inštitúciách je málo formalizovaných procesov IB, IB nie je samostatnou agendou a nie je jej venovaná primeraná pozornosť (výnimkou je problematika ochrany osobných údajov), dodávateľské subjekty majú často pri realizácii projektov a ich prevádzke prístup k osobným a citlivým údajom, čo je výrazne nežiaduci jav (možné zneužitie týchto informácií),

22 Zhrnutie výsledkov prieskumu IB – dotazníková metóda
procesy riadenia incidentov nie sú dostatočne rozvinuté, chýbajú metodiky a školenia, zamestnanci zabezpečujúci IT procesy v niektorých inštitúciách nemajú dostatočné povedomie o IB (v niektorých prípadoch činnosti IT zabezpečujú odborne nekvalifikovaní zamestnanci), požiadavky na informačnú bezpečnosť nie sú štandardnou súčasťou IT projektov, do procesov IB sú zainteresovaní najmä zamestnanci IT oddelení a externé subjekty; kvalita priebehu procesov je otázkou metodických pokynov a požiadaviek na kvalitu dodávaných služieb.

23 Návrh systému vzdelávania v oblasti informačnej bezpečnosti v SR (Materiál schválený uznesením vlády SR č. 391/2009 v máji 2009) Kategorizácia vzdelávacích potrieb používateľov je definovaná podľa: plnenia úloh v digitálnom priestore, znalostnej úrovne, oblasti a zvolenej formy vzdelávania. Podľa plnenia úloh v digitálnom priestore pre vzdelávanie v IB: laici ( % populácie), manažéri a vedúci pracovníci, informatici (nešpecialisti v IB), špecialisti v IB, výskumníci v IB, učitelia.

24 3. Oblasti informačnej bezpečnosti podľa schválenej stratégie:
manažment informačnej bezpečnosti, architektúra, modely a hodnotenie, riadenie prístupu, aplikačná bezpečnosť , bezpečnosť prevádzky, fyzická bezpečnosť, kryptografia, siete, internet a telekomunikácie, plánovanie kontinuity činností, legislatíva a etika. 4. Formy vzdelávania v IB: informačno-bezpečnostné povedomie, stredoškolské vzdelávanie, nesystematické a firemné vzdelávanie, profesné vzdelávanie (platformovo orientované / neorientované), akademické vzdelávanie (SAV, univerzity, VŠ).

25 5. Úlohy: Uznesenie vlády SR č. 310/2008 z mája 2008
návrh Programu pre prístup k zdrojovým kódom a bezpečnostným riešeniam MS – Government Security Program (GSP) Uznesenie vlády SR č. 391/2009 z mája 2009 vypracovať štandard základných znalostí v oblasti IB pre jednotlivé kategórie, navrhnúť obsah vzdelávania pre jednotlivé kategórie, navrhnúť metodiku vzdelávania, zaradiť štandard do národnej sústavy kvalifikácií v zmysle návrhu zákona o celoživotnom vzdelávaní.

26 Legislatívny zámer zákona o informačnej bezpečnosti VS
Tézy návrhu zákona: kategorizácie informačných systémov VS, kompetencie (digitálny priestor, kybernetický priestor, kritická infraštruktúra, osobné/citlivé informácie, ...), riadenie a koordinácia informačnej bezpečnosti, CSIRT.SK (pôsobnosť, kompetencie, výmena informácií, spolupráca), štandardizačná činnosť (tvorba a vydávanie štandardov IB), auditovanie IS a kontrola, zvyšovanie povedomia, vzdelávanie, certifikácia osôb, elektronický obchod, sankcie.

27 Vydávanie metodických materiálov v oblasti informačnej bezpečnosti
Príprava terminológie: Terminologický slovník I. (Metodický pokyn na používanie odborných výrazov pre oblasť informatizácie spoločnosti č. 5/2008 MF SR), Terminologický slovník II. (IT + IB terminológia je v príprave) Príprava metodických materiálov: metodika pre dodržiavanie štandardov v IB (MF SR ), doložka vplyvov na IKT vo VS (MF SR ),

28 Záver 1. časti