KYBERNETICKÁ BEZPEČNOST
Úvod
Kybernetická bezpečnost je pojem 21.století, který úzce souvisí s rozvojem informačních technologií a "internetovým" pojetím společnosti. V zásadě lze očekávat, že se dočkáme pojmů jako "prvobytně pospolná internetová společnost" apod.
K tomu, abychom se nedočkali "internetové doby ledové" slouží právě kybernetická bezpečnost. V zásadě se jedná o určitý soubor povinností, zásad a pravidel, jež by měla být závazná pro každého uživatele či provozovatele informačních technologií. Řečeno slovy klasika - "Je opravdu moudré rozumět hračkám, jež používám".
Tolik stručný úvod a nyní přejděme k samotnému tématu.
Legislativa
Ústředním správním orgánem pro kybernetickou bezpečnost včetně ochrany utajovaných informací v oblasti informačních a komunikačních systémů a kryptografické ochrany je Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Vznikl 1. srpna 2017 na základě zákona číslo 205/2017 Sb., kterým se změnil zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti). Podrobnosti naleznete na stránkách NÚKIB.
Podrobný popis vývoje legislativy, včetně znění jednotlivých zákonů, vyhlášek a dalších dokumentů naleznete zde.
V této souvislosti je dobré připomenout, že i Trestní zákoník zná trestné činy související s neoprávněnými přístupy do informačních systémů, konkrétně § 230 nazvaný "Neoprávněný přístup k počítačovému systému a nosiči informací".
Nový občanský zákoník pak pamatuje na škodu způsobenou informací nebo radou (§ 2950 NOZ).
Národní strategie kybernetické bezpečnosti
Vláda České republiky schválila Národní strategii kybernetické bezpečnosti pro příštích pět let.
Ředitel Národního bezpečnostního úřadu (NBÚ) 16. února 2015 předložil vládě novou Národní strategii kybernetické bezpečnosti České republiky na období let 2015 až 2020 (Strategie) a kabinet Bohuslava Sobotky ji schválil. Tato nová Strategie navazuje na původní strategii pro oblast kybernetické bezpečnosti, která byla určena pro období 2012 až 2015, a jejíž úkoly byly z valné většiny splněny.
Dle prohlášení ředitele NCKB (Národní centrum kybernetické bezpečnosti, odbor NBÚ), NCKB do vlastního zákona zapracuje odkazy na související normy a metodiky (např. ISO 27032). Dále bude respektovat metodiky relevantní (např. metodiky národních autorit členských zemí EU, NIST atp.)
Bezpečnostní role
Jedna z možných variant implementace bezpečnostních rolí dle §7 vyhlášky 82/2018 Sb. (vyhláška k zákonu o kybernetické bezpečnosti) je popsána na stránkách Národního úřadu pro kybernetickou a informační bezpečnost. Stahovat můžete zde.
Metodika, implementační scénáře
V zásadě se jedná o soubor metodických pokynů a doporučení týkající se zapojení daného zařízení, informačního systému, organizačních opatření, technických opatření, best practice apod. To vše pod hlavičkou konkrétní národní bezpečnostní autority, která scénář schválila, zveřejnila na svých stránkách. Každý implementační scénář by měl obsahovat:
- Princip
- Provedení
- Funkčnost
- Efekt
- Smysl
daného celku, nedílnou součástí je samozřejmě topologické schema celého řešení.
Tato otázka zatím není řešena ani legislativně, ani metodicky. Předpokládáme, že zde se situace začne rychle měnit a implementační scénáře budou jednak veřejně dostupné, jednak budou navazovat na metodiku. K dnešnímu dni můžeme odkázat na vzorové implementační scénáře volně dostupné na stránkách německé národní autority (BSI).
Náš leták a brožuru s nabídkou služeb v oblasti kybernetické bezpečnosti můžete stahovat zde.
Na stránkách CSIRT.CZ naleznete aktuální zprávy z oblasti kybernetické bezpečnosti.
Z tisku
Pokud máte pocit, že se Vás "kybernetický svět" nijak nedotýká, pak si raději přečtěte tento článek (agentura Bloomberg, NSA Said to Exploit Heartbleed Bug for Intelligence for Years).
Nabízíme
- Vypracování metodiky pro správu IS
- Audity kybernetické bezpečnosti dle §16 Vyhlášky k ZKB (82/2018 Sb.)
- Školení bezpečnostních rolí dle §7 Vyhlášky k ZKB (82/2018 Sb.)
- Výkon bezpečnostních rolí dle §7 Vyhlášky k ZKB (82/2018 Sb.)
- Analýzy rizik (pro oblast kybernetické bezpečnosti) dle Příloh 1 a 2 Vyhlášky k ZKB (82/2018 Sb.)
- Sestavení podkladů pro výběrová řízení
- Sestavení požadavků na funkčnost a bezpečnosti IS
- Návrh, realizaci, správu a servis IS
- Školení administrátorů - legislativa ČR a EU, metodiky národních bezpečnostních autorit členských zemí EU (NBÚ, BSI), komunikace se státní autoritou, standardy
- Metodiku pro zjištění potřeb a funkčnosti bezpečnostních zařízení IS (firewall, VPN gateway, log collector, IDS/IPS, ticket system, GLPI)
- Sestavení těchto zařízení na bázi open-source, náklady, životní cyklus
Přílohy
Nabídka služeb v oblasti kybernetické bezpečnosti