Trust the Strong ZÁKON O KYBERNETICKÉ BEZPEČNOSTI P r a h a www.alef.com Co je zákon o kybernetické bezpečnosti? Vláda ČR 2.1.2014 projednala návrh zákona o kybernecké bezpečnos, který přináší významnou míru zabezpečení informačních technologií. Důvodem vzniku takového zákona je snaha konsolidovat obranu pro rostoucí hrozbě kybernecké kriminality, snížit dopady kyberneckých incidentů a zavést právní regulaci v souladu s okolním světem, zejména s EU. Řešitelem kybernecké bezpečnos se stal na základě usnesení vlády č. 781 z 19.10.2011 Národní bezpečnostní úřad ( dále jen „NBÚ“). Ten se tak stal předkladatelem zákona o kybernecké bezpečnos. Co zákon pro určené organizace znamená? Co by měla určená organizace dělat? Co můžeme nabídnout Určená organizace by měla analyzovat vlastní prostředí a definovat případné odchylky aktuálního stavu od požadavků zákona. Měla by naplánovat další akvity tak, aby byla v čase fakcké účinnos zákona (1.1.2016, vč. překlenovací lhůty) v souladu se zněním zákona. Hluboká znalost problemaky zákona o kybernecké bezpečnos umožňuje nabídnout určeným organizacím: • Informace – formou workshopů a materiálů – vše zdarma • Konzultační služby – formou auditů, studií a konzultačních činnos – placená služba Každá určená organizace musí aplikovat soubor prevenvních bezpečnostních opatření a plnit další reakvní činnos dle zákona. Bezpečnostní opatření se dělí na: • Organizační opatření • Technická opatření Organizačními opatřeními se rozumí soubor procesů k zajištění vyšší bezpečnos. Znění zákona se významně shoduje s požadavky cerfikace ISO 27000. Technickými opatřeními se rozumí soubor technických nástrojů k zajištění vyšší bezpečnos. Typicky se jedná o správnou implementaci a správu Firewallů, IPS sond, NetFlow sond, MDM systémů, kryptografických prostředků, ochrany pro škodlivému SW, SIEM nástrojů a dalších bezpečnostních prostředků … Na základě kvalifikačních kritérií NBÚ vypracuje seznam organizací, na které se bude zákon vztahovat. Organizace se rozdělí do 2 skupin: • Významné Informační Systémy (dále jen „VIS“) – základní úroveň bezpečnosi • Krická Informační Infrastruktura (dále jen „KII“) – rozšířená úroveň bezpečnos Pro každou skupinu bude definován soubor činnos a opatření v prováděcím právním předpisu k zákonu o kybernecké bezpečnos, kterým musí v souladu s mto zákonem každá organizace vyhovět. Pro koho je zákon o kybernetické bezpečnosti určen? Michal Zedníček Security konzultant [email protected]