nová vyhláška o kybernetické bezpečnosti 7 poděkování členům et velké díkypatří všem...
TRANSCRIPT
27.09.2017 1
Nová vyhláška o kybernetické bezpečnosti
Martin Konečný
Head of Regulation & Audit Unit @ NCSC
1
27.09.2017 22
Kritická
infrastruktura
(KI)
Kritická
informační
infrastruktura
(KII)
Zákon č. 240/2000
Sb., o krizovém řízení
a o změně některých
zákonů (krizový
zákon)
Nařízení vlády
č. 432/2010 Sb.,
o kritériích pro
určení prvku KI
ve znění novely
č. 315/2014 Sb.
ZKB
Významný
informační
systém
(VIS)
definuje
určuje
kritéria
podporuje,
je součástí
využívá
aktiva
definuje
definuje
Vyhláška
č. 317/2014 Sb.,
o významných
informačních
systémech
a jejich
určujících
kritériích
Vyhláška
č. 316/2014 Sb.,
o kybernetické
bezpečnosti
(VKB)
provádí provádí
NÚKIB
Regulovaná
osobaISMS
vydává,
novelizujekontroluje soulad
ISMS orgánu nebo osoby
se zákonem
provádí
alespoň
v rozsahu
stanoveném
v ZKB
určuje
kritéria
Vyhláška č. X Sb.,
o kritériích pro určení
provozovatelů základních služeb
provádí
spolupracuje
má
povinnost
řídit se
Informační
systém
základní
služby
(ISZS)
Základní
služba
(ZS)
definuje
určuje
kritéria
definuje
určuje
kritéria
Digitální
služba
(DS)
definuje
poskytování je
závislé na
27.09.2017 3
Cíle novelizace VKB
• Soulad se Směrnicí NIS
• Soulad s novelou ZKB
• Oprava chyb
• Aktualizace opatření
• Vylepšení VKB
3
27.09.2017 4
Postup novelizace1. Interní návrhy na změny
2. Externí návrhy na změny v rámci Expertního týmu
3. Externí návrhy na změny – příležitost pro Vás (odbornou veřejnost)
4. Legislativní proces - Meziresortní připomínkové řízení, …
5. Cca na jaře 2018 (jen odhad):
a. zrušení původního znění VKB,
b. účinnost nového znění VKB
4
27.09.2017 5
Vybrané změny
• pořadí posloupnosti některých §§§
• vyjasnění rozdílů mezi povinnostmi pro KII/VIS
• odstranění duplicit
• nové přílohy – např.:• likvidace dat,
• zranitelnosti a hrozby,
• bezpečnostní role a jejich kompetence
• …
5
27.09.2017 6
Expertní tým (ET)
• Tým složený z expertů na informační a kybernetickou bezpečnost složený z osob přímo oslovených NCKB
• Cíl:• Poskytnout vstupy a zpětnou vazbu k:
• novelizaci VKB,
• tvorbě podpůrného materiálu k VKB.
6
27.09.2017 7
Poděkování členům ET
Velké díky patří všem členům ET, kterými jsou:
Berka Milan, Doucek Petr, Duračinská Zuzana, Gregor Jan, GubalováKarin, Hejduk Pavel, Hošek Pavel, Kropáčová Andrea, Miko Karel,
Novák Luděk, Peterka Martin, Sedlák Petr, Svoboda Vlastimil, ŠebešJan, Šidlo Vítězslav, Široký Libor, Šmolík Jan, Ulrychová Helena
&
tým Oddělení regulace, auditu a podpory
&
Vládní CERT tým
7
27.09.2017 8
Chcete se aktivně zapojit do tvorby nové VKB?
…. pak máte jedinečnou možnost!
Nejpozději do 14 dní naleznete na našem webu:
• draft nové VKB,
• šablonu pro zasílání připomínek,
• kontakt, na který můžete připomínky zasílat.
Link: https://www.govcert.cz/cs/nova-vkb/
8
27.09.2017 9
Pravidla pro připomínky
• Nejedná se o formální připomínkové řízení
• Negarantujeme, že vše bude zapracováno
• Vaše návrhy musí vycházet z:• praktických zkušeností
• různých „best practices“
• Vaše návrhy musí být relevantní k ZKB a k povaze VKB
9
27.09.2017 10
Forma připomínek
10
Datum: Zpracoval:
Číslo
§
Odstavec,
písmenoKomentář
(odůvodnění k návrhu změny)Navrhovaná změna
Stav
zapracování
Návrhy na změny Vyhlášky č. 316/2014 Sb. ze strany odborné veřejnosti(https://www.zakonyprolidi.cz/cs/2014-316)
27.09.2017 11
Forma připomínek - příklad
11
Datum: 21.9.2017 Zpracoval: Jan Novák, spol. ABC, CISO
Číslo
§
Odstavec,
písmenoKomentář
(odůvodnění k návrhu změny)Navrhovaná změna
Stav
zapracování§ X odst. 1,
písm. b)
navrhuji celé vynechat,
protože ……
odstranit tento bod
§ Y odst. 2 V odstavci 2 chybí vazba na více-
faktorovou autentizaci, neboť ….
c) více-faktorová autentizace
Návrhy na změny Vyhlášky č. 316/2014 Sb. ze strany odborné veřejnosti(https://www.zakonyprolidi.cz/cs/2014-316)
Pozn.: nezapomeňte prosím psát návrhy konkrétně, vč. odůvodnění.
27.09.2017 12
Odeslání připomínek:
formulář posílejte na e-mail:[email protected]
do předmětu uveďte:„VKB“
12
27.09.2017 13
Dotazy?
13
27.09.2017 14
Děkuji za pozornost a za případnou spolupráci
Martin Konečný
Head of Regulation & Audit Unit @ NCSC
14