standardy (normy) a legislativa informacn bezpecnosti...ietf,internet engineering task force 2...
TRANSCRIPT
Standardy (normy) a legislativainforma�cn�� bezpe�cnosti
PV017 �Bezpe�cnost IT
Jan Staudek
http://www.�.muni.cz/usr/staudek/vyuka/} w���������� ������������ !"#$%&'()+,-./012345<yA|Verze : podzim 2019
Standardy (normy) a legislativa
2 C��l p�redn �a�sky o standardech a standardizaci {
um�et odpov�ed�et na ot �azky:
X Co to jsou standardy, normy, doporu�cen�� ?
X Jak vznikaj�� standardy a doporu�cen�� ?
X Kdo je kdo ve sv�et�e standard �u a doporu�cen�� ?
X Kter �e standardy informa�cn�� bezpe�cnosti jsou reprezentativn�� ?
2 Standardiza�cn�� organizace a principy jejich �cinnosti a p �usoben��
2 Upozorn�en�� na hlavn�� de-iure standardy InfSec
2 Generick �a pr �avn�� hlediska {
koncept relevantn��ch pr �avn��ch princip �u
2 Legislativa v �CR souvisej��c�� s InfSec
2 GPDR, General Data Protection Regulation
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 1
What is a standard?, ISO/IEC Guide 2: 1996
2 A document,
established by consensus and
approved by a recognized body,
that provides, for common and repeated use, rules,
guidance or characteristics of activities and their results,
aimed at the achievement of the optimum degree of order
in a given context.
X Dokument stanoven �y na z �aklad�e konsenzu aschv �alen �y uznan �ym org �anem,kter �y poskytuje pro obecn �e a opakovan �e pou�zit��pravidla, pokyny nebo charakteristiky aktivit a jejich v �ysledk �u,zam�e�ren �y na dosa�zen�� optim �aln��ho stupn�e uspo�r �ad �an��v dan �em kontextu.
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 2
Standard, norma, doporu�cen�� = dokumentovan �a �umluva
2 �umluva
{ o technick �e speci�kaci nebo
{ o jin �em podobn �em p�resn�e stanoven �em krit �eriu
2 c��l �umluvy
X pravidlo/sm�ernice de�nuj��c�� charakteristick �e vlastnostimateri �al �u, v �yrobk �u, proces �u, slu�zeb, . . .
X umo�z �nuje, aby materi �aly, v �yrobky, procesy, slu�zby, , . . . byly takov �e,jak �e se zam �y�sl��, �ze maj�� b �yt
{ form �at platebn�� karty,
{ protokol komunikace,
{ politika poskytov �an�� slu�zby,
{ . . .
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 3
Standard, norma, doporu�cen�� = dokumentovan �a �umluva
2 standard nebo norma ?
X v �Cesku (mimo oblast IT) se tradi�cn�e pou�z��v �a pojem ,,norma\,co�z je historick �y vliv n�em�ciny
X v oblasti IT celosv�etov�e pojem ,,norma\ vesm�es prohr �av �as pojmem ,,standard\ { d �ano vlivem progresivn�� globalizac�� angli�ctiny
2 Doporu�cen�� (recommendation) { term��n pou�z��van �y n�ekter �ymi
organizacemi vyd �avaj��c�� standardy m��sto term��nu
,,standard"(ITU { telekomunikace, . . . )
2 Standard vyvinut �y na b �azi konsensu jist �e komunity,
de facto standard
X standard vypracovan �y v r �amci jist �e komunity, kter �a si p�red jehovyd �an��m odsouhlas��, �ze standard odpov��d �a j�� stanoven �ym c��l �um
X nap�r. dokumenty RFC vyd �avan �e IETF pro oblast Internetu
X de facto standard reprezentuje sp���se liber �aln�� pohled na sv�et
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 4
Standard, norma, doporu�cen�� = dokumentovan �a �umluva
2 Standard ,,podle pr �ava\ , de iure standard
X �umluva schv �alen �a uzn �avanou instituc�� pov�e�renou t��mto posl �an��mlegislativou, rozhodnut��m st �atn��ch autorit, . . .
X standardy implicitn�e nejsou pr �avn�e z �avazn �e,jist �a pr �avn�� norma ale m�u�ze p�redepsatpovinnost vyhov�en�� (obvykle de iure) standardu
X typicky standardy vyd �avan �e organizacemi ISO, IEC, ITU, . . .
X de iure standard reprezentuje siln�e konzervativn�� pohled na sv�et
2 konzervativci od liber �al �u p�reb��raj�� co p�reb��rat cht�ej�� a
co p�reb��rat sta�c��
X de facto standardy se vyd �avaj�� rychleji
X vyzr �al �e de facto standardy, kter �e se uk �azaly jako efektivn��,se �casto p�repracov �avaj��/p�reb��raj�� na de iure standardy
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 5
Standard, norma, doporu�cen�� = dokumentovan �a �umluva
2 Z �avaznost standard �u
X �z �adn �y standard s �am o sob�e nem�a charakter pr �avn��ho p�redpisu
X pr �avn�� p�redpis m�u�ze stanovit povinn �e vyhov�en�� standardu
{ v tom p�r��pad�e se obvykle d �av �a p�rednost de iure standard �um
2 Mezin �arodn�� charakter standard �u
X v �yrobci standardizovan �ych produkt �u/proces �u v glob �aln��m prost�red��mus�� zvolit standard, kter �emu proces/produkt vyhovuje
X tud���z je nutn �e zabr �anit p�r��li�sn �e diverzi�kaci prosazov �an��,,spr �avn �ych"technik, . . .
X mnoho standardu pokroku v technologiıch smrt
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 6
Vyhov�en�� standardu vs. certi�kace
2 Compliance (vyhov�en��) vs. Certi�cation (certi�kace)
2 Produkt, slu�zba, proces, . . .m�u�ze b �yt prohl �a�sena za
vyhovuj��c�� standardu
X prohl �a�sen��, �ze produkt, slu�zba, proces, . . .spl �nuje podm��nky de�novan �e standardem
X po�zadavek vyhov�en�� m�u�ze b �yt p�redepsan �y z �akonem, smlouvou, . . .
2 Produkt, slu�zba, proces, . . .m�u�ze b �yt certi�kovan �y,
tj. existuje certi�k �at potvrzuj��c��, �ze je vyhovuj��c�� standardu
X Certi�kace { neutr �aln�� d �uv�eryhodn �a t�ret�� strana prov�e�r�� validituprohl �a�sen�� o vyhov�en�� standardu a vyd �a o tom relevantn�� certi�k �at
X Standardy de�nuj��c�� nap�r. algoritmus, jsou snadno certi�kovateln �e
X Standardy n �avod �u jak budovat syst �em/slu�zbu jsou sp���se radou acerti�kace se obvykle nepo�zaduje
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 7
Probl �emy standardizace
2 Standard mus�� b �yt odsouhlasen �y v�semi �cleny komunity
X mnoho r �uzn �ych pohled �u na to, co je spr �avn �e
X pokud se do standardu dostane velk �a �sk �ala voleb a povinn �ychp�redpoklad �u, obt���zn�e a n �akladn�e se implementuje
X to byl jeden z d �uvod �u pro�c model TCP/IP zv��t �ezil nad modelem OSI
2 Standard je jen dokument
X interpretace se mohou li�sit, zvl �a�st�e p�ri p�rekladu do r �uzn �ych jazyk �u
2 Pokud produkt vyhov�� jen podstatn �e �c �asti standardu,
pak v podstat�e vyhovuje standardu,
ale nen�� vyhovuj��c�� standardu
2 Pokud siln �y v �yrobce nahrad�� nez �avisl �e standardy sv �ymi
propriet �arn��mi standardy, v �a�ze z �akazn��ky na svoji
propriet �arn�� funkcionalitu
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 8
Oblasti z �ajmu de iure standard �u
2 univerz �aln�� oblast bez portfeje { zahrnuje v�se, bez omezen��X Celosv�etov�e odpov�edn �a instituce:
International Organization for Standardization ISO, ISO
X ISO { isos, stejn �y, �z �adn �y akronym !!!
X celosv�etov �a federace v��ce ne�z cca 160 �clensk �ych n �arodn��ch (st �atn��ch)standardiza�cn��ch organizac�� (ISO Member Bodies) ex. od r. 1947
2 oblast elektroniky a elektrotechnikyX Celosv�etov�e odpov�edn �a instituce: ISO +
International Electrotechnical Commission, IEC
2 oblast komunikac��X Celosv�etov�e odpov�edn �a instituce: ISO +
International Telecommunications Union, ITU,konkr �etn�e jej�� T-sektor, sektor standardizace, ITU-T,od r. 1993 n �aslednick �y org �an CCITT ((1865) 1956{1993),Comite Consultatif International Telephonique et Telegraphique
Informa�cn�� bezpe�cnost je p�redm�etem z �ajmu ve v�sech t�rech lini��ch.
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 9
Pr �ace na de iure standardech v oblasti IT
2 ,,Spole�cn �y technick �y v �ybor �c��slo �c. 1\,
Joint Technical Committee, ISO/IEC JTC1 z�r��zen �y ISO a IEC
X v des��tk �ach podv �ybor �u (Subcommittee, SC)�re�s�� ISO/IEC JTC1 standardizaci v r �uzn �ych oblastech IT
X Informa�cn�� bezpe�cnosti se v�enuje SC 27, Security Techniques{ v sou�casnosti v SC27 p �usob�� cca 40 �clensk �ych st �at �u
X Provozn�� z �ale�zitosti chodu ISO/IEC JTC1 zaji�st'uje jeho odborITTF, IT Task Force
2 ISO TC 68, ISO Technical Committee 68, Financial ServicesX Informa�cn�� bezpe�cnosti se v�enuje podv �ybor SC 2,
Security Management and General Banking Operations2 Doporu�cen�� (ekvivalent standardu) v oblasti komunikac��
vyd �av �a ITU-T
X ITU-T �casto �uzce spolupracuje s ISO/IEC JTC1
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 10
Evropsk �e de iure standardiza�cn�� organizace
2 Comit �e Europ �een de Normalisation, CEN
X odpov��d �a svoj�� p �usobnost�� ISO
2 Comit �e Europ �een de Normalisation El �ectrotechnique,
CENELEC
X odpov��d �a svoj�� p �usobnost�� IEC
2 European Telecommunications Standards Institute, ETSI
X odpov��d �a svoj�� p �usobnost�� ITU
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 11
N�arodn�� (st �atn��) de iure standardiza�cn�� organizace
2 reprezentuj�� st �at v ISO { ISO Member Bodies
2 nejreprezentativn�ej�s�� normaliza�cn�� organizace v dan �e zemi
2 standardy ,,siln �ych\ organizac�� (ANSI, BSI, DIN, . . . )
jsou mnohdy respektov �any a pragmaticky uzn �av �any i
mezin �arodn�e
2 P�r��klady
X ANSI { (U.S.A.), American National Standards Institute
X BSI { (U.K.), British Standard Institute
X DIN { (N�emecko), Deutsches Institut f �ur Normung
X SCC { (Kanada), Standards Council of Canada
X AFNOR { (Francie), Association Fran�caise de Normalisation
X . . .
X �CSNI { �Cesk �y normaliza�cn�� institut
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 12
V �yznamn �e postaven�� U.S.A.
2 v�seobecn �e mezin �arodn�� respektov �an�� a uzn �av �an�� je d �ano
�urovn�� severoamerick �ych technologi��
2 Institute of Electrical and Electronics Engineers, IEEE
X profesion �aln�� org �an in�zen �yr �u v oblasti elektroniky a elektrotechniky
X normy IEEE vesm�es maj�� v �yrazn �y mezin �arodn�� v �yznam adopad mj. se v �yrazn�e zam�e�ruje i na normy bezpe�cnosti
X zn �am�e jsou IEEE standardy LAN (IEEE 802.xx), resp. OS (POSIX)
2 National Institute for Standards and Technology, NIST
X vl �adn�� standardiza�cn�� org �an,vyd �av �a standardy feder �aln�� st �atn�� spr �avy USA
X n �astupce NBS (National Bureau of Standards)X vyd �av �a tzv. FIPS, Federal Information Processing Standards
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 13
V �yznamn �e postaven�� U.S.A.
2 American National Standards Institute, ANSI
X z �astupce USA v organizaci ISO
X v�enuje se mj. i normaliza�cn�� �cinnosti v oblasti bezpe�cnosti IT,zvl �a�st�e pak norm�am bezpe�cnosti bankovn��ho sektoru
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 14
P�r��klad oblasti de facto standard �u { RFC (ISOC)
2 RFC (Request for Comment)X n �azev internetovsk �ych standard �u, d �ano historickou souvislost��
2 V pozad�� p �usob�� { Internet Society, ISOCX http://www.isoc.org/
X 150 institucion �aln��ch, 6000 individu �aln��ch �clen �u z cca 100 zem��
2 Internet reprezentuje { Internet Activities Board, IABX rada pro internetovsk �e �cinnosti
X mana�zersky spravuje a �r��d�� provoz Internetu
X prov �ad�� dohled nad architekturou protokol �u a procedur
X zalo�zena v r. 1983, m �a individu �aln��ch 13 �clen �u
2 hlavn�� odpov�ednost za v �yvoj a posuzov �an�� RFC IAB
delegovala na technickou poradn�� komisi {
IETF, Internet Engineering Task Force
2 Kone�cn �e rozhodnut�� o vyd �an�� (p�rijet��) RFC d�el �a IAB
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 15
P�r��klad oblasti de facto standard �u { OWASP
2 OWASP, The Open Web Application Security Project
X a worldwide free and open communityfocused on improving the security of application software
X http://www.owasp.org/
X standard v �yvoje bezpe�cn �e webovsk �e aplikace
X standard testov �an�� bezpe�cn �e webovsk �e aplikace
X standard hodnocen�� a kriteria z �arukza bezpe�cnost bezpe�cn �e webovsk �e aplikace
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 16
P�r��klad oblasti de facto standard �u { ISACA
2 ISACA, Information Systems Audit and Control Association
X mezin �arodn�� organizace auditor �u v �ypo�cetn��ch syst �em�u
X v r. 1996 vyd �av �a COBIT,
The Control Objectives for Information and related Technologya set of best practices (framework) forinformation technology management
X C��l COBIT:
vyzkum, vyvoj, podpora a zverejnovanı odborne verohodneho,aktualnıho a mezinarodne platneho souboru obecneuznavanych cılu rızenı informacnıch technologiı prokazdodennı pouzıvanı manazery a auditory.
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 17
P�r��klad oblasti de facto standard �u { ISF
2 ISF, Information Security Forum
X mezin �arodn�� nez �avisl �a, neziskov �a v�enuj��c�� se m�e�ren�� a rozvoji praktikv informa�cn�� bezpe�cnosti
X v r. 1996 vyd �av �a voln�e dostupn �y standard (SoGP),
The Standard of Good Practice { a detailed documentation ofbest practice for information security
X C��l ISF:
derives from the ISO/IEC 27002 and COBIT v4.1. standardsand outlines a functional information security methodologybased on both research and real world experience
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 18
Firemn��, propriet �arn�� standardy
2 kategorie de facto standard �u
2 obvykle standardy patentovan �ych technik
2 v �yznamn �y n �astroj pro ,,udr�zen�� trhu"silnou spole�cnost��
2 mnohdy hraj�� velmi silnou roli, nap�r.
PKCS (Public-Key Cryptography Standards)publikovan �y RSA Labs.
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 19
Proces normalizace ISO
2 Odpov�ednost za tvorbu norem v d��l�c��ch oblastech maj��
technick �e v �ybory,Technical Committees, TC
X tak �e n�ekdy technick �e komise
X komis�� / v �ybor �u je cca 200
X TC si ur�cuje sv �uj program v r �amci vymezen �em jeho rodi�covskouorganizac�� (ISO) s �am tak, aby zadan �y �ukol vy�re�sil
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 20
Proces normalizace ISO
2 TC m�u�ze d�elit svoji p �usobnost mezi sv �e podv �ybory,
SubCommittees, SC
X tak �e subkomise, subkomis�� / podv �ybor �u je cca 500
2 SC obvykle d�el�� svoji p �usobnost na
pracovn�� skupiny, Working Groups, WG
X WG je v sou�casnosti cca 2 500
X v pracovn��ch skupin �ach se skute�cn�e pracuje, v �y�se se jen schvaluje
2 Evoluce standard �u v r �amci TC/SC/WG je pomal �a
2 na standardu se pracuje a obvykle n�ekolik (typicky 5) let
2 Pro sou�casn �y rozvoj IT je to velmi brzd��c�� faktor
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 21
�Zivotn�� cyklus ISO standardu
2 n �avrh nov �e pracovn�� polo�zky | NWI (New Work Item)
X a hlasov �an�� v TC o NWI, jmenov �an�� odpov�edn �eho editora
2 s �erie postupn�e vyd �avan �ych n �avrh �u standardu na �urovni
pracovn�� skupiny | WD (Working Drafts)
2 n �avrh normy na �urovni podv �yboru (SC) | CD (CommitteeDraft)
X a hlasov �an�� v SC o CD (typicky po dobu 3 m�es��c �u)
2 n �avrh mezin �arodn�� normy | DIS (Draft International Standard)X a hlasov �an�� v TC o DIS (obvykle po dobu 4{6 m�es��c �u)
2 kone�cn �y n �avrh mezin �arodn��ho standardu | FDIS (Final DIS)X s dobou pro hlasov �an�� 2 m�es��ce
2 pot �e FDIS z��sk �av �a statut mezin �arodn�� normy
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 22
�Zivotn�� cyklus ISO standardu
2 p�etilet �a perioda hodnocen�� mezin �arodn��ho standardu
X Kdy�z se odhal��-li se vada standardu
{ nap�r. byla podcen�ena rychlost rozvoje technologie
X jsou p�rij��m �ana opat�ren��, aby standardy byly revidov �anyi d�r��ve ne�z v p�etilet �em hodnot��c��m cyklu
{ syst �em zpr �av o vad �ach ve standardech (Defect Report System)
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 23
ISO TR (Technical Reports)
2 Technick �e zpr �avy typu 1
X se vyd �av �a tehdy, kdy�z se ve v �yboru nenalezladostate�cn �a podpora pro vyd �an�� standardu
X �R��k �a se v de�nici TR 1:
navzdory op�etovn �e snaze nen�� mo�zn �eprosadit materi �al k vyd �an�� jako �r �adn �y standard
X dohoda nen�� mo�zn �a, proto�ze n �azory jednotliv �ych n �arodn��ch instituc��(jednotliv �ych �clen �u v �yboru) se r �uzn��, standard nem�u�ze b �yt vydan �y
X TR typu 1 je b�ehem t�r�� let po sv �em vyd �an�� p�redm�etem revize,padne rozhodnut��, zda bude p�rem�en�ena v mezin �arodn�� standard
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 24
ISO TR (Technical Reports)
2 Technick �e zpr �avy typu 2
X vyd �av �a se v p�r��pad�e, kdy standardizovan �y p�redm�et se st �aleje�st�e z technick �eho hlediska vyv��j�� a za �cas bude posouzeno,zda dohoda ji�z mo�zn �a je
X �R��k �a se v de�nici TR 2:
p�redm�et z �ajmu normy je st �ale ve st �adiu rozvoje neboexistuje jin �y d �uvod, pro kter �y nen�� mo�zn �e schv �alitmezin �arodn�� standard okam�zit �e,v budoucnu to v�sak z�rejm�e mo�zn �e bude
X TR typu 2 je b�ehem t�r�� let po sv �em vyd �an�� p�redm�etem revize,padne rozhodnut��, zda bude p�rem�en�ena v mezin �arodn�� standard
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 25
ISO TR (Technical Reports
2 Technick �e zpr �avy typu 3
X se vyd �avaj�� o probl �emech, kter �e b�e�zn�e nepodl �ehaj�� technick �estandardizaci, ale ur�cit �y n �avrh je natolik v �yznamn �y a po form�aln��str �ance p�ripraven �y, �ze bylo zhled �ano jeho vyd �an�� alespo �n formoutechnick �e zpr �avy jako vhodn �e
X �R��k �a se v de�nici TR 3:
technick �y v �ybor shrom�a�zdil r �uzn �e podklady, ze kter �ych je norm�aln�epublikov �an mezin �arodn�� standard
X TR typu 3 nen�� znovu posuzov �ana, pokud informace v nich obsa�zen �enejsou shled �any neplatn �ymi �ci neu�zite�cn �ymi
X TR typu 3 je obvykle dokument metodick �eho charakteru
X skute�cnost, �ze se jedn �a ,,pouze" o technickou zpr �avu a nikoli o �r �adn �ymezin �arodn�� standard, v�sak z v�ecn �eho hlediska nijak nesni�zuje v �yznamdokumentu
X TR 3 je nap�r. ISO/IEC TR 13335 Sm�ernice pro spr �avu bezpe�cnosti IT
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 26
ISO/IEC/JTC1/SC 27 Security Techniques
2 Orientace { standardizace generick �ych metod a technik
bezpe�cnosti IT
X identi�kace generick �ych bezpe�cnostn��ch po�zadavk �u na IT
X syst �emov �e bezpe�cnostn�� slu�zby
X v �yvoj bezpe�cnostn��ch technik a mechanism�u{ kryptogra�ck �e algoritmy pro utajovac��, integritn��, autentiza�cn��,podepisovac��, . . . slu�zby (ne pro aplikace)
X procedury
X vztahy mezi bezpe�cnostn��mi komponentami
X v �yvoj bezpe�cnostn��ch n �avod �u (anal �yza rizik)
X v �yvoj mana�zersk �ych dokument �u a standard �u (hodnot��c�� krit �eria)
2 Vnit�rn�� struktura
X WG1: Requirements, security services and guidelines
X WG2: Security techniques and mechanisms
X WG3: Security evaluation criteria
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 27
Hlavn�� standardy vydan �e ISO/IEC/JTC1/SC 27/WG1
2 V sou�casnosti p�redev�s��m rodina standard �u ISO/IEC 27000
X v��ce viz http://www.iso27001security.com/html/iso27000.html
X doporu�cen�� jak �r��dit informa�cn�� bezpe�cnost, �re�sit zvl �ad �an�� rizik a jakimplementovat opat�ren�� v kontextu cel �eho syst �emu syst �emu �r��zen��informa�cn�� bezpe�cnosti.
X V soucasnosti celosvetove uznavany zakladnıstandard zajist’ovanı informacnı bezpecnosti
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 28
Rodina standard �u ISO/IEC 27000, ISO/IEC 27001:2013
2 Information Security Management System { Requirements
2 de�nuje po�zadavky na funkcionalitu a vlastnosti
syst �emu spr �avy (�r��zen��) informa�cn�� bezpe�cnosti
2 po�zadavky na mo�zn �a bezpe�cnostn�� opat�ren�� vymezuje
standard ISO/IEC 27002
2 ISO/IEC 27001 je p �uvodn�e britsk �y standard BS 7779-2
2 standard je detailn��m popisem po�zadavk �u, kter �e mus�� / m �a
ISMS splnit, v origin �ale se pou�z��v �a must a shall, pokudISMS chce standardu vyhov�et
2 je nez �avisl �y na technologii, ur�cen �y pro organizace v�sech typ �u,
velikost�� a podstat, p �usob��c��ch v jak �emkoli sektoru
(komerce, st �atn�� spr �ava, neziskovky), kdekoli ve sv�et�e
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 29
Rodina standard �u ISO/IEC 27000, ISO/IEC 27001:2013
2 v dodatku standard 27001 uv �ad�� seznam c��l �u opat�ren��
de�novan �ych v ISO/IEC 27002
2 ISO/IEC 27002 obsahuje n �avody, jak je implementovat
2 Povinn �ym po�zadavkem 27001 je porovnat opat�ren�� zvolen �a
p�ri zvl �ad �an�� rizik proti dodatku 27001, aby byla jistota,
�ze se na nic nezapomn�elo
2 27001 na�rizuje pou�z��t 27002 jak zdroj n �avod �u pro volbu a
implementaci opat�ren��, nezakazuje pou�zit�� i dal�s��ch zdroj �u
2 Seznam c��l �u a opat�ren�� v dodatku 27001 nen�� ch �ap �an jako
�upln �y, vy�cerp �avaj��c��, podle pot�reby lze dopl �novat dal�s�� c��le
a opat�ren��
2 ISMS organizace lze certi�kovat na vyhov�en�� ISO/IEC 27001
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 30
Rodina standard �u ISO/IEC 27000, ISO/IEC 27002:2013
2 Code of practice for information security management
2 doporu�cen�� jak navrhovat, implementovat, udr�zovat a
vylep�sovat opat�ren�� prosazuj��c�� informa�cn�� bezpe�cnost,
pou�z��v �a slova may, should (m�u�ze, m�el by)
2 p�uvodn�e britsk �y standard BS 7779, pot �e standard
ISO/IEC 17779, nyn�� standard ISO/IEC 27002:2013
2 jde o mezin �arodn�e uzn �avan �e nejlep�s�� praktiky �r��zen��
informa�cn�� bezpe�cnosti
2 je n �avodem, jak implementovat certi�kovateln �y ISMS, extern��
auditor se m�u�ze na 27002 odkazovat
2 standard ISO/IEC 27002 je kodexem, radami pro budov �an��
bezpe�cn �eho syst �emu, obvykl �e je deklarovat vyhov�en��
standardu, certi�kace vyhov�en�� ISO/IEC 27002 se ned�el �a
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 31
Rodina standard �u ISO/IEC 27000 v 05.2109
X Standardy, kter �e �uzce souvis�� s obsahem p�redm�etu PV017,
jsou tabulce v �cerven �em r �amci
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 32
Rodina standard �u ISO/IEC 27000 v 05.2019
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 33
Rodina standard �u ISO/IEC 27000 v 05.2019
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 34
Rodina standard �u ISO/IEC 27000 v 05.2019
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 35
Rodina standard �u ISO/IEC 27000 v 05.2019
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 36
Rodina standard �u ISO/IEC 27000 v 05.2019
X + ISO/IEC 27045, Draft, Big data security and privacy {Processes
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 37
Rodina standard �u ISO/IEC 27000 v 05.2019
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 38
Rodina standard �u ISO/IEC 27000 v 05.2019
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 39
Rodina standard �u ISO/IEC 27000 p�rehled
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 40
P�r��klady dal�s��ch standard �u vydan �ych ... JTC1/SC 27/WG1
2 ISO/IEC TR 15945,
Speci�cation of TTP services to support the application of
digital signatures
X spole�cn �y standard s doporu�cen��m X.843 ITU-T
2 ISO/IEC TR 18043,
System deployment a operations of intrusion detection
systems { IDS
X technick �a zpr �ava s metodick �ym n �avodem jak zahrnout IDS doIT infrastruktury
2 ISO/IEC TR 18044,
Information security incident management
X technick �a zpr �ava s metodick �ym n �avodem pro spr �avu reakce nabezpe�cnostn�� incident
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 41
Typy standard �u vydan �ych ...JTC1/SC 27/WG2
Orientace { kryptogra�ck �e a autentiza�cn�� techniky a mechanismy
X ISO/IEC 9796, 2000{2002, Digital signature schemesgiving message recovery
X ISO/IEC 9797, 1999{2002, MACs, Message authentication Codes
X ISO/IEC 9798, 1997{2000, Entity Authentication
X ISO/IEC 10116, 1997, Modes of operation forn-bit block cipher algorithm
X ISO/IEC 10118, 1998{2000, Hash function
X ISO/IEC 11770, 1996{1999, Key management
X ISO/IEC 13888, 1997{1998, Non-repudation
X ISO/IEC 14888, 1998{1999, Digital signature schemes with appendix
X ISO/IEC 15946, Cryptographic techniques based on elliptic curves
X ISO/IEC 18014, 2002, Time stamping services
X ISO/IEC 18033, Ecryption algorithms
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 42
Standard vydan �y ISO/IEC/JTC1/SC 27/WG3
2 ISO/IEC 15408
Evaluation criteria for IT security
X ISO/IEC 15408-1: Part 1: Introduction and general model
X ISO/IEC 15408-2: Part 2: Security functional requirements
X ISO/IEC 15408-3: Part 3: Security assurance requirements
X v�sechny 3 �c �asti byly publikovan �e v r. 2005
X v��ce v samostatn �e p�redn �a�sce
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 43
Standardy ISO/TC 68 Financial Services
2 Sou�casn �a struktura TC 68
X SC2: Security management a general banking operations
{ hlavn�� p �usobi�st�e standardizace bezpe�cnosti IT
{ WG4 Information security guidelines fo banking{ WG6 Framework for IT security for �nancial institutions{ WG10 Biometric information security{ WG11 Encryption algorithm used in banking applications{ WG12 Security in retail banking{ WG14 Cryptographic syntax scheme for �nancial services
X SC4: Securities and realted �nancial instruments
X SC6: Retail �nancial services
X SC7: Core banking
X WG2: International bank account number
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 44
Evropsk �e iniciativy ve standardizaci informa�cn�� bezpe�cnosti
2 Zast�re�suj�� CEN a ETSI
2 Hlavn�� iniciativa {
CEN/ISSS, Information Society Standardization SystemX vznik koncem 90. let, �uzk �a n �avaznost na CEN, ETSI, CENELEC
X c��l: zkr �acen�� ISO{doby tvorby ISO standardu (tou je 5 let)
X zav �ad�� se velmi pru�zn �y princip p�rij��m �an�� pracovn��ch (de facto)standard �u formou v �ysledn �ych dokument �u standardiza�cn��ch workshop �u(WS) ustanovovan �ych podle pot�reby,tzv. CEN Workshop Agreements, CWA
2 p�r��klady CEN/ISSS workshop �u
X Electronics Signatures, E-Sign
X eAuthentication
X Data protection and Privacy, DPP
X Electronic Commerce,EC, . . .
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 45
NIST Special Publications (SP)
2 http://csrc.nist.gov/publications/PubsSPs.html
2 SP 800, Computer Security (December 1990-present):
X NIST's primary mode of publishing computer/cyber/informationsecurity guidelines, recommendations and reference materials
2 SP 1800, NIST Cybersecurity Practice Guides (2015-present):
X Complement the SP 800s; targets speci�c cybersecurity challengesin the public and private sectors; practical, user-friendly guides tofacilitate adoption of standards-based approaches to cybersecurity
2 SP 500, Computer Systems Technology (January
1977-present):
X A general IT subseries used more broadly byNIST's Information Technology Laboratory (ITL)
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 46
Standard NIST, rodina SP 800, p�r��klady (SP – Special Publication)
X SP 800-12 : An Introduction to Computer Security:The NIST Handbook
X SP 800-14 : Generally Accepted Principles and Practices forSecuring Information Technology Systems
X SP 800-27 : Engineering Principles for IT SecurityX SP 800-30 : Risk Management Guide for
Information Technology SystemsX SP 800-45 : Electronic Mail SecurityX SP 800-50 : Building an Inf. Techn. Security Awareness
and Training ProgramX SP 800-63 : Electronic Authentication GuidelinesX SP 800-94 : Guide to Intrusion Detection and
Prevention Systems (IDPS)X SP 800-95 : Guidelines for Secure Web ServicesX SP 800-100 : Information Security Handbook: A Guide for Mngrs
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 47
Standard ISACA, COBIT
2 COBIT { Control Objectives for Information and related Techn.
2 34 proces �u, 230 �r��dic��ch n �astroj �u v oblastech { v dom�en �ach
X Plan and Organize
jak m�u�ze IT pomoc�� organizaci dos �ahnout stanoven �ych c��l �u
X Acquire and Implement
identi�kace po�zadavk �u na IT a jejich implementace do st �avaj��c��chpodnikatelsk �ych proces �u organizace
X Deliver and Support
procesy umo�z �nuj��c�� efektivn�� b�eh syst �emu
X Monitor and Evaluate
strategie posuzov �an�� pot�reb organizace, prok �az �an��, zda st �avaj��c��c��syst �em st �ale spl �nuje c��le, pro kter �e byl navr�zen �y
2 �sir�s�� z �ab�er ne�z ISO/IEC 27002, dopl �nuj�� se, nekonkuruj�� si
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 48
Standard ISACA, COBIT, detailn�eji
2 Pl �anov �an�� a organizace (Plan and Organize PO)
X PO1 De�ne a strategic IT plan
X PO2 De�ne the information architecture
X PO3 Determine technological direction
X PO4 De�ne the IT processes, organisation and relationships
X PO5 Manage the IT investment
X PO6 Communicate management aims and direction
X PO7 Manage IT human resources
X PO8 Manage quality
X PO9 Assess and manage IT risks
X PO10 Manage projects
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 49
Standard ISACA, COBIT, detailn�eji
2 Akvizice a implementace (Acquire and Implement AI)
X AI1 Identify automated solution.
X AI2 Acquire and maintain application software
X AI3 Acquire and maintain technology infrastructure
X AI4 Enable operation and use
X AI5 Procure IT resources
X AI6 Manage changes
X AI7 Install and accredit solutions and changes
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 50
Standard ISACA, COBIT, detailn�eji
2 Dod �avka a podpora (Deliver and Support DS)
X DS1 De�ne and manage service levels
X DS2 Manage third-party service
X DS3 Manage performance and capacity
X DS4 Ensure continuous service
X DS5 Ensure systems security
X DS6 Identify and allocate costs
X DS7 Educate and train users
X DS8 Manage service desk and incidents
X DS9 Manage the con�guration. DS10 Manage problems
X DS11 Manage data
X DS12 Manage the physical environment
X DS13 Manage operations
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 51
Standard ISACA, COBIT, detailn�eji
2 Monitoring a evaluace (Monitor and Evalue ME )
X ME1 Monitor and evaluate IT performance.
X ME2 Monitor and evaluate internal control.
X ME3 Ensure compliance with external requirements.
X ME4 Provide IT governance.
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 52
Standard ISF, SoGP
2 SoGP { Standard of Good Practice for Information Security
2 �sest kl���cov �ych aspekt �u
X Security management { �r��zen�� bezpe�cnosti
X Critical business applications { provozov �an�� aplikac��
X Computer installations { IT infrastruktura
X Networks { IT infrastruktura
X Systems development { v �yvoj nov �ych aplikac��
X End user environment { prost�red�� koncov �ych u�zivatel �u
2 popisy princip �u a c��l �u, doporu�cen�� pokr �yvaj��c�� implementaci
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 53
Pr �avn�� principy
2 pravidla, kter �a tvo�r�� z �aklad ur�cit �eho pr �avn��ho institutu,
z �akona, pr �avn��ho odv�etv�� nebo pr �avn��ho �r �adu
2 v pr �avn��m st �at�e jsou pr �avu imanentn�� (bytostn�e vlastn��),
bez ohledu na to, zda jsou �ci nejsou v �yslovn�e vyj �ad�rena
v platn �ych pr �avn��ch norm�ach
2 jsou v��cem�en�e spole�cn �a pr �avu zem�� s p�r��buznou kulturou
2 jsou z �akladem pr �avn��ho �r �adu pr �avn��ho st �atu
2 m�ely by b �yt symbolick �ym a alespo �n �c �aste�cn �ym racion �aln�e
pojmov �ym vyj �ad�ren��m pr �ava p�rirozen �eho
2 Pr �avn�� normy (z �akony, vyhl �a�sky, . . . ) mohou b �yt zru�seny.
Pr �avn�� principy zru�seny b �yt nemohou a nemohou b �yt ani
vyvr �aceny jakoukoli interpretac��.
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 54
Pr �avn�� principy
2 Politikou (v oblasti pr �ava) se rozum�� standard, kter �y vyty�cuje
c��l, jeho�z se m�a dos �ahnout, zpravidla zlep�sen�� ur�cit �e
kvality . . .
2 Pr �avn�� princip je standard, kter �y se m�a dodr�zovat nikoli
proto, �ze to pom�u�ze dos �ahnout nebo zajistit n�ejakou
ekonomickou, politickou nebo soci �aln�� situaci, kter �a se
pova�zuje za �z �adouc��, ale proto, �ze je po�zaduje
spravedlnost, slu�snost nebo n�ejak �a jin �a dimenze mor �alky.
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 55
P�r��klady pr �avn��ch princip �u
2 Nemo ultra posse obligatur, k nemo�zn �emu nen�� nikdo zav �az �an
2 Lex retro non agit, z �akon nep �usob�� zp�etn�e
2 Ignorantia legis non excusat, neznalost z �akona neomlouv �a
2 Pacta sunt servanda, smlouvy se maj�� dodr�zovat
2 Lex posterior derogat priori, z �akon pozd�ej�s�� ru�s�� z �akon d�r��v�ej�s��
2 Lex specialis derogat generali, speci �aln�� �uprava ru�s�� pr �avn��
�upravu obecnou
2 Lex superior derogat inferiori, z �akon vy�s�s�� pr �avn�� s��ly ru�s��
z �akon ni�z�s�� pr �avn�� s��ly
2 Nullum crimen, nulla poena sine lege, nen�� zlo�cinu, nen��
trestu bez z �akona
2 Ne bis in idem, ne dvakr �at o tomt �e�z
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 56
�Cesk �a legislativa souvisej��c�� s informa�cn�� bezpe�cnost��
2 Z �akon �c. 181/2014 Sb., o kybernetick �e bezpe�cnosti
X �u�cinnost 1.1.2015X z �akladn�� principy viz d �ale
2 Z �akon �c. 106/1999 Sb., o svobodn �em p�r��stupu k informac��m
X Povinn �ymi subjekty, kter �e maj�� podle tohoto z �akona povinnostposkytovat informace vztahuj��c�� se k jejich p �usobnosti, jsou st �atn��org �any, �uzemn�� samospr �avn �e celky a jejich org �any a ve�rejn �e instituce.
2 Z �akon �c. 101/2000 Sb., o ochran�e osobn��ch �udaj �u
X osobn��m �udajem jak �akoliv informace t �ykaj��c�� se ur�cen �eho nebour�citeln �eho subjektu �udaj �u.
X Subjekt �udaj �u se pova�zuje za ur�cen �y nebo ur�citeln �y, jestli�ze lzesubjekt �udaj �u p�r��mo �ci nep�r��mo identi�kovatzejm �ena na z �aklad�e �c��sla, k �odu nebo jednoho �ci v��ce prvk �u,speci�ck �ych pro jeho fyzickou, fyziologickou, psychickou,ekonomickou, kulturn�� nebo soci �aln�� identitu
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 57
�Cesk �a legislativa v oblasti informa�cn�� bezpe�cnosti
2 Z �akon �c. 240/2000 Sb., o krizov �em �r��zen��
X stanovuje p �usobnost a pravomoc st �atn��ch org �an �u a org �an �u �uzemn��chsamospr �avn �ych celk �u a pr �ava a povinnosti pr �avnick �ych a fyzick �ychosob p�ri p�r��prav�e na krizov �e situace, kter �e nesouvisej�� se zaji�st'ov �an��mobrany �Cesk �e republiky p�red vn�ej�s��m napaden��m
2 Z �akon �c. 365/2000 Sb., o informa�cn��ch syst �emech ve�rejn �e
spr �avy
X Ex. vyhl �a�ska �c. 529/2006 Sb., o po�zadavc��ch na strukturu a obsahinforma�cn�� koncepce a provozn�� dokumentace a o po�zadavc��chna �r��zen�� bezpe�cnosti a kvality informa�cn��ch syst �em�u ve�rejn �e spr �avy(vyhl �a�ska o dlouhodob �em �r��zen�� informa�cn��ch syst �em�u ve�rejn �e spr �avy)
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 58
�Cesk �a legislativa v oblasti informa�cn�� bezpe�cnosti
2 Z �akon �c. 480/2004 Sb., o n�ekter �ych slu�zb �ach inf. spole�cnosti
X slu�zbou informa�cn�� spole�cnosti se rozum�� jak �akoliv slu�zba poskytovan �aelektronick �ymi prost�redky na individu �aln�� �z �adost u�zivatele podanouelektronick �ymi prost�redky, poskytovan �a zpravidla za �uplatu;
X slu�zba je poskytnuta elektronick �ymi prost�redky, pokud je odesl �anaprost�rednictv��m s��t �e elektronick �ych komunikac�� a vyzvednutau�zivatelem z elektronick �eho za�r��zen�� pro ukl �ad �an�� dat
2 Z �akon �c. 127/2005 Sb., o elektronick �ych komunikac��ch
2 Z �akon �c. 412/2005 Sb., o ochran�e utajovan �ych informac�� a
o bezpe�cnostn�� zp �usobilosti
X Ex. na�r��zen�� vl �ady �c. 522/2005 Sb., kter �ym se stanov�� seznamyutajovan �ych informac��
X Ex. vyhl �a�ska �c. 523/2005 Sb., o bezpe�cnosti informa�cn��ch akomunika�cn��ch syst �em�u a dal�s��ch elektronick �ych za�r��zen�� nakl �adaj��c��chs utajovan �ymi informacemi
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 59
Z �akon �c. 181/2014 Sbb., o kybernetick �e bezpe�cnosti, ideje
2 Z �akon nedot �yk �a u�zivatel �u ani poskytovatel �u obsahu ve
slu�zb �ach informa�cn�� spole�cnosti
X dot�cen �e org �any a osoby v oblasti kybernetick �e bezpe�cnosti jsousubjekty spravuj��c�� speci�ck �e informa�cn�� a komunika�cn�� syst �emy
speci�ck �e = za�razen �e do kritick �ych a v �yznamn �ych informa�cn��ch akomunika�cn��ch syst �em�u pro bezpe�cnost st �atu a v �ykon spr �avy st �atu
2 C��l: zaji�st �en�� bezpe�cn �eho fungov �an�� informa�cn�� spole�cnosti �CR
X zaji�st �en�� bezpe�cn �e realizace z �akladn��ho pr �ava na informa�cn�� sebeur�cen��prost�rednictv��m informa�cn��ch syst �em�u, slu�zeb a s��t�� elektronick �ychkomunikac��
X nezasahuje do obsahov �eho fungov �an�� informa�cn�� spole�cnosti,ale pouze si klade za c��l zabezpe�cit proti �umysln �ym nebo nahodil �ymkybernetick �ym bezpe�cnostn��m incident �um informa�cn�� kan �aly,jimi�z �clov�ek realizuje sv �e pr �avo na informa�cn�� sebeur�cen��a jimi�z st �at vykon �av �a sv �a nedistributivn�� informa�cn�� pr �ava.
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 60
Z �akon �c. 181/2014 Sb., o kybernetick �e bezpe�cnosti, ideje
2 Stanovuje minim �aln�� po�zadavky na standardn�� zabezpe�cen��
kritick �e informa�cn�� infrastruktury a v �yznamn �ych
informa�cn��ch syst �em�u
2 Zav �ad�� podm��nky spolupr �ace mezi soukromopr �avn��m
n �arodn��m dohledov �ym pracovi�st�em (n �arodn�� CERT) a
vl �adn��m CERT
X CERT { Computer Emergency Response Team2 Syst �em kybernetick �e bezpe�cnosti podle z �akona zahrnuje
X Bezpe�cnostn�� opat�ren��
X Detekce kybernetick �ych bezpe�cnostn��ch ud �alost��
X Hl �a�sen�� kybernetick �ych bezpe�cnostn��ch incident �u
X Syst �em opat�ren�� k reakci na kybernetick �e bezpe�cnostn�� incidenty
X �Cinnost dohledov �ych pracovi�st' (n �arodn�� CERT a vl �adn�� CERT).
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 61
Z �akon �c. 181/2014 Sb., o kybernetick �e bezpe�cnosti, ideje
2 NBU (Narodnı Bezpecnostnı Urad) vyd �av �a podle tohoto z �akona
vyhl �a�sky o kybernetick �e bezpe�cnosti
X vyhl �a�ska 316/2014 Sb.,
Vyhl �a�ska o bezpe�cnostn��ch opat�ren��ch, kybernetick �ych bezpe�cnostn��chincidentech, reaktivn��ch opat�ren��ch ao stanoven�� n �ale�zitost�� pod �an�� v oblasti kybernetick �e bezpe�cnosti
(vyhlaska o kyberneticke bezpecnosti) stanovuje{ obsah a strukturu bezpe�cnostn�� dokumentace,
{ obsah bezpe�cnostn��ch opat�ren�� a rozsah jejich zaveden��,
{ typy a kategorie kybernetick �ych bezpe�cnostn��ch incident �u,
{ n �ale�zitosti a zp �usob hl �a�sen�� kybernetick �eho bezpe�cnostn��hoincidentu,
{ n �ale�zitosti ozn �amen�� o proveden�� reaktivn��ho opat�ren��a jeho v �ysledku a
{ vzor oznamov �an�� kontaktn��ch �udaj �u a jeho formu
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 62
Z �akon �c. 181/2014 Sb., o kybernetick �e bezpe�cnosti, ideje
2 NBU (Narodnı Bezpecnostnı Urad) vyd �av �a podle tohoto z �akona
vyhl �a�sky o kybernetick �e bezpe�cnosti
X vyhl �a�ska 317/2014 Sb.,
Vyhl �a�ska o v �yznamn �ych informa�cn��ch syst �emech ajejich ur�cuj��c��ch krit �eri��ch stanovuje
{ ur�cuj��c�� krit �eria v �yznamn �ych informa�cn��ch syst �em�u
{ v �y�cet v �yznamn �ych informa�cn��ch syst �em�u
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 63
Obecn �e na�r��zen�� o ochran�e osobn��ch �udaj �u, OU
2 GPDR, General Data Protection RegulationX NA �R�IZEN�I EVROPSK �EHO PARLAMENTU A RADY (EU) 2016/679
ze dne 27. dubna 2016 o ochran�e fyzick �ych osob v souvislostise zpracov �an��m osobn��ch �udaj �u a o voln �em pohybu t�echto �udaj �u
2 Plat�� pro organizace p �usob��c�� v v EU
X v�c. pro organizace extern�� v �u�ci EU, pokud vykon �avaj�� �cinnost v EU
X v pln �em zn�en�� plat�� pro organizace s v��ce ne�z 250 zam�estnanci,men�s�� organizace maj�� �radu v �yjimek
2 Nevztahuje na zpracov �an�� OU fyzickou osobou v r �amci
�cinnosti �cist �e osobn�� povahy nebo �cinnosti prov �ad�en �e
v �yhradn�e v dom�acnosti, a tedy bez jak �ekoliv souvislosti
s profesn�� nebo obchodn�� �cinnost��.
2 Nevztahuje na OU zesnul �ych osob
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 64
B �azov �e pojmy a de�nice
2 osobn�� �udaje, personal data, OU
X ve�sker �e informace o identi�kovan �e nebo identi�kovateln �e fyzick �eosob�e (subjektu �udaj �u), kter �e lze pou�z��t pro identi�kaci subjektu �udaj �u
X Identi�kovateln �a fyzick �a osoba je osoba, kter �a m�u�ze b �ytidenti�kov �ana p�r��mo nebo nep�r��mo, zejm �ena odkazem naidenti�k �ator, jako je jm �eno, identi�ka�cn�� �c��slo, �udaje o poloze,on-line identi�k �ator nebo jeden nebo v��ce faktor �u speci�ck �ych profyzick �e, fyziologick �e, genetick �e, ment �aln��, ekonomick �e, kulturn��nebo soci �aln�� toto�znosti t �eto fyzick �e osoby
X jm �eno, identi�ka�cn�� �c��slo, loka�cn�� �udaje, s��t'ov �y identi�k �ator nebojeden �ci v��ce zvl �a�stn��ch prvk �u fyzick �e, fyziologick �e, genetick �e,psychick �e, ekonomick �e, kulturn�� nebo spole�censk �e identity subjektu
X na form�atu nez �ale�z�� (fotogra�e, text, . . . )
X Za ur�cit �ych okolnost�� jsou OU i adresa IP, barva vlas �u,pracovn�� nebo politick �e n �azory
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 65
B �azov �e pojmy a de�nice
X Za ur�cit �ych okolnost�� . . . ???
,,radn��" nen�� OU
,,zrzek" nen�� OU
,,Ti�snov" nen�� OU
,,zrzek" z ,,Ti�snova" asi nebudou OU
,,zrzek" a ,,radn��" z ,,Ti�snova" u�z OU mo�zn �a mohou b �yt
2 zpracov �an��, processing
X jak �akoliv operace nebo soubor operac�� s OU nebo soubory OUkter �y je prov �ad�en pomoc�� �ci bez pomoci automatizovan �ych postup �u
X shrom�a�zd�en��, zaznamen �an��, uspo�r �ad �an��, strukturov �an��, ulo�zen��,p�rizp �usoben�� nebo pozm�en�en��, vyhled �an��, nahl �ednut��, pou�zit��,zp�r��stupn�en�� p�renosem, �s���ren�� nebo jak �ekoliv jin �e zp�r��stupn�en��,se�razen�� �ci zkombinov �an��, omezen��, v �ymaz nebo zni�cen��
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 66
B �azov �e pojmy a de�nice
2 pro�lov �an��, profilingX jak �akoli forma automatizovan �eho zpracov �an�� OU
spo�c��vaj��c�� v jejich pou�zit�� k hodnocen�� n�ekter �ych osobn��ch aspekt �uvztahuj��c��ch se k fyzick �e osob�e, zejm �ena k rozboru nebo odhaduaspekt �u t �ykaj��c��ch se jej��ho pracovn��ho v �ykonu, ekonomick �e situace,zdravotn��ho stavu, osobn��ch preferenc��, z �ajm�u, spolehlivosti, chov �an��,m��sta, kde se nach �az��, nebo pohybu
X subjekt mus�� b �yt o ka�zd �em pro�lovac��m procesu nad jeho daty d�r��ve,ne�z d �a k n�emu souhlas
2 pseudonymizace, pseudonymisationX zpracov �an�� OU tak, �ze ji�z nemohou b �yt p�ri�razeny
konkr �etn��mu subjektu �udaj �u bez pou�zit�� dodate�cn �ych informac��, pokudjsou tyto dodate�cn �e informace uchov �av �any odd�elen�e a vztahuj�� se nan�e technick �a a organiza�cn�� opat�ren��, aby bylo zaji�st �eno, �ze nebudoup�ri�razeny identi�kovan �e �ci identi�kovateln �e fyzick �e osob�e
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 67
B �azov �e pojmy a de�nice
2 spr �avce, controller
X fyzick �a nebo pr �avnick �a osoba, org �an ve�rejn �e moci, agentura nebo jin �ysubjekt, kter �y s �am nebo spole�cn�e s jin �ymi ur�cuje �u�cely a prost�redkyzpracov �an�� OU
X spr �avce m�u�ze m��t (v�zdy smluvn�e v �azan �ych) v��ce zpracovatel �u
X spr �avce zav �ad�� vhodn �a technick �a a organiza�cn�� opat�ren��,aby zajistil a byl schopen dolo�zit, �ze zpracov �an�� je prov �ad�enov souladu s GPDR
2 zpracovatel, processor
X fyzick �a nebo pr �avnick �a osoba, org �an ve�rejn �e moci, agentura nebo jin �ysubjekt, kter �y zpracov �av �a OU pro spr �avce
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 68
B �azov �e pojmy a de�nice
2 souhlas, consent
X jak �ykoli svobodn �y, konkr �etn��, informovan �y a jednozna�cn �y projev v �ule,kter �ym subjekt �udaj �u d �av �a prohl �a�sen��m �ci jin �ym zjevn �ym potvrzen��msv �e svolen�� ke zpracov �an�� sv �ych OU
X Ml�cen��, p�redem za�skrtnut �a pol���cka nebo ne�cinnostnemohou b �yt pova�zov �any za souhlas
X Subjekt �udaj �u m�a pr �avo sv �uj souhlas kdykoli odvolat.Odvol �an��m souhlasu nen�� dot�cena z �akonnost zpracov �an�� vych �azej��c��hoze souhlasu, kter �y byl d �an p�red jeho odvol �an��m.
2 poru�sen�� zabezpe�cen�� OU, personal data breach
X poru�sen�� zabezpe�cen��, kter �e vede k n �ahodn �emu nebo protipr �avn��muzni�cen��, ztr �at�e, zm�en�e nebo neopr �avn�en �emu poskytnut�� nebozp�r��stupn�en�� p�ren �a�sen �ych, ulo�zen �ych nebo jinak zpracov �avan �ych OU
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 69
B �azov �e pojmy a de�nice
2 zvl �a�stn�� kategorie OU { Zakazuje se jejich zpracov �an��
X vypov��daj�� o rasov �em �ci etnick �em p�uvodu, politick �ych n �azorech,n �abo�zensk �em vyzn �an�� �ci �lozo�ck �em p�resv�ed�cen�� nebo �clenstv��v odborech, a zpracov �an�� genetick �ych �udaj �u, biometrick �ych �udaj �u za�u�celem jedine�cn �e identi�kace fyzick �e osoby a �udaj �u o zdravotn��m stavu�ci o sexu �aln��m �zivot�e nebo sexu �aln�� orientaci fyzick �e osoby
X V �yjimky:
subjekt �udaj �u ud�elil v �yslovn �y souhlas, zpracov �an�� je nezbytn �e pro�u�cely pln�en�� povinnost�� a v �ykon zvl �a�stn��ch pr �av spr �avce nebosubjektu, zpracov �an�� prov �ad�� v r �amci sv �ych opr �avn�en �ych �cinnost��,zpracov �an�� je nezbytn �e pro ur�cen��, v �ykon nebo obhajobu pr �avn��chn �arok �u, zpracov �an�� je nezbytn �e z d �uvod �u ve�rejn �eho z �ajmuv oblasti ve�rejn �eho zdrav��, . . .
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 70
B �azov �e pojmy a de�nice
2 evidence, filing system
X jak �ykoliv strukturovan �y soubor OU p�r��stupn �ych podlezvl �a�stn��ch krit �eri��, at' ji�z je centralizovan �y, decentralizovan �y,nebo rozd�elen �y podle funk�cn��ho �ci zem�episn �eho hlediska
X generick �y pojem pokr �yvaj��c�� v�sechny metody zach �azen�� s os. �udaji
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 71
Z �asady zpracov �an�� osobn��ch �udaj �u { Osobn�� �udaje mus�� b �yt:
X zpracov �av �any korektn�e a z �akonn �ym a transparentn��m zp �usobem {
z �akonnost, korektnost a transparentnost
X shroma�zd'ov �any pro ur�cit �e, v �yslovn�e vyj �ad�ren �e a legitimn�� �u�cely {
�u�celov �e omezen��
X p�rim�e�ren �e, relevantn�� a omezen �e na nezbytn �y rozsah ve vztahuk �u�celu, pro kter �y jsou zpracov �av �any {
minimalizace �udaj �u
X p�resn �e a v p�r��pad�e pot�reby aktualizovan �e {
p�resnost
X ulo�zeny ve form�e umo�z �nuj��c�� identi�kaci subjekt �u �udaj �u po dobune del�s��, ne�z je nezbytn �e pro �u�cely, pro kter �e jsou zpracov �av �any {
omezen�� ulo�zen��
X zpracov �av �any zp �usobem, kter �y zajist�� n �ale�zit �e zabezpe�cen�� OU {
odpov�ednost
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 72
Pr �ava subjektu �udaj �u
2 pr �avo z��skat od spr �avce potvrzen��, zda OU, kter �e se ho t �ykaj��,
jsou �ci nejsou zpracov �av �any, a pokud je tomu tak, m �a
pr �avo je z��skat, a k tomu i
X �u�cely zpracov �an��, id p�r��jemc �u, info o dob�e,po kterou budou OU ulo�zeny, . . .
2 pr �avo na to, aby spr �avce bez zbyte�cn �eho odkladu opravil
nep�resn �e OU, kter �e se ho t �ykaj��
2 Pr �avo na v �ymaz (pr �avo b �yt zapomenut)
X neplat�� u�z �u�cel, protipr �avn�� zdroj, . . .
X ex. v �yjimky { ve�rejn �y z �ajem, obhajoba pr �avn��ch n �arok �u, . . .
2 pr �avo z��skat OU, kter �e se ho t �ykaj��, je�z poskytl spr �avci, ve
strukturovan �em, b�e�zn�e pou�z��van �em a strojov�e �citeln �em
form�atu, a p�redat tyto �udaje jin �emu spr �avci
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 73
Pr �ava subjektu �udaj �u
2 pr �avo neb �yt p�redm�etem �z �adn �eho rozhodnut�� zalo�zen �eho
v �yhradn�e na automatizovan �em zpracov �an��, v�cetn�e
pro�lov �an��, kter �e m�a pro n�eho pr �avn�� �u�cinky nebo se ho
obdobn �ym zp �usobem v �yznamn�e dot �yk �a
2 . . .
2 Pr �avo na ochranu OU nen�� pr �avem absolutn��m; mus�� b �yt
posuzov �ano v souvislosti se svou funkc��
ve spole�cnosti a v souladu se z �asadou proporcionality
mus�� b �yt v rovnov �aze s dal�s��mi z �akladn��mi pr �avy
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 74
Spr �avce / zpracovatel / dozorov �y �u�rad
2 Spr �avce vyu�z��v �a pouze ty zpracovatele, kte�r�� poskytuj��
dostate�cn �e z �aruky zaveden�� vhodn �ych technick �ych a
organiza�cn��ch opat�ren��
X Nap�r. potvrd�� �urove �n zaji�st �en�� InfSec certi�k �atem ISO 27001
X Spr �avce je odpov�edn �y za proh�re�sky zpracovatele
2 Jak �ekoli poru�sen�� zabezpe�cen�� OU spr �avce bez zbyte�cn �eho
odkladu a pokud mo�zno do 72 hodin od okam�ziku, kdy se
o n�em dozv�ed�el, ohl �as�� dozorov �emu �u�radu
X
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 75
D�ule�zit �a dokumentace
2 Dokumentace jak organizace vyhovuje GPDR
2 Dokumentace jak organizace zabezpe�cuje evidenci OU
politiky, ISMS, . . . , idealn�e certi�kac�� ISO/IEC 27001
2 Za kvalitu dokumentace spr �avce i zpracovatele odpov��d �a
spr �avce
2 Zvl �a�st�e d �ule�zit �e dokumenty
X V �y�cet shroma�zd'ovan �ych a zpracov �avan �ych OU adeklarace �u�celu zpracov �an��
X Souhlasy se zpracov �av �an��m OU
X Z �aznamy o �cinnostech zpracov �an�� OU
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 76
Pov�e�renec pro ochranu osobn��ch �udaj �u
2 Data Protection Officer, DPO
2 Role DPO v organizaci se zav �ad�� kdy
X zpracov �an�� prov �ad�� org �an ve�rejn �e moci �ci ve�rejn �y subjekt
X hlavn�� �cinnosti spr �avce nebo zpracovatele spo�c��vaj�� v operac��chzpracov �an��, kter �e kv �uli sv �e povaze, sv �emu rozsahu nebo sv �ym �u�cel �umvy�zaduj�� rozs �ahl �e pravideln �e a systematick �e monitorov �an�� subjekt �u
X hlavn�� �cinnosti spr �avce nebo zpracovatele spo�c��vaj�� v rozs �ahl �emzpracov �an�� zvl �a�stn��ch kategori�� OU
2 DPO m�u�ze b �yt outsourcovan �y, sd��len �y v��ce organizacemi, . . .
2 DPO rad��, monitoruje, spolupracuje s dozorov �ym org �anem
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 77
Posouzen�� vlivu na ochranu osobn��ch �udaj �u
2 Data Protection Impact Assessment, DPIA
X Pokud je pravd�epodobn �e, �ze ur�cit �y druh zpracov �an��, zejm �ena p�rivyu�zit�� nov �ych technologi��, bude s p�rihl �ednut��m k povaze, rozsahu,kontextu a �u�cel �um zpracov �an�� bude m��t za n �asledek vysok �e riziko propr �ava a svobody fyzick �ych osob, provede spr �avce p�red zpracov �an��mposouzen�� vlivu zam �y�slen �ych operac�� zpracov �an�� na ochranu OU
2 Pro DPIA dod �av �a posudek DPO
2 Seznam druh �u operac�� zpracov �an��, kter �e podl �ehaj�� po�zadavku
na posouzen�� vlivu na ochranu OU sestavuje a zve�rej �nuje
dozorov �y �u�rad
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 78
P�r��klad: Cookies a GDPR
2 Co to jsou cookies ?
X textov �e soubory generovan �e webov �ym serverem aukl �adan �e v po�c��ta�ci prost�rednictv��m prohl���ze�ce
X �u�cel: identi�kace u�zivatele, autentizace,charakteristiky u�zivatele, relace, . . .
2 GDPR, �cl �anek 30
X Fyzick �ym osob �am mohou b �yt p�ri�razeny s��t'ov �e identi�k �atory,kter �e vyu�z��vaj�� jejich za�r��zen��, aplikace, n �astroje a protokoly,jako nap�r��klad adresy internetov �eho protokolu �ci identi�k �atorycookies, nebo jin �e identi�k �atory, jako jsou �st��tky pro identi�kacina z �aklad�e r �adiov �e frekvence. T��mto zp �usobem mohou b �yt zanech �anystopy, kter �e mohou b �yt zejm �ena v kombinaci s jedine�cn �ymiidenti�k �atory a dal�s��mi informacemi, kter �e servery z��sk �avaj��,pou�zity k pro�lov �an�� fyzick �ych osob a k jejich identi�kaci.
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 79
P�r��klad: Cookies a GDPR
2 Kdy�z cookies mohou identi�kovat jednotlivce p�res jejich
za�r��zen��, pova�zuj�� se za osobn�� �udaje
X Ne ka�zd �e cookie je identi�ka�cn�� !
2 Probl �emy s cookies z pohledu GDPR
X Implicitn�� souhlas s pou�z��v �an��m cookies nen�� dostate�cn �y,pouh �e nav�st��ven�� str �anky se nepova�zuje za ud�elen�� souhlasu
X Stejn�e tak nen�� dostate�cn �ym souhlasem sd�elen�� na str �anceBy using this site, you accept cookies
X Mus�� b �yt stejn�e snadn �e souhlas odvolat, jako jej d �at,mus�� b �yt poskytnut �y mechanismus, jak se jednotlivec m�u�ze vyv �azatz ne�z �adouc�� slu�zby cookies (opt-out option)
Jan Staudek, FI MU Brno | PV017 { Standardy (normy) informa�cn�� bezpe�cnosti 80