Vzorový model - kyberbezpečnost (v2)Výbor pro řízení kybernetické bezpečnostiManažer kybernetické bezpečnostiArchitekt kybernetické bezpečnostiAuditor kybernetické bezpečnostiGarant aktivaZástupce vrcholového vedeníSystém řízení bezpečnosti informacíUrčení chráněných aktivStanovení rizik bezpečnostiZavedení opatření bezpečnostiŘízení rizik bezpečnostiKontrola opatřeníAudit kybernetické bezpečnostiNávrh bezpečnostních opatřeníImplementace bezpečnostních opatřeníZhodnocení úrovně kybernetické bezpečnostiZajištění rozvoje, použití a bezpečnosti aktivaPosouzení souladu s dokumentací, právními předpisy a nejlepší praxíŘízení dodavatelůŘízení lidských zdrojůŘízení změnŘízení kontinuity činnostíBusiness continuity planDisaster recovery planLegislativaZákon č. 181/2014 Sb. o kybernetické bezpečnostiVyhláška č. 82/2018 Sb. o kybernetické bezpečnostiŘízení a rozvoj kybernetické bezpečnostiUživatel aktivDetekce kybernetického bezpečnostního incidentuHodnocení a hlášení kybernetických bezpečnostních incidentůPosouzení bezpečnostního incidentuHlášení kybernetického bezpečnostního incidentuPovinná osobaKoordinace bezpečnostních incidentůNUKIBCERTInformační systém organizaceInformační systém organizace, který zahrnuje jednotlivé aplikace a data. Může se jednat o informační systém města, nemocnic, ale i dalších subjektů.DocházkaEviduje docházku jednotlivých zaměstnanců do zaměstnání.FinanceAplikace určená pro řízení financí a finančních toků organizace.ÚčetnictvíAplikace zpracovávající účetnictví organizace.HR aplikaceAplikace pro lidské zdroje (Human Resources - HR). Uchovává data o jednotlivých zaměstnancích v organizaci.Aplikace se zaměřením na specifickou činnost organizaceAplikace slouží k podpoře hlavní činnosti organizace. Zde záleží na povaze organizace. U nemocnic se může jednat například o nemocniční informační systém (NIS). U samosprávných celků pak o informační systém určený k podpoře přestupkového řízení. Aplikace tohoto druhu samozřejmě nemusí být v organizaci pouze jedna, neboť na podpoře hlavní činnosti se může podílet více aplikací.Statistiky a reportingAplikace pro zpracování dat z organizace a jejich následný reporting.Aplikace zajišťující kybernetickou bezpečnostSIEMAplikace pro detekci a vyhodnocování bezpečnostních incidentů.Log managementAplikace pro sledování logů (tj. chování uživatelů v aplikacích organizace).Identity managementŘízení identit osob v organizaci.Monitoring sítěAplikace pro monitorování sítě organizace. Může zachytit podezřelé chování, avšak vyhodnocení je záleží na člověku.Evidence majetkuVede přehled majetku organizace.Evidence klientůUdržuje informace o osobách, které s organizací přicházejí do styku (př. městský úřad - občané, nemocnice - pacient apod.).Informační systém organizaceInformační systém organizace, který zahrnuje jednotlivé aplikace a data. Může se jednat o informační systém města, nemocnic, ale i dalších subjektů.DocházkaEviduje docházku jednotlivých zaměstnanců do zaměstnání.HR aplikaceAplikace pro lidské zdroje (Human Resources - HR). Uchovává data o jednotlivých zaměstnancích v organizaci.Evidence klientůUdržuje informace o osobách, které s organizací přicházejí do styku (př. městský úřad - občané, nemocnice - pacient apod.).Evidence majetkuVede přehled majetku organizace.FinanceAplikace určená pro řízení financí a finančních toků organizace.Statistiky a reportingAplikace pro zpracování dat z organizace a jejich následný reporting.Aplikace zajišťující kybernetickou bezpečnostSIEMAplikace pro detekci a vyhodnocování bezpečnostních incidentů.Log managementAplikace pro sledování logů (tj. chování uživatelů v aplikacích organizace).Identity managementŘízení identit osob v organizaci.Monitoring sítěAplikace pro monitorování sítě organizace. Může zachytit podezřelé chování, avšak vyhodnocení je záleží na člověku.ÚčetnictvíAplikace zpracovávající účetnictví organizace.Aplikace se zaměřením na specifickou činnost organizaceAplikace slouží k podpoře hlavní činnosti organizace. Zde záleží na povaze organizace. U nemocnic se může jednat například o nemocniční informační systém (NIS). U samosprávných celků pak o informační systém určený k podpoře přestupkového řízení. Aplikace tohoto druhu samozřejmě nemusí být v organizaci pouze jedna, neboť na podpoře hlavní činnosti se může podílet více aplikací.Identita uživatelůSíťové logyData o provozu na síti organizace.Logy z aplikacíLogy z chování uživatelů v jednotlivých aplikacích organizace.Síťové rozhraníMůže se jednat například o portál organizace, popřípadě o komunikaci s aplikacemi jiné organizace s využitím webových služeb.Přístup uživatelů / jiných aplikacíSlužba zajišťuje přístup uživatelů, popřípadě jiných aplikací přes portál či přes webové služby.Služby komerční části eGovernment Cloud (KeGC) - Vrstva TAKomerční část eGC (KeGC) jsou služby eGC provozované komerčními subjekty s využitím jejich vlastních datových center a komunikační infrastruktury. Komerční část eGC je určena pro provoz služeb eGC bezpečnostních úrovní 1-3 (Nízká, Střední, Vysoká). Provozovatelé KeGC musí splnit bezpečnostní a provozní požadavky odpovídající těmto bezpečnostním úrovním služeb eGC. Zahrnuje služby odpovídající vrstvě TA (výpočetní výkon, diskové prostory apod.)Sdílené služby výpočetního výkonu serveruSdílené služby výpočetního výkonu serverů.Sdílené služby diskového prostoruSdílené služby diskového prostoru.Sdílené služby korporaceSdílené služby korporace jsou složeny z dílčích sdílených služeb poskytovaných servery a storage.Služby státní části eGovernment Cloud (SeGC) - Vrstva TAStátní část eGC (SeGC) jsou služby eGC provozované organizacemi v datových centrech a na HW a SW platformách v majetku státu a provozované organizacemi řízenými státem (OSS nebo státní podniky) a v rámci provozu musí být ošetřená autorská práva třetích stran (zákaz vendor-locku). Státní část eGC zajistí maximální úroveň bezpečnosti a je určena pro provoz služeb eGC bezpečnostní úrovně 4 (Kritická). Zahrnuje služby odpovídající vrstvě TA (výpočetní výkon, diskové prostory apod.)Sdílené služby Národních datových center (Centrální služby VS)Sdílené služby Národních datových center.Sdílené služby eGovernmentuSdílené služby eGovernmentu jsou složeny z dílčích sdílených služeb poskytovaných z Národních datových center a eGovernment Cloudu.Služby infrastrukturní platformySlužby infrastrukturní platformy jsou složeny z dílčích služeb poskytovaných servery a storage.Služby výpočetního výkonu serveruSlužby výpočetního výkonu serverů.Služby diskového prostoruSlužby diskového prostoru.Bezpečnostní monitoringAnalýza síťového provozuLoadbalancingZálohování a archivaceServer SLServer je výpočetní uzel sdružující server hardware, operační systém nebo virtualizaci serveru a systémový software, interagující s okolím a poskytující služby.Operační systém serveru SLOperační systém serveru je program spuštěný v serveru, který řídí hardwarové zdroje a kontroluje tok zpracovávaných informací k výstupním rozhraním.Server hardware SLServer hardware je zařízení poskytující výpočetní výkon a data dalším počítačům, serverům a zařízením. Může poskytovat data dalším systémům přes síť (LAN, MAN, WAN) nebo přes internet.Virtualizace serveru SLVirtualizace serveru je hypervizor nebo virtual machine manager (VMM) zajišťující specializovaným kernelem, firmwarem nebo softwarem izolaci pro běžící virtuální stroje.Systémový software serveru SLSystémový software je specifický druh software který vytváří prostředí nutné pro běh aplikací a běží nad operačním systémem. Systémovým softwarem rozumíme Database Management systém, Runtime Enviroment, Development Framework, OS/aplikační virtualizaci a aplikační servery vykonávající procedury (programy, skripty, rutiny) pro aplikace.Úložiště serveru SLÚložiště serveru jsou fyzická data používaná serverem.Storage SLStorage je výpočetní uzel sdružující storage hardware, operační systém nebo virtualizaci storage, interagující s okolím a poskytující služby.Operační systém storage SLOperační systém storage je program spuštěný ve storage, který řídí hardwarové zdroje a kontroluje tok zpracovávaných informací k výstupním rozhraním.Storage hardware SLStorage hardware je zařízení složené z výpočetních komponent a záznamových médií používaných k uchování digitálních dat.Virtualizace storage SLVirtualizace storage odděluje software pro správu úložiště od hardware za účelem agregování funkcí, snížení komplexity s poskytování rozšířených možností úložiště.Úložiště storage SLÚložiště storage jsou fyzická data používaná storage.Firewall SLArbitrPřepojování lokalitServer PLServer je výpočetní uzel sdružující server hardware, operační systém nebo virtualizaci serveru a systémový software, interagující s okolím a poskytující služby.Operační systém serveru POOperační systém serveru je program spuštěný v serveru, který řídí hardwarové zdroje a kontroluje tok zpracovávaných informací k výstupním rozhraním.Server hardware PLServer hardware je zařízení poskytující výpočetní výkon a data dalším počítačům, serverům a zařízením. Může poskytovat data dalším systémům přes síť (LAN, MAN, WAN) nebo přes internet.Virtualizace serveru PLVirtualizace serveru je hypervizor nebo virtual machine manager (VMM) zajišťující specializovaným kernelem, firmwarem nebo softwarem izolaci pro běžící virtuální stroje.Systémový software serveru PLSystémový software je specifický druh software který vytváří prostředí nutné pro běh aplikací a běží nad operačním systémem. Systémovým softwarem rozumíme Database Management systém, Runtime Enviroment, Development Framework, OS/aplikační virtualizaci a aplikační servery vykonávající procedury (programy, skripty, rutiny) pro aplikace.Úložiště serveru PLÚložiště serveru jsou fyzická data používaná serverem.Storage PLStorage je výpočetní uzel sdružující storage hardware, operační systém nebo virtualizaci storage, interagující s okolím a poskytující služby.Operační systém storage PLOperační systém storage je program spuštěný ve storage, který řídí hardwarové zdroje a kontroluje tok zpracovávaných informací k výstupním rozhraním.Storage hardware PLStorage hardware je zařízení složené z výpočetních komponent a záznamových médií používaných k uchování digitálních dat.Virtualizace storage PLVirtualizace storage odděluje software pro správu úložiště od hardware za účelem agregování funkcí, snížení komplexity s poskytování rozšířených možností úložiště.Úložiště storage PLÚložiště storage jsou fyzická data používaná storage.Firewall PLSondy monitoringu PLZálohovací a archivační SW PLPrimární datové centrumPrimární datové centrum organizace.ServerServer obsluhující požadavky klientů.Operační systémOperační systém serveru.DatabázeDatabáze nasazená na serveru.StorageUložiště dat.Záložní datové centrumZáložní datové centrum organizace.Záložní serverZáložní server organizace.Operační systém záložního serveruOperační systém záložního serveru.Databáze záložního serveruDatabáze záložního serveru.Storage záložního serveruUložiště záložního serveru.LANLokální počítačová síť organizace.Lokální síťPropojení v rámci lokální sítě organizace.InternetSíť Internet.Switch 1Síťový přepínač - 1Switch 2Síťový přepínač - 2FirewallFirewall, který chrání síť organizace před útoky z Internetu.Primární datové centrumPrimární datové centrum organizace.ServerServer obsluhující požadavky klientů.Operační systémOperační systém serveru.DatabázeDatabáze nasazená na serveru.StorageUložiště dat.Záložní datové centrumZáložní datové centrum organizace.Záložní serverZáložní server organizace.Operační systém záložního serveruOperační systém záložního serveru.Databáze záložního serveruDatabáze záložního serveru.Storage záložního serveruUložiště záložního serveru.LANLokální počítačová síť organizace.Lokální síťPropojení v rámci lokální sítě organizace.InternetSíť Internet.Switch 1Síťový přepínač - 1Switch 2Síťový přepínač - 2FirewallFirewall, který chrání síť organizace před útoky z Internetu.Sonda 1Sledování pohybu dat na síti.Sonda 2Sledování pohybu dat na síti.ConstraintOrganizaceOrganizace (Může se jednat o samosprávu, nemocnici, popřípadě o další subjekty, které řeší záležitosti kybernetické bezpečnosti).Vedení organizaceVrcholové vedení organizace (zejména ředitelé, manažeři, vedoucí pracovníci).Zaměstnanci organizaceZaměstnanci organizace.Klienti organizaceKlienti organizace. Klientem se rozumí subjekt, který využívá služby organizace (může se jednat například o pacienta v případě nemocnice, občana v případě samosprávy a podobně).Externí pracovníciPotencionální externí pracovníci organizace.VeřejnostVeřejnost.Zajištění kybernetické bezpečnosti organizaceHlavní cíl organizace. Zajištěním kybernetické bezpečnosti se rozumí jak její zachování na takové úrovni, aby chráněný systém dokázal odolat aktuálním kybernetickým hrozbám, tak posílení úrovně kybernetické bezpečnosti.Pozitivní obraz organizace ve společnostiZajištění kybernetické bezpečnosti systémů organizace a snižování rizik odcizení dat a kybernetických hrozeb zvyšuje reputaci organizace ve společnosti.Práce v zabezpečeném a spolehlivém prostředíPráce ve spolehlivém informačním systému, který je dostatečně zabezpečen proti kybernetickým hrozbám.Snížení rizika odcizení osobních a citlivých údajůSnížení rizika odcizení osobních a citlivých údajů díky dostatečnému zabezpečení informačního systému před kybernetickými hrozbami.OmezeníOmezení, která je třeba vzít v úvahu při dosahování cíle.Finanční rozpočetOmezení v podobě finančního rozpočtu na řešení.LegislativaOmezení v podobě legislativních požadavků.Personální kapacityOmezení v podobě personálních kapacit.PrincipyPrincipy používané při dosahování cíle.Implementace nejlepších praktikImplementace nejlepších praktik v oblasti kybernetické bezpečnosti.Využívání dokumentaceVyužívání dokumentace od autorit zabývajících se kybernetickou bezpečností.NástrojeNástroje pro zajišťování kybernetické bezpečnosti organizace.Pořízený HW a SWHardware a software pořízený za účelem zajištění kybernetické bezpečnosti informačního systému organizace.Vnitřní směrniceSměrnice upravující pravidla pro zajištění kybernetické bezpečnosti v organizaci.GroupingTechnologická architektura - Komerční službySeskupení Technologická architektura - Komerční služby obsahuje komerční část eGovernment Cloudu.Technologická architektura - Sdílené služby korporaceSeskupení: Technologická architektura - Sdílené služby korporace obsahuje souhrn výpočetních zdrojů sdílených v rámci korporace.Technologická architektura - Sdílené služby eGovernmentuSeskupení: Technologická architektura - Sdílené služby eGovernmentu obsahuje souhrn výpočetních zdrojů sdílených v rámci eGovernmentu.Technologická architektura úřaduTechnologická architektura úřadu - Poskytované služby obsahuje souhrn výpočetních zdrojů úřadu. Jedná se o výpočetní zdroje, které slouží k poskytování služeb.Technologické platformyOblast Platforem zahrnuje hardware a operační systém včetně hypervizoru (virtualizace). Účelem zmíněné kombinace hardwaru a softwaru je umožnit běh aplikačního software.TA011Sekundární lokalitaServer hardware SLServer je výpočetní jednotka poskytující data dalším počítačům. Může poskytovat data dalším systémům přes síť (LAN, MAN, WAN) nebo přes internet.TA01.072Storage hardwareStorage hardware je technologie složená z výpočetních komponent a záznamových médií používaná k uchování digitálních dat.TA01.082Třetí lokalita - arbitrPrimární lokalitaServer hardware PLServer je výpočetní jednotka poskytující data dalším počítačům. Může poskytovat data dalším systémům přes síť (LAN, MAN, WAN) nebo přes internet.TA01.072Storage hardware PLStorage hardware je technologie složená z výpočetních komponent a záznamových médií používaná k uchování digitálních dat.TA01.082JunctionPrimární lokalita organizaceZáložní lokalita organizacePrimární lokalita organizaceZáložní lokalita organizaceEAM-ID-TridyEAM-UrovenMotivační vrstvaByznys vrstvaByznys vrstva 2Pohled struktury aplikacíPohled komunikace aplikacíTechnologická infrastruktura - IT technologieTechnologická infrastruktura - Síťové prvky