Kraj Vysočina - logo

Samospráva

RK-36-2019-06: Návrh na úpravu Pravidel kterými se stanoví bezpečnostní politika Kraje Vysočina v oblasti systému řízení bezpečnosti informací a informace o provedených penetračních testech

RK-36-2019-06.pdf, RK-36-2019-06pr01.doc , RK-36-2019-06pr02.doc

Číslo materiálu 6
Číslo jednací RK-36-2019-06
Název Návrh na úpravu Pravidel kterými se stanoví bezpečnostní politika Kraje Vysočina v oblasti systému řízení bezpečnosti informací a informace o provedených penetračních testech
Zpracoval D. Marek
Předkládá D. Buřičová, P. Pavlinec
Počet příloh 2
Popis problému

Materiál řeší úpravu Pravidel Rady Kraje Vysočina, kterými se stanoví bezpečnostní politika Kraje Vysočina v oblasti systému řízení bezpečnosti informací (dále jen "Pravidla") a informaci o penetračních testech.

 

1. Pravidla

V souvislosti se změnou vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti a aktuálních bezpečnostních potřeb odbor analýz a podpory řízení připravil návrh na změnu Pravidel dle materiálu RK-36-2019-06, př. 2, finální verze je uvedena v materiálu RK-36-2019-06, př. 1. Návrh Pravidel kromě úprav vyplývajících ze změny legislativy řeší zmocnění pro ředitele Krajského úřadu Kraje Vysočina ke stanovení bezpečnostní politiky v oblastech vymezených Pravidly a taktéž v oblastech Pravidly neupravených (nicméně v oblastech vymezených zákonem č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů) a k zavádění bezpečnostních opatření na základě aktuálních bezpečnostních potřeb a výsledků hodnocení rizik a k určení rozsahu systému řízení bezpečnosti informací v rámci vydávaných vnitřních předpisů organizace. Toto pověření souvisí se zajištěním operativnějšího řízení bezpečnostní politiky Kraje Vysočina v oblasti systému řízení bezpečnosti informací. 

 

2. Penetrační testy

V říjnu 2019 proběhly bezpečnostní penetrační testy vůči vybraným informačním systémům Kraje Vysočina. Jednalo se o informační systémy veřejně dostupné z Internetu. Cílem testů bylo simulovat útok "přiměřeně finančně motivovaného, neznámého útočníka" a zjistit tak:

  • míru zabezpečení informačních systémů
  • schopnost odolání informačních systémů vůči kybernetickému útoku
  • slabá místa zabezpečení informačních systémů.

Pro zajištění reálného prostředí nebyl o záměru a probíhajících testech nikdo z dotčených odborů informován, testy probíhaly v utajení. Smluvně byly zajištěny národním bezpečnostním týmem CSIRT.CZ, který spadá pod sdružení CZ.NIC.

 

Výsledek testování hodnotí OAPŘ a OI pozitivně, testujícím se podařilo překonat zabezpečení pouze na jednotkách systémů. Převážně se jednalo o různé webové aplikace (www stránky), a  odhalit bezpečnostní nedostatky v infrastruktuře se závažností nízkou až střední. Toto konstatování vychází z:

  • malého množství "kompromitovaných" systémů
  • nízké míry důležitosti "kompromitovaných" systémů
  • výsledků předchozího testování, které proběhlo na jaře 2017, přičemž výsledek tohoto předchozího testování odhalil řadu bezpečnostních nedostatků se závažností střední až vysokou.

Výsledky penetračních testů budou předmětem detailního rozboru a následného řešení v technickém týmu, jehož součástí jsou zaměstnanci z OI a manažer kybernetické bezpečnosti.

Na základě srovnání výsledků z penetračních testů v roce 2017 lze konstatovat, že došlo k významnému navýšení míry kybernetické bezpečnosti informačních systémů Kraje Vysočina a  že efektivita a účelnost přijatých bezpečnostních opatření byla úspěšně ověřena. Nelze však opomenout i skutečnost,  že byly odhaleny nedostatky, na kterých je nutné dále pracovat a  zlepšovat se. Rovněž je potřeba přihlížet  k tomu, že vzhledem k principu testování a  omezenému rozpočtu na testování, ne všechny nedostatky byly odhaleny a že více jak přiměřeně motivovaný a časově neomezený útočník by dokázal stávající bezpečnostní opatření obejít na více informačních systémech, než tomu bylo v případě těchto testů.

Návrh řešení

Radě kraje se doporučuje schválit Pravidla Rady Kraje Vysočina, kterými se stanoví bezpečnostní politika Kraje Vysočina v oblasti systému řízení bezpečnosti informací dle materiálu RK-36-2019-06, př. 1 a zároveň vzít na vědomí informaci o výsledku penetračních testů vybraných informačních systémů Kraje Vysočina.

Rady Kraje Vysočina,

kterými se stanoví

bezpečnostní politika Kraje Vysočina v oblasti systému řízení bezpečnosti informací

 

 

Stanoviska Stanoviska nebyla vyžádána.
Návrh usnesení schvaluje

Pravidla Rady Kraje Vysočina, kterými se stanoví bezpečnostní politika Kraje Vysočina v oblasti systému řízení bezpečnosti informací  dle materiálu RK-36-2019-06, př. 1;

bere na vědomí

informaci o výsledku penetračních testů vybraných informačních systémů Kraje Vysočina.

Odpovědnost Odbor analýz a podpory řízení
Termín 31. 1. 2020

Krajský úřad Kraje Vysočina, Žižkova 57, 587 33 Jihlava © 2020 webmaster@kr-vysocina.cz