Se schválením Zákona o kybernetické bezpečnosti č. 181/2014 ze dne 29. 8. 2014, se objevuje mnoho otazníků kolem praktické realizace bezpečnostní politiky povinných institucí tak, aby odpovídala těmto legislativním požadavkům.

Bezpečnostní politika jako taková, je souhrnem principů a řešení, ze kterých vychází návrhy na realizaci standardů, směrnic, procedur a opatření uvnitř instituce. V našem malém seriálu, si postupně projdeme jednotlivé části zákona, vysvětlíme si jednotlivé pojmy i požadavky nového zákona.

 

Schválený zákon o Kybernetické bezpečnosti bude vyžadovat širokou škálu nejen technických opatření, která bude nutno začít naplňovat od 1. 1. 2015. Rok by mělo platit přechodné období, kdy budou mít povinné subjekty prostor na to, jak veškeré legislativní požadavky naplnit.

 

V okamžiku kdy začneme tuto problematiku řešit, musíme si položit několik základních otázek:

·         Co má být chráněno?

·         Kdo za co nese odpovědnost?

·         Za jakých podmínek to bude efektivní?

·         Jak to může být vynuceno?

·         Jak a kdy to bude realizováno?

 

Každý informační systém musí být tedy nejdříve analyzován z hlediska jeho současného stavu a také z hlediska zabezpečení jeho ochrany v souladu s platnou legislativou.

 

Další otázka která vyvstává je i to, kdo přesně bude patřit do okruhu povinných, kteří musí literu zákona bezezbytku naplnit. V současné době do této kategorie spadají subjekty splňující podmínky uvedené v předpisu č.432/2010 Sb., ze dne 22. 12. 2010 „Nařízení vlády o kritériích pro určení prvku kritické infrastruktury“. Literatura uvádí, že kritická infrastruktura je „životně důležitá struktura“.  Za prvek kritické infrastruktury můžeme považovat budovu, zařízení či veřejnou infrastrukturu a to podle průřezových kritérií (jaké způsobí např. ztráty na životech, vážný ekonomický dopad atd.) a odvětvových kritérií  - např. technické a provozní hodnoty v odvětvích energetika, vodní hospodářství, potravinářství, zemědělství, doprava, komunikační a informační systémy, finanční trh a měna, nouzové služby a veřejná správa.

 

Nicméně v současné době je již připravena novela nařízení 432/2010, která nově definuje odvětvová kritéria pro určení prvku kritické infrastruktury. Změny se dotýkají odvětví energetiky, zdravotnictví, komunikačních a informačních systémů. Zásadní změnou je pak ve vazbě na zákon o kybernetické bezpečnosti dotčeno odvětví komunikačních a informačních systémů. Účinnosti nabývá tato novela ve stejný okamžik jako zákon, tedy 1. ledna 2015.

 

Technická řešení již běžně většina firem má, nicméně nová legislativa týkající se kybernetické bezpečnosti bude požadovat mnoho dalších kroků včetně takových, jako je například zajištění fyzické bezpečnosti, systém přístupových oprávnění, zvládání kybernetických incidentů a dalších, ale také stanovení odpovědných osob, což bude v tomto konkrétním případě manažer kybernetické bezpečnosti, architekt kybernetické bezpečnosti a auditor kybernetické bezpečnosti.

Osoba odpovědná za systém řízení bezpečnosti musí mít odpovídající vzdělání i praxi. Mezi její povinnosti bude mimo jiné patřit např. povinnost vytvořit bezpečnostní politiku subjektu, monitorovat jak jsou účinná přijatá opatření, zajistit příslušná hlášení a podobně. Nejméně jednou ročně bude také nutné zajistit audit kybernetické bezpečnosti.

Zákon nařizuje vedení bezpečnostní dokumentace, která bude obsahovat podrobný popis všech bezpečnostních opatření. Legislativa rovněž ukládá, jakou konkrétní strukturu má tato bezpečnostní dokumentace mít.

 

Zde jde opět o obsáhlý soubor požadavků, ať už je to určení bezpečnostních rolí, personální bezpečnost, testování software, zabezpečení budov či kryptografickou bezpečnost v rámci subjektu a mnohé další. Pro velkou část povinných bude naplnění požadavků poměrně složité, protože chybí odborníci specializující se právě pro tuto oblast. Nicméně část těchto povinností mohou pro dotčené organizace plnit i externí subjekty. 

 

V nedávné době se v médiích objevila zpráva o napadení platebních terminálů v USA. Díky tomuto bezpečnostnímu incidentu došlo k ohrožení 56 milionů platebních karet a takovéto a jim podobné incidenty se dějí i v naší zemi. Kybernetické hrozby se stávají naší běžnou denní realitou a ochrana před těmito hrozbami by měla být každé instituci vlastní bez ohledu na to, zda to po ní vyžaduje zákon. Komplexní ochrana organizace proti kybernetickým hrozbám, by tak měla být běžným standardem při ochraně duševního vlastnictví, osobních dat zaměstnanců i dat klientů  každého úřadu či firmy.

Copyright © 2014. All Rights Reserved.

SlideBar