Kdo má plnit zákon o kybernetické bezpečnosti?
09.07.2015
Na tuto otázku odpovídá samotný zákon, a to v § 3. Související a zajímavější otázkou je – měl by plnit jen ten, kdo má plnit? Vždyť nejen stát, ale i organizace samotné mohou čelit a také čelí problémům spojeným se ztrátou životně důležitých údajů, vznikem chyb, kompromitací nebo neoprávněnou modifikací dat. Ani u subjektů spadajících pod zákon o kybernetické bezpečnosti navíc nejde ani tak o to, že nesoulad může být potrestán pokutou, ale hlavně o skutečnost, že se tím značně minimalizuje riziko samotného kybernetického incidentu. A ten může být v důsledku mnohem horší než stotisícová pokuta. Pro organizaci by mohl být zcela likvidační a nejen v případě správců významných informačních systémů mít navíc také nedozírné následky pro všechny osoby, s jejichž daty se nakládá. Mimo to k samotným požadavkům zákona patří také povinnost v nezbytné míře zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatelů pro uvedené systémy. Správci tak musí promítnout požadavky ZKB do výběrových řízení jak na dodavatele služeb, tak i zboží. A který dodavatel splní tyto požadavky lépe než ten, jenž sám plní požadavky zákona?
Mezinárodní standard ISO/IEC 27001:2013, pro který je vypracován i jeho český ekvivalent ČSN ISO/IEC 27001:2014 a jehož propojení se zákonem o kybernetické bezpečnosti zmiňuje v § 29 samotný zákon, lze vnímat jako výchozí bod jak pro naplnění požadavků zákona, tak i pro kybernetickou bezpečnost jako takovou. Normu tvoří požadavky na ISMS, neboli systém řízení bezpečnosti informací. Do těla normy je včleněn dobře známý PDCA cyklus, protože ISMS je potřeba nejen zavést a provozovat, ale i monitorovat, průběžně vyhodnocovat jeho účinnost a neustále zlepšovat.
Standard evokuje těchto pět funkcí:
- identifikace (řízení aktiv, posouzení rizik, navázání na cíle, zúčastněné strany, vedení a aktivity organizace, definice procesů, postupů a politik);
- ochrana (kontrola přístupu, povědomí a školení, bez- pečnost dat, údržba a opravy komponent, dodržování procesů a postupů k ochraně informací, řízení technic- kých bezpečnostních prvků);
- detekce (neustálé sledování bezpečnosti, nastavení detekčních procesů);
- reakce (plánování reakcí, řízení komunikace, provádě- ní analýzy, případná zmírnění dopadu incidentu a jeho eliminace, zlepšování reakčních činností);
- obnova (provádění a udržování obnovovacích proce- sů a postupů).