O zákonu č. 181/2014 Sb., zákonu o kybernetické bezpečnosti (dále jen „ZKB“), je slyšet ze všech stran. Kdo hledá informace k tomuto tématu, má možnost navštívit celou řadu konferencí nebo seminářů. Bohužel celá řada přednášek je vedena snahou ohromit auditorium bezpečnostními hrozbami nebo zranitelnostmi bez receptu, jak postupovat, nebo je směrována do produktových prezentací nejrůznějších technických nástrojů bez reálných souvislostí, zda jsou nebo nejsou potřeba.
Od počátku využíváme ZKB zejména jako metodický pokyn, který vedle ISO/IEC 27001:2013 řeší bezpečnost informací systematickým způsobem, o který se lze dobře opřít. Sledujeme naplnění 2 hlavních cílů ZKB:
• Formální – splnění požadavků zákona,
• Věcné – snížení rizik spojených s provozem informačních technologií.
Některé společnosti se s námi rozhodly spolupracovat na zavedení řízení bezpečnosti informací podle ZKB. Řešení je jednoduché:
1. Hodnocení stávajícího prostředí – GAP analýza k ZKB, kdy je cílem zhodnotit, co je použitelné ve stávajícím prostředí a identifikovat oblasti pro další postup.
2. Provedení organizačních opatření vyplývajících z GAP analýzy vč. dokumentace.
3. Implementace technických opatření vyplývajících z GAP analýzy.
4. Takto vytvořený systém je možné libovolně certifikovat podle ISO/IEC 27001:2013.
Na konci celého procesu mají být v našem pojetí všichni zaměstnanci podle svých kompetencí schopni budovat anebo alespoň neporušovat zavedená pravidla. Systém řízení bezpečnosti informací nastavujeme společně se zákazníkem, abychom nenásilnou cestou předávali naše zkušenosti a know-how. Základním předpokladem pro takový přístup je dostatečná míra kompetencí bezpečnostních rolí na straně zákazníka. Proto nabízíme pro jednotlivé role, jak je ZKB vyžaduje (v případě KII) nebo jak je rozumné je nastavit (v případě VIS), specializovaná školení, která umožňují rychlým způsobem utřídit načerpané informace k ZKB.
Školení
Ideální start do problematiky ZKB představuje kurz „Zákon o kybernetické bezpečnosti“, který klade důraz na převedení jednotlivých částí ZKB do praxe. Díky zkušenostem získaným za 20 let implementací a správou bezpečnosti informací je možné takový kurz postavit převážně prakticky, a vyhnout se akademickým a teoretickým výkladům. Absolvent školení by měl být schopen v rámci oblastí, za které je ve své organizaci odpovědný, řídit své činnosti v souladu se ZKB.
Kurz „Manager kybernetické bezpečnosti“ nabízí seznámení s podstatou bezpečnostních opatření a efektivními přístupy k jejich zajištění. Školení obsahuje celou řadu cvičení a je především zaměřené na praktickou stránku klíčových aktivit, jako je řízení rizik. Získané vědomosti absolventa by se následně měly v praxi projevit zejména ve schopnosti udržovat nastavený systém řízení bezpečnosti informací bez toho, aby se organizace stala rukojmím dodavatelů bezpečnostních služeb.
Na kurz „Architekt kybernetické bezpečnosti“ zveme technické specialisty, kteří disponují přesahem znalostí z jednotlivých IT oblastí a chtějí dále posilovat tuto dovednost. Jsou jim představena technická pravidla z oblastí síťové nebo aplikační bezpečnosti, kryptografie, fyzické bezpečnosti, řízení informační bezpečnosti obecně a další technické know-how. Absolvent tohoto kurzu by měl být schopen koordinovat veškeré aktivity v rámci ICT tak, aby podporovaly hlavní cíle organizace.
„Auditor kybernetické bezpečnosti“ je certifikovaný kurz IRCA. Zaměřuje se na seznámení s normou ISO/IEC 27001:2013 a další potřebné znalosti k provádění auditu této normy. Cvičení a přednášky o auditování jsou založeny na normě ČSN EN ISO 19011:2012 (návod na auditování systémů řízení pro kvalitu a environment). Po ukončení kurzu může absolvent složit zkoušku ve formě testu a v případě úspěšného hodnocení získává certifikát auditora ISMS. Cílem školení je absolventovi poskytnout znalosti z vedení auditu, aby byl schopen správně hodnotit zavedení systému řízení bezpečnosti informací ve zpětné vazbě a aby věděl, co může očekávat od externí dozorující autority, kterou je v rámci ZKB Národní bezpečnostní úřad. Kurz je určený pracovníkům bezpečnosti IT systémů, IT manažerům, auditorům podle normy ISO/IEC 27001:2013 nebo ISO/IEC 27002:2013 anebo poradcům zavádějícím systém informační bezpečnosti.
Kurz „Uživatel“ vychází z povinností § 9 vyhlášky 316/2014 Sb., podle které je uživatel povinen nabýt bezpečnostní povědomí a orientovat se v bezpečnostní politice Bezpečné chování uživatelů. V některých organizacích se jedná o velké počty absolventů. V rámci maximálního zjednodušení předání vědomostí a dokumentace rozvoje bezpečnostního povědomí uživatelů je kurz veden maximálně efektivně a automatizovaně – tedy formou e-learningu s testem a zřízením přístupu určeným osobám organizace (typicky HR) na portál, kde jsou výsledky, potvrzení a složení testu ke stažení pro případnou archivaci. Obsahem školení je námi připravený koncept bezpečnostní politiky Bezpečné chování uživatelů, který je upraven o specifické požadavky zákazníka. Každý zákazník tak má k dispozici originální, pro něj určenou verzi kurzu, vč. zajištění evidence osob, jak a kdy požadovaný kurz absolvovaly.