Několik poznámek k zákonu o kybernetické bezpečnosti

cyber-security-lawV tomto příspěvku najdete několik poznámek týkajících se zákona o kybernetické bezpečnosti a související vyhlášce.

Zákon ani vyhláška nevysvětluje vztah mezi informační bezpečností a kybernetickou bezpečností a není zřejmé, zda autoři považují tyto pojmy za synonyma. Zcela logicky pak mohou panovat i určité nejasnosti kolem definice bezpečnostního incidentu, ale myslím si, že zákon definuje pojem kybernetický bezpečnostní incident poměrně jasně.

Ve vyhlášce se hovoří, že u incidentu kategorie I a II jejich řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být všemi dostupnými prostředky zabráněno dalšímu šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých i potenciálních škod.

V praxi by to znamenalo, že pokud by měl tento proces skutečně fungovat, tak by v každé organizaci musela být osoba, která by měla mandát stisknout tzv. červené tlačítko. Je otázka, zda dotčená organizace zavede takový proces a najde se někdo, kdo bude mít koule to tlačítko v případě nutnosti stisknout.

Jak vládní, tak i národní CERT provádí hodnocení zranitelností v oblasti kybernetické bezpečnosti. Je důležité, aby hodnocení zranitelností probíhalo dle nějaké uznávané metodiky např. CVSS a nedocházelo k nadhodnocování závažnosti jednotlivých zranitelností, viz např. zranitelnosti v SSL/TLS.

V příloze č. 1 a 2 vyhlášky 316/2014 Sb. o kybernetické bezpečnosti je uvedena stupnice pro hodnocení aktiv, hrozeb a výsledného rizika, přičemž jsem rád, že se v rámci hodnocení důležitosti aktiv již správně zohledňuje jejich důvěrnost, integrita a dostupnost, a rovněž že se podařilo prosadit stupnici o 4 úrovních, konkrétně nízký, střední, vysoký a kritický.

Způsob provedení analýzy, vyhodnocení a zvládání rizik již vyhláška nepředepisuje, nicméně je možné postupovat dle metodiky uvedené v knize Řízení informačních rizik v praxi, která používá stejnou stupnici pro hodnocení aktiv, hrozeb, zranitelností a výsledného rizika.

Dle § 3 zákona o kybernetické bezpečnosti má správce informačního systému kritické informační infrastruktury, správce komunikačního systému kritické informační infrastruktury nebo správce významného informačního systému určit bezpečnostní role, přičemž je požadována odborná způsobilost a praxe. Je otázka, jak bude v praxi tento požadavek naplněn, protože na trhu práce není dostatečné množství odborníků na kybernetickou bezpečnost.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky: ,


K článku “Několik poznámek k zákonu o kybernetické bezpečnosti” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: