Několik poznámek k zákonu o kybernetické bezpečnosti

cyber-security-lawV tomto příspěvku najdete několik poznámek týkajících se zákona o kybernetické bezpečnosti a související vyhlášce.

Zákon ani vyhláška nevysvětluje vztah mezi informační bezpečností a kybernetickou bezpečností a není zřejmé, zda autoři považují tyto pojmy za synonyma. Zcela logicky pak mohou panovat i určité nejasnosti kolem definice bezpečnostního incidentu, ale myslím si, že zákon definuje pojem kybernetický bezpečnostní incident poměrně jasně.

Ve vyhlášce se hovoří, že u incidentu kategorie I a II jejich řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být všemi dostupnými prostředky zabráněno dalšímu šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých i potenciálních škod.

V praxi by to znamenalo, že pokud by měl tento proces skutečně fungovat, tak by v každé organizaci musela být osoba, která by měla mandát stisknout tzv. červené tlačítko. Je otázka, zda dotčená organizace zavede takový proces a najde se někdo, kdo bude mít koule to tlačítko v případě nutnosti stisknout.

Jak vládní, tak i národní CERT provádí hodnocení zranitelností v oblasti kybernetické bezpečnosti. Je důležité, aby hodnocení zranitelností probíhalo dle nějaké uznávané metodiky např. CVSS a nedocházelo k nadhodnocování závažnosti jednotlivých zranitelností, viz např. zranitelnosti v SSL/TLS.

V příloze č. 1 a 2 vyhlášky 316/2014 Sb. o kybernetické bezpečnosti je uvedena stupnice pro hodnocení aktiv, hrozeb a výsledného rizika, přičemž jsem rád, že se v rámci hodnocení důležitosti aktiv již správně zohledňuje jejich důvěrnost, integrita a dostupnost, a rovněž že se podařilo prosadit stupnici o 4 úrovních, konkrétně nízký, střední, vysoký a kritický.

Způsob provedení analýzy, vyhodnocení a zvládání rizik již vyhláška nepředepisuje, nicméně je možné postupovat dle metodiky uvedené v knize Řízení informačních rizik v praxi, která používá stejnou stupnici pro hodnocení aktiv, hrozeb, zranitelností a výsledného rizika.

Dle § 3 zákona o kybernetické bezpečnosti má správce informačního systému kritické informační infrastruktury, správce komunikačního systému kritické informační infrastruktury nebo správce významného informačního systému určit bezpečnostní role, přičemž je požadována odborná způsobilost a praxe. Je otázka, jak bude v praxi tento požadavek naplněn, protože na trhu práce není dostatečné množství odborníků na kybernetickou bezpečnost.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,


K článku “Několik poznámek k zákonu o kybernetické bezpečnosti” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: