Několik poznámek k zákonu o kybernetické bezpečnosti
V tomto příspěvku najdete několik poznámek týkajících se zákona o kybernetické bezpečnosti a související vyhlášce.
Zákon ani vyhláška nevysvětluje vztah mezi informační bezpečností a kybernetickou bezpečností a není zřejmé, zda autoři považují tyto pojmy za synonyma. Zcela logicky pak mohou panovat i určité nejasnosti kolem definice bezpečnostního incidentu, ale myslím si, že zákon definuje pojem kybernetický bezpečnostní incident poměrně jasně.
Ve vyhlášce se hovoří, že u incidentu kategorie I a II jejich řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být všemi dostupnými prostředky zabráněno dalšímu šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých i potenciálních škod.
V praxi by to znamenalo, že pokud by měl tento proces skutečně fungovat, tak by v každé organizaci musela být osoba, která by měla mandát stisknout tzv. červené tlačítko. Je otázka, zda dotčená organizace zavede takový proces a najde se někdo, kdo bude mít koule to tlačítko v případě nutnosti stisknout.
Jak vládní, tak i národní CERT provádí hodnocení zranitelností v oblasti kybernetické bezpečnosti. Je důležité, aby hodnocení zranitelností probíhalo dle nějaké uznávané metodiky např. CVSS a nedocházelo k nadhodnocování závažnosti jednotlivých zranitelností, viz např. zranitelnosti v SSL/TLS.
V příloze č. 1 a 2 vyhlášky 316/2014 Sb. o kybernetické bezpečnosti je uvedena stupnice pro hodnocení aktiv, hrozeb a výsledného rizika, přičemž jsem rád, že se v rámci hodnocení důležitosti aktiv již správně zohledňuje jejich důvěrnost, integrita a dostupnost, a rovněž že se podařilo prosadit stupnici o 4 úrovních, konkrétně nízký, střední, vysoký a kritický.
Způsob provedení analýzy, vyhodnocení a zvládání rizik již vyhláška nepředepisuje, nicméně je možné postupovat dle metodiky uvedené v knize Řízení informačních rizik v praxi, která používá stejnou stupnici pro hodnocení aktiv, hrozeb, zranitelností a výsledného rizika.
Dle § 3 zákona o kybernetické bezpečnosti má správce informačního systému kritické informační infrastruktury, správce komunikačního systému kritické informační infrastruktury nebo správce významného informačního systému určit bezpečnostní role, přičemž je požadována odborná způsobilost a praxe. Je otázka, jak bude v praxi tento požadavek naplněn, protože na trhu práce není dostatečné množství odborníků na kybernetickou bezpečnost.
Štítky: kybernetická bezpečnost, zákon o kybernetické bezpečnosti
K článku “Několik poznámek k zákonu o kybernetické bezpečnosti” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
