Víte, jaký je největší přínos vyhlášky o kybernetické bezpečnosti?

cyber-security-lawJednoznačně největším přínosem vyhlášky 316/2014 Sb. o kybernetické bezpečnosti je uvedení konkrétních doporučení a bezpečnostních opatření organizační i technické povahy.

I organizace, kterých se zákon o kybernetické bezpečnosti netýká, ale které se chtějí před nejrůznějšími kybernetickými útoky, které jsou stále častěji vedeny i na malé střední firmy, bránit, získávají prostřednictvím této vyhlášky zdarma komplexní seznam bezpečnostních opatření organizační a technické povahy a návod jak zavést systém řízení bezpečnosti informací.

Ve vyhlášce jsou totiž v § 3 až § 15 uvedena organizační opatření a v § 16 až § 27 pak opatření technické povahy, která se nacházejí i v mezinárodně uznávaném standardu ISO/IEC 27001 a 27002, takže se jedná o skutečně účinná a v praxi ověřená doporučení a postupy.

Z pohledu zákona o kybernetické bezpečnosti je neméně důležitý § 6 věnovaný organizační bezpečnosti, kde se píše, že musí být vytvořena role manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, auditora kybernetické bezpečnosti a garanta aktiva a musí být jmenovány konkrétní osoby, které tuto roli budou vykonávat, a které která jsou pro tuto činnost vyškoleny, jsou odborně způsobilé a disponují minimálně 3letou praxí v dané oblasti.

Samotné bezpečnostní dokumentaci se věnuje § 28 a prokázání certifikace pak § 29. V § 30 jsou uvedeny typy kybernetických bezpečnostních incidentů podle příčiny a dopadu a v § 31 jsou uvedeny kategorie kybernetických bezpečnostních incidentů a v § 32 je uvedena forma a náležitosti hlášení kybernetických bezpečnostních incidentů. Je otázka, zda bude v praxi typ a kategorie incidentu správně vyplňována.

V příloze 1 a 2 této vyhlášky je uvedena stupnice pro hodnocení aktiv, hrozeb a výsledného rizika. V příloze 3 pak minimální požadavky na kryptografické algoritmy, a to symetrické, asymetrické a hashovací. Příloha 4 popisuje doporučený obsah bezpečnostní dokumentace, příloha 5 obsahuje formulář hlášení kybernetického bezpečnostního incidentu, příloha 6 obsahuje formulář oznámení o provedení reaktivního opatření a jeho výsledku, příloha 7 obsahuje formulář pro hlášení kontaktních údajů.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: , ,

  1. Luboš Pilař

    Při ohodnocení významu §6 jsem zdrženlivý, protože zákon ukládá povinnost vytvořit tyto role pouze pro organizace provozující Kritický IS. V případě Významného IS nejsou tyto role povinné. Ačkoliv je zřejmé, že z provozního hlediska jsou některé role nezbytné, mám na mysli role manažera kybernetické bezpečnosti a garanta aktiva, tak bude obtížné tuto zodpovědnost uložit konkrétním osobám.
    Stejná situace je u role auditora kybernetické bezpečnosti, kde je potřeba najít zodpovědnou osobu mimo IT.


K článku “Víte, jaký je největší přínos vyhlášky o kybernetické bezpečnosti?” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: