Víte, jaký je největší přínos vyhlášky o kybernetické bezpečnosti?

cyber-security-lawJednoznačně největším přínosem vyhlášky 316/2014 Sb. o kybernetické bezpečnosti je uvedení konkrétních doporučení a bezpečnostních opatření organizační i technické povahy.

I organizace, kterých se zákon o kybernetické bezpečnosti netýká, ale které se chtějí před nejrůznějšími kybernetickými útoky, které jsou stále častěji vedeny i na malé střední firmy, bránit, získávají prostřednictvím této vyhlášky zdarma komplexní seznam bezpečnostních opatření organizační a technické povahy a návod jak zavést systém řízení bezpečnosti informací.

Ve vyhlášce jsou totiž v § 3 až § 15 uvedena organizační opatření a v § 16 až § 27 pak opatření technické povahy, která se nacházejí i v mezinárodně uznávaném standardu ISO/IEC 27001 a 27002, takže se jedná o skutečně účinná a v praxi ověřená doporučení a postupy.

Z pohledu zákona o kybernetické bezpečnosti je neméně důležitý § 6 věnovaný organizační bezpečnosti, kde se píše, že musí být vytvořena role manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, auditora kybernetické bezpečnosti a garanta aktiva a musí být jmenovány konkrétní osoby, které tuto roli budou vykonávat, a které která jsou pro tuto činnost vyškoleny, jsou odborně způsobilé a disponují minimálně 3letou praxí v dané oblasti.

Samotné bezpečnostní dokumentaci se věnuje § 28 a prokázání certifikace pak § 29. V § 30 jsou uvedeny typy kybernetických bezpečnostních incidentů podle příčiny a dopadu a v § 31 jsou uvedeny kategorie kybernetických bezpečnostních incidentů a v § 32 je uvedena forma a náležitosti hlášení kybernetických bezpečnostních incidentů. Je otázka, zda bude v praxi typ a kategorie incidentu správně vyplňována.

V příloze 1 a 2 této vyhlášky je uvedena stupnice pro hodnocení aktiv, hrozeb a výsledného rizika. V příloze 3 pak minimální požadavky na kryptografické algoritmy, a to symetrické, asymetrické a hashovací. Příloha 4 popisuje doporučený obsah bezpečnostní dokumentace, příloha 5 obsahuje formulář hlášení kybernetického bezpečnostního incidentu, příloha 6 obsahuje formulář oznámení o provedení reaktivního opatření a jeho výsledku, příloha 7 obsahuje formulář pro hlášení kontaktních údajů.



Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on Facebook
Facebook
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Email this to someone
email
Print this page
Print

Štítky: , ,

  1. Luboš Pilař

    Při ohodnocení významu §6 jsem zdrženlivý, protože zákon ukládá povinnost vytvořit tyto role pouze pro organizace provozující Kritický IS. V případě Významného IS nejsou tyto role povinné. Ačkoliv je zřejmé, že z provozního hlediska jsou některé role nezbytné, mám na mysli role manažera kybernetické bezpečnosti a garanta aktiva, tak bude obtížné tuto zodpovědnost uložit konkrétním osobám.
    Stejná situace je u role auditora kybernetické bezpečnosti, kde je potřeba najít zodpovědnou osobu mimo IT.


K článku “Víte, jaký je největší přínos vyhlášky o kybernetické bezpečnosti?” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: