Kybernetická bezpečnost firmy: Certifikát ISO 27001 nestačí

Rozhovor s Michalem Zedníčkem, Security Consultantem a lektorem společnosti Alef Nula

Michal Zedníček působí ve světě ICT od roku 2000. Od roku 2010 se významně věnuje oblasti řízení bezpečnosti informací a od března 2014 je členem pracovní skupiny „kybernetická bezpečnost“ v organizaci AFCEA (Armed Forces Communications and Electronics Association). Vede kurzy věnované zákonu o kybernetické bezpečnosti. V rozhovoru pro HR News odpovídá na nejčastější otázky spojené s kybernetickou bezpečností firem právě v souvislosti s tzv. kybernetickým zákonem.

Michal Zedníček, Security Consultant a lektor společnosti Alef Nula, a.s.

K čemu slouží kybernetický zákon?

Zákon o kybernetické bezpečnosti (ZKB) zavádí povinnou regulaci zajištění bezpečnosti ICT. Úroveň bezpečnosti závisí na typu provozovaného systému a ZKB nabízí spíše metodický pokyn opřený o mezinárodní normy a obecně platné principy řízení ICT. Implementace ZKB musí probíhat v souladu s obecným řízením organizace, aby nedošlo k narušení plnění primárních cílů dané organizace.

Kdo především by se o tento zákon měl zajímat?

Určitě každý, na koho se vztahuje zákon č. 240/2000 Sb. (krizový zákon). Dále správce informačního systému veřejné správy, který se najde v určujících kritériích vyhlášky 317/2014 Sb. A samozřejmě poskytovatel, byť ten má již dnes platnou legislativu č. 127/2005 Sb. (zákon o elektronických komunikacích) a ZKB se ho dotýká pouze v omezené formě.

Jak organizace pozná, zda se na ni tento zákon vztahuje?

Nařízení vlády 315/2014 Sb. (krizový zákon) a vyhláška 317/2014 Sb. (ZKB) obsahují určující kritéria pro zařazení informačního nebo komunikačního systému mezi regulované systémy podle ZKB. V případě nejasností je možné se obrátit o konzultaci s národní autoritou – NBÚ.

Jaké povinnosti ukládá kybernetický zákon organizacím, které patří do jeho působnosti?

Pečovat o regulované systémy ICT v souladu se ZKB – tedy zavést a udržovat bezpečnostní opatření dle ZKB. Velmi zjednodušeně se jedná o sadu procesů a technických opatření.

Jaký první krok byste doporučil organizacím, které nevědí, jak vůbec začít s uváděním své bezpečnosti do souladu se zákonem?

Jednoznačně je třeba začít rozdílovou studií - GAP analýzou. Organizace by měla nejprve zjistit, v jaké kondici se nachází provozované prostředí proti požadavkům ZKB a teprve následně dle priorit řešit jednotlivá bezpečnostní opatření.

Jaké další kroky je třeba udělat?

Systematické řízení informační bezpečnosti značí nějaký systém – tedy posuzování hodnot, konkrétně aktiv, rizik, incidentů a nápravných opatření. Pokud společnost nemá kvalitně zvládnuté řízení rizik, je finišem další etapy dokument Plán zvládání rizik, kde organizace dokládá výsledky měření rizik, navrhuje opatření vedoucí ke snížení těchto rizik na přijatelnou úroveň, definuje potřebné zdroje a termíny jejich zavedení. Následuje implementace.

Co to bude znamenat pro zaměstnance?

Tam, kde organizace řídí bezpečnost informací kvalitně, tak nic. U ostatních zavedení vzdělávání všech zaměstnanců tak, aby se zaměstnanec nestal hrozbou ohrožující bezpečnost informací.

Jak časově náročný je celý postup?

To opět závisí na úrovni stávajícího řízení bezpečnosti informací. Někde máme hotovo do pár týdnů, někde bude potřeba několik let.

S jakými nejčastějšími nejasnostmi se setkáváte při svých školeních?

Je jich celá řada – od určení bezpečnostních rolí a jejich kompetencí přes vzdělávání zaměstnanců až po třeba financování bezpečnostních projektů. Nejčastějším dotazem je jednoznačně výklad smyslu §29 vyhlášky 316/2014 Sb. o certifikaci. Řada lidí se domnívá, že když bude mít certifikát ISO27001, nemusí nic řešit.

Co na tyto dotazy odpovídáte?

Dávám svůj pohled, kterým se snažím posluchače vést k efektivnímu nastavení bezpečnostního opatření tak, aby nebyli v rozporu se ZKB. Formální stránka ZKB není naší hlavní prioritou, tu vnímáme ideálně jako fungování bez bezpečnostních incidentů. Takže říkám, že samotný certifikát ISO27001 podle § 29 vyhlášky 316/2014 Sb. nestačí a vysvětluji proč. Ale nejsem národní autoritou. Kontrolu správnosti bezpečnostních opatření zajišťuje výhradně NBÚ.

Jaká další školení ve vztahu ke kybernetickému zákonu plánujete pro letošní rok?

ALEF Training Centre už nějakou dobou fungují kurzy reflektující požadavky ZKB z hlediska jednotlivých rolí s cílem předat plnohodnotné informace. Je možné se tedy zúčastnit kurzů Manager (řízení informační bezpečnosti), Architekt (zajištění nformační bezpečnosti), Auditor (kontrola informační bezpečnosti), Uživatel (bezpečnostní povědomí v souladu s bezpečnostní politikou organizace) a dalších technických kurzů pro administrátory.