Jak řídit kybernetickou bezpečnost? #2 Legislativa a metodika

V minulém díle seriálu o řízení bezpečnosti jste se dozvěděli, že před zaváděním jakýchkoliv opatření je nutné nejprve zjistit, co všechno potřebujete chránit a na jaké hrozby a rizika můžete narazit.

Ovšem ještě před tímto krokem vás čeká jedna věc – zjistit požadavky zákona. Protože, jak praví klasik: “Neznalost zákona neomlouvá”.

Jestliže procházíte požadavky zákona a vyhlášky opravdu svědomitě, určitě zjistíte, že nějaká ustanovení nesplňujete. Není tedy nic jednoduššího, než přijmout opatření, s jejichž pomocí dané náležitosti vyřešíte.

— Kybez.cz

Zákon o kybernetické bezpečnosti a Vyhláška

Hlavními předpisy stanovující povinnost organizace oblasti kybernetické bezpečnosti jsou v Česku zákon a vyhláška o kybernetické bezpečnosti.

První dokument vysvětluje, co jsou to významné informační systémy, kritická informační infrastruktura, významná síť či základní služba.

Možná Vám tyto pojmy přijdou trochu nudné, ale právě zde byste měli zbystřit. Pokud se nějaký z těch pojmů dotýká vaší organizace, musíte plnit legislativou stanovené předpisy.

Jak zjistíte jestli do nějaké z těchto skupin spadáte? Nezbyde vám nic jiného než se podívat na zákon o kybernetické bezpečnosti nebo na dopadová kritéria na webu NÚKIB, případně si můžete domluvit s některým z odborníků na nezávislé, vysvětlující konzultaci, doporučujeme např. Kybez.cz.

Pokud máte zákon o kybernetické bezpečnosti v malíku, doporučujeme si ještě nastudovat vyhlášku o kybezzákon o zpracování osobních údajů či směrnici NIS.

Metodika

Jestliže procházíte požadavky zákona a vyhlášky opravdu svědomitě, určitě zjistíte, že nějaká ustanovení nesplňujete. Není tedy nic jednoduššího, než přijmout opatření, s jejichž pomocí dané náležitosti vyřešíte.

Co všechno musíte splňovat zjistíte díky checklistu dostupném na webu NÚKIB nebo sekci Prohlášení o aplikovatelnosti v aplikace pro řízení kybernetické bezpečnosti CSA od společnosti Gordic.

V obou případech stačí pouze bod po bodu kontrolovat jednotlivé požadavky a vyjádřit se k nim podle návodu v checklistu. Ačkoliv tato činnost vypadá jednoduše, může vám zabrat poměrně dost času.

Pokud se tímto procesem nechcete zabývat, stačí se opět ozvat odborníkům, kteří rádi udělají audit vaší organizace vůči legislativě za vás. Samozřejmě i s navržením opatření, jak problémy a požadavky nejlépe řešit.

Jakmile budete plnit veškeré požadavky legislativy, začněte řešit procesní stránku kybernetické bezpečnosti. O tom si ale něco řekneme v příštím dílem.

Díly seriálu:

Zdroj: