- David Polách
CSF2 je zamýšlen jako obecná pomůcka – má sloužit ke zlepšení úrovně kybernetické bezpečnosti organizacím od malých veřejných škol až po velké korporace. Koncept CSF2 stojí na 6 klíčových „funkcích“, které mají obsáhnout celé téma kybernetické bezpečnosti v organizacích.
- govern (spravuj)
- identify (identifikuj)
- protect (ochraňuj)
- detect (detekuj)
- respond (reaguj)
- recover (zotavuj se)
Tyto funkce se následně dělí do kategorií a subkategorií. Oproti předchozí verzi je novinkou zavedení funkce „govern“, do které spadají témata jako kontext organizace, role a odpovědnosti, politiky a management dodavatelského řetězce.
Při studiu podkladů k CSF2 se neubráníte pocitu, že velká část, která je obsažena v tomto konceptu se příliš neliší od již existujících regulací jako ISO 27001 nebo směrnice NIS2 a z ní vycházejícího návrhu zákona o kybernetické bezpečnosti. NIS2/NZkb, ISO 27001 a CFS2 jsou si velmi podobné – proto je možné s nadsázkou říci, že v případě, že má organizace implementovány požadavky jedné z těchto regulací, bude mít splněno 30-90% požadavků těch ostatních.
Míra shody vychází z rozsahu implementace (například vyšší nebo nižší režim povinností dle NZkb) a celkové úrovně kybernetické bezpečnosti. Tím pádem bude mít organizace při implementaci jedné z regulací lepší představu, co ji čeká při implementaci těch dalších a bude to pro ni časově i finančně méně náročné.
Všechny tyto regulace jsou propojeny přístupem založeným na posouzení rizik. Identifikace aktiv, jejich zranitelností a hrozeb a následné zmírnění rizika je základním stavebním kamenem každé z nich.
O praktickém uplatňování konceptů, které se zvládáním rizik souvisí, například při vytváření plánů kontinuity podnikání (BCP), můžeme říci, že se jedná o selský rozum přenesený na papír.
Když si jsou CFS2, ISO 27001 a NIS2/NZkb tak podobné, jakých 5 oblastí vyžadují všechny a měla by se jimi zabývat každá organizace?
1) Identifikace aktiv
- Každá organizace, která při poskytování svých služeb využívá ICT vybavení, je na něm závislá – typicky se jedná hardware a software (ty představují v oblasti kybernetické a informační bezpečnosti aktiva organizace). Pro úspěšné zajištění bezpečnosti informací je důležité tato aktiva evidovat.
2) Hrozby a zranitelnosti
- Aktiva jsou podle své povahy vystaveny různým hrozbám, které mohou být realizovány prostřednictvím zranitelností. Služební laptop bez antiviru a zašifrovaného disku, který si může zaměstnanec odnést domů a jehož pracovní účet má administrátorská oprávnění prostě není ideální. Sledování hrozeb a minimalizace zranitelností je jedním z cílů kybernetické bezpečnosti. Cílem je snížení rizika spojeného s aktivem.
3) Incident management
- Pokud dojde ke kybernetickému bezpečnostnímu incidentu, je dobré mít připraveny kroky, jak postupovat. Jednoduché postupy, krok za krokem, vytištěné – tak, aby bylo možno je zvládnout ve stresové situaci, kdy nepůjde zapnout jediný počítač.
4) Byznys kontinuita
- Cílem organizace je zajištění poskytování služeb – ať už je to podnikání anebo výkon veřejné správy. Pro případy, kdy se pokazí více věcí najednou, je důležité mít vytvořené plány (např. havarijní plány), které pomůžou organizacím si ujasnit, jak přežít nejbližší dny a týdny tak, aby byly schopny svou činnost obnovit co nejdříve a s minimálními škodami.
5) Dokumentace
- A na závěr – dokumentace, dokumentace, dokumentace. Výše uvedené věci je potřeba mít popsané. Nejdůležitější je dokumentace pro fungování vaší organizace – pokud jsou postupy jen v hlavách zaměstnanců, riskujete že nebudou k dispozici, když zaměstnanec onemocní nebo odejde. Dokumentace budete potřebovat při auditech - ať budete chtít získat certifikaci, anebo se vyhnout pokutě od NUKIBu.
