- Kateřina Kubíková
S novým zákonem o kybernetické bezpečnosti dle směrnice NIS2 se budou muset společnosti vypořádat s povinným zaváděním nových bezpečnostních rolí. O jaké role se jedná a jaké budou mít povinnosti?
Bezpečnostní role ve vyšším a nižším režimu
Společnosti a organizace, které spadnou do vyššího režimu povinností podle připravovaného zákona o kybernetické bezpečnosti, budou mít osoby zastávající role: manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, auditora kybernetické bezpečnosti a garanty aktiv. Vrcholové vedení potom bude mít povinnost tyto osoby určit. To určuje pro vyšší režim návrh § 14 odst. 1 písm. a) bod 3 NzKB., kdy daná povinnost je tzv. organizačním opatřením. Bezpečnostní role budou detailněji rozvedeny ve vyhlášce o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností.
Naopak pokud se vaše společnost samoidentifikuje, že naplňuje kritéria nižšího režimu povinností musí mít tzv. odpovědnou osobu za kybernetickou bezpečnost a garanty aktiv. Vychází zde ze stanovení bezpečnostních rolí a pro nižší režim v návrhu § 14 odst. 2 písm. a), c) a e) NzKB a dále z vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností. V rámci nižšího režimu není sice garant aktiva výslovně zmíněn jako povinná bezpečnostní role, v rámci řízení aktiv, je však nepostradatelný, a proto by na něj společnosti ani v tomto režimu neměly zapomenout.
Každá z uvedených bezpečnostních rolí musí splňovat požadavky stanovené vyhláškami a doporučuje se řídit i její přílohou, která tyto role ještě více rozvádí. Je na zvážení každé společnosti, zda zmíněné role bude zavádět interně, nebo zda se rozhodne pro outsourcing rolí, protože se může také stát, že ve společnosti nebude nikdo, kdo by kritéria splňoval. V každém případě je doporučované, aby osoby pověřené danou funkcí naplnily kritéria, která budou uvedena v přílohách vyhlášek k novému zákonu o kybernetické bezpečnosti. Více o jednotlivých rolích se dočtete níže.
Nabízíme outsourcing rolí
Manažer kybernetické bezpečnosti
Manažer kybernetické bezpečnosti je podle nové právní úpravy zásadní bezpečnostní rolí. Je to osoba, která bude odpovědná za dodržování pravidel systému řízení bezpečnosti informací, je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí (minimálně 1 rok) či studiem na vysoké škole.
Jeho úkolem je odpovídat za celkový stav kybernetické bezpečnosti. Měl by mít dobrý přehled o společnosti a komplexní znalosti týkající se nejen oblasti ICT, ale i celkového provozu, aby byla podchycena i kontinuita činností (tzv. BCP, DRP). Dále by měl být schopný řídit rizika a interpretovat výsledky řízení rizik směrem k vedení společnosti.
Manažer kybernetické bezpečnosti zároveň nesmí být pověřen výkonem rolí odpovědných za provoz dané regulované služby nebo nesmí být odpovědný za provoz informačního a komunikačního systému společnosti. A pro správný výkon této role je zapotřebí zajistit potřebné pravomoci, odpovědnost a rozpočet.
Obecně můžeme shrnout, že manažer kybernetické bezpečnosti:
- plánuje a realizuje bezpečnostní opatření,
- odpovídá za stav bezpečnostní dokumentace,
- odpovídá za informování vrcholného vedení o systému řízení bezpečnosti informací,
- monitoruje účinnost a vhodnost bezpečnostních opatření,
- koordinuje proces řízení aktiv a rizik,
- koordinuje řízení bezpečnostních incidentů, a
- předkládá plán zvládání rizik a prohlášení o aplikovatelnosti výboru pro řízení kybernetické bezpečnost.
V praxi si lze roli manažera kybernetické bezpečnosti představit například při řízení změn.
Prvotní fází procesu je vytvořit požadavek na změnu. Předmětem této fáze je definovat detailní rozsah služeb a/nebo jiných prostředků, které jsou obsahem požadavku. Následně manažer kybernetické bezpečnosti ve spolupráci s architektem kybernetické bezpečnosti nebo garantem aktiva a iniciátorem požadavku provedou přezkoumání možných dopadů změny na informační a kybernetickou bezpečnost organizace. V rámci řízení změn tak manažer kybernetické bezpečnosti hraje klíčovou roli, stejně jako při rozhodnutí o provedení penetračního testování významných změn. Nebo i v rámci vytváření plánu testování významných změn, kdy manažer kybernetické bezpečnosti spolupracuje s garantem aktiva, kterého se daná změna dotýká či s dodavatelem.
Architekt kybernetické bezpečnosti
Návrh a realizace bezpečnostních opatření je úkolem architekta kybernetické bezpečnosti. Architekt má na starosti návrh bezpečné architektury regulované služby (např. od infrastruktury až po bezpečnost na aplikační úrovni) a její provedení v praxi. V organizaci může být více architektů, kteří se specializují na různé oblasti.
Architekt kybernetické bezpečnosti by měl mít zkušenosti s bezpečnostními opatřeními a také by měl mít minimálně roční praxi v oboru. Zároveň architektem nemůže být osoba odpovědná za provoz informačních a komunikačních systémů společnosti.
Role architekta kybernetické bezpečnosti má zejména tato práva a povinnosti:
- odpovídá za koncepční řízení bezpečnostní architektury v oblasti kybernetické bezpečnosti,
- provádí kontroly, hodnocení a testování funkčnosti zavedených bezpečnostních opatření,
- vytváří testovací postupy a odpovídající kritéria akceptace pro implementaci změn,
- definuje bezpečnostní požadavky na architektonické úrovni při návrhu, vývoji, testování a implementaci nových informačních a komunikačních systémů a při změně stávajících,
- odpovídá za zajištění návrhu pro implementaci bezpečnostních opatření,
- reviduje navržená bezpečnostní, nápravná a reaktivní opatření,
- komunikuje, spolupracuje a poskytuje součinnosti bezpečnostním rolím ISMS při návrhu a implementaci pravidel a bezpečnostních opatření,
- vystavuje stanoviska v oblasti bezpečnostních opatření, a
- analyzuje architekturu ISMS, jeho jednotlivých komponent, včetně vzájemných vazeb a zodpovídá za tvorbu a údržbu procesně-organizačního a aplikačního modelu architektury bezpečnosti informací.
Auditor kybernetické bezpečnosti
Auditor kybernetické bezpečnosti je odpovědný za provádění auditu kybernetické bezpečnosti. Jeho role spočívá v hodnocení souladu realizovaných bezpečnostních opatření s požadavky, poskytování nezávislé zpětné vazby o účinnosti systému bezpečnosti informací a zpracování závěrů a dokumentace výsledků.
Auditor musí znát relevantní právní předpisy, procesy a postupy interních auditů dané společnosti. Pro výkon této role je třeba prokázat odbornou způsobilost a minimálně roční praxi. Auditor kybernetické bezpečnosti nesmí být pověřen výkonem rolí odpovědných za provoz dané regulované služby nebo nesmí být odpovědný za provoz informačních a komunikačních systémů.
Role auditora kybernetické bezpečnosti je oddělena od výkonu dalších bezpečnostních rolí a není slučitelná s rolemi odpovědnými za provoz informačních systémů. Auditor kybernetické bezpečnosti:
- je odpovědný za provádění nestranného auditu kybernetické bezpečnosti,
- nesmí být stálým členem Výboru pro řízení kybernetické bezpečnosti, avšak je oprávněn se účastnit zasedání Výboru pro řízení kybernetické bezpečnosti a vyžadovat zápisy ze zasedání,
- posuzuje soulad implementovaných bezpečnostních opatření v společnosti s nejlepší praxí, právními předpisy, interními akty řízení, jinými předpisy a smluvními závazky vztahujícími se k ISMS společnosti, a
- přezkoumává technickou shodu opatření KB a dává doporučení pro zajištění souladu s legislativními požadavky.
Garant aktiva
Garanti aktiv zajišťují, že aktiva společnosti jsou chráněna před různými hrozbami, jako jsou kybernetické útoky, phishing, ztráta, odcizení nebo poškození aktiva nebo narušení fyzické bezpečnosti, a to zejména definicí požadavků na bezpečnost.
Tato bezpečnostní role je odpovědná za zajištění rozvoje, použití a bezpečnosti aktiva. Garant aktiva obvykle spolupracuje s ostatními odděleními společnosti, jako jsou IT, právní oddělení a vedení organizace, aby zajistil efektivní ochranu aktiv a plnění příslušných regulačních požadavků.
Garanta aktiv nelze outsourcovat. Ideálně by touto rolí měla být pověřena interní osoba, která má dané aktivum pod „palcem“, nemusí však umět vše ohledně tohoto aktiva sama „opravit“. Společnost má zpravidla více aktiv, a proto i více garantů. Garanti aktiv jsou totiž určováni na základě svého pracovního zařazení a procesních a odborných znalostí daného aktiva. Pro účely řízení aktiv musí být garant aktiva schopen na základě možných dopadů aktivum ohodnotit.
Garant aktiva:
- je odpovědný za zajištění rozvoje, použití a bezpečnosti aktiva,
- poskytuje součinnost manažerovi kybernetické bezpečnosti při analýze rizik a dopadů pro dané aktivum,
- stanovuje hodnotu aktiva z pohledu důvěrnosti, integrity a dostupnosti,
- stanovuje obecné bezpečnostní požadavky a koncepty (např. požadované doby obnovy, matici přístupu k aktivu či další požadavky na bezpečné užívání, provoz a rozvoj) pro dané aktivum na základě klasifikace,
- schvaluje navržená bezpečnostní pravidla a opatření řešící bezpečnostní požadavky pro dané aktivum, a
- informuje manažera kybernetické bezpečnosti o všech změnách aktiva, které mohou nebo mají vliv na hodnotu aktiva.
Odpovědná osoba
V rámci nižšího režimu povinností roli manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, ani auditora kybernetické bezpečnosti nenajdeme. Povinností společností je však určit osobu odpovědnou za kybernetickou bezpečnost. Tuto roli najdeme v rámci povinnosti společností v rámci systému zajišťování minimální kybernetické bezpečnosti, nejedná se o samostatnou povinnost jako v případě vyššího režimu.
Určená odpovědná osoba musí bez zbytečného odkladu absolvovat odborné školení, které bude mít teoretickou i praktičkou část a musí prokázat odbornou způsobilost v oblasti kybernetické bezpečnosti.
Osoba odpovědná za kybernetickou bezpečnost pak udržuje aktuální bezpečnostní politiky, provádí kontrolní činnost v oblasti bezpečnosti informací a tu i metodicky usměrňuje a je tak zodpovědná za zavedení bezpečnostních opatření. Tato role pak mimo jiné i předkládá plán rozvoje bezpečnostního povědomí vedení společnosti ke schválení. Tento plán následně i vyhodnocuje.
