Implementace ZKB
Zákon č. 181/2014 Sb., o kybernetické bezpečnosti (ZKB) stanoví povinnosti osob a orgánů veřejné moci v oblasti kybernetické bezpečnosti. Smyslem zákona je zvýšit bezpečnost kybernetického prostoru a snažit se ochránit tu část infrastruktury, která je pro fungování státu důležitá a jejíž narušení by vedlo k poškození nebo ohrožení zájmu České republiky.
Cílem zákona je zavést fungující systém, který zahrnuje bezpečnostní opatření, detekci kybernetických bezpečnostních událostí, hlášení kybernetických bezpečnostních incidentů, systém opatření k reakci na kybernetický bezpečnostní incident a činnost dohledových pracovišť (národní CERT a vládní CERT).
Zákon stanovuje, jakým způsobem má být kybernetická bezpečnost zajištěna a určuje způsob reakce na kybernetické hrozby nebo řešení nastalého incidentu. Podrobnosti ke způsobu realizace bezpečnostních opatření, ke komunikaci s kontaktními místy, vedení bezpečností dokumentace a kategorizaci kybernetických bezpečnostních incidentů určuje Vyhláška.
Zákon povinné osoby nepřímo rozděluje na dvě hlavní skupiny, přičemž jedna z nich je dotčena pouze částečně a má povinnosti pouze v případě incidentů, a na druhou z nich dopadají povinnosti v plné míře i mimo případy incidentů.
Do první skupiny - dotčené jen částečně - patří poskytovatelé služeb elektronických komunikací (typicky mobilní a virtuální operátoři, poskytovatelé internetového připojení a podobně), subjekty zajišťující sítě elektronických komunikací a subjekty zajišťující takzvané významné sítě. Významné sítě propojují český kybernetický prostor se zahraničím nebo zajišťující přímé připojení ke kritické informační infrastruktuře. Tyto osoby mají povinnost nahlásit národnímu dohledovému pracovišti - národnímu CERT - kontaktní údaje a jejich následné změny a za stavu kybernetického nebezpečí nebo za nouzového stavu přijmout reaktivní opatření, která jsou uvedena v zákoně." Mezi tyto povinné osoby patří primárně soukromé osoby – firmy.
Druhá skupina povinných osob zahrnuje správce informačních systémů kritické informační infrastruktury, správce komunikačních systémů kritické informační infrastruktury a správce významných informačních systémů. Ti mají plnou škálu povinností dle zákona, zejména plnit informační povinnosti vůči vládnímu CERT, zavádět bezpečnostní opatření a provádět opatření v rozsahu dle zákona. Tato skupina osob zahrnuje primárně osoby veřejného práva, například významné informační systémy státní správy, které jsou taxativně vyjmenovány prováděcí vyhláškou. Příkladem může být třeba informační systém katastru nemovitostí. Do skupiny správců kritických informačních systémů mohou spadat i soukromé osoby, které však splňují poměrně náročná a těžko vysvětlitelná průřezová a odvětvová kritéria, pro představu se může jednat například o provozovatele letišť, plynárny, ČEZ, vodárny apod.
V rámci implementace nabízíme řešení následujících kroků
Přehled základních dokumentů, které budete potřebovat, v případě nasazení ISMS
- Rozsah a hranice ISMS
- Politika ISMS
- Definice a popis přístupu k hodnocení rizik
- Identifikace rizik
- Analýza a vyhodnocení rizik
- Identifikace a varianty pro zvládání rizik
- Cíle opatření a bezpečnostní opatření pro zvládání rizik
- Akceptace rizik
- Získání povolení k provozování ISMS v rámci organizace
- Prohlášení o aplikovatelnosti