Implementace ZKB

Cílem zákona je zavést fungující systém, který zahrnuje bezpečnostní opatření, detekci kybernetických bezpečnostních událostí, hlášení kybernetických bezpečnostních incidentů, systém opatření k reakci na kybernetický bezpečnostní incident a činnost dohledových pracovišť (národní CERT a vládní CERT).

Zákon stanovuje, jakým způsobem má být kybernetická bezpečnost zajištěna a určuje způsob reakce na kybernetické hrozby nebo řešení nastalého incidentu. Podrobnosti ke způsobu realizace bezpečnostních opatření, ke komunikaci s kontaktními místy, vedení bezpečností dokumentace a kategorizaci kybernetických bezpečnostních incidentů určuje Vyhláška.

Zákon povinné osoby nepřímo rozděluje na dvě hlavní skupiny, přičemž jedna z nich je dotčena pouze částečně a má povinnosti pouze v případě incidentů, a na druhou z nich dopadají povinnosti v plné míře i mimo případy incidentů.

Do první skupiny - dotčené jen částečně - patří poskytovatelé služeb elektronických komunikací (typicky mobilní a virtuální operátoři, poskytovatelé internetového připojení a podobně), subjekty zajišťující sítě elektronických komunikací a subjekty zajišťující takzvané významné sítě. Významné sítě propojují český kybernetický prostor se zahraničím nebo zajišťující přímé připojení ke kritické informační infrastruktuře. Tyto osoby mají povinnost nahlásit národnímu dohledovému pracovišti - národnímu CERT - kontaktní údaje a jejich následné změny a za stavu kybernetického nebezpečí nebo za nouzového stavu přijmout reaktivní opatření, která jsou uvedena v zákoně." Mezi tyto povinné osoby patří primárně soukromé osoby – firmy.

Druhá skupina povinných osob zahrnuje správce informačních systémů kritické informační infrastruktury, správce komunikačních systémů kritické informační infrastruktury a správce významných informačních systémů. Ti mají plnou škálu povinností dle zákona, zejména plnit informační povinnosti vůči vládnímu CERT, zavádět bezpečnostní opatření a provádět opatření v rozsahu dle zákona. Tato skupina osob zahrnuje primárně osoby veřejného práva, například významné informační systémy státní správy, které jsou taxativně vyjmenovány prováděcí vyhláškou. Příkladem může být třeba informační systém katastru nemovitostí. Do skupiny správců kritických informačních systémů mohou spadat i soukromé osoby, které však splňují poměrně náročná a těžko vysvětlitelná průřezová a odvětvová kritéria, pro představu se může jednat například o provozovatele letišť, plynárny, ČEZ, vodárny apod.

V rámci implementace nabízíme řešení následujících kroků
  • GAP analýza: Rozdílová analýza mapuje aktuální stav v oblasti kybernetické bezpečnosti organizace. Identifikuje případné neshody mezi aktuálním stavem a požadavky stanovené zákonem či vyhláškou. Výsledkem analýzy je předložení plánu projektu ISMS.
  • Stanovení rozsahu ISMS: Definování organizačních hranic, hranic informačního systému a fyzických hranic. Navržení rozsahu ISMS a prohlášení o rozsahu.
  • Dokumentace a politiky: Definice rozsahu, hranic a vazeb ISMS. Vytvoření implementačního týmu, definice rolí, odsouhlasení a následné prohlášení o politice ISMS.
  • Identifikace a ocenění aktiv: Provedení identifikace aktiv, jejich ocenění a vypracování celkové analýzy rizik. Identifikace a ocenění aktiv je vlastně činnost, při které společnost provede „inventuru“ svých aktiv, což mohou být jak věci hmotné (např. výpočetní technika), tak věci nehmotné (data, znalosti, značka, apod.). Po identifikaci aktiv, je třeba jejich ohodnocení z hlediska integrity, dostupnosti a důvěrnosti. Nejlépe se tak činí na základě vlastního algoritmu, který určí hodnotu jednotlivých aktiv.
  • Analýza rizik: Je třeba vést v patrnosti, že analýza rizik je dokument, na němž se staví celý systém bezpečnosti informací. Jeho důležitost je tedy vysoká. Nebudete-li tento dokument mít dobře zpracován, je celý systém ISMS nefunkční.
  • Návrh protiopatření: Jedná se o dokument, který reaguje na výsledky analýzy rizik. Popisuje, jak bude organizace reagovat na identifikovaná kritická místa. Ve stručné a jasné podobě popisuje, jak by měl vypadat cílový stav, jak tohoto stavu organizace docílí, termín splnění a případné finanční nároky. Tento dokument je vedle analýzy rizik stěžejním dokumentem. Management musí všechny dokumenty schválit, včetně finančních prostředků. Variantou, jak lze na případná rizika reagovat, je i tzv. institut akceptace rizika.
  • Zvyšování povědomí: Stanovení cílů a plánů komunikace ve vztahu k cílovým zúčastněným stranám. Definování potřeb a plánů školení a zvyšování povědomí. Poskytování školení.
  • Monitorování a měření: Určení cílů a předmětu monitorování a měření. Stanovení frekvence a metody monitorování a měření. Reportování výsledků..
  • Interní audit: Vytvoření programu interního auditu. Zajištění nezávislosti, objektivity a nestrannosti interního auditu. Plánování činností auditu. Alokování a správa zdrojů programu auditu. Vytvoření postupů auditu. Provádění činností auditu. Následné činnosti a neshody.
  • Prohlášení o aplikovatelnosti: Zde je třeba krok za krokem doložit, které části ISMS a jak jsou zavedené.
  • Certifikace: Celý systém může fungovat i bez certifikace, ale je samozřejmě výhodnější projít certifikací. Skládá se ze dvou částí. V první je certifikována povinná dokumentace, ve druhé je kontrolováno praktické zavádění ISMS.
Přehled základních dokumentů, které budete potřebovat, v případě nasazení ISMS
  • Rozsah a hranice ISMS
  • Politika ISMS
  • Definice a popis přístupu k hodnocení rizik
  • Identifikace rizik
  • Analýza a vyhodnocení rizik
  • Identifikace a varianty pro zvládání rizik
  • Cíle opatření a bezpečnostní opatření pro zvládání rizik
  • Akceptace rizik
  • Získání povolení k provozování ISMS v rámci organizace
  • Prohlášení o aplikovatelnosti