Organizační bezpečnost

1. Úvod do organizační bezpečnosti

Kybernetickou bezpečnost je nutné zajistit i organizačně s ohledem na rozsah ISMS. Organizace musí mít definované a přidělené odpovědnosti a pravomoci ve vztahu k ISMS.
To se týká jak vrcholového vedení, tak výboru kybernetické bezpečnosti a bezpečnostních rolí, jejichž stanovení ukládá VKB.

Ze strany vedení organizace je vyžadována zejména:

• zajistit stanovení bezpečnostní politiky a cílů ISMS slučitelných se strategickým směrováním organizace a integraci ISMS do všech souvisejících procesů v rámci organizace
• zajistit dostupnost zdrojů (např. lidských, finančních)
• informovat zaměstnance o významu ISMS a významu dosažení shody s jeho požadavky se všemi dotčenými stranami
• zajistit podporu k dosažení zamýšlených výstupů ISMS
• vést zaměstnance k rozvíjení efektivity ISMS a podporovat je při tomto rozvíjení
• prosazovat neustálé zlepšování ISMS
• podporovat osoby zastávající bezpečnostní role při prosazování kybernetické bezpečnosti v oblastech jejich odpovědnosti
• zajistit stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečnostní role a zajistit, aby byla zachována mlčenlivost administrátorů a osob zastávajících bezpečnostní role,
• pro osoby zastávající bezpečnostní role zajistit příslušné pravomoci a zdroje včetně rozpočtových prostředků k naplňování jejich rolí a plnění souvisejících úkolů
• zajistit testování plánů kontinuity činností, obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů.

Vrcholové vedení organizace by mělo být zapojeno do testování plánů kontinuity činností, obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů

Hlavním důvodem zapojení vrcholového vedení do testování těchto plánů je především účast všech zainteresovaných stran proto, aby byla zajištěna úplná simulace průběhu nastalé krizové situace a její řešení aktivací plánů zpracovaných ke zvládání těchto situací. V rámci testů je nezbytné testovat také rozhodovací schopnosti, je tedy nezbytné, aby byly do testů zapojeny osoby s potřebnými pravomocemi.

Proces zvládání řízení kontinuity by měl být zautomatizovaný a všichni účastnící musí vědět, jaký je jejich úkol.

Nedílným požadavkem je taktéž zajištění stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečnostní role. Například do relevantních směrnic, organizačních řádů a smluv s konkrétními fyzickými osobami zapracovat ustanovení o bezpečnosti informací – dohody o mlčenlivosti, o zachování důvěrnosti apod.

2. Výbor kybernetické bezpečnosti a úvod do bezpečnostních rolí

Výbor kybernetické bezpečnosti je tvořen osobami s příslušnými pravomocemi a odbornou způsobilostí pro celkové řízení a rozvoj ISMS a osobami významně se na ISMS a koordinaci souvisejících činnostech podílející.

Alespoň jedním ze členů výboru kybernetické bezpečnosti musí být zástupce vrcholového vedení, nebo jím pověřená osoba, a manažer kybernetické bezpečnosti.

Vzhledem k rozhodovací pravomoci vrcholového vedení by spolu měli vrcholové vedení a manažer kybernetické bezpečnosti úzce komunikovat.

Bezpečnostní role

Vyhláška definuje tyto bezpečnostní role:
• manažer kybernetické bezpečnosti,
• architekt kybernetické bezpečnosti,
• auditor kybernetické bezpečnosti,
• garant aktiva.

Správce a provozovatel významného informačního systému (ve smyslu § 3 písm. e ZKB) určí minimálně bezpečnostní role manažera kybernetické bezpečnostní a garantů aktiv, přičemž u manažera kybernetické bezpečnosti zajistí zastupitelnost. Ostatní bezpečnostní role určí přiměřeně vzhledem k rozsahu a potřebám ISMS.

Správce a provozovatel informačního systému kritické informační infrastruktury, správce a provozovatel komunikačního systému kritické informační infrastruktury a správce a provozovatel informačního systému základní služby určí všechny bezpečnostní role, přičemž zajistí zastupitelnost bezpečnostních rolí manažer kybernetické bezpečnosti a architekt kybernetické bezpečnosti.
Požadavek na zastupitelnost reaguje na poznatky z prováděných kontrol dodržování ZKB, kdy bylo zjištěno, že osoby zajišťující výkon povinných bezpečnostních rolí nemají v organizaci adekvátní zástup. Tato skutečnost může mít mimo jiné vliv na zajištění kontinuity některých činností organizace.
Pro zajištění patřičné zastupitelnosti je možné rozložit povinnosti a kompetence mezi více osob.
Pro zastupující osoby se požadavky kladené na odbornou způsobilost a praxi použijí přiměřeně.

3. Bezpečnostní role

Vyhláška definuje tyto bezpečnostní role – manažer kybernetické bezpečnosti, architekt kybernetické bezpečnosti, auditor kybernetické bezpečnosti a garant aktiva (viz. Obrázek: Osoby podílející se na zajišťování kybernetické bezpečnosti).

Při určování osob zastávajících bezpečnostní role je vhodné přihlédnout k doporučením vycházejícím z dobré praxe uvedených v příloze č. 6 VKB.

V případě, že je v rámci jedné organizace v rozsahu ISMS více informačních a komunikačních systémů, není nutné jmenovat do jednotlivých rolí pro každý systém rozdílné osoby, tedy jedna bezpečnostní role může být odpovědná za více systémů.

Osoby podílející se na zajišťování kybernetické bezpečnosti

Zdroj: govcert.cz

4. Manažer kybernetické bezpečnosti

Manažer kybernetické bezpečnosti je bezpečnostní role odpovědná za ISMS. Jedná se o zcela klíčovou roli, zajišťující správné fungování ISMS.

Pro tuto činnost proto musí prokázat odbornou způsobilost a praxi. Délka praxe je stanovena na 3 roky a to proto, že za tuto dobu je možné získat dostatek zkušeností pro výkon této role. V případě absolvování vysokoškolského studia je délka požadované praxe zkrácena na 1 rok, a to vzhledem k tomu, že teoretické zkušenosti i praxe jsou získávány již během studia vysoké školy.

Mezi povinnosti Manažera kybernetické bezpečnosti například patří informovat vrcholové vedení o činnostech vyplývajících z rozsahu jeho odpovědnosti a stavu ISMS. Cílem je, aby docházelo k usnadnění prosazování konceptu ISMS a k dobré informovanosti a zainteresovanosti vrcholového vedení do problematiky kybernetické bezpečnosti.

Vzhledem k náplni práce manažera kybernetické bezpečnosti nesmí být osoba vykonávající tuto roli pověřena výkonem rolí odpovědných za provoz informačního a komunikačního systému.

Organizační zařazení osoby zastávající roli manažera je na uvážení povinné osoby. Je doporučené, aby byl přímo pod nejvyšším orgánem organizace, např. na úrovni bezpečnostního ředitele.

5. Architekt kybernetické bezpečnosti

Architekt kybernetické bezpečnosti je bezpečnostní role odpovědná za zajištění návrhu implementace bezpečnostních opatření tak, aby byla zajištěna bezpečná architektura informačního a komunikačního systému, až například po bezpečnost na aplikační úrovni.

Výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s navrhováním implementace bezpečnostních opatření a zajišťováním architektury bezpečnosti.

Časové požadavky na praxi jsou stejné jako u role manažer kybernetické bezpečnosti, tedy doba nejméně tří let nebo doba jednoho roku v případě, že osoba vykonávající tuto roli absolvovala studium na vysoké škole.

Výkon této role je možné rozdělit mezi více osob při zohlednění jejich zaměření a např. vzhledem k využívaným technologiím.

6. Garant aktiva

Garant kybernetické bezpečnosti je bezpečnostní role odpovědná za zajištění rozvoje, použití a bezpečnosti aktiva. Garant aktiva by měla být současně osoba, která prosazuje zajišťování důvěrnosti, dostupnosti a integrity aktiva, jehož je správcem.

Určení garantů aktiv je požadováno jak u aktiv primárních, tak podpůrných.

7. Auditor kybernetické bezpečnosti

Auditor kybernetické bezpečnosti je bezpečnostní role odpovědná za provádění auditu kybernetické bezpečnosti.

Požadavky na odbornou způsobilost praxí jsou stejné jako u bezpečnostních rolí manažer kybernetické bezpečnosti a architekt kybernetické bezpečnosti.

V případě auditora kybernetické bezpečnosti je klíčové, aby auditor vykonával svoji činnost nestranně, a nesmí být pověřen výkonem jiných bezpečnostních rolí.