Řízení dodavatelů v kontextu kybernetické bezpečnosti

1. Řízení dodavatelů

Správně nastavené vztahy s dodavateli musí být řízeny a povinnosti z nich vyplývající musí být smluvně ošetřeny. Pro dodavatele musí být stanovena a jasně definována pravidla, požadavky a konkrétní podmínky řízení bezpečnosti informací související s dodavateli, včetně sankcí za jejich nedodržení. Tato pravidla musí být v souladu s požadavky ISMS a dodavatelé s nimi musí být prokazatelně písemně seznámeni, protože se po nich vyžaduje jejich dodržování. Požadavky týkající se kybernetické bezpečnosti musí být definovány v souladu s výsledky hodnocení rizik

Doporučení NUKIB: Při seznamování dodavatelů by s pravidly měli být seznámeni zejména jejich konkrétní zaměstnanci, kteří se na plnění smlouvy podílejí.

Organizace musí mít platnou politiku řízení dodavatelů.

Tato politika by měla obsahovat následující:

• pravidla a principy pro výběr dodavatelů,
• pravidla pro hodnocení rizik souvisejících s dodavateli,
• náležitosti smlouvy o úrovni služeb a způsobů a úrovní realizace bezpečnostních opatření a o určení vzájemné smluvní odpovědnosti,
• pravidla pro provádění kontroly zavedení bezpečnostních opatření,
• pravidla pro hodnocení dodavatelů.

Významný dodavatel

Dodavatelé musí být evidováni a každý dodavatel musí být posouzen z hlediska jeho významnosti, zda nenaplní definici významného dodavatele. U těchto dodavatelů je totiž nutné řešit i další povinnosti vyplývající z VKB (viz dále).

Dle § 2 písm. n) vyhlášky o kybernetické bezpečnosti se významným dodavatelem rozumí „provozovatel informačního nebo komunikačního systému a každý, kdo s povinnou osobou vstupuje do právního vztahu, který je významný z hlediska bezpečnosti informačního a komunikačního systému“.

Příklad: Významnost dodavatele si může organizace určit např. v návaznosti na hodnotu aktiv, ke kterým tento dodavatel přistupuje, a za významného dodavatele bude označen tedy kromě provozovatele (který je určen jako významný dodavatel přímo vyhláškou) i další dodavatel (zejména významný z hlediska bezpečnosti se rozumí dodavatel s přístupem k aktivům ohodnoceným na úroveň vysoká či kritická).

Provozovatel

Dle § 2 písm. g) zákona o kybernetické bezpečnosti se provozovatelem rozumí „orgán nebo osoba zajišťující funkčnost technických a programových prostředků tvořících informační nebo komunikační systém“.
Více informací o institutu provozovatele je uvedeno v podpůrném materiálu zveřejněném zde.
Významní dodavatelé musí být nejen evidováni, ale také prokazatelně informováni.

2. Prokazatelné informování při řízení dodavatelů

Dodavatelé musejí být seznámeni s tím, že pro organizaci byly určeni jako významní dodavatelé. Prokazatelné informování musí být provedeno dokumentovanou formou obsahující informaci, že u konkrétního systému je daný dodavatele evidován jako významný. Nemusí se však jednat o samostatný dokument, tato informace může být součástí např. dokumentu seznamujícího dodavatele s pravidly, které musí dodržovat. Vždy je ale potřeba mít v dokumentu písemně potvrzeno seznámení se s ním, díky čemuž je tak zajištěno prokazatelné informování konkrétního dodavatele o jeho významnosti.

Prokazatelné informování dodavatele musí obsahovat následující náležitosti:

• identifikace správce nebo provozovatele,
• identifikace informačního systému,
• identifikace významného dodavatele,
• vyrozumění o skutečnosti, že dodavatel je pro správce významným dodavatelem, a popřípadě také o tom, že významný dodavatel je zároveň provozovatelem,
• obsah bezpečnostních pravidel pro dodavatele zohledňující požadavky ISMS.

Na základě prokazatelného informování vzniká provozovateli povinnost nahlásit kontaktní údaje na NÚKIB a plnit požadavky ZKB a VKB v dohodnutém rozsahu.

3. Další povinnosti spojené s řízením významných dodavatelů

V rámci procesu řízení dodavatelů je u významných dodavatelů navíc nutné:

1. v rámci výběrového řízení a před uzavřením smlouvy provést hodnocení rizik souvisejících s plněním předmětu výběrového řízení - v maximální možné míře provést ohodnocení rizik související s implementací i plněním smlouvy (zahrnout možné problémy při spolupráci, poskytnutí relevantních lidských zdrojů, vyčíslení času potřebného k poskytnutí součinnosti, rizika spojená s přístupem dodavatele do objektu apod.),
2. smluvně stanovit způsoby jak budou realizována bezpečnostní opatření včetně jejich úrovně a určit obsah vzájemné odpovědnosti za zavedení a kontrolu těchto opatření,
3. provádět pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních opatření (s případnou možností přizvání 3. strany),
4. zajistit nápravu a odstranění zjištěných rizik a nedostatků.

Příloha č. 7 VKB stanovuje přehled náležitostí, které by měly smlouvy uzavírané s významnými dodavateli obsahovat.
Výklad kompletního seznamu požadavků na smlouvy uzavírané s významnými dodavateli je uveden v podpůrném materiálu zveřejněném zde.

Kroky v procesu řízení dodavatelů, které je nutné splnit:

1. stanovit pravidla pro dodavatele,
2. evidovat významné dodavatele (a prokazatelně je o této skutečnosti informovat),
3. řídit rizika související se vztahy s dodavateli – rizika z předsmluvních analýz zohlednit při výběru ustanovení do smluv minimálně z přílohy č. 7 VKB, a následně rizika zohlednit v souhrnné analýze rizik. Dodavatelé musí být evidováni jako podpůrná aktiva a rizika související s nimi musí být ošetřena,
4. pravidelně přezkoumávat, zda jsou stanovená pravidla dodržována – jedním z možných vstupů pro přezkoumávání jsou výsledky zákaznických auditů.

4. Bezpečnost lidských zdrojů

Bezpečnost lidských zdrojů je založena na systematickém a plánovaném vzdělávání, jehož součástí je i plán rozvoje bezpečnostního povědomí, který má za cíl zajistit odpovídající vzdělání a prohlubování bezpečnostního povědomí, které napomáhá zajištění kybernetické bezpečnosti. Součástí plánu má být poučení uživatelů, administrátorů, osob zastávající bezpečnostní role a dodavatelů o jejich povinnostech a bezpečnostní politice v předem stanoveném rozsahu a také přehled potřebných teoretických i praktických školení.

Související doporučení:

• Je vhodné provést rozdělení uživatelů do skupin dle požadavků na druh školení (běžní uživatelé – základní, administrátoři – pokročilé/specializované,...) a následně určit konkrétní školení pro jednotlivé skupiny.
• Plánovaný rozvoj bezpečnostního povědomí by měl odpovídat cílové skupině. Současně by mělo být pružně reagováno na aktuální hrozby vhodnými školeními či informováním o nich.
• Pro uživatele zastávající bezpečnostní role jsou v příloze č. 6 VKB uvedeny doporučené certifikace a z tohoto výčtu lze vycházet při plánování vhodných školení.

Plán rozvoje bezpečnostního povědomí musí obsahovat minimálně formu, obsah a rozsah vzdělávání.

• obsah a termíny poučení uživatelů, administrátorů a osob zastávajících bezpečnostní role,
• obsah a termíny poučení nových zaměstnanců,
• přehledy, které obsahují předmět jednotlivých školení a seznam osob, které školení absolvovaly,
• formy a způsoby hodnocení plánu.

Dále je potřeba v rámci organizace stanovit zodpovědnost za tvorbu a aktualizaci tohoto plánu i za realizaci jednotlivých činností, které jsou v plánu uvedeny. Současně je potřeba vést evidenci obsahující předmět školení a seznam osob, které školení absolvovaly.

Účinnost plánu, provedených školení a činností spojených se zlepšováním bezpečnostního povědomí je nutné pravidelně přezkoumávat a hodnotit.

Dále je nutné kontrolovat dodržování bezpečnostní politiky a pro případ porušení stanovených bezpečnostních pravidel ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role je potřeba mít určena pravidla a postupy, jak v takovýchto situacích postupovat.

Pokud dojde k ukončení smluvního vztahu s administrátory nebo osobami zastávajícími bezpečnostní role je nutné zajistit předání odpovědností těchto osob a okamžité odebrání přidělených přístupových oprávnění – blíže se problematikou řízení přístupů zabývá § 12 VKB.

Bezpečnost lidských zdrojů je nutné řešit i na straně dodavatelů – seznámit je s bezpečnostními politikami a kontrolovat jejich dodržování.