O zákonu č. 181/2014 Sb., zákonu o kybernetické bezpečnosti (dále jen „ZKB“), je slyšet ze všech stran. Kdo hledá informace k tomuto tématu, má možnost navštívit celou řadu konferencí nebo seminářů. Bohužel celá řada přednášek je vedena snahou ohromit auditorium bezpečnostními hrozbami nebo zranitelnostmi bez receptu, jak postupovat, nebo je směrována do produktových prezentací nejrůznějších technických nástrojů bez reálných souvislostí, zda jsou nebo nejsou potřeba.
Od počátku využíváme ZKB zejména jako metodický pokyn, který vedle ISO/IEC 27001:2013 řeší bezpečnost informací systematickým způsobem, o který se lze dobře opřít. Sledujeme naplnění 2 hlavních cílů ZKB:
- Formální – splnění požadavků zákona,
- Věcné – snížení rizik spojených s provozem informačních technologií.
Některé společnosti se s námi rozhodly spolupracovat na zavedení řízení bezpečnosti informací podle ZKB. Řešení je jednoduché:
1. Hodnocení stávajícího prostředí – GAP analýza k ZKB, kdy je cílem zhodnotit, co je použitelné ve stávajícím prostředí a identifikovat oblasti pro další postup.
2. Provedení organizačních opatření vyplývajících z GAP analýzy vč. dokumentace.
3. Implementace technických opatření vyplývajících z GAP analýzy.
4. Takto vytvořený systém je možné libovolně certifikovat podle ISO/IEC 27001:2013.
Na konci celého procesu mají být v našem pojetí všichni zaměstnanci podle svých kompetencí schopni budovat anebo alespoň neporušovat zavedená pravidla. Systém řízení bezpečnosti informací nastavujeme společně se zákazníkem, abychom nenásilnou cestou předávali naše zkušenosti a know-how. Základním předpokladem pro takový přístup je dostatečná míra kompetencí bezpečnostních rolí na straně zákazníka. Proto nabízíme pro jednotlivé role, jak je ZKB vyžaduje (v případě KII) nebo jak je rozumné je nastavit (v případě VIS), specializovaná školení, která umožňují rychlým způsobem utřídit načerpané informace k ZKB.