Odborný úvod
Odborný úvod
Ve studijním obsahu se budete setkávat se zkratkami, které si vysvětlíme. Podíváme se i na definici bezpečnosti informací.
Používané zkratky
Slovník často používaných zkratek
- VKB: Vyhláška o kybernetické bezpečnosti. Myslí se vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidace dat.
- ZKB: Zákon o kybernetické bezpečnosti. Myslí se zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů.
- NÚKIB: Národní úřad pro kybernetickou a informační bezpečnost.
Bezpečnost informací
V rámci bezpečnosti informací se řeší ochrana informací, tedy zajištění jejich níže uvedených vlastností:
- Důvěrnost: vlastnost charakterizující, že informace není dostupná nebo není odhalena neautorizovaným jednotlivcům, entitám nebo procesům.
- Dostupnost: vlastnost přístupnosti a použitelnosti na žádost autorizované osoby.
- Integrita: vlastnost ochrany přesnosti a úplnosti dat. Jistota, že data nebyla změněna.
V oblasti zajišťování kybernetické bezpečnosti zahrnuje bezpečnost informací nejen bezpečnost informačních a komunikačních systémů, ale také s tím úzce související oblasti, jako je fyzická bezpečnost, ochrana osobních údajů, řízení lidských zdrojů, řízení vztahů s dodavateli atd.
Vizualizace bezpečnosti informací: Bezpečnost informací je takový stav, kdy je zajištěna důvěrnost, dostupnost a integrita současně a v souladu s požadavky na míru jejich zajištění. Zdroj: Vlastní tvorba
Vyhláška o kybernetické bezpečnosti
Vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti definuje v § 3 až 28 nezbytná bezpečnostní opatření v oblasti kybernetické bezpečnosti, pomocí jejichž aplikace by mělo být dosaženo přiměřené bezpečnosti informací. Vyhláška rozděluje bezpečnostní opatření na dvě základní části:
- Paragrafy 3 až 16, tedy organizační opatření,
- a paragrafy 17 až 28, tedy technická opatření.
Níže se můžete podívat na přehled jednotlivých paragrafů, které do organizačních a technických opatření patří. V tomto kurzu se dále soustředíme pouze na organizační opatření a rozebíráme § 3 až 16.
Organizační opatření dle vyhlášky o kybernetické bezpečnosti
Organizační opatření se týkají ustanovení systému řízení bezpečnosti informací, způsobu jejich nasazení, kontroly, zlepšování atd. Odpovídají například na otázku, proč vůbec zavádět konkrétní technická opatření a řeší plánování jejich nasazení.
Přehled: Paragrafy týkající se organizačních opatření. Zdroj: Vlastní tvorba
Technická opatření dle vyhlášky o kybernetické bezpečnosti
Technická opatření cílí na konkrétní technická řešení, která zajišťují požadované zabezpečení.
Přehled: Paragrafy týkající se technických opatření. Zdroj: Vlastní tvorba
Příklady bezpečnostních opatření
Konkrétní bezpečnostní opatření, která budou aplikována, by měla vyplynout z provedeného hodnocení rizik a zaváděná opatření by měla být vždy přiměřená. Bezpečnostní opatření musí být zaváděna v souladu se stanovenými cíli ISMS, bezpečnostními potřebami a hodnocením rizik.
- Příklad organizačních opatření: Školení zaměstnanců v oblasti kybernetické bezpečnosti.
- Příklad technických opatření: Segmentace sítě, implementace SIEM (nástroje pro sběr a nepřetržité vyhodnocování kybernetických bezpečnostních událostí).