Paragraf - 6
§ 6
Organizační bezpečnost. K čemu slouží výbor kybernetické bezpečnosti a jaké jsou bezpečnostní role dle VKB?
Organizační bezpečnost
Kybernetickou bezpečnost je nutné zajistit i organizačně s ohledem na rozsah ISMS. Organizace musí mít definované a přidělené odpovědnosti a pravomoci ve vztahu k ISMS. To se týká jak vrcholového vedení, tak výboru kybernetické bezpečnosti a bezpečnostních rolí, jejichž stanovení ukládá VKB. Ze strany vedení organizace je vyžadována zejména níže popsaná aktivita:
Co by mělo vedení organizace udělat?
- Zajistit stanovení bezpečnostní politiky a cílů ISMS slučitelných se strategickým směrováním organizace a integraci ISMS do všech souvisejících procesů v rámci organizace,
- zajistit dostupnost zdrojů (např. lidských, finančních),
- informovat zaměstnance o významu ISMS a významu dosažení shody s jeho požadavky se všemi dotčenými stranami,
- zajistit podporu k dosažení zamýšlených výstupů ISMS,
- vést zaměstnance k rozvíjení efektivity ISMS a podporovat je při tomto rozvíjení,
- prosazovat neustálé zlepšování ISMS,
- podporovat osoby zastávající bezpečnostní role při prosazování kybernetické bezpečnosti v oblastech jejich odpovědnosti,
- zajistit stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečnostní role a zajistit, aby byla zachována mlčenlivost administrátorů a osob zastávajících bezpečnostní role,
- pro osoby zastávající bezpečnostní role zajistit příslušné pravomoci a zdroje včetně rozpočtových prostředků k naplňování jejich rolí a plnění souvisejících úkolů,
- zajistit testování plánů kontinuity činností, obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů.
Vrcholové vedení organizace by mělo být zapojeno do testování plánů kontinuity činností, obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů. Hlavním důvodem zapojení vrcholového vedení do testování těchto plánů je především účast všech zainteresovaných stran proto, aby byla zajištěna úplná simulace průběhu nastalé krizové situace a její řešení aktivací plánů zpracovaných ke zvládání těchto situací.
V rámci testů je nezbytné testovat také rozhodovací schopnosti, je tedy nezbytné, aby byly do testů zapojeny osoby s potřebnými pravomocemi. Proces zvládání řízení kontinuity by měl být zautomatizovaný a všichni účastnící musí vědět, jaký je jejich úkol.
Nedílným požadavkem je taktéž zajištění stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečnostní role. Do relevantních směrnic, organizačních řádů a smluv s konkrétními fyzickými osobami je potřeba zapracovat ustanovení o bezpečnosti informací – dohody o mlčenlivosti, o zachování důvěrnosti apod.
Výbor kybernetické bezpečnosti
Výbor kybernetické bezpečnosti je tvořen osobami s příslušnými pravomocemi a odbornou způsobilostí pro celkové řízení a rozvoj ISMS a osobami významně se na ISMS a koordinaci souvisejících činnostech podílejícími. Alespoň jedním ze členů výboru kybernetické bezpečnosti musí být zástupce vrcholového vedení, nebo jím pověřená osoba, a manažer kybernetické bezpečnosti. Vzhledem k rozhodovací pravomoci vrcholového vedení by spolu měli vrcholové vedení a manažer kybernetické bezpečnosti úzce komunikovat. Při sestavování výboru kybernetické bezpečnosti je vhodné přihlédnout k doporučením uvedeným v příloze 6 VKB.
Do výboru je vhodné nominovat takové osoby, které se problematice v IT oblasti a kybernetické bezpečnosti v dostatečné míře orientují, aby bylo zajištěno, že výbor bude bez zbytečných prodlev přijímat kvalifikovaná rozhodnutí. Ve výboru by měl být minimálně manažer kybernetické bezpečnosti a osoba z vedení organizace, popřípadě osoba z IT oddělení. Určení dalších členů závisí na dané organizaci.
Výbor kybernetické bezpečnosti je možné za určitých podmínek sdílet (např. v rámci holdingových struktur), je však potřeba zajistit, aby výbor skutečně plnil funkci, pro kterou byl zřízen, a aby jeho členové všechny řízené organizace znali.
Bezpečnostní role
Vyhláška definuje tyto bezpečnostní role:
- Manažer kybernetické bezpečnosti,
- architekt kybernetické bezpečnosti,
- auditor kybernetické bezpečnosti,
- garant aktiva.
Správce a provozovatel významného informačního systému (ve smyslu § 3 písm. e) ZKB) určí minimálně bezpečnostní role manažera kybernetické bezpečnosti a garantů aktiv, přičemž u manažera kybernetické bezpečnosti zajistí zastupitelnost. Ostatní bezpečnostní role určí přiměřeně vzhledem k rozsahu a potřebám ISMS.
Správce a provozovatel informačního systému kritické informační infrastruktury, správce a provozovatel komunikačního systému kritické informační infrastruktury a správce a provozovatel informačního systému základní služby určí všechny bezpečnostní role, přičemž zajistí zastupitelnost bezpečnostních rolí manažer kybernetické bezpečnosti a architekt kybernetické bezpečnosti.
Požadavek na zastupitelnost reaguje na poznatky z prováděných kontrol dodržování ZKB, kdy bylo zjištěno, že osoby zajišťující výkon povinných bezpečnostních rolí nemají v organizaci adekvátní zástup. Tato skutečnost může mít mimo jiné vliv na zajištění kontinuity některých činností organizace:
- Pro zajištění patřičné zastupitelnosti je možné rozložit povinnosti a kompetence mezi více osob.
- Pro zastupující osoby se požadavky kladené na odbornou způsobilost a praxi použijí přiměřeně.
Outsourcing bezpečnostních rolí
Obecně je možné roli manažera kybernetické bezpečnosti (i dalších bezpečnostních rolí) outsourcovat, a to včetně odpovědnosti za řízení ISMS. Avšak takový manažer kybernetické bezpečnosti musí mít dostatečnou znalost prostředí organizace a mít zajištěny dostatečné kompetence, aby mohl roli reálně naplňovat. Stejně jako manažer interní. U externisty musí být odpovědnosti a kompetence dostatečně smluvně ošetřeny, stejně jako je třeba interními předpisy organizace stanovit, že stanovisko manažera kybernetické bezpečnosti bude v relevantních otázkách pro management závazné.