§ 7

Bezpečnostní role. Podívejte se na role dle VKB blíže. Jaké zastávají činnosti a jaké musí splňovat kvalifikační předpoklady?

Bezpečnostní role

Vyhláška definuje tyto bezpečnostní role: manažer kybernetické bezpečnosti, architekt kybernetické bezpečnosti, auditor kybernetické bezpečnosti a garant aktiva. Při určování osob zastávajících bezpečnostní role je vhodné přihlédnout k doporučením vycházejícím z dobré praxe uvedených v příloze č. 6 VKB. V případě, že je v rámci jedné organizace v rozsahu ISMS více informačních a komuni­kačních systémů, není nutné jmenovat do jednotlivých rolí pro každý systém rozdílné osoby, tedy jedna bezpečnostní role může být odpovědná za více systémů.

Osoby podílející se na zajišťování kybernetické bezpečnosti.

Osoby podílející se na zajišťování kybernetické bezpečnosti. Zdroj: govcert.cz

Manažer kybernetické bezpečnosti

Manažer kybernetické bezpečnosti je bezpečnostní role odpovědná za ISMS. Jedná se o zcela klíčovou roli, zajišťující správné fungování ISMS. Pro tuto činnost proto musí prokázat odbornou způsobilost a praxi. Délka praxe je stanovena na 3 roky a to proto, že za tuto dobu je možné získat dostatek zkušeností pro výkon této role. V případě absolvování vysoko­školského studia je délka požadované praxe zkrácena na 1 rok, a to vzhledem k tomu, že teoretické zkušenosti i praxe jsou získávány již během studia vysoké školy.

Mezi povinnosti manažera kybernetické bezpečnosti například patří informovat vrcholové vedení o činnostech vyplývajících z rozsahu jeho odpovědnosti a stavu ISMS. Cílem je, aby docházelo k usnadnění prosazování konceptu ISMS a k dobré informo­vanosti a zaintereso­vanosti vrcholového vedení do problematiky kybernetické bezpečnosti.

Funkce manažera kybernetické bezpečnosti podrobněji

Je potřeba odlišovat manažera kybernetické bezpečnosti a vrcholové vedení, které je ve výsledku odpovědné za řízení organizace. Odpovědnost za řízení ISMS, o které mluví VKB ve spojení s manažerem kybernetické bezpečnosti, je o tom, že jedna osoba má povědomí o všech kyber­bezpečnostních otázkách v organizaci, řídí je, koordinuje, komunikuje s vedením, zajišťuje souhlas vedení s kroky, které navrhuje, informuje vedení o tom, jakým způsobem ISMS zavádí atd. Vlastní faktické zavádění bezpečnostních opatření v organizaci už může dělat někdo jiný, manažer kybernetické bezpečnosti však funguje jako „centrální mozek.“

Vzhledem k náplni práce manažera kybernetické bezpečnosti nesmí být osoba vykonávající tuto roli pověřena výkonem rolí odpovědných za provoz informačního a komuni­kačního systému. Organizační zařazení osoby zastávající roli manažera je na uvážení povinné osoby. Je doporučené, aby byl přímo pod nejvyšším orgánem organizace, např. na úrovni bezpečnostního ředitele.

Architekt kybernetické bezpečnosti

Architekt kybernetické bezpečnosti je bezpečnostní role odpovědná za zajištění návrhu implementace bezpečnostních opatření tak, aby byla zajištěna bezpečná architektura informačního a komunikačního systému, až například po bezpečnost na aplikační úrovni.

Výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s navrhováním implementace bezpečnostních opatření a zajišťováním architektury bezpečnosti. Časové požadavky na praxi jsou stejné jako u role manažer kybernetické bezpečnosti, tedy doba nejméně tří let nebo doba jednoho roku v případě, že osoba vykonávající tuto roli absolvovala studium na vysoké škole. Výkon této role je možné rozdělit mezi více osob při zohlednění jejich zaměření a např. vzhledem k využívaným technologiím.

Garant aktiva

Garant kybernetické bezpečnosti je bezpečnostní role odpovědná za zajištění rozvoje, použití a bezpečnosti aktiva. Garant aktiva je také osoba, která prosazuje zajišťování důvěrnosti, dostupnosti a integrity aktiva, jehož je správcem. Je vhodné, aby i hodnocení aktiva prováděl jeho garant, protože je s tímto aktivem nejvíce obeznámen. Určení garantů aktiv je požadováno jak u aktiv primárních, tak podpůrných.

Auditor kybernetické bezpečnosti

Auditor kybernetické bezpečnosti je bezpečnostní role odpovědná za provádění auditu kybernetické bezpečnosti. Požadavky na odbornou způsobilost praxí jsou stejné jako u bezpečnostních rolí manažer kybernetické bezpečnosti a architekt kybernetické bezpečnosti. V případě auditora kybernetické bezpečnosti je klíčové, aby auditor vykonával svoji činnost nestranně, a nesmí být pověřen výkonem jiných bezpečnostních rolí.