Bezpečnost lidských zdrojů

Jednou z nejčastějších příčin kybernetických bezpečnostních incidentů je nedostatečné bezpečnostní povědomí v organizaci. Zvýšenou pozornost je proto třeba věnovat nejen prokazatelnému poučení a pravidelnému vzdělávání uživatelů, ale také cílené osvětě administrátorů, osoby pověřené kybernetickou bezpečností a vrcholného vedení, a to v souladu s požadavky vyhlášky a v rámci komplexního přístupu k bezpečnosti lidských zdrojů.

Politika bezpečného chování uživatelů

Poskytovatel regulované služby má dokumentovanou formou stanovit požadavky na bezpečné chování uživatelů a tyto požadavky vymáhat. V příloze č. 3 vyhlášky je uveden seznam oblastí, ze kterého by si každý poskytovatel regulované služby měl vybrat ty pro něj relevantní a dále je v politice bezpečného chování uživatelů rozpracovat dle svých konkrétních potřeb.

Témata pro rozvoj bezpečnostního povědomí dle přílohy č. 3

  • Techniky zabezpečení zařízení.
  • Firewall, antivirový program a jejich omezení.
  • Škodlivé programy a jejich projevy.
  • Rizika stahování programů a aplikací.
  • Aktualizace software.
  • Rizika povolení a zakázání spouštění maker.
  • Rizika spustitelných souborů.
  • Zásady zabezpečení uživatelských účtů.
  • Používání, tvorba a správa hesel.
  • Vícefaktorová autentizace.
  • Techniky sociálního inženýrství.
  • On-line identita, digitální stopa a její minimalizace.
  • Zásady práce v počítačové síti.
  • Používání vzdáleného připojení (VPN).
  • Bezpečná elektronická komunikace.
  • Bezpečnost webových stránek.
  • Zálohování, ukládání a šifrování dat.
  • Bezpečné používání přenosných technických nosičů dat.
  • Využívání služeb cloud computingu.
  • Pravidla a postupy pro oznamování neobvyklého chování technických aktiv a podezření na jakékoliv zranitelnosti.
  • Základní postup při reakci na kybernetickou bezpečnostní událost nebo kybernetický bezpečnostní incident.
  • Zásady bezpečného používání pracovních zařízení pro soukromé účely.
  • Zásady bezpečného používání soukromých zařízení pro pracovní účely (tzv. BYOD).
  • Osobní odpovědnost zaměstnance při dodržování zásad kybernetické bezpečnosti.
  • Aktuální hrozby v kybernetické bezpečnosti.

Informovaný a proškolený uživatel je totiž jedním z nejefektivnějších způsobů, jak eliminovat možné rizikové chování uživatele, které může mít negativní dopad na celou organizaci.

Pravidla rozvoje bezpečnostního povědomí

V souladu se stanovenou politikou bezpečného chování uživatelů je nutné stanovit pravidla rozvoje bezpečnostního povědomí pro vrcholné vedení, uživatele, administrátory a osobu pověřenou kybernetickou bezpečností, včetně pravidel pro tvorbu hesel reflektujících požadavky § 8 vyhlášky. Pravidla rozvoje bezpečnostního povědomí je nutné přizpůsobit prostředí organizace. Součástí těchto pravidel má být stanovení požadavků na vstupní a pravidelná školení v oblasti kybernetické bezpečnosti. Rozsah a frekvence účasti na školeních musí odpovídat potřebám jednotlivých skupin osob. 

Způsobů, jak zajistit vstupní a průběžná školení v organizaci, je více. Je možné tato školení zajistit například interními zdroji či absolvovat školení, jež zdarma nabízí Úřad v rámci šíření osvěty o kybernetické bezpečnosti. V souladu s nejlepší praxi je doporučené provádět pravidelná školení v oblasti kybernetické bezpečnosti alespoň jedenkrát ročně. 

Dále je třeba v souladu s pravidly rozvoje bezpečnostního povědomí zajistit:

  • Poučení vrcholného vedení o jeho povinnostech a o bezpečnostní politice, zejména v oblasti zajišťování kybernetické bezpečnosti, formou vstupních a pravidelných školení.
  • Vstupní a pravidelná školení v oblasti kybernetické bezpečnosti.
  • Potřebná odborná teoretická i praktická školení administrátorů a osoby pověřené kybernetickou bezpečností v souladu s jejich pracovní náplní.

O provedených školeních je třeba vést přehledy, včetně seznamů školených osob. Konkrétní školení by pak měla odpovídat cílové skupině uživatelů a jejich potřebám, současně by měla pružně reagovat na aktuální hrozby např. informováním o nich.

Kontrola dodržování stanovených pravidel

V souvislosti se stanovenými bezpečnostními politikami a bezpečnostní dokumentací je potřeba zajistit kontrolu jejich dodržování ze strany uživatelů, administrátorů a osoby pověřené kybernetickou bezpečností a stanovit pravidla a postupy pro řešení případů porušení bezpečnostní politiky a bezpečnostní dokumentace.

Příklady plnění:

  • Stanovení pravidel rozvoje bezpečnostního povědomí
    • Organizace má zpracovanou politiku bezpečného chování uživatelů.
    • Byla zhodnocena všechna témata přílohy č. 3 vyhlášky a byla vybrána ta, která jsou pro organizaci relevantní.
    • Organizace má stanovena pravidla pro rozvoj bezpečnostního povědomí přizpůsobená pro jednotlivé role, tj. vrcholné vedení, uživatele, administrátory a osobu pověřenou kybernetickou bezpečností. Dále jsou stanovena pravidla pro tvorbu hesel.
  • Vstupní a pravidelná školení
    • Každý nový zaměstnanec absolvuje vstupní školení v oblasti kybernetické bezpečnosti.
    • Jednou za rok probíhají prezenční průběžná školení kybernetické bezpečnosti uzpůsobená na míru organizaci.
    • Administrátoři a osoba pověřená kybernetickou bezpečností mají vlastní rozpočet na školení a několikrát ročně absolvují odborná školení v oblasti kybernetické bezpečnosti, jež mají teoretickou
      i praktickou náplň.

  • Dodržování stanovených pravidel
    • Kontrola dodržování bezpečnostní politiky a bezpečnostní dokumentace je jednou z povinností vedoucích zaměstnanců a probíhá v předem neoznámeném termínu jednou do roka.
    • Jsou stanovena pravidla a postupy pro řešení případů porušení bezpečnostní politiky a bezpečnostní dokumentace formou disciplinárního řízení.
    • Je důsledně vyžadováno dodržování bezpečnostní politiky a bezpečnostní dokumentace.

  • Vedení přehledů o školení
    • Jsou vedeny přehledy o školeních a seznamy osob, které tato školení absolvovaly.