§ 5 Stanovení bezpečnostních rolí

Podívejte se na role dle vyhlášky blíže. Jaké zastávají činnosti a jaké musí splňovat kvalifikační předpoklady?


Vyhláška definuje tyto bezpečnostní role: 

  • manažer kybernetické bezpečnosti, 
  • architekt kybernetické bezpečnosti, 
  • auditor kybernetické bezpečnosti a 
  • garant aktiva. 

Při určování osob zastávajících bezpečnostní role je vhodné přihlédnout k doporučením vycházejícím z dobré praxe uvedeným v podpůrném materiálu Požadavky na bezpečnostní role

V případě, že je v rámci jedné organizace v rozsahu řízení KB více regulovaných služeb, není nutné jmenovat do jednotlivých rolí pro každou regulovanou službu rozdílné osoby, tedy jedna bezpečnostní role může být odpovědná za více regulovaných služeb.

k

Osoby podílející se na zajišťování kybernetické bezpečnosti. Zdroj: govcert.cz

Manažer kybernetické bezpečnosti

Manažer kybernetické bezpečnosti je bezpečnostní role odpovědná za ISMS. Jedná se o zcela klíčovou roli, zajišťující správné fungování ISMS. Pro tuto činnost proto musí prokázat odbornou způsobilost a praxi. Minimální délka praxe je stanovena na 3 roky, protože za tuto dobu je možné získat dostatek zkušeností pro výkon této role.

Mezi povinnosti manažera kybernetické bezpečnosti patří pravidelné informování vrcholného vedení o činnostech vyplývajících z výkonu jeho role, zejména o stavu ISMS. Účelem této komunikace je zajistit dostatečnou informovanost a zapojení vrcholného vedení a podpořit efektivní prosazování ISMS v organizaci.

Je potřeba odlišovat manažera kybernetické bezpečnosti a vrcholné vedení, které je ve výsledku odpovědné za řízení organizace.

Role manažera kybernetické bezpečnosti v detailu

Manažer kybernetické bezpečnosti má svěřeny pravomoci k řízení ISMS, má povědomí o všech kyberbezpečnostních otázkách v organizaci, řídí je, koordinuje, komunikuje s vedením, zajišťuje souhlas vedení s kroky, které navrhuje, informuje vedení o tom, jakým způsobem ISMS zavádí atd. Vlastní faktické zavádění bezpečnostních opatření v organizaci už může dělat někdo jiný, manažer kybernetické bezpečnosti však funguje jako „centrální mozek“.

Vzhledem k náplni práce manažera kybernetické bezpečnosti nesmí být osoba vykonávající tuto roli pověřena výkonem rolí odpovědných za provoz technických aktiv regulované služby. Organizační zařazení osoby zastávající roli manažera kybernetické bezpečnosti je na uvážení organizace. Pro zajištění jeho nezávislosti a dostatečných pravomocí je však vhodné, aby měl přímou vazbu na vrcholné vedení a byl zařazen co nejvýše v organizační struktuře.

Architekt kybernetické bezpečnosti

Architekt kybernetické bezpečnosti je pověřen zajištěním návrhu implementace bezpečnostních opatření tak, aby byla zajištěna bezpečná architektura regulované služby, až např. po bezpečnost na aplikační úrovni.

Výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s navrhováním implementace bezpečnostních opatření a zajišťováním bezpečné architektury regulované služby. Doba požadované praxe je stejná jako u role manažer kybernetické bezpečnosti, tedy nejméně 3 roky. Výkon této role je možné rozdělit mezi více osob při zohlednění využívaných technologií a jejich zaměření.

Garant aktiva

Garant aktiva je bezpečnostní role pověřená zajištěním rozvoje, správného používání a bezpečnosti svěřeného aktiva. Garant aktiva je také osoba, která prosazuje zajišťování důvěrnosti, dostupnosti a integrity aktiva, jehož je správcem. Dále je vhodné, aby se garant aktiva podílel nejen na hodnocení daného aktiva, ale také na určení a hodnocení souvisejících rizik, protože je s tímto aktivem nejvíce obeznámen. Mimo jiné se podílí na stanovení parametrů pro řízení kontinuity činností. Určení garantů aktiv je požadováno jak u aktiv primárních, tak podpůrných.

Auditor kybernetické bezpečnosti

Auditor kybernetické bezpečnosti je pověřen prováděním auditu kybernetické bezpečnosti. Výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s prováděním auditů kybernetické bezpečnosti nebo auditů ISMS v délce alespoň 3 let. Auditor kybernetické bezpečnosti se především zaručuje za nestranné provedení auditu, přičemž výkon dané role není slučitelný s výkonem jiných bezpečnostních rolí.