Jaké povinnosti začnou už za rok platit pro subjekty v režimu nižších povinností, tedy v kategorii important, už víme z předchozího dílu našeho seriálu o chystaných novinkách v kybernetické bezpečnosti Regulace podle NIS2. Dnes se podíváme na subjekty v kategorii essential, tedy takzvaný režim vyšších povinností. I s přílohami má návrh příslušné vyhlášky 42 stran, a rozhodně to není tak, že by Národní úřad pro kybernetickou a informační bezpečnosti (NÚKIB) jen detailněji rozvedl pravidla dle nižšího režimu a odebral výjimky. Proto i my rozdělíme tyto povinnosti v rámci našeho seriálu na několik pokračování.
Tato vyhláška se bude týkat zejména velkých podniků, ekonomicky i personálně dostatečně silných na to, aby byly schopny nárokům vyhovět. Tomu odpovídá nejen to, že se kybernetické bezpečnosti bude věnovat celá řada lidí s rozdílnými bezpečnostními rolemi (v režimu nižších povinností toto bylo možné řešit určením jediné osoby odpovědné za kybernetickou bezpečnost), ale hlavně jejich postupy budou jiné, budou se řídit tím, s jakými bezpečnostními aktivy firma pracuje a jaká rizika na tato aktiva číhají.
NIS2 zaměstná v každém podniku minimálně tři experty
Představme si napřed osoby a obsazení. V těchto velkých korporacích bude vždy fungovat výbor pro řízení kybernetické bezpečnosti. Jeho složení, role jeho členů, jejich práva a povinnosti určuje vrcholné vedení společnosti. Ve výboru musí být povinně zástupce z těchto nejvyšších míst (nebo jím pověřená osoba) a manažer kybernetické bezpečnosti.
Výbor pak určí obsazení čtyř bezpečnostních rolí: manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, garanta aktiva a auditora kybernetické bezpečnosti.
První dva zmínění musejí mít zajištěnu zastupitelnost. Manažer i architekt musejí prokázat odbornou způsobilost příslušnou praxí (v případě manažera s řízením kybernetické bezpečnosti nebo s řízením bezpečnosti informací, v případě architekta s navrhováním implementace bezpečnostních opatření a zajišťováním architektury bezpečnosti) po dobu nejméně tří let, nebo jednoho roku, pokud jde o vysokoškoláka. U manažera i architekta je definován střet zájmů, tato funkce je neslučitelná s výkonem rolí odpovědných za provoz regulované služby. Převedeno do srozumitelného řeči, mimo hru pro tyto funkce jsou správci regulovaných systémů a aplikací.
Ještě přísněji je střet zájmů definován u auditora. Ten nesmí být pověřen výkonem jiných bezpečnostních rolí. Je to tedy osoba, jejíž náplní práce bude provádět audit kybernetické bezpečnosti a která prokáže odbornou způsobilost praxí ať už s předchozím prováděním auditů bezpečnosti, nebo auditů systémů řízení bezpečnosti informací. Opět je nutná praxe nejméně tříletá, u vysokoškoláků bude stačit jeden rok (přitom vůbec není podstatné, o jaký obor studia se jednalo).
Tedy zatímco u podniků střední velikosti s mírnějším režimem se mohla celá kyberbezpečnost odehrávat do určité míry jako „one man show“ a klidně to mohl být jeden ze stávajících IT pracovníků, jemuž se k jeho dosavadním povinnostem přidá několik úkolů navíc, v režimu essential už takové řetězení do úvahy nepřipadá. Vždy zde budou figurovat manažer a architekt (a kvůli vzájemné zastupitelnosti je vyloučeno, aby to byla dvojjediná funkce), každý z nich může být navíc i garantem určitého aktiva. A konečně zcela samostatně bude stát auditor, u kterého je vyloučen souběh úplně.
V naprosto minimalistickém, lowcostovém scénáři se tedy bavíme minimálně o 3 placených činovnících. Jako do určité míry past lze potom vnímat požadavek povinné praxe. Jestliže na manažera i architekta se potřebujete prokázat praxí z téže činnosti, o kterou usilujete, vyvstává otázka, kde takovou praxi prvotně získat… Patrně cesta povede přes juniorní pozice, které se příslušné činnosti věnují, aniž by byly po vymezenou dobu začleněny do rolí podle vyhlášky. Takže ve skutečnosti výchova nástupců si ve firmách vyžádá daleko vyšší nároky na lidské zdroje, než se na první pohled jeví.
Inventura aktiv ukáže, jaké hodnoty stojí za to chránit
Stěžejními povinnostmi v oblasti kyberbezpečnosti bude řídit aktiva a rizika, která je ohrožují. Vodítko pro vyhodnocení aktiv poskytuje příloha č. 1 k této vyhlášce. Rozlišují se primární a podpůrná aktiva, která se dále klasifikují podle důvěrnosti, integrity a dostupnosti.
Všechna tato kritéria mají čtyři úrovně: nízká, střední, vysoká a kritická. Ve stručnosti si je představme. U žebříčku důvěrnosti je na nejnižší úrovni aktivum veřejně přístupné nebo určené ke zveřejnění. U něj není vyžadována žádná ochrana. Do střední kategorie se řadí veřejně nepřístupná aktiva tvořící know-how podniku. Ochrana těchto informací sice není dána žádným právním předpisem nebo smlouvou, ale přesto by případný únik byl přinejmenším nepříjemný. Pro ochranu důvěrnosti je pak třeba využívat nástroje pro řízení přístupu. A v nejvyšších dvou kategoriích jsou neveřejně přístupná aktiva, u kterých předpisy nebo smlouvy vyžadují ochranu, či dokonce nadstandardní míru ochrany jako v případě zvláštní kategorie osobních údajů nebo strategického obchodního tajemství. Tam už je třeba řídit, ale i zaznamenávat přístup a přenosy je nutné chránit kryptografickými prostředky.
V žebříčku integrity na nejnižším stupni budou aktiva, kde ochrana celistvosti není požadována. Na střední úrovni, kdy se případné narušení integrity projeví méně závažnými dopady na primární aktiva, postačí standardní nástroje (které ale vyhláška nijak nespecifikuje). U vysokého a kritického stupně bude třeba sledovat historii prováděných změn a zaznamenávat, kdo změnu provedl.
A konečně hledisko dostupnosti, kde na nejnižší úrovni bohatě stačí pravidelné zálohování. Na střední úrovni, kde je přípustný výpadek nejdéle jeden pracovní den, se používají běžné metody zálohování a obnovy. U vysokého stupně by nedostupnost neměla překročit několik hodin a využívány by měly být záložní systémy uváděné do provozu obsluhou. A kritický stupeň, kde jde doslova o minuty, tam tyto systémy pro zálohování a obnovu musejí být rychlé a plně automatizované.
Je dobré poznamenat, že tyto stupnice nejsou ničím, přes co by lidově řečeno nejel vlak. Naopak NÚKIB doporučuje si je přizpůsobit svým potřebám. Regulovaná osoba tak může zvolit i jiný počet úrovní.
Hodnotíme dopady narušení bezpečnosti
Když už víme, podle čeho hodnotit, podle jakých kritérií a stupnic, pojďme přikročit k vlastnímu hodnocení aktiv. Při tom se posuzuje, jaký dopad by mělo narušení bezpečnosti informací u jednotlivých aktiv. V oblasti primárních aktiv přináší vyhláška vodítko, podle jakého při hodnocení postupovat, včetně příkladů. Regulované subjekty musí posoudit ty oblasti, které jsou pro ně relevantní. Je tedy na jejich zodpovědnosti, jak si tyto jednotlivé oblasti vyhodnotí a jaký důraz jim dají.
Oblastí je deset a jedná se o minimální množinu k posouzení:
- rozsah a důležitost osobních údajů, zvláštních kategorií osobních údajů – v případě ohrožení tohoto aktiva je možný únik údajů fyzické osoby,
- rozsah dotčených právních povinností nebo jiných závazků nebo obchodního tajemství – ohrožení může znamenat například narušení povinnosti zveřejňovat dokumenty na elektronické úřední desce, která musí být nepřetržitě dostupná vzdáleným přístupem, nebo porušení smlouvy a z ní plynoucí sankce,
- rozsah narušení vnitřních řídicích a kontrolních činností – může hrozit neúplnost nebo nežádoucí změna informací potřebných pro rozhodování vedení a kontrolní činnost,
- poškození veřejných, obchodních nebo ekonomických zájmů ma možné finanční ztráty – zde je jako příklad zmíněna nedostupnost informací o fakturách způsobená výpadkem ekonomického systému či nedostupnost informací o možných obchodních příležitostech a z toho plynoucí ušlý zisk,
- dopady na poskytování důležitých služeb – v tomto případě může dojít k narušení všech informací a služeb vztažených k regulované službě a hlavnímu účelu existence organizace,
- rozsah narušení běžných činností – tady půjde o omezení činnosti například personálního nebo ekonomického oddělení, správy budov a autoparku nebo neschopnost přijímat datové zprávy,
- dopady na zachování dobrého jména nebo ochranu dobré pověsti – může mít vliv na nedodržení závazků nebo únik interních informací,
- dopady na bezpečnost a zdraví osob – relevantní oblast například pro nemocnice, kdy ohrožení aktiva znamená neschopnost zajistit přístup ke zdravotní péči, možnost zranění a ztrát na životech,
- dopady na mezinárodní vztahy – jako příklad uveden únik informací od zahraničních partnerů, případně od partnera, který je součástí mezinárodního koncernu,
- dopady na uživatele informačního a komunikačního systému – ohrožení aktiva povede ke ztrátě možnosti přístupu uživatele ke službě, která v tu chvíli bude nedostupná.
Máme-li zhodnocena primární aktiva z hlediska důvěrnosti, integrity a dostupnosti a zařazena do jednotlivých úrovní, pokračujeme identifikací vazeb mezi nimi a zhodnocením podpůrných aktiv. U toho se opět zohledňuje především vazba na primární aktivum.
A když tohle celé máme, pak k řízení aktiv neodmyslitelně patří zavedení pravidel ochrany. V nich si regulovaný subjekt vydefinuje, jaké jsou přípustné způsoby používání chráněných aktiv, jak s nimi lze manipulovat, jak bude probíhat klasifikace informací a jaká budou platit pravidla pro označování aktiv. Součástí této dokumentace musí být i pravidla správy výměnných médií, pravidla pro bezpečné elektronické sdílení a fyzické přenášení aktiv a pravidla likvidace informací a dat a jejich kopií, včetně nakládání s nosiči dat.
Vše výše popsané jsou minimální pravidla pro řízení aktiv. Jestliže v minulém dílu jsme u režimu nižších povinností mluvili o tom, že vyhovění všem nárokům z hlediska kyberbezpečnosti vydá svým rozsahem na poctivou diplomovou práci, v případě režimu vyšších povinností si troufám říct, že takových diplomek bude sepsáno hned několik, v podstatě na každou z uložených povinností jednu.
V příštím díle budeme pokračovat řízením rizik, které je s řízením aktiv úzce spojeno.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU