Zákony a předpisy upravující kybernetickou bezpečnost

Vymezení organizační bezpečnosti a zejména ukotvení kybernetické či ICT bezpečnosti v rámci již fungujících struktur organizace je velmi zásadní pro případné zvládání kybernetických hrozeb či útoků.

Problematika bezpečnosti by měla být v rámci organizaci řešena na operativní, taktické, ale i strategické úrovni z pohledu managementu organizace.

Z pohledu bezpečnosti je významné, aby byl útvar (odbor) kybernetické bezpečnosti oddělen od útvaru (odboru), který zajišťuje provoz ICT.[1]

Organizační bezpečnost standardně spočívá v tom, že určené subjekty s ohledem na systém řízení bezpečnosti informací:

• zajistí stanovení bezpečnostní politiky a cílů ISMS tak, aby byly slučitelné se strategickým směřováním povinné osoby,
• zajistí integraci ISMS do procesů povinné osoby,
• zajistí dostupnost zdrojů potřebných pro ISMS,
• informují zaměstnance o významu ISMS a významu dosažení shody s jeho požadavky se všemi dotčenými stranami,
• zajistí podporu k dosažení zamýšlených výstupů ISMS,
• vedou zaměstnance k rozvíjení efektivity ISMS a podporují je při tomto rozvíjení,
• prosazují neustálé zlepšování ISMS,
• podporují osoby zastávající bezpečnostní role při prosazování kybernetické bezpečnosti v oblastech jejich odpovědnosti,
• zajistí stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečnostní role,

• manažer kybernetické bezpečnosti,
• architekt kybernetické bezpečnosti,
• garant aktiva,
• auditor kybernetické bezpečnosti.
• zajistí, aby byla zachována mlčenlivost administrátorů a osob zastávajících bezpečnostní role,
• pro osoby zastávající bezpečnostní role zajistí příslušné pravomoci a zdroje včetně rozpočtových prostředků k naplňování jejich rolí a plnění souvisejících úkolů,
• zajistí testování plánů kontinuity činností, obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů.

Pro přiřazení a zobrazení (v rámci tabulky) odpovědností jednotlivých osob (bezpečnostních rolí dle VoKB) v rámci organizace je vhodné použít matici odpovědnosti RACI  (matice RACI). RACI je akronym z počátečních písmen slov:

R - Responsible	kdo je odpovědný za vykonání svěřeného úkolu (dané aktivity)
A – Accountable (či Approver)	kdo je odpovědný za celý úkol, respektive za to, že je daný proces vykonán tak, jak bylo předdefinováno
C - Consulted	kdo může poskytnout cenou radu či konzultaci k úkolu, avšak nepřebírá odpovědnost za výkon procesu
I - Informed	kdo má být informován o průběhu úkolu či rozhodnutích v úkolu

Platí pravidlo, že celkovou odpovědnost (A - Accountability)  má k danému úkolu pouze jedna osoba, zapojených lidí (R - Responsibility) by mělo být přiměřeně k danému úkolu. Metoda RACI je jednoduchou formou modelu kompetencí.[2]

Obrázek: RACI matice[3]