Zákony a předpisy upravující kybernetickou bezpečnost

ℹ️

SHRNUTÍ/ HLAVNÍ VÝSTUPY Z KAPITOLY

• Důvodů pro zavádění a implementaci kybernetické bezpečnosti existuje celá řada. Mezi ty nejběžnější je možné zařadit například negativní ekonomický dopad v případě úspěšného kybernetického útoku, při kterém jsou zcizena citlivá data. Úspěšný kybernetický útok také může ohrozit vlastní chod a fungování organizace, neboť může dojít například k omezení přístupu k počítačovým systémům nebo datům pomocí ransomware. Dalším z důvodů pro zavedení kybernetické bezpečnosti také může být i ztráta kredibility dané napadené organizace.
• V současné době je nejvýznamějším dokumentem Evropské unie, vztahujícím se k problematice kybernetické bezpečnosti, DIRECTIVE (EU) 2016/1148 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL, of 6 July 2016, concerning measures for a high common level of security of network and information systems across the Union.
• Systém řízení bezpečnosti informací (angl. Information Security Management System - ISMS) představuje soubor pravidel, jejichž cílem je zachovat důvěrnost, integritu a dostupnost informací aplikováním procesu řízení rizik a dát jistotu zainteresovaným stranám, že jsou rizika přiměřeně řízena.
• Řešení ISMS vyžaduje systémový a komplexní přístup, respektující principy a prvky v rámci celého životního cyklu kybernetické bezpečnosti. Systém řízení ISMS je založen na Demingově cyklu, neboli též na PDCA cyklu (Plan-Do-Check-Act; Plánuj-Dělej-Kontroluj-Jednej).
• PDCA cyklus je jedním ze základních manažerských principů spočívající v postupném zlepšování kvality procesů, služeb, dat, výrobků aj. díky neustálému opakování jeho čtyř základních činností: Plan-Do-Check-Act.
• Hodnota rizika je nejčastěji vyjádřena jako funkce, kterou ovlivňuje dopad, hrozba a zranitelnost. Pro vlastní hodnocení rizika lze využít například následující funkci:
  • Riziko = dopad * hrozba * zranitelnost
• Bezpečnostní politikou rozumí soubor zásad a pravidel, které určují způsob zajištění ochrany aktiv.
• Vymezení organizační bezpečnosti a zejména ukotvení kybernetické či ICT bezpečnosti v rámci již fungujících struktur organizace je velmi zásadní pro případné zvládání kybernetických hrozeb či útoků.
• Aktivem se rozumí cokoliv, co má určitou hodnotu pro osobu, organizaci či stát.
• Podpůrným aktivem je technické aktivum, zaměstnanci a dodavatelé podílející se na provozu, rozvoji, správě nebo bezpečnosti informačního a komunikačního systému.
• Primárním aktivem je informace nebo služba, kterou zpracovává nebo poskytuje informační a komunikační systém
• Řízení kontinuity činností (Business Continuity Management - BCM) představuje proces spočívající identifikaci klíčových prvků (systémů a procesů) v organizaci a následném nastavení procesů a postupů umožňujících zajištění kontinuity či obnovy těchto prvků, na předem definované úrovni, na které bude ještě možno plnit základní úlohy organizace.

🗝️

KLÍČOVÁ SLOVA K ZAPAMATOVÁNÍ

• NIS directive
• ISMS
• PDCA
• Hrozba
• Riziko
• Dopad
• Zranitelnost
• Bezpečnostní politika
• Aktivum
• Fyzická bezpečnost
• Business Continuity Management

❓

KONTROLNÍ OTÁZKY