Zákony a předpisy upravující kybernetickou bezpečnost
Požadavky na absolvování
5. Systém řízení bezpečnosti informací
5.9. SHRNUTÍ/ HLAVNÍ VÝSTUPY Z KAPITOLY
ℹ️
SHRNUTÍ/ HLAVNÍ VÝSTUPY Z KAPITOLY
- Důvodů pro zavádění a implementaci kybernetické bezpečnosti existuje celá řada. Mezi ty nejběžnější je možné zařadit například negativní ekonomický dopad v případě úspěšného kybernetického útoku, při kterém jsou zcizena citlivá data. Úspěšný kybernetický útok také může ohrozit vlastní chod a fungování organizace, neboť může dojít například k omezení přístupu k počítačovým systémům nebo datům pomocí ransomware. Dalším z důvodů pro zavedení kybernetické bezpečnosti také může být i ztráta kredibility dané napadené organizace.
- V současné době je nejvýznamějším dokumentem Evropské unie, vztahujícím se k problematice kybernetické bezpečnosti, DIRECTIVE (EU) 2016/1148 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL, of 6 July 2016, concerning measures for a high common level of security of network and information systems across the Union.
- Systém řízení bezpečnosti informací (angl. Information Security Management System - ISMS) představuje soubor pravidel, jejichž cílem je zachovat důvěrnost, integritu a dostupnost informací aplikováním procesu řízení rizik a dát jistotu zainteresovaným stranám, že jsou rizika přiměřeně řízena.
- Řešení ISMS vyžaduje systémový a komplexní přístup, respektující principy a prvky v rámci celého životního cyklu kybernetické bezpečnosti. Systém řízení ISMS je založen na Demingově cyklu, neboli též na PDCA cyklu (Plan-Do-Check-Act; Plánuj-Dělej-Kontroluj-Jednej).
- PDCA cyklus je jedním ze základních manažerských principů spočívající v postupném zlepšování kvality procesů, služeb, dat, výrobků aj. díky neustálému opakování jeho čtyř základních činností: Plan-Do-Check-Act.
- Hodnota rizika je nejčastěji vyjádřena jako
funkce, kterou ovlivňuje dopad, hrozba a zranitelnost. Pro vlastní hodnocení
rizika lze využít například následující funkci:
- Riziko = dopad * hrozba * zranitelnost
- Bezpečnostní politikou rozumí soubor zásad a pravidel, které určují způsob zajištění ochrany aktiv.
- Vymezení organizační bezpečnosti a zejména ukotvení kybernetické či ICT bezpečnosti v rámci již fungujících struktur organizace je velmi zásadní pro případné zvládání kybernetických hrozeb či útoků.
- Aktivem se rozumí cokoliv, co má určitou hodnotu pro osobu, organizaci či stát.
- Podpůrným aktivem je technické aktivum, zaměstnanci a dodavatelé podílející se na provozu, rozvoji, správě nebo bezpečnosti informačního a komunikačního systému.
- Primárním aktivem je informace nebo služba, kterou zpracovává nebo poskytuje informační a komunikační systém
- Řízení kontinuity činností (Business Continuity Management - BCM) představuje proces spočívající identifikaci klíčových prvků (systémů a procesů) v organizaci a následném nastavení procesů a postupů umožňujících zajištění kontinuity či obnovy těchto prvků, na předem definované úrovni, na které bude ještě možno plnit základní úlohy organizace.
🗝️
KLÍČOVÁ
SLOVA K ZAPAMATOVÁNÍ
- NIS directive
- ISMS
- PDCA
- Hrozba
- Riziko
- Dopad
- Zranitelnost
- Bezpečnostní politika
- Aktivum
- Fyzická bezpečnost
- Business Continuity Management
❓
KONTROLNÍ OTÁZKY
- Definujte ISMS.
- Co je to PDCA cyklus a jak se uplatňuje?
- Jaké komponenty je možné zařadit do fyzické bezpečnosti?
- Co znamená: Business Continuity Management?
- Definujte pojem hrozba.
- Definujte pojem riziko.
- Definujte pojem dopad.
- Definujte pojem zranitelnost.
- Definujte pojem aktivum.
- Jaká aktiva rozeznáváme a co vše je aktivem?