Audit kybernetické bezpečnosti

Oblast kybernetické bezpečnosti je v České republice regulována zákonem č. 181/2014 Sb. a jeho prováděcími vyhláškami. Povinné osoby mají podle § 4 tohoto zákona povinnost zavést a provádět bezpečnostní opatření pro zajištění kybernetické bezpečnosti. Obsah a rozsah opatření stanovuje Národní úřad pro kybernetickou a informační bezpečnost vyhláškou 82/2018 Sb., která od 28.května 2018 nahrazuje vyhlášku 316/2014 Sb.

Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (VoKB, vyhláška o kybernetické bezpečnosti) upravuje:

obsah a strukturu bezpečnostní dokumentace,
obsah a rozsah bezpečnostních opatření,
typy, kategorie a hodnocení významnosti kybernetických bezpečnostních incidentů,
náležitosti a způsob hlášení kybernetického bezpečnostního incidentu,
náležitosti oznámení o provedení reaktivního opatření a jeho výsledku,
vzor oznámení kontaktních údajů a jeho formu a
způsob likvidace dat, provozních údajů, informací a jejich kopií.

Systém řízení informační bezpečnosti neboli ISMS (Information Security Management System) je součástí organizačních opatření, které je uvedeno ve VoKB v § 3 této vyhlášky. Systém je založen na přístupu k řízení rizik a při tom se využívají principy Demingova modelu PDCA.

Principy Demingova modelu PDCA. Zdroj: ISO 27000

Standardem systému řízení informační bezpečnosti je norma ISO 27001, která stanovuje požadavky bezpečnosti a je výchozím souborem kritérií pro certifikaci a audity. Splnění těchto požadavků organizace prokazuje odpovědnost k řízení bezpečnosti informací všem zainteresovaným stranám a buduje vzájemnou důvěru. Efektivní zavedení ISMS využívá základní principy, jako je povědomí o potřebě informační bezpečnosti, určení odpovědností, posuzování rizik a přijetí opatření pro dosažení přijatelné úrovně rizika a zajištění komplexního přístupu k řízení informační bezpečnosti a neustálé zlepšování ISMS.

Prvkem zpětné vazby řízení informační bezpečnosti je podle § 16 VoKB kontrola a audit kybernetické bezpečnosti. Audit prověřuje, že jsou plněny legislativní požadavky, mezi které patří ustanovení bezpečnostní politiky, vedení bezpečnostní dokumentace, ale i zlepšování systému bezpečnosti a odstraňování nedostatků nebo informování vedení organizaci o úrovni kybernetické bezpečnosti.

Audit provádí osoba s požadovanou odbornou způsobilostí a kvalifikací podle § 7 odstavce 4 VoKB. Doporučené požadavky jsou dále uvedeny v příloze č. 6 Vyhlášky (Tab. 4). Provádění auditu usnadňuje použití speciálních nástrojů a checklistů. Mezi takové patří nástroj pro podporu auditu, který je součástí výstupu diplomové práce. Práce je dostupná v databázi kvalifikačních prací VŠE.