Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) připravil ve spolupráci s Národní agenturou pro komunikační a informační technologie (NAKIT) a Ministerstvem vnitra (MV ČR) dokument s názvem Minimální bezpečnostní standard. Ten je určen zejména organizacím, které nespadají pod působnost zákona č. 181/2014, o kybernetické bezpečnosti (ZoKB), ale chtějí problematiku kybernetické a informační bezpečnosti řešit. Tento metodický dokument vychází právě ze ZoKB a rovněž z požadavků norem řady ISO/IEC 27000 Management systémů informační bezpečnosti.
Dle autorů je dokument cílen zejména na obecní úřady, zdravotnická zařízení nebo školy. Stejné uplatnění ovšem najde i v malých a středních firmách a obecně všude tam, kde není požadavek (ať už zákonný nebo manažerský) na plný soulad se ZoKB nebo ISO 27000. Celá metodika je velmi vhodně rozdělena na manažerskou a technickou část.
Manažerská část v úvodu podtrhuje nutnost plné podpory vedení organizace při zavádění systémů řízení informační bezpečnosti. Naše zkušenosti toto základní východisko potvrzují. Efektivní řízení informační bezpečnosti totiž vyžaduje alokovaní potřebných zdrojů, zejména v oblasti personální a podporu při vytváření a aplikace související dokumentace. Klíčové oblasti, jako jsou problematika řízení kontinuity činností nebo řízení lidských zdrojů se pak bez plné podpory vedení neobejdou nikdy.
První část rovněž hovoří o jednotlivých rolích v systémů řízení kybernetické bezpečnosti. Tady řada organizací naráží na problém lidských zdrojů. V dnešní době však již není problém jednotlivé role řešit dodavatelsky – ať už se jedná o manažera kybernetické bezpečnosti nebo o auditora kybernetické bezpečnosti. S pokrytím těchto rolí vám rádi pomůžeme. Více o jednotlivých rolích najdete v dalším materiálu NÚKIB zde.
Druhá část dokumentu je techničtější a je určena spíše IT pozicím, starajícím se o praktickou realizaci nastavených požadavků. Vedle základních požadavků na fyzickou bezpečnost nebo řízení přístupů přináší celou řadu doporučení, která bývají při absenci procesů řízení kybernetické bezpečnosti v organizaci podceňována. Namátkou se jedná například o řízení privilegovaných účtů, politiky hesel nebo prevenci šíření škodlivého kódu.
Podstatná část je věnována řízení bezpečnostních událostí a incidentů, tedy zejména reakce na tyto události, jejich zvládání a zejména podmínkám a předpokladům pro jejich následnou analýzu, která je klíčová pro návrh následných opatření.
Dokument doporučujeme prostudovat odpovědným manažerům všech organizací bez výjimky (min. první část) a pochopitelně všem osobám odpovědným za řízení IT v organizaci. Další informace pak můžete získat například pomocí našich školení v oblasti řízení bezpečnosti informací.
Celý dokument je ke stažení zde.
