Nový zákon č. 181/2014 Sb. je primárně zaměřen na zvýšení bezpečnosti kritické infrastruktury státu a významných informačních systémů, spravujících osobní údaje velkého množství lidí. Smyslem nových pravidel stanovených zákonem je předcházení závažným bezpečnostním hrozbám a možnost jejich řešení v reálném čase. „To by pochopitelně nebylo možné bez stanovení pravidel spolupráce mezi veřejnou správou a soukromým sektorem, přičemž nový zákon klade na firmy a státní instituce, pokud jde o kybernetickou bezpečnost, poměrně vysoké nároky. Vybrané státní i soukromé organizace mají navíc za povinnost hlásit kybernetické útoky a v souladu se zákonem na ně reagovat,“ upřesňuje Vladimír Michálek, Inovation & Infrastructure Business Unit Director ve společnosti Servodata.
Dohled nad kybernetickou bezpečností je dle zákona svěřen Národnímu bezpečnostnímu úřadu (NBÚ) a Národnímu centru kybernetické bezpečnosti se sídlem v Brně. Jakmile dojde k bezpečnostnímu incidentu (případně existuje reálná hrozba), může NBÚ vydat reaktivní nebo ochranné opatření, vedoucí k řešení incidentu nebo k zabezpečení klíčové infrastruktury. Novinkou je i možnost vyhlášení stavu kybernetického nebezpečí.
O tom, že kybernetickou bezpečnost státu nelze brát na lehkou váhu, svědčí i nedávné prohlášení ředitele Agentury pro národní bezpečnost USA (NSA), který uvedl, že v Číně a několika dalších zemích působí organizované skupiny hackerů, které mohou zcela vyřadit z provozu klíčové součásti infrastruktury Spojených států, jako jsou elektrárny či aerolinky.
Na koho se vztahuje?
Zákon o kybernetické bezpečnosti se bude týkat v první řadě poskytovatelů internetového připojení a obecně telekomunikačních služeb. Důkladně prostudovat by si jej ale měli rovněž i další provozovatelé významných IT infrastruktur, kteří jsou definováni na základě předpisu č. 432/2010 Sb. Tento předpis stanovuje kritéria pro organizace z oblasti veřejné správy, zdravotnictví, dopravy, energetiky, finančních služeb i provozovatele dalších komunikačních a informačních systémů, podle kterých lze snadno zjistit, zdali se nový zákon na danou firmu či organizaci vztahuje. Na příchod nového zákona musí být připraveni i správci významných informačních systémů, mezi které patří mnoho státních organizací a orgánů veřejné moci.
V současné době již existuje návrh novely nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury (z pohledu kybernetické bezpečnosti), ve kterém jsou nově stanovena i kritéria týkající se počtu osob a přenosové rychlosti. Podle tohoto návrhu by mezi prvky kritické infrastruktury patřily i informační systémy spravované orgánem veřejné moci obsahující osobní údaje o více než 300 000 osobách a komunikační systémy zajišťující připojení nebo propojení prvku kritické infrastruktury s kapacitou garantovaného datového přenosu nejméně 1 Gb/s.
Jaké jsou povinnosti?
Firmy a organizace, na které se bude nový zákon č. 181/2014 Sb. vztahovat, se musí připravit na rozsáhlá organizační i technická opatření, zahrnující především zavedení systému řízení bezpečnosti informací a rizik, řízení přístupu osob ke kritické informační infrastruktuře nebo k významnému informačnímu systému a především také zvládání kybernetických bezpečnostních incidentů.
Požadovaná technická opatření zahrnují vedle fyzického zabezpečení také nutnost zavedení nástrojů na ochranu integrity komunikačních sítí, ověřování identity uživatelů, řízení přístupových oprávnění a rovněž i ochranu před škodlivým kódem. Součásti kritické informační infrastruktury a významné informační systémy musejí být rovněž pod neustálým monitoringem, včetně sledování činnosti administrátorů a uživatelů, a jejich provozovatelé musí nasadit nástroje pro detekci kybernetických bezpečnostních událostí, jejich sběr a vyhodnocování.
Jak se připravit?
Firmy a organizace splňující požadavky na systém řízení bezpečnosti informací dle norem řady ISO/IEC 27000 budou na požadavky nového zákona o kybernetické bezpečnosti pravděpodobně připraveny, jelikož většina opatření tohoto zákona vychází právě z těchto norem. „Velké problémy ovšem mohou mít firmy a organizace, které bezpečnost svých informačních a komunikačních systémů dlouhodobě podceňovaly,“ varuje Vladimír Michálek ze společnosti Servodata. Postup uvedení stavu bezpečnosti do souladu s požadavky zákona nebude u těchto institucí vůbec snadný. Je při něm třeba začít zmapováním aktuálního stavu informačních systémů (jaká data a jakým způsobem se v něm spravují) a pokračovat nastavením příslušných procesních a technických opatření. Za neplnění povinností nového zákona (například nehlášení bezpečnostních incidentů, nevedení bezpečnostní dokumentace apod.) může být uložena sankce do výše 100 000 Kč.
Nejlepším východiskem pro firmy a instituce, které nevědí, kde s uvedením vlastní bezpečnosti do souladu s novým zákonem začít, je konzultace s profesionálním poskytovatelem služeb a řešení v oblasti bezpečnosti informačních a komunikačních systémů. Zavedení a správu řízení bezpečnosti IT infrastruktury a dat lze rovněž čerpat jako službu od externího poskytovatele. „I zde je ovšem nezbytné zvolit si kvalitního a spolehlivého partnera, jelikož ani v tomto případě se provozovatel informačního systému nezbavuje zodpovědnosti za jeho bezpečnost,“ uzavírá Vladimír Michálek.
Servodata Group
Servodata patří dlouhodobě mezi nejvýznamnější platform providery v České republice a na Slovensku, zejména pro platformy Microsoft a Open Source.
Rozsáhlá nabídka služeb zahrnuje mimo jiné licenční management, celopodnikovou IT infrastrukturu (včetně archivace, databází, system managementu a virtualizace) i aplikační a integrační platformy. Servodata Group zajišťuje také byznys řešení pro digitalizaci dokumentů, komunikační platformy, Learning Management System a školení nejen pro senior IT specialisty.
Do skupiny Servodata Group patří mimo Servodata a.s. a Servodata Bratislava s.r.o. také společnosti DoxoLogic, s.r.o., DataScript, s.r.o., a S-COMP Centre CZ, s.r.o.
Skupina drží certifikace Systému řízení jakosti ISO 9001:2000, Systému řízení bezpečnosti informací ISO 27001:2005, Systém řízení jakosti projektů ISO 10006 a Systém managementu IT služeb ISO/IEC 20000-1.
Psali jsme:
Přidejte si PL do svých oblíbených zdrojů na Google Zprávy. Děkujeme.
autor: Tisková zpráva
