KYBEZ

Žijeme ve společnosti, která se spoléhá na informační systémy a začíná být na nich závislá. Ohrožení jejich funkčnosti může způsobit ohrožení fungování základní infrastruktury potřebné pro život. Nepříjemné je také, že v důsledku vývoje ICT se neustále vyvíjí také bezpečnostní hrozby a vznikají nové. 
Jako reakce na nová rizika pro chod státu a jeho institucí je v těchto měsících přijímán zákon o kybernetické bezpečnosti, který představuje nový právní rámec pro řešení velkých bezpečnostních incidentů. Tedy těch, co přímo ohrožují kritickou síťovou infrastrukturu České republiky a jeho informační systémy. Prosazení připravovaného zákona o kybernetické bezpečnosti je zásadním počinem pro řešení bezpečnosti informačních systémů, a to nejen v oblasti organizací veřejné správy. Obchodní korporace a organizace, které budou podle tohoto zákona osobami povinnými, se musí včas seznámit, důsledně prostudovat a včasně realizovat požadavky v tomto zákoně uvedené.

Jak a před čím se chránit?

Smyslem kybernetické bezpečnosti je ochránit tzv. informační aktiva – tedy prvky informačního systému (hardwarové komponenty, aplikační a systémový software, datové struktury, atd.), které mají pro funkčnost IS a jeho provozovatele nezastupitelnou hodnotu. Na základě analýzy aktiv a jejich zranitelných míst musíme identifikovat možné bezpečnostní hrozby, které mohou napadnout konkrétní zranitelné místo konkrétního aktiva. Tedy popsat možnou hrozbu včetně možného zdroje hrozby, případně úmyslnost a motivaci útočníka, vliv hrozby na jednotlivé atributy informační bezpečnosti aktiva (dostupnost, integritu, důvěrnost). Součástí analýzy hrozby by měl být i odhad pravděpodobnosti, případě možné frekvence hrozby.

„Přínosem realizace projektu kybernetické bezpečnosti je dobrý pocit,  že náš informační systém je provozován řádně, že pro dostupnost, integritu a důvěrnost informačního systému bylo uděláno vše potřebné.“ 

Situaci, kdy se hrozba pokusí působit na zranitelné místo s cílem ohrozit informační bezpečnost aktiva, se říká bezpečnostní událost. Pokud se působením hrozby naruší vlastnosti aktiva natolik, že dojde k narušení informační bezpečnosti, vzniká bezpečnostní incident. Bezpečnostní incident je tedy stav aktiva a bezpečnostní událost aktivita, která k tomuto stavu vede.
Pro pochopení tohoto rozdílu můžeme uvést tento příklad: neoprávněné otevření dveří do datového centra považujeme za bezpečnostní incident a činnosti, které k němu mohou vést (například útok hrubou silou, manipulace se zámkem, neoprávněné použití klíčů, uvedení oprávněné osoby v omyl, atd.) budeme chápat jako bezpečnostní události.

Týká se to i mě?

Zákon o kybernetické bezpečnosti označuje dotčené subjekty jako povinné osoby. Těmi jsou v tomto případě subjekty spravující specifické informační a komunikační systémy. Jde tedy jen o takové subjekty, které se podílejí na významné elektronické komunikaci či provozují kritickou infrastrukturu. Těmto organizacím budou za standardní situace ukládány konkrétní povinnosti k zavedení bezpečnostních opatření, hlášení kybernetických bezpečnostních incidentů a provádění opatření pouze těm subjektům, jejichž systémy, sítě nebo služby mají zásadní význam pro fungování státu nebo informační společnosti.
Nejedná se tedy o poskytovatele obsahu, jednotlivé uživatelé ani provozovatele jiných služeb. Pouze při vyhlášení stavu kybernetického nebezpečí se okruh subjektů majících na úseku kybernetické bezpečnosti povinnost provádět opatření rozšiřuje i na ostatní poskytovatele služeb a správce systémů a sítí.
Co pro mě tedy znamená zavést kybernetickou bezpečnost? V první řadě zjistit, jaké slabiny má námi provozovaný informační systém, jaká mu hrozí rizika a navrhnout, jakými opatřeními a do jaké míry chceme tato rizika eliminovat. Potom je třeba navržená opatření realizovat, sledovat jejich dopady a snažit se dosažený stav udržet a dále zlepšovat. Optimální variantou je zavedení systému řízení bezpečnosti informací podle norem řady ISO 27000.

„Při vyhlášení stavu kybernetického nebezpečí se okruh dotčených subjektů rozšiřuje.“ 

Přínosem zavedení je vědomí,  že náš informační systém je provozován řádně, že pro dostupnost, integritu a důvěrnost informačního systému bylo uděláno všechno, co bylo potřeba udělat. Zavedením bezpečnostních opatření chráníme nejen sebe a náš informační systém, ale díky našemu zodpovědnému přístupu chráníme i informační systémy jiných provozovatelů dostupné v internetu. A v neposlední řadě splníme požadavky zákona o kybernetické bezpečnosti.

KYBEZ nabízí pomoc

Snad více než v jiných oblastech platí pro sféru kybernetické bezpečnost doporučení, nechat si zpracovat analýzu rizik, návrh bezpečnostních opatření i jejich realizací od odborníků, kteří se danou problematikou léta zabývají. I proto vznikl projekt KYBEZ (www.kybez.cz). KYBEZ je založený na efektivní spolupráci specializovaných komerčních firem z oblasti informačních technologií a akademických institucí, jehož cílem je zvyšovat informovanost o problematice kybernetické bezpečnosti, upozorňovat na nebezpečí z jejího podceňovaní a poskytovat řešení pro naplnění povinností úřadů, které jim přináší nová legislativní úprava.

Partneři projektu jsou připraveni pomoci orgánům veřejné moci i dalším zainteresovaným subjektům, jenž to myslí s bezpečností vážně, ve splnění požadavků, které na ně zákon o kybernetické bezpečnosti klade.

10 důvodů, proč se obrátit na projekt KYBEZ?

Známe IT prostředí ve více než 6000 organizacích veřejné správy i komerčních organizací.
Disponujeme zkušenostmi s realizací projektů s vysokými nároky na bezpečnost (MO ČR, MV ČR).
Máme více než 20 let praxe s poradenstvím v oblasti informační bezpečnosti.
Vytvořili jsme metodiku postupu zavádění systému řízení informací (ISMS) dle ISO/IEC 27001.
Dokážeme zajistit komplexně celou realizaci kybernetické bezpečnosti ve vaší organizaci.
Disponujeme odborníky ze soukromé i akademické sféry.
Jsme schopni důsledně analyzovat Vaše informační aktiva, zranitelná místa a identifikovat případné hrozby.
Nabízíme pouze špičkové, odzkoušené a přitom cenově dostupné komponenty.
Máme široké zkušenosti se vzděláváním IT specialistů i běžných uživatelů v oblasti informační bezpečnosti.
Jsme schopni vám pomoci i s administrací projektů, podklady pro výběrová řízení a žádostmi o finanční zdroje.

Vladimír Přech

Publikováno v magazínu Egovernment