personalista.com - 19. 12. 2014

Nový zákon č. 181/2014 Sb. je primárně zaměřen na zvýšení bezpečnosti kritické infrastruktury státu a významných informačních systémů, spravujících osobní údaje velkého množství lidí. Smyslem nových pravidel stanovených zákonem je předcházení závažným bezpečnostním hrozbám a možnost jejich řešení v reálném čase.

„To by pochopitelně nebylo možné bez stanovení pravidel spolupráce mezi veřejnou správou a soukromým sektorem, přičemž nový zákon klade na firmy a státní instituce, pokud jde o kybernetickou bezpečnost, poměrně vysoké nároky. Vybrané státní i soukromé organizace mají navíc za povinnost hlásit kybernetické útoky a v souladu se zákonem na ně reagovat,“ upřesňuje Vladimír Michálek, Inovation & Infrastructure Business Unit Director ve společnosti Servodata.

Dohled nad kybernetickou bezpečností je dle zákona svěřen Národnímu bezpečnostnímu úřadu (NBÚ) a Národnímu centru kybernetické bezpečnosti se sídlem v Brně. Jakmile dojde k bezpečnostnímu incidentu (případně existuje reálná hrozba), může NBÚ vydat reaktivní nebo ochranné opatření, vedoucí k řešení incidentu nebo k zabezpečení klíčové infrastruktury. Novinkou je i možnost vyhlášení stavu kybernetického nebezpečí.

O tom, že kybernetickou bezpečnost státu nelze brát na lehkou váhu, svědčí i nedávné prohlášení ředitele Agentury pro národní bezpečnost USA (NSA), který uvedl, že v Číně a několika dalších zemích působí organizované skupiny hackerů, které mohou zcela vyřadit z provozu klíčové součásti infrastruktury Spojených států, jako jsou elektrárny či aerolinky.

Na koho se vztahuje?

Zákon o kybernetické bezpečnosti se bude týkat v první řadě poskytovatelů internetového připojení a obecně telekomunikačních služeb. Důkladně prostudovat by si jej ale měli rovněž i další provozovatelé významných IT infrastruktur, kteří jsou definováni na základě předpisu č. 432/2010 Sb. Tento předpis stanovuje kritéria pro organizace z oblasti veřejné správy, zdravotnictví, dopravy, energetiky, finančních služeb i provozovatele dalších komunikačních a informačních systémů, podle kterých lze snadno zjistit, zdali se nový zákon na danou firmu či organizaci vztahuje. Na příchod nového zákona musí být připraveni i správci významných informačních systémů, mezi které patří mnoho státních organizací a orgánů veřejné moci.

V současné době již existuje návrh novely nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury (z pohledu kybernetické bezpečnosti), ve kterém jsou nově stanovena i kritéria týkající se počtu osob a přenosové rychlosti. Podle tohoto návrhu by mezi prvky kritické infrastruktury patřily i informační systémy spravované orgánem veřejné moci obsahující osobní údaje o více než 300 000 osobách a komunikační systémy zajišťující připojení nebo propojení prvku kritické infrastruktury s kapacitou garantovaného datového přenosu nejméně 1 Gb/s.

Jaké jsou povinnosti?

Firmy a organizace, na které se bude nový zákon č. 181/2014 Sb. vztahovat, se musí připravit na rozsáhlá organizační i technická opatření, zahrnující především zavedení systému řízení bezpečnosti informací a rizik, řízení přístupu osob ke kritické informační infrastruktuře nebo k významnému informačnímu systému a především také zvládání kybernetických bezpečnostních incidentů.

Požadovaná technická opatření zahrnují vedle fyzického zabezpečení také nutnost zavedení nástrojů na ochranu integrity komunikačních sítí, ověřování identity uživatelů, řízení přístupových oprávnění a rovněž i ochranu před škodlivým kódem. Součásti kritické informační infrastruktury a významné informační systémy musejí být rovněž pod neustálým monitoringem, včetně sledování činnosti administrátorů a uživatelů, a jejich provozovatelé musí nasadit nástroje pro detekci kybernetických bezpečnostních událostí, jejich sběr a vyhodnocování.

Jak se připravit?

Firmy a organizace splňující požadavky na systém řízení bezpečnosti informací dle norem řady ISO/IEC 27000 budou na požadavky nového zákona o kybernetické bezpečnosti pravděpodobně připraveny, jelikož většina opatření tohoto zákona vychází právě z těchto norem. „Velké problémy ovšem mohou mít firmy a organizace, které bezpečnost svých informačních a komunikačních systémů dlouhodobě podceňovaly,“ varuje Vladimír Michálek ze společnosti Servodata.

Postup uvedení stavu bezpečnosti do souladu s požadavky zákona nebude u těchto institucí vůbec snadný. Je při něm třeba začít zmapováním aktuálního stavu informačních systémů (jaká data a jakým způsobem se v něm spravují) a pokračovat nastavením příslušných procesních a technických opatření. Za neplnění povinností nového zákona (například nehlášení bezpečnostních incidentů, nevedení bezpečnostní dokumentace apod.) může být uložena sankce do výše 100 000 Kč.

Nejlepším východiskem pro firmy a instituce, které nevědí, kde s uvedením vlastní bezpečnosti do souladu s novým zákonem začít, je konzultace s profesionálním poskytovatelem služeb a řešení v oblasti bezpečnosti informačních a komunikačních systémů. Zavedení a správu řízení bezpečnosti IT infrastruktury a dat lze rovněž čerpat jako službu od externího poskytovatele. „I zde je ovšem nezbytné zvolit si kvalitního a spolehlivého partnera, jelikož ani v tomto případě se provozovatel informačního systému nezbavuje zodpovědnosti za jeho bezpečnost,“ uzavírá Vladimír Michálek.