Bezpečnostní standardy uvedené v tomto dokumentu mají charakter právně nezávazných doporučení. Z toho důvodu není ani přesně určen okruh subjektů, na které by měly dopadat. Typickým příkladem relevantních subjektů však budou obecní úřady, zdravotnická zařízení, školy nebo soukromé firmy. Dokument je přehledně rozdělen na manažerskou a technickou část, má bezmála padesát stran a je k dispozici k volnému stažení zde. Podívejme se v tomto příspěvku především na rychlý přehled toho, co Minimální bezpečnostní standard nabízí.
V manažerské části je zdůrazněna potřeba vytvoření přiměřené bezpečnostní politiky a bezpečnostní dokumentace. Příklady oblastí, pro které by měly být vytvořeny, jsou politiky (strategie) řízení informací, bezpečného chování uživatelů, zálohování, fyzické bezpečnosti či zvládání kybernetických bezpečnostních incidentů. Tyto politiky by měly být schváleny na stejné úrovni jako jiné interní úkony tak, aby byla zajištěna jejich vymahatelnost. Je tedy také kladen důraz na podporu vedení organizace při prosazování kybernetické bezpečnosti.
Klasifikace a ochrana informací je přehledně popsána na základě jejich důvěrnosti, dostupnosti a závažnosti důsledků případného narušení jejich integrity. Dále se manažerská část zabývá řízením dodavatelů, pracovníků, kontinuity činností, změnovým řízením nebo auditem kybernetické bezpečnosti.
Cílem řízení dodavatelů je především předejití nejčastějších problémů vznikajících při využívání externích služeb, a to např. vzniku tzv. vendor lock-inu či zajištění nedostatečné ochrany informací poskytnutých dodavatelům. Toho lze dosáhnout především správně napsanou smlouvou s dodavatelem, jejíž zásadní prvky standard vyjmenovává. Pro další podrobnosti v oblasti smluvních vztahů standard odkazuje na již dříve zveřejněný podpůrný materiál.
V oblasti řízení pracovníků je těžištěm školení administrátorů, uživatelů i osob zastávajících bezpečnostní role a kontrolování plnění jejich povinností. V této souvislosti je vhodné upozornit na informační dokumenty, které NÚKIB uveřejňuje na svém webu, pro zaměstnance veřejné správy pak na e-learningový kurz základů kybernetické bezpečnosti a kurz pro manažery kybernetické bezpečnosti, na které je možné se za symbolickou cenu přihlásit na webu Institutu pro veřejnou správu Praha.
Technická část se věnuje požadavkům na fyzickou bezpečnost dat, kryptografické prostředky, ochranu před škodlivým kódem, řízení přístupů k informacím, řešení kybernetických bezpečnostních událostí a incidentů a podobně. Dočteme se zde také o požadavcích na sílu a obměnu hesel či doporučených parametrech cloudových služeb. Technická část v řadě oblastí čerpá inspiraci na nároky na bezpečnost z vyhlášky o kybernetické bezpečnosti (vyhláška č. 82/2018 Sb.).
Shrnutí
Minimální bezpečnostní standard je sestaven jako přehledný a praktický dokument, který může usnadnit orientaci a nastavení procesů v mnoha veřejných i soukromých organizacích, které potřebují řešit problematiku kybernetické bezpečnosti. To v dnešní době znamená velmi široký okruh subjektů. Je tak po nedávno vydaném Bezpečnostním standardu pro videokonference dalším podpůrným materiálem týkajícím se kybernetické bezpečnosti, které jsou zveřejňovány na webu NÚKIB. Je dobré, že NÚKIB takto pozitivně přispívá k rozšiřování povědomí o oblasti kybernetické bezpečnosti.
Zdroje článku
- zde https://www.govcert.cz/download/kii-vis/obecne/2020-07-17_Minimalni-bezpecnostni-standard_v1.0.pdf
- již dříve zveřejněný podpůrný materiál https://www.govcert.cz/download/kii-vis/VKB/Vyklad_pozadavku_na_smlouvy_s_dodavateli_v1.1.pdf
- informační dokumenty, které NÚKIB uveřejňuje na svém webu https://www.nukib.cz/cs/vzdelavani/
- webu Institutu pro veřejnou správu Praha https://www.institutpraha.cz/kurzy/kyberneticka-bezpecnost/
- webu NÚKIB https://www.govcert.cz/cs/regulace-a-kontrola/podpurne-materialy/
