Hľadáte niečo konkrétne?

Skúste zadať kľúčové slovo/-á.

Avris
  /     /  GDPR a ochrana informácií   /  Manažér kybernetickej bezpečnosti – externá verzus interná rola?

Manažér kybernetickej bezpečnosti – externá verzus interná rola?

Jednou z aktuálne intenzívne diskutovaných tém, s ktorou prichádza Zákon o kybernetickej bezpečnosti 69/2018 Z.z je povinnosť každého prevádzkovateľa základnej služby určiť Manažéra kybernetickej bezpečnosti. Ako však táto povinnosť vznikla? Kto je manažér kybernetickej bezpečnosti a aké sú jeho úlohy, či kvalifikačné predpoklady a kde ho vlastne vziať? Toto je len zopár otázok, ktoré si v poslednej dobe kladú predstavitelia obcí a miest zaradených Národným bezpečnostným úradom do registra prevádzkovateľov základnej služby.

Už takmer pred tromi rokmi vošiel do platnosti Zákon o kybernetickej bezpečnosti 69/2018 Z.z., ktorým sa ustanovujú minimálne požiadavky na zabezpečenie kybernetickej bezpečnosti prevádzkovateľov základnej služby a poskytovateľov digitálnych služieb.  V súlade s týmto zákonom je od januára 2019 účinná aj vyhláška 362 Národného bezpečnostného úradu, ktorou sa ustanovuje obsah bezpečnostných opatrení definovaných v § 20 ods. 1 ZoKB a na základe ktorej práve vzniká požiadavka na určenie „Manažéra kybernetickej bezpečnosti.“

IT bezpečnosť pod kontrolou

Overíme úroveň nastavenia kybernetickej alebo IT bezpečnosti u vás.

Disponujeme tímom  odborníkov so skúsenosťami z mnohých projektov. Tu nájdete všetko na tému informačná bezpečnosť.

Manažér kybernetickej bezpečnosti – požiadavky a zodpovednosť

Podľa ustanovení vyhlášky, manažér kybernetickej bezpečnosti:

  1. má možnosť predkladať návrhy a oznamovať informácie v oblasti kybernetickej bezpečnosti priamo štatutárnemu orgánu prevádzkovateľa základnej služby,
  2. zabezpečuje aplikáciu bezpečnostných opatrení v systéme riadenia kybernetickej bezpečnosti,
  3. je nezávislý od riadenia prevádzky a vývoja služieb informačných technológií a
  4. spĺňa znalostné štandardy na funkciu manažéra kybernetickej bezpečnosti podľa osobitného predpisu. [1]

V nadväznosti na tieto požiadavky kladené na manažéra kybernetickej bezpečnosti sa vynára hneď niekoľko problematických tém. V prvom rade je potrebné odpovedať si na otázku, či sa reálne nachádza v rámci internej štruktúry niekto, kto spĺňa znalostné štandardy na manažéra kybernetickej bezpečnosti a súčasne je nezávislý od riadenia prevádzky a vývoja služieb informačných technológií. Národný bezpečnostný úrad vo svojej certifikačnej schéme pre manažéra kybernetickej bezpečnosti uvádza nasledovné požiadavky na jeho spôsobilosť:

  1. Znalosť procesov a systému riadenia informačnej a kybernetickej bezpečnosti
  2. Znalosť zásad organizácie informačnej a kybernetickej bezpečnosti
  3. Znalosť zásad personálnej bezpečnosti
  4. Znalosť zásad riadenia prístupov a identít
  5. Znalosti o spôsobe používania kryptografických bezpečnostných mechanizmov
  6. Znalosť princípov testovania kybernetickej bezpečnosti
  7. Znalosť právnych predpisov, požiadaviek na súlad a noriem vzťahujúcich sa na kybernetickú bezpečnosť
  8. Znalosť právnych predpisov a požiadaviek na súlad vzťahujúcich sa na ochranu osobných údajov
  9. Znalosť štandardov a zásad ochrany osobných údajov, vrátane metodických usmernení Úradu na ochranu osobných údajov Slovenskej republiky a Výboru na ochranu údajov (EÚ)
  10. Schopnosť navrhovať a uplatniť bezpečnostné stratégie a politiky
  11. Znalosť procesov a metodík riadenia rizík
  12. Znalosť postupov analýzy rizík
  13. Znalosť typických hrozieb a postupov pre identifikáciu hrozieb a zraniteľností
  14. Znalosť bezpečnostných mechanizmov
  15. Znalosť princípov podnikovej architektúry, orientácia v architektúrnych rámcoch
  16. Znalosť procesov riešenia kybernetických bezpečnostných incidentov
  17. Znalosť princípov plánovania havarijnej obnovy prevádzky
  18. Znalosť procesov riadenia kontinuity činností
  19. Znalosť metód posudzovania rizík a schopnosť ich aplikovať v rámci organizácie
  20. Schopnosť analyzovať a kvantifikovať riziká
  21. Schopnosť analyzovať a hodnotiť bezpečnostné mechanizmy a riešenia [2]

Manažér kybernetickej bezpečnosti nemusí byť zamestnanec

Štandardy a ešte vo väčšej miere usmernenia kladú na manažéra kybernetickej bezpečnosti síce obsahovo určite oprávnené požiadavky, avšak výrazne prevyšujúce možnosti jedného človeka.

Aby toho nebolo málo, pri menovaní manažéra kybernetickej bezpečnosti je nutné myslieť aj na naplnenie požiadavky jeho nezávislosti od riadenia prevádzky a vývoja služieb informačných technológií. To inými slovami znamená, že jeho rozhodnutia  nesmú byť ovplyvňované cieľmi oddelenia IT ale musí sa výlučne zamerať na zabezpečenie ochrany informačných aktív a posilnenie schopnosti organizácie odolať kybernetickým bezpečnostným incidentom.

Organizácie a samosprávy však potrebujú manažéra kybernetickej bezpečnosti a ak nenájdu vhodného interného zamestnanca, musia nájsť vhodného kandidáta v externom prostredí.

Prečo vybrať externý subjekt môže byť lepším riešením

Existuje viacero dôvodov, prečo je zmysluplné a pravdepodobne aj menej nákladné, poveriť touto rolou externý subjekt. Vyriešia sa tým otázky pokrytia absentujúcej odbornosti u interných zamestnancov, resp. potreba riešiť zastupiteľnosť zamestnanca povereného vykonávať rolu kybernetického manažéra, zabezpečí sa požiadavka oddelenia rolí a zodpovedností ako aj požiadavka nezávislosti.

manažér kybernetickej bezpečnosti firmaV neposlednom rade treba myslieť na to, že zákon o kybernetickej bezpečnosti udeľuje povinnosť auditu kybernetickej bezpečnosti, ktorý je povinný pre každého úradom registrovaného prevádzkovateľa základnej služby. To sa čiastočne netýka využitia možnosti samohodnotenia, ktorú priniesla novelizácia  zákona o kybernetickej bezpečnosti, ktorej sa venujeme v článku Kybernetická bezpečnosť v praxi.

Audit je potrebné vykonávať opakovane každé dva roky, pričom auditnú správu je nutné odovzdať Národnému bezpečnostnému úradu. Nakoniec, každý prevádzkovateľ si musí byť vedomý aj toho, že úspešne zvládnutým auditom to ešte nekončí a naďalej musí sledovať legislatívu a celkové dianie v danej oblasti, dodržiavať a pravidelne revidovať všetky opatrenia.  Je na uvážení každého prevádzkovateľa základnej služby, či sa rozhodne vymenovať do role manažéra kybernetickej bezpečnosti interného človeka, ak takého v rámci štruktúry nájde, avšak po zvážení všetkých argumentov, sa javí byť outsourcing tejto role viac ako efektívnym  a zmysluplným riešením.

 

[1] Vyhláška 362/2018 Národného bezpečnostného úradu, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných

[2] Kompetenčné a kybernetické centrum kybernetickej bezpečnosti, Certifikačná schéma overovania odbornej  spôsobilosti manažéra kybernetickej bezpečnosti, str. 7 Osobitné požiadavky na spôsobilosť opatrení, §5, písm.a)

PRIDAŤ KOMENTÁR

Prihláste sa k odberu nášho Newslettra.

    Registrácia

    Zásady spracúvania osobných údajov prevádzkovateľom Avris Consulting, s.r.o. nájdete v Ochrane osobných údajov

    Odoslaním údajov súhlasím s ich spracúvaním na účely registrácie. Súhlas je dobrovoľný a môžem ho kedykoľvek odvolať.

    Resetovať heslo

    Radi Vám pomôžeme

      Zásady spracúvania osobných údajov prevádzkovateľom Avris Consulting, s.r.o. nájdete v Ochrane osobných údajov