První rok se zákonem o kybernetické bezpečnosti

20. 10. 2015 v sekci Glosa

Že to ještě není rok?
Ano i ne. Zákon platí od 1. 1. 2015, je to tedy 9 měsíců. Na přípravě zákona se ale pracovalo už dříve. Diskutovali o něm zákonodárci i odborníci.

Co se vlastně od té doby stalo – a nestalo?


Žádný Velký bratr neomezil přístup k internetu

Toho se lidé na začátku báli. Na internetu se objevovaly různé poplašné zprávy, varování a protesty proti zákonu, který bude omezovat možnosti internetu a sledovat uživatele. Čas a osvěta dokázaly, že tyto obavy nebyly na místě.


Byli určeni správci kritické infrastruktury

Některé státní organizace a soukromé firmy podle nového zákona využívají kritickou infrastrukturu nebo významný informační systém.

To ve zkratce znamená, že kdyby na takovou společnost někdo zaútočil a způsobil by úplnou nebo částečnou nefunkčnost informačního systému, mělo by to negativní dopad na fungování nebo hospodaření orgánů veřejné moci. Případně by došlo k...

  • obětem na životech (k úmrtí alespoň 10 lidí)
  • způsobení zranění (aspoň 100 osob)
  • zásahu do osobního života nebo práv (alespoň 50 000 osob)
  • narušení či ohrožení veřejného zájmu
  • nebo k materiálním a finančním škodám (více než 5 % rozpočtu orgánu veřejné moci)

Kdo bude správcem mezi státními organizacemi, to určuje vláda.
U komerčních společností to definuje předpis č. 317/2014 Sb.
V určování významných informačních systémů jsou zatím vůbec největší nedostatky a průtahy.
 


 

Co mi ale připadá nejdůležitější?

Určené společnosti neřeší jen zákon, ale skutečné zabezpečení

Firmy hledají bezpečnostní specialisty z technických oblastí, procesní experty i auditory bezpečnosti. Nesnaží se jen naplnit literu zákona, ale integrovat bezpečnost informací do všech procesů uvnitř organizace. Aby chránili sebe i vás.

Potřebujeme zlepšit vzdělávání

Workshopy, prezentace a konference k problematice zákona byly nejprve na dobré cestě. Časem jsme se ale vrátili k prezentacím jednotlivých výrobců. Ti u každého produktu konstatují, že splňuje požadavky zákona. Ale jaké požadavky to jsou, jaké podmínky se musí dodržovat a jak zařadit daný prvek do celého systému zabezpečení, to už neříkají.

Navíc na taková školení chodí jen specialisté a vedoucí IT oddělení a specialisté bezpečnosti.
Chybí nám workshopy a prezentace pro vyšší management.
Pro lidi, kteří rozhodují, kolik času a peněz firma na bezpečnost informací vynaloží.

A to je vše. Uvidíme, co přinese další rok.
Ať to bude cokoliv, vždy by mělo platit:

Nejdřív bezpečnost, pak teprve zákon

A taková je i moje práce.
Cokoli dělám, je v souladu se zákonem o kybernetické bezpečnosti. Jeho plnění je však důsledek mé práce, ne můj motiv.

Mým posláním je chránit vás v online světě.
Jsem tu proto, ať můžete v klidu spát.