Úvod

Kybernetická bezpečnost je pojem 21.století, který úzce souvisí s rozvojem informačních technologií a "internetovým" pojetím společnosti. V zásadě lze očekávat, že se dočkáme pojmů jako "prvobytně pospolná internetová společnost" apod.
K tomu, abychom se nedočkali "internetové doby ledové" slouží právě kybernetická bezpečnost. V zásadě se jedná o určitý soubor povinností, zásad a pravidel, jež by měla být závazná pro každého uživatele či provozovatele informačních technologií. Řečeno slovy klasika - "Je opravdu moudré rozumět hračkám, jež používám".

Tolik stručný úvod a nyní přejděme k samotnému tématu.
 

Legislativa

Ústředním správním orgánem pro kybernetickou bezpečnost včetně ochrany utajovaných informací v oblasti informačních a komunikačních systémů a kryptografické ochrany je Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Vznikl 1. srpna 2017 na základě zákona číslo 205/2017 Sb., kterým se změnil zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti). Podrobnosti naleznete na stránkách NÚKIB.

Podrobný popis vývoje legislativy, včetně znění jednotlivých zákonů, vyhlášek a dalších dokumentů naleznete zde.

V této souvislosti je dobré připomenout, že i Trestní zákoník zná trestné činy související s neoprávněnými přístupy do informačních systémů, konkrétně § 230 nazvaný "Neoprávněný přístup k počítačovému systému a nosiči informací".

Nový občanský zákoník pak pamatuje na škodu způsobenou informací nebo radou (§ 2950 NOZ).
 

Průvodce novým zákonem o kybernetické bezpečnosti

Nový zákon o kybernetické bezpečnosti je účinný od 1. listopadu 2025 a zavádí změny dané směrnicí NIS2 do českého právního řádu.

Hlavním cílem nové regulace je nastavení alespoň základní úrovně zabezpečení v organizacích, které poskytují své služby v ekonomicky, společensky či bezpečnostně významných odvětvích a splňují další vybraná kritéria. Jelikož směrnice NIS2 rozšířila okruh regulovaných odvětví i služeb, bude nový zákon dopadat na výrazně větší počet organizací. 

Veškeré materiály naleznete na webu Národního úřadu pro kybernetickou bezpečnost (NÚKIB).

 

Bezpečnostní role

Jedna z možných variant implementace bezpečnostních rolí dle §7 vyhlášky 82/2018 Sb. (vyhláška k zákonu o kybernetické bezpečnosti) je popsána na stránkách Národního úřadu pro kybernetickou a informační bezpečnost. Stahovat můžete zde.

 

Metodika, implementační scénáře

V zásadě se jedná o soubor metodických pokynů a doporučení týkající se zapojení daného zařízení, informačního systému, organizačních opatření, technických opatření, best practice apod. To vše pod hlavičkou konkrétní národní bezpečnostní autority, která scénář schválila, zveřejnila na svých stránkách. Každý implementační scénář by měl obsahovat:

  • Princip
  • Provedení
  • Funkčnost
  • Efekt
  • Smysl

daného celku, nedílnou součástí je samozřejmě topologické schema celého řešení.

Tato otázka zatím není řešena ani legislativně, ani metodicky. Předpokládáme, že zde se situace začne rychle měnit a implementační scénáře budou jednak veřejně dostupné, jednak budou navazovat na metodiku. K dnešnímu dni můžeme odkázat na vzorové implementační scénáře volně dostupné na stránkách německé národní autority (BSI).



Náš leták a brožuru s nabídkou služeb v oblasti kybernetické bezpečnosti můžete stahovat zde.

Na stránkách CSIRT.CZ naleznete aktuální zprávy z oblasti kybernetické bezpečnosti.

Z tisku

Pokud máte pocit, že se Vás "kybernetický svět" nijak nedotýká, pak si raději přečtěte tento článek (agentura Bloomberg, NSA Said to Exploit Heartbleed Bug for Intelligence for Years).
 

Nabízíme

  1. Vypracování metodiky pro správu IS
  2. Audity kybernetické bezpečnosti dle §16 Vyhlášky k ZKB (82/2018 Sb.)
  3. Školení bezpečnostních rolí dle §7 Vyhlášky k ZKB (82/2018 Sb.)
  4. Výkon bezpečnostních rolí dle §7 Vyhlášky k ZKB (82/2018 Sb.)
  5. Analýzy rizik (pro oblast kybernetické bezpečnosti) dle Příloh 1 a 2 Vyhlášky k ZKB (82/2018 Sb.)
  6. Sestavení podkladů pro výběrová řízení
  7. Sestavení požadavků na funkčnost a bezpečnosti IS
  8. Návrh, realizaci, správu a servis IS
  9. Školení administrátorů - legislativa ČR a EU, metodiky národních bezpečnostních autorit členských zemí EU (NBÚBSI), komunikace se státní autoritou, standardy
  10. Metodiku pro zjištění potřeb a funkčnosti bezpečnostních zařízení IS (firewall, VPN gateway, SIEM - Wazuh, IDS/IPS, ticket system, GLPI)
  11. Sestavení těchto zařízení na bázi open-source, náklady, životní cyklus

 

Přílohy

Nabídka služeb v oblasti kybernetické bezpečnosti
 

Objednávka Security Labu "Kybernetická bezpečnost"