Bezpečnostní opatření

Cílem bezpečnostních opatření je zajistit řádné poskytování regulované služby a kybernetické bezpečnosti aktiv.

Poskytovatel regulované služby musí a zavést taková bezpečnostní opatření, která odpovídají jeho režimu. Na poskytovatele regulované služby v režimu vyšší jsou kladeny vyšší nároky než na poskytovatele regulované služby v režimu nižším.

Bezpečnostní opatření vycházejí z mezinárodně uznaných standardů a týkají se nejen kategorií a funkčních parametrů jednotlivých typů bezpečnostních technologií (zejména zavedení bezpečnosti komunikačních sítí, řízení identit a přístupových oprávnění, detekčních nástrojů, kryptografických nástrojů, ale také organizace jednotlivých souvisejících procesů, zejména řízení aktiv, příp. rizik v případě poskytovatele regulovaných služeb v režimu vyšších povinností, lidských zdrojů, řízení akvizic nových technologií, organizační postupy pro zvládání kybernetických bezpečnostních událostí a incidentů, řízení kontinuity činností a dalších.

Seznam bezpečnostních opatření pro oba typy poskytovatelů regulovaných služeb je stanoven a jejich detail je pak stanoven příslušným prováděcím právním předpisem, tj. příslušnou vyhláškou.

Vzhledem k rozdílným nárokům na poskytovatele regulované služby v režimu vyšších povinností a poskytovatele regulované služby v režimu nižších povinností, je i seznam bezpečnostních opatření rozdělen pro tyto režimy a odráží rozdílnost požadavků na ně.

Bezpečnostní opatření pro poskytovatele regulované služby v režimu vyšších povinností.

Poskytovatel regulované služby v tomto režimu provede zhodnocení bezpečnostních charakteristik jím poskytované služby a na tomto základě si vytvoří a zdokumentují vlastní systém bezpečnostních opatření sestávajících z opatření organizačních a technických .

Seznam bezpečnostních opatření, včetně prováděcích předpisů, je proveden genericky a předpokládá, že jednotlivá konkrétní řešení bezpečnostních opatření se mohou při současném splnění zákonných požadavků vzájemně odlišovat.

Povinnosti týkající se zavedení systému bezpečnostních opatření vycházejí z mezinárodně uznaných standardů a týkají se nejen kategorií a funkčních parametrů jednotlivých typů bezpečnostních technologií (zejména zavedení bezpečnosti komunikačních sítí, řízení identit a přístupových oprávnění, detekčních nástrojů, kryptografických nástrojů), ale rovněž organizace jednotlivých souvisejících procesů (zejména řízení aktiv, příp. rizik v případě poskytovatele regulovaných služeb v režimu vyšších povinností, lidských zdrojů, řízení akvizic nových technologií, organizační postupy pro zvládání kybernetických bezpečnostních událostí a incidentů, řízení kontinuity činností a dalších).

Organizační bezpečnostní opatření

• Říkají co a jak bude dělat a technická opatření jsou konkrétní řešení, která to zajistí.

• Je to vlastně vnitrofiremní legislativa zajišťující: (v závorce odkaz na příslušný paragraf nové Vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností)

• definování systému řízení bezpečnosti informací (§4)

• definování povinností vrcholového vedení (§5)

• definování bezpečnostních rolí (§6),

• pravidla a metodiky k provádění:

  • řízení bezpečnostní politiky a bezpečnostní dokumentace (§7),
  • řízení aktiv (§8),
  • řízení rizik (§9),
  • řízení dodavatelů (§10),
  • bezpečnost lidských zdrojů (§11),
  • řízení změn (§12),
  • akvizice, vývoje a údržby (§13),
  • řízení přístupu (§14),
  • zvládání kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů (§15),
  • řízení kontinuity činností (§16),
  • auditu kybernetické bezpečnosti (§17).

Technická bezpečnostní opatření pro zajištění

• Jsou to konkrétní řešení, která to zajistí.

• Zajišťují: (v závorce odkaz na příslušný paragraf nové Vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností)

  • fyzická bezpečnost (§18) - zamezení neoprávněného fyzického přístupu k technickým aktivům (serverovny, terminály, rozvaděče):
    1. Perimetr: Oplocení, bezpečnostní dveře, mříže.
    2. Kontrola vstupu: Čtečky karet, biometrika, systémy pro evidenci návštěv.
    3. Monitoring: Kamerové systémy (CCTV) se záznamem, pohybová čidla.
    4. Prostředí: EPS (elektronická požární signalizace), stabilní hasicí zařízení, kontrola vlhkosti a teploty.
  • bezpečnost komunikačních sítí (§19) - zajistit, aby síťová infrastruktura byla odolná proti útokům a zneužití:
    1. Segmentace: Rozdělení sítě na VLAN, oddělení kritických segmentů od veřejných.
    2. Ochrana hranic: Nasazení firewallů (NGFW), systémů prevence průniku (IPS).
    3. Bezpečná konfigurace: Zakázání nepoužívaných portů a služeb na switchích a routerech.
    4. Ochrana proti DoS/DDoS: Mechanismy pro filtrování zahlcujících útoků.
  • správa a ověřování identit (§20) - jakým způsobem jsou uživatelé a zařízení rozpoznáváni v systému:
    1. Unikátní identita: Každý uživatel musí mít vlastní identifikátor (zákaz sdílených účtů).
    2. Vícefaktorová autentizace (MFA): Povinné pro vzdálené přístupy a privilegované účty.
    3. Životní cyklus identity: Procesy pro zřízení, změnu a okamžité zrušení přístupu při odchodu zaměstnance.
  • řízení přístupových oprávnění (§21) - princip "Need-to-Know" – uživatel má mít přístup jen k tomu, co nezbytně potřebuje:
    1. Řízení přístupu na základě rolí nebo atributů.
    2. Privilegované účty (PAM): Zvláštní dohled nad administrátorskými účty (nahrávání relací, schvalování hesel).
    3. Pravidelné revize: Kontrola, zda přidělená oprávnění stále odpovídají pracovní náplni.
  • detekce kybernetických bezpečnostních událostí (§22) - zajištění včasného rozpoznání, že v systému probíhá něco podezřelého:
    1. SIEM/Log Management: Centrální sběr a korelace událostí z různých zdrojů.
    2. DS/IPS: Nástroje pro detekci průniků v reálném čase.
    3. EDR/XDR: Detekce anomálií přímo na koncových zařízeních (endpointy).
  • zaznamenávání bezpečnostních a relevantních provozních událostí (§23) - ukládání stopy o činnosti systémů pro pozdější analýzu:
    1. Rozsah logů: Úspěšná i neúspěšná přihlášení, změny konfigurace, přístupy k citlivým datům.
    2. Ochrana logů: Zajištění integrity logů (např. digitální podpis, ukládání na neměnné médium), aby je útočník nemohl smazat.
  • vyhodnocování kybernetických bezpečnostních událostí (§24) - procesní a technické zpracování zachycených dat:
    1. Analýza anomálií: Nastavení prahových hodnot (např. 100 neúspěšných pokusů o heslo za minutu).
    2. Prioritizace: Rozlišení mezi běžným provozním hlášením a kritickým incidentem.
  • aplikační bezpečnost (§25) - ochrana software před zranitelnostmi (např. SQL injection, XSS, ...):
    1. Zajštění bezpečného vývoje (SDLC): Testování kódu během vývoje, statická a dynamická analýza (SAST/DAST).
    2. Implementace Web Application Firewall pro ochranu webových aplikací.
    3. Oddělení prostředí: Striktní separace vývojového, testovacího a produkčního prostředí.
  • kryptografické algoritmy (§26) - zajištění čitelnosti dat pouze pro oprávněné osoby:
    1. Šifrování: Ochrana dat při přenosu (TLS 1.3+) a při uložení (AES-256).
    2. Správa klíčů (KMS): Bezpečné generování, ukládání a rotace kryptografických klíčů.
    3. Hashing: Použití bezpečných funkcí (např. SHA-256 a vyšší) pro ukládání hesel.
  • zajišťování dostupnosti regulované služby (§27) - opatření proti výpadkům a pro rychlou obnovu (BCM/DRP):
    1. Redundance: Zdvojení kritických prvků (napájení, konektivita, servery).
    2. Zálohování: Pravidlo 3-2-1 (3 kopie, 2 média, 1 offline) a pravidelné testování obnovy.
    3. Plány obnovy: Technické postupy, jak restartovat službu po totální havárii (Disaster Recovery).
  • zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv (§28): - podpora implementace bezpečnostní opatření s ohledem na specifika provozních technologií (OT), jako jsou systémy SCADA, průmyslové řídicí systémy (ICS) nebo PLC. Tyto systémy mají odlišné nároky na bezpečnost než běžné kancelářské IT, protože u nich hraje primární roli dostupnost a kontinuita provozu. Jedná se o:
    1. Segmentace a oddělení sítí - základním požadavkem je fyzické nebo logické oddělení průmyslové sítě od běžné administrativní sítě (IT) a od vnějšího internetu pro zabránění šíření malwaru z kancelářských počítačů přímo k řídicím jednotkám výrobních linek. Použití průmyslových firewallů, diod (data diodes) pro jednosměrný přenos dat a demilitarizovaných zón (DMZ).
    2. Řízení přístupu a autentizace - zajištění aby k technickým aktivům přistupovaly pouze autorizované osoby a zařízení. Striktní správa identit, používání vícefaktorového ověřování (MFA) pro vzdálený přístup a omezení používání sdílených účtů (pokud je to technicky možné). Ochrana servisních portů a fyzických vstupů do zařízení.
    3. Zabezpečení komunikace a protokolů - průmyslové protokoly (např. Modbus, Profinet) jsou často historicky nezabezpečené. Vyhláška vyžaduje yužití šifrování tam, kde to výkon zařízení dovoluje a monitorování integrity přenášených dat, aby nedošlo k jejich neoprávněné změně (např. podvržení hodnoty tlaku v potrubí).
    4. Správa aktualizací a zranitelností (Patch Management) - definování procesu testování záplat v izolovaném prostředí před nasazením do ostrého provozu. Na rozdíl od IT nelze v OT systémech instalovat aktualizace okamžitě (hrozí pád linky). Takže je nutno definovat proces testování záplat v izolovaném prostředí před nasazením do ostrého provozu.
    5. Detekce kybernetických bezpečnostních událostí - systémy musí být schopny detekovat anomálie v průmyslovém provozu. Nasazení IDS (Intrusion Detection Systems) specializovaných na průmyslový provoz, které rozumí specifickým OT protokolům a upozorní na nestandardní příkazy.

Přehled bezpečnostní opatření je vždy ve výstupech z analýzy rizik v:

• Hodnocení rizik - co s identifikovanými riziky (akceptace, sledování redukce, eliminace, vyhnutí nebo přenos a sdílení),
• Plán zvládání rizik - konkrétní opatření jak ta jednotlivá rizika eliminovat, např. přijetím a realizací konkrétních bezpečnostních opatření,
• Prohlášení o aplikovatelnosti - to je vlastně nová GAP analýza, jak si firma bude stát po realizaci těch opatření.