Stránky o kybernetické bezpečnosti

Rozsah ISMS

Stanovení rozsahu ISMS

Je si nutno definovat tzv. Rozsah ISMS (Information Security Management System) - tedy vymezení toho, kde a čím tu službu nebo služby firma poskytuje, co a kde je tedy nutno zabezpečit, tj identifikace všech pro poskytování regulovaných služeb nezbytných organizačních částí a Aktiv

Pro celý tento ISMS pak výše zmíněná vyhláška definuje, jaká bezpečnostní opatření by firma měla mít implementována.

Správné stanovení rozsahu ISMS je základem řízení kybernetické bezpečnosti. Na to jsou následně navázány další požadavky zákona o kybernetické bezpečnosti a jeho prováděcích právních předpisů. Stanovený rozsah definuje, kde mají být zaváděna bezpečnostní opatření. Neplnění požadavku na stanovení rozsahu nebo jeho nedostatečné stanovení již podle dosavadní právní úpravy představuje zásadní problém.

isms

Nejprve se pohlíží na firmu jako na celek, identifikují všechna Primární Aktiva (neboli jím zpracovávané a poskytované služby a informace), díky čemuž o nich získá přehled.

Následně z nich určí ta Primární Aktiva, která souvisejí s poskytováním regulované služby, S ohledem na tato určená Primární Aktiva identifikuje a určí organizační části firmy nebo osoby a Podpůrná Aktiva.

O provedení identifikace a následném určení organizačních částí firmy nebo osoby a Aktiv ve stanoveném rozsahu vede poskytovatel regulované služby dokumentovaný záznam vč. evidence Primárních Aktiv, která byla ze stanoveného rozsahu vyjmuta, a odůvodnění.

Do doby splnění této povinnosti se má za to, že stanovený rozsah je tvořen regulovanou službou poskytovatele regulované služby a podpůrnými aktivy jsou všechna podpůrná aktiva celého orgánu nebo osoby a další podpůrná aktiva související s poskytováním regulované služby.

U těch Aktiv, která ještě nebyla identifikována a určena nebo zahrnuta do stanoveného rozsahu, se má za to, že jsou součástí stanoveného rozsahu, dokud tyto změny nejsou zahrnuty v procesu identifikace a určování organizačních částí firmy nebo osoby a Aktiv tvořících rozsah řízení kybernetické bezpečnosti a není o nich veden dokumentovaný záznam.

Rozsah ISMS (Information Security Management System)

  • je tedy vymezení toho:
    • kde a čím tu službu nebo služby firma poskytuje,
    • co a kde je tedy nutno zabezpečit.
  • v názvosloví ZoKB je tedy definován tzv. Primárními a Podpůrnými Aktivy.

Primární Aktiva

To je to, co je pro firmu to nejdůležitější a nejcennější, co přináší peníze, nebo je klíčové pro poskytování služby nebo služeb. Bez toho by to nefungovalo, nebo by to mělo katastrofální dopady. Čili musí si určit, jaká jsou nejdůležitější data/informace a služby.

Podpůrná Aktiva

To je to pak to, co je potřeba pro zajištění funkčnosti Primárních Aktiv. Jsou to “servisní týmy” a “nástroje”, které zajišťují chod těch nejdůležitějších věcí. Bez Podpůrných Aktiv by Primární Aktiva sice existovala, ale nefungovala by správně, nebo by byla ohrožena.

Pro celý tento ISMS pak výše zmíněná vyhláška definuje, jaká bezpečnostní opatření by firma měla mít implementována.

Příklad:

Je to jako s ochranou v bance. Jednou z jejích nejzákladnějších a nejviditelnějších “Aktiv” jsou hotovost/peníze – tedy fyzické bankovky a mince. Primární aktivum: Samotná hotovost: Balíky bankovek a hromady mincí ve trezoru banky nebo v bankomatech. Toto je nejdůležitější Primární Aktivum, protože představuje přímo peníze klientů a je základem pro fungování hotovostních operací banky. Pokud by se tato hotovost ztratila, byla ukradena, nebo zničena, byl by to obrovský problém a přímá finanční ztráta.

  • Aby byla tato hotovost (Primární Aktivum) v bezpečí a dostupná, když ji klienti potřebují, banka potřebuje celou řadu Podpůrných Aktiv, která ji chrání a umožňují s ní manipulovat:*
  • Technologická podpůrná aktiva zajišťující fyzickou ochranu:
    • Fyzický trezor: Masivní ocelová místnost s pancéřovými dveřmi, kde je hotovost uložena. Je to klíčové podpůrné aktivum, protože fyzicky chrání hotovost.
  • Bezpečnostní systémy trezoru:
    • Kamery: Monitorují přístup k trezoru.
    • Alarmy: Signalizují jakýkoli neoprávněný pokus o vstup.
    • Biometrické skenery/čipové karty: Kontrolují, kdo může do trezoru vstoupit.
    • Senzory pohybu a tlaku: Detekují narušení.
  • Technická podpůrná aktiva:
    • Bankomaty, které vydávají hotovost klientům. Musí být zabezpečené proti krádeži hotovosti zevnitř i zvenčí.
  • Lidská podpůrná aktiva:
    • Bezpečnostní služba a ostraha: Ozbrojení strážci, kteří monitorují banku a trezor, doprovází převoz hotovosti.
  • Organizační podpůrná aktiva:
    • Procesy a protokoly pro manipulaci s hotovostí: Pravidla, jak se hotovost přepočítává, ukládá, vydává, převáží. Kdo k ní má přístup, kdy a za jakých podmínek.
  • Informační/technologické podpůrné aktivum:
    • Systém pro evidenci hotovosti: Počítačový systém, který přesně zaznamenává, kolik hotovosti je kde uloženo, kdo ji vložil/vybral. I když se jedná o “data”, jejich primární funkcí je podpora a ochrana fyzické hotovosti.
  • Finanční/manažerské podpůrné aktivum - pojištění:
    • Pojistka proti krádeži nebo zničení hotovosti. Je to , které zmírňuje dopady rizika.
    • Infrastrukturní podpůrná aktiva:
    • Okolní fyzická infrastruktura, která dům/banku chrání před snadným přístupem zvenčí - osvětlení, ploty, mříže,...

Cílem je chránit samotnou hotovost (Primární Aktivum). Ale nemůžeme ji jen tak nechat ležet. Potřebujeme k tomu všechny ty podpůrné mechanismy a prostředky, aby byla v bezpečí a aby se s ní dalo efektivně a bezpečně nakládat.

Nemá smysl mít miliardy v trezoru (Primární Aktivum), když jsou dveře trezoru otevřené, nebo, když k nim má každý kopii klíče (selhání Podpůrných Aktiv - procesů a přístupů). Nemá smysl mít nejlepší trezor (Podpůrné Aktivum), když se k němu může kdokoliv dostat kvůli chybějící ostraze nebo nefunkčnímu alarmu (selhání Podpůrných Aktiv - lidí a technologií). Zabezpečení hotovosti tedy neznamená jen hlídat peníze, ale především zabezpečit všechny podpůrné systémy a procesy, které hotovost chrání, evidují a umožňují s ní bezpečně manipulovat.

Back to Top