Dokumentace ZKB: Proč firewally bez procesů nestačí?

V IT komunitě se občas setkáte s názorem, že bezpečnost dělají jen technologie. To je nebezpečný mýtus. Kybernetická bezpečnost je trojnožka: Lidé – Procesy – Technologie. Pokud vynecháte procesy (dokumentaci), celá stavba se dříve či později zřítí.

samoindentifikace

Dokumentace SŘKB (Systému řízení kybernetické bezpečnosti) není jen „alibi pro auditory“. Definuje, co je v organizaci považováno za „bezpečné“, a dává lidem jasný návod, jak se chovat, když technologie selžou. Bez ní je i ten nejdražší firewall jen blikající krabice, u které nikdo netuší, proč je nastavená tak, jak je, a jaká rizika vlastně pokrývá.

Nová legislativa (Zákon č. 264/2025 Sb. a vyhláška č. 409/2025 Sb.) jasně definuje, z čeho se tato procesní vrstva musí skládat.

1. Řídicí dokumentace (Strategie a pravidla hry)

Tato vrstva určuje mantinely. Musí být schválena vrcholným vedením a je závazná pro všechny. Nejde o desítky nepřehledných stran, ale o jasně zacílené dokumenty:

  • Politika kybernetické bezpečnosti: Hlavní „ústava“. Deklarace vedení, že bezpečnost je prioritou a má přidělený rozpočet a kapacity.
  • Vymezení rozsahu a Pravidla KB: Dokumenty, které jasně říkají, co přesně chráníme (které systémy a služby), definují klíčové role (Manažer KB, Architekt KB, Auditor KB) a stanovují základní politiky (řízení přístupů, hesla, fyzická bezpečnost).
  • Prohlášení o aplikovatelnosti (SoA): Svatý grál auditu. Formální seznam všech legislativou požadovaných opatření s deklarací, zda a jak jsou u vás zavedena.

2. Operativní a provozní dokumentace (Deník vaší bezpečnosti)

Zatímco řídicí dokumentace říká, jak by to mělo být, operativní dokumentace ukazuje, jak to děláte a provozní jaký je aktuální stav. Pro přehlednost si ji můžeme rozdělit podle klíčových agend:

Agenda Manažera KB (MKB) - Procesy a rizika

Manažer se dívá na bezpečnost z pohledu rizik, shody a životního cyklu:

  • Registr aktiv a Hodnocení rizik: Seznam toho, co má pro firmu hodnotu, a matematický výpočet toho, co nás reálně ohrožuje.
  • Plán zvládání rizik: Konkrétní seznam úkolů a nákupů, kterými snižujeme nepřijatelná rizika.
  • Evidence incidentů: Historie bezpečnostních poplachů, řešení a ponaučení pro příště.
  • Registr dodavatelů a smluvní doložky: Kdo má přístup k našim datům a jaké má bezpečnostní povinnosti.

Agenda Architekta KB (AKB) - Technologie a obnova

Architekt drží v ruce technický popis „stroje“ a dohlíží na bezpečný design:

  • Schémata sítě a perimetru: Kudy tečou data, kde jsou hranice rozsahu SŘKB a jak spolu systémy komunikují.
  • Proces řízení změn: Zajištění toho, že nový software nebo úprava sítě neotevře zadní vrátka do firmy.
  • Plány obnovy (DRP) a kontinuity (BCP): Technické a byznysové postupy, jak vzkřísit infrastrukturu a chod firmy po havárii či ransomwarovém útoku.

3. Klíčové doporučení: Seznamování a prokazatelnost

Mít dokonalou dokumentaci uloženou na sdíleném disku nebo intranetu nestačí. Zákon vyžaduje prokazatelné seznámení a budování bezpečnostního povědomí.

  • Běžní zaměstnanci: Musí vědět, jaká jsou pravidla pro hesla, jak poznat phishing a komu nahlásit, když "jim zčerná obrazovka".
  • ICT pracovníci a administrátoři: Musí mít bezpečnostní a konfigurační postupy vryté do každodenní rutiny.
  • Externisté a dodavatelé: Nesmí dostat administrátorský přístup dříve, než podepíší pravidla přístupu, NDA (mlčenlivost) a seznámí se s bezpečnostní politikou.

Pamatujte: Dokumentace, kterou nikdo nečte, která neodpovídá realitě, nebo se neaktualizuje podle výsledků hodnocení rizik, je horší než žádná. Vytváří totiž falešný pocit bezpečí, který se při prvním kybernetickém útoku nebo tvrdém auditu NÚKIB okamžitě rozplyne.