Principy Demingova modelu PDCA. Zdroj: ISO 27000 Audit Zabezpečení Úvod Zákon Systém řízení Normy ISO Ochrana osobních dat Bezpečnostní dokumenty a politiky
H Audit Audit podle norem ISO Role auditora Institut auditu z pohledu poskytovatele služby auditu Audit a jeho fáze podle ISO 19011 Řízení programu auditu Provádění auditu Závěr z auditu a auditorská zpráva Audit podle vyhlášky o kybernetické bezpečnosti
AUDIT KYBERNETICKÉ BEZPEČNOSTI
Oblast kybernetické bezpečnosti je v České republice regulována zákonem č. 181/2014 Sb. a jeho prováděcími vyhláškami. Povinné osoby mají podle § 4 tohoto zákona povinnost zavést a provádět bezpečnostní opatření pro zajištění kybernetické bezpečnosti. Obsah a rozsah opatření stanovuje Národní úřad pro kybernetickou a informační bezpečnost vyhláškou 82/2018 Sb., která od 28.května 2018 nahrazuje vyhlášku 316/2014 Sb.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (VoKB, vyhláška o kybernetické bezpečnosti) upravuje:
obsah a strukturu bezpečnostní dokumentace,
obsah a rozsah bezpečnostních opatření,
typy, kategorie a hodnocení významnosti kybernetických bezpečnostních incidentů,
náležitosti a způsob hlášení kybernetického bezpečnostního incidentu,
náležitosti oznámení o provedení reaktivního opatření a jeho výsledku,
vzor oznámení kontaktních údajů a jeho formu a
způsob likvidace dat, provozních údajů, informací a jejich kopií.
Systém řízení informační bezpečnosti neboli ISMS (Information Security Management System) je součástí organizačních opatření, které je uvedeno ve VoKB v § 3 této vyhlášky. Systém je založen na přístupu k řízení rizik a při tom se využívají principy Demingova modelu PDCA.
Principy Demingova modelu PDCA. Zdroj: ISO 27000
Standardem systému řízení informační bezpečnosti je norma ISO 27001, která stanovuje požadavky bezpečnosti a je výchozím souborem kritérií pro certifikaci a audity. Splnění těchto požadavků organizace prokazuje odpovědnost k řízení bezpečnosti informací všem zainteresovaným stranám a buduje vzájemnou důvěru. Efektivní zavedení ISMS využívá základní principy, jako je povědomí o potřebě informační bezpečnosti, určení odpovědností, posuzování rizik a přijetí opatření pro dosažení přijatelné úrovně rizika a zajištění komplexního přístupu k řízení informační bezpečnosti a neustálé zlepšování ISMS.
Prvkem zpětné vazby řízení informační bezpečnosti je podle § 16 VoKB kontrola a audit kybernetické bezpečnosti. Audit prověřuje, že jsou plněny legislativní požadavky, mezi které patří ustanovení bezpečnostní politiky, vedení bezpečnostní dokumentace, ale i zlepšování systému bezpečnosti a odstraňování nedostatků nebo informování vedení organizaci o úrovni kybernetické bezpečnosti.