Příloha č. 6
Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Tato příloha obsahuje popis doporučených požadavků pro výbor pro řízení kybernetické bezpečnosti a bezpečnostní role uvedené v § 6 a 7.
Tab. 1: Výbor pro řízení kybernetické bezpečnosti
+-------------------+--------------------------------------------------------+
| Role: | Výbor pro řízení kybernetické bezpečnosti |
+-------------------+--------------------------------------------------------+
| Klíčové činnosti: | a) Odpovědnost za celkové řízení a rozvoj kybernetické |
| | bezpečnosti v rámci povinné osoby. |
| | b) Tvorba rámce kybernetické bezpečnosti, směrování |
| | a zásad kybernetické bezpečnosti povinné osoby |
| | (definování strategických cílů a směrování rozvoje |
| | v oblasti kybernetické bezpečnosti). |
| | c) Definice rolí a odpovědností v rámci systému řízení |
| | bezpečnosti informací. |
| | d) Definice požadavků na podávání zpráv a kontrolu |
| | systému řízení bezpečnosti informací. |
| | e) Kontrola aktuálního stavu kybernetické bezpečnosti |
| | v rámci povinné osoby a zjišťování, zda dochází |
| | k naplňování plánovaných cílů. |
+-------------------+--------------------------------------------------------+
| Další podmínky: | a) Člen výboru pro řízení kybernetické bezpečnosti |
| | musí být alespoň |
| | 1. zástupce vrcholového vedení nebo jím pověřené |
| | osoby, |
| | 2. manažer kybernetické bezpečnosti. |
| | b) Členové výboru pro řízení kybernetické bezpečnosti |
| | se pravidelně scházejí, přičemž průběh a výstupy |
| | z jednání jsou uchovávány v listinné nebo |
| | elektronické podobě. |
+-------------------+--------------------------------------------------------+
Tab. 2: Manažer kybernetické bezpečnosti
+-------------------+--------------------------------------------------------+
| Role: | Manažer kybernetické bezpečnosti |
+-------------------+--------------------------------------------------------+
| Klíčové činnosti: | a) Odpovědnost za řízení systému řízení bezpečnosti |
| | informací. |
| | b) Pravidelný reporting pro vrcholové vedení povinné |
| | osoby. |
| | c) Pravidelná komunikace s vrcholovým vedením povinné |
| | osoby. |
| | d) Předkládání Zpráv o hodnocení aktiv a rizik, Plánu |
| | zvládání rizik a Prohlášení o aplikovatelnosti |
| | výboru pro řízení kybernetické bezpečnosti. |
| | e) Poskytování pokynů pro zajištění bezpečnosti |
| | informací při vytváření, hodnocení, výběru, řízení |
| | a ukončení dodavatelských vztahů v oblasti ICT. |
| | f) Komunikace s GovCERT/CSIRT. |
| | g) Podílení se na procesu řízení rizik. |
| | h) Koordinace řízení incidentů. |
| | i) Vyhodnocování vhodnosti a účinnosti bezpečnostních |
| | opatření. |
+-------------------+--------------------------------------------------------+
| Znalosti: | a) Normy řady ISO/IEC 27000 a obdobné normy z oblasti |
| | bezpečnosti a ICT. |
| | b) Přehled v oblasti ICT (operační systémy, databáze, |
| | aplikace, datové sítě) s důrazem na bezpečnost |
| | c) Řízení rizik. |
| | d) Řízení kontinuity činností. |
| | e) Relevantní právní a regulatorní požadavky, zejména |
| | zákon. |
| | f) Kontext povinné osoby. |
+-------------------+--------------------------------------------------------+
| Zkušenosti: | a) Prosazování systému řízení bezpečnosti informací. |
| | b) Porozumění definicím rizik a rizikovým scénářům. |
| | c) Řízení rizik v rámci povinné osoby. |
| | d) Schopnost interpretovat výsledky řízení rizik |
| | a koordinovat zvládání rizik. |
+-------------------+--------------------------------------------------------+
| Vzdělání a praxe: | a) Alespoň 3 roky praxe v oboru informační nebo |
| | kybernetické bezpečnosti, nebo |
| | b) absolvování studia na vysoké škole a alespoň |
| | 1 rok praxe v oboru informační nebo kybernetické |
| | bezpečnosti. |
+-------------------+--------------------------------------------------------+
| Relevantní | Certified Information Security Manager (CISM), |
| certifikace *): | Certified in Risk and Information Systems Control |
| | (CRISC), Certified Information Systems Security |
| | Professional (CISSP), Manažer BI |
| | (akreditační schéma ČIA). |
+-------------------+--------------------------------------------------------+
| Další podmínky: | a) Role není slučitelná s rolemi odpovědnými za provoz |
| | informačního a komunikačního systému a s dalšími |
| | provozními či řídicími rolemi. |
| | b) Pro správný výkon této role je zapotřebí zajistit |
| | potřebné pravomoci, odpovědnost a rozpočet. |
+-------------------+--------------------------------------------------------+
*) Certifikace může být i jiná než uvedená, jestliže certifikace dokládající odbornou způsobilost bezpečnostních rolí splňuje požadavky ISO 17 024.
Tab. 3: Architekt kybernetické bezpečnosti
+-------------------+--------------------------------------------------------+
| Role: | Architekt kybernetické bezpečnosti |
+-------------------+--------------------------------------------------------+
| Klíčové činnosti: | a) Odpovědnost za návrh implementace bezpečnostních |
| | opatření. |
| | b) Zajišťování architektury bezpečnosti. |
+-------------------+--------------------------------------------------------+
| Znalosti: | a) Architektura informačních a komunikačních systémů |
| | a její navrhování. |
| | b) Hardwarové komponenty, nástroje a architektury. |
| | c) Operační systémy a software. |
| | d) Podnikové procesy a jejich integrace a závislost |
| | na ICT. |
| | e) Řízení bezpečnosti a rizik. |
| | f) Bezpečnost komunikací a sítí. |
| | g) Řízení identit a přístupů. |
| | h) Hodnocení a testování bezpečnosti. |
| | i) Bezpečnost provozu. |
| | j) Základní principy bezpečného vývoje softwaru. |
| | k) Integrace a závislosti ICT a obchodních procesů. |
+-------------------+--------------------------------------------------------+
| Zkušenosti: | a) Navrhování implementace bezpečnostních opatření. |
| | b) Navrhování architektury bezpečnosti se zaměřením |
| | na cíle a bezpečnost. |
| | c) Bezpečnost vývoje softwaru. |
+-------------------+--------------------------------------------------------+
| Vzdělání a praxe: | a) Alespoň 3 roky praxe v oboru informační nebo |
| | kybernetické bezpečnosti, nebo |
| | b) absolvování studia na vysoké škole a alespoň |
| | 1 rok praxe v oboru informační nebo kybernetické |
| | bezpečnosti. |
+-------------------+--------------------------------------------------------+
| Relevantní | Certified Ethical Hacker (CEH), CompTIA Security +, |
| certifikace *): | Certified Information Security Manager (CISM), |
| | Certified in Risk and Information Systems Control |
| | (CRISC), Certified Information Systems Security |
| | Professional (CISSP), Manažer BI (akreditační schéma |
| | ČIA). |
+-------------------+--------------------------------------------------------+
| Další podmínky: | Role není slučitelná s rolemi odpovědnými za provoz |
| | informačních a komunikačních systémů. |
+-------------------+--------------------------------------------------------+
*) Certifikace může být i jiná než uvedená, jestliže certifikace dokládající odbornou způsobilost bezpečnostních rolí splňuje požadavky ISO 17 024.
Tab. 4: Auditor kybernetické bezpečnosti
+-------------------+--------------------------------------------------------+
| Role: | Auditor kybernetické bezpečnosti |
+-------------------+--------------------------------------------------------+
| Klíčové činnosti: | Provádění auditu kybernetické bezpečnosti. |
+-------------------+--------------------------------------------------------+
| Znalosti: | a) Metodologie a rámce auditu informační bezpečnosti. |
| | b) Procesy a postupy interního auditu. |
| | c) Role a funkce interního auditu. |
| | d) Proces provádění auditu ICT bezpečnosti. |
| | e) Strategické a taktické řízení ICT. |
| | f) Akvizice, vývoj a nasazení ICT. |
| | g) Řízení provozu, údržby a služeb ICT. |
| | h) Ochrana aktiv. |
| | i) Hodnocení kybernetické bezpečnosti, metody |
| | testování a vzorkování. |
| | j) Relevantní právní předpisy. |
| | k) ICT bezpečnost. |
+-------------------+--------------------------------------------------------+
| Zkušenosti: | a) Plánování auditů informační nebo kybernetické |
| | bezpečnosti. |
| | b) Provádění auditů kybernetické bezpečnosti nebo |
| | auditů systému řízení bezpečnosti informací. |
| | c) Analyzování výsledků auditů. |
| | d) Psaní auditních závěrů, jejich prezentace |
| | a navrhování doporučení vedoucích k nápravě nálezů. |
| | e) Reporting stavu plnění zákonných požadavků. |
| | f) Provádění auditů se zaměřením na ICT a informační |
| | nebo kybernetickou bezpečnost. |
+-------------------+--------------------------------------------------------+
| Vzdělání a praxe: | a) Alespoň 3 roky praxe v oblasti auditu informační |
| | nebo kybernetické bezpečnosti, nebo |
| | b) absolvování studia na vysoké škole a alespoň |
| | 1 rok praxe v oblasti auditu informační nebo |
| | kybernetické bezpečnosti. |
+-------------------+--------------------------------------------------------+
| Relevantní | Certified Information Systems Auditor (CISA), |
| certifikace *): | Certified Internal Auditor (CIA), Certified in Risk |
| | and Information Systems Control (CRISC), Lead Auditor |
| | Information Security Management System (Lead Auditor |
| | ISMS), Auditor BI (akreditační schéma ČIA). |
+-------------------+--------------------------------------------------------+
| Další podmínky: | a) Role není slučitelná s rolemi |
| | 1. výboru pro řízení kybernetické bezpečnosti, |
| | 2. manažera kybernetické bezpečnosti, |
| | 3. architekta kybernetické bezpečnosti, |
| | 4. garanta aktiva. |
| | b) Role není slučitelná s rolemi odpovědnými za provoz |
| | informačních a komunikačních systémů. |
+-------------------+--------------------------------------------------------+
*) Certifikace může být i jiná než uvedená, jestliže certifikace dokládající odbornou způsobilost bezpečnostních rolí splňuje požadavky ISO 17 024.
Tab. 5: Garant aktiva
+-------------------+--------------------------------------------------------+
| Role: | Garant aktiva |
+-------------------+--------------------------------------------------------+
| Klíčové činnosti: | a) Odpovědnost za zajištění rozvoje, použití |
| | a bezpečnosti aktiva. |
| | b) Spolupráce s ostatními osobami zastávajícími |
| | bezpečnostní role. |
+-------------------+--------------------------------------------------------+
| Znalosti: | a) Dobrá znalost aktiva, jehož je garantem. |
| | b) Dobrá znalost interních bezpečnostních politik |
| | a metodik |
| | (například Metodika pro hodnocení aktiv a rizik). |
+-------------------+--------------------------------------------------------+
------------------------------------------------------------------