Manažér kybernetickej bezpečnosti

V poslednom období zaznamenávame zvýšený záujem o otázky týkajúce sa pozície manažéra kybernetickej bezpečnosti, resp. manažéra informačnej bezpečnosti. Táto pracovná pozícia je v našich podmienkach relatívne nová. Základ vychádza z medzinárodne používaných titulov Chief Security Officer (CSO) a Chief Information Security Officer (CISO). V našom prostredí ide o manažéra kybernetickej bezpečnosti (ďalej len „MKB“). Náplň pozície vyplýva z legislatívnych požiadaviek, ako aj z praktických potrieb zabezpečenia organizácie.

Ako treba nazerať na pracovnú náplň manažéra kybernetickej bezpečnosti? Čo by mal ovládať? Aké sú typické úlohy MKB? Ako by mal v praxi tieto úlohy plniť?

Je dôležité si uvedomiť, že certifikácia MKB nie je povinná. Je však považované za dobrú prax, aby MKB spĺňal podmienky stanovené certifikačnou schémou overovania odbornej spôsobilosti MKB, verzia 1.2 zo dňa 12. januára 2024 účinnej od 1. februára 2024[1]. Vyhláška č. 492/2022 Z. z., ktorou sa stanovujú znalostné štandardy v oblasti kybernetickej bezpečnosti, definuje aj vedomosti a zručnosti MKB. Ak sa riaditeľ školy rozhodne spolupracovať s MKB, odporúčame overiť si jeho odbornú spôsobilosť. 

Vedomosti MKB

Riadenie bezpečnosti:

1. procesy, systémy a zásady riadenia kybernetickej bezpečnosti (ďalej len „KB“) vrátane zásad riadenia fyzickej a objektovej bezpečnosti,
2. organizácia KB,
3. terminológia a skratky v oblasti KB,
4. princípy riadenia IT služieb, správy systémov a správy počítačových sietí,
5. hodnotiace a validačné kritériá v oblasti KB (KPI, KRI atď.),
6. zdroje, charakteristiky a použitie informačných aktív organizácie,
7. organizačné politiky, organizačné štruktúry a koncepty plánovania vzťahov s internými a/alebo externými organizáciami,
8. koncepcie zlepšovania organizačných procesov a modely hodnotenia vyspelosti procesov (napr. CMMI),
9. zásady a techniky plánovania kapacity a plánovania zdrojov,
10. princípy riadenia ľudských zdrojov,
11. rozpočtové pravidlá, zásady plánovania a riadenia nákladov a plánovania a riadenia investícií,
12. základy compliance v oblasti KB (právny rámec aspoň na úrovni zákona o ITVS, GDPR, ePrivacy, ISO 20000),
13. výskumné stratégie a znalostný manažment,
14. princípy podnikovej architektúry, koncepcie bezpečnostnej architektúry a referenčné modely podnikovej architektúry (napr. TOGAF, Zachman, FEA atď.),
15. koncepty, terminológia a princípy prevádzky elektronických komunikačných systémov (počítačové a telefónne siete, satelitné, optické, bezdrôtové siete atď.),
16. model OSI, mapovanie siete, topológia sietí, hlavné sieťové protokoly,
17. princípy sieťových zariadení (rozbočovače, prepínače, smerovače, brány, firewall atď.),
18. zásady riadenia dodávateľských služieb a obstarávania informačných systémov vrátane vyhodnocovania dôveryhodnosti dodávateľa alebo výrobku.

Riadenie hrozieb a rizík:

1. procesy riadenia rizík, postupy a metodiky analýzy rizík,
2. typické kybernetické bezpečnostné hrozby a zraniteľnosti a metódy ich identifikácie,
3. zásady aplikačnej bezpečnosti,
4. teória, koncepty a metódy systémového inžinierstva,
5. metódy a techniky softvérového inžinierstva vrátane modelov vývoja softvéru, princípy životného cyklu vývoja systémov a zásady bezpečného vývoja softvéru,
6. bezpečnostné koncepty v operačných systémoch,
7. bezpečnostné mechanizmy a metódy v softvérovom inžinierstve, napr. modularizácia, vrstvenie, abstrakcia, maskovanie, šifrovanie, pseudonymizácia, minimalizácia spracúvania atď.,
8. techniky a metódy riadenia konfigurácií a vplyv konfigurácií na bezpečnosť,
9. nástroje na posudzovanie zraniteľností,
10. sieťové protokoly a adresárové služby,
11. základná architektúra operačných systémov, napr. riadenie systémových procesov, štruktúra adresárov, inštalácia a spúšťanie procesov a aplikácií,
12. bezpečnostné riziká cloud computingu,
13. všeobecné koncepty operačných technológií a riadiacich systémov (OT/ICS).

Aplikácia bezpečnostných opatrení:

1. princípy navrhovania opatrení na ošetrenie bezpečnostných rizík,
2. bezpečnostné mechanizmy a spôsob ich implementácie,
3. bezpečnostné opatrenia vo fyzickej a objektovej bezpečnosti,
4. nástroje, metódy a techniky navrhovania bezpečnostných systémov,
5. zásady personálnej bezpečnosti,
6. opatrenia týkajúce sa používania, spracúvania, uchovávania a prenosu údajov ,
7. zásady a princípy riadenia identít a prístupov,
8. základy kryptografických bezpečnostných mechanizmov,
9. koncepcie a technológie vzdialeného prístupu,
10. základy virtualizačných technológií, vývoja a údržby virtuálnych strojov,
11. princípy zabezpečenia virtuálnych privátnych sietí (VPN),
12. techniky a metódy správy systémov a hardeningu systémov.

VON operatívnych bezpečnostných činností:

1. procesy riešenia kybernetických bezpečnostných incidentov,
2. zásady riadenia bezpečnosti prostredia cloudu BL5,
3. zásady určovania bezpečnostne relevantných zdrojov informácií a princípy tvorby prípadov použitia,
4. princípy logovania a bezpečnostného monitorovania,
5. princípy korelácie bezpečnostných udalostí,
6. základné postupy pri spracovaní digitálnych stôp,
7. základy penetračného testovania.

Riadenie súladu: 

1. právne predpisy, požiadavky na súlad a technické normy vzťahujúce sa na KB a ochranu osobných údajov,
2. základy compliance v oblasti KB (právny rámec aspoň na úrovni  zákona o ITVS, GDPR, ePrivacy, ISO 20000),
3. požiadavky právnych predpisov na bezpečnostnú dokumentáciu a bezpečnostné politiky,
4. princípy posudzovania KB,
5. politiky, procesy a postupy pre riadenie ľudských zdrojov v organizácii,
6. systémy odbornej prípravy, princípy vzdelávacích stratégií, procesov a postupov vzdelávania a zvyšovania povedomia u dospelých v oblasti KB vrátane merania efektivity vzdelávania,
7. zásady a metódy tvorby učebných plánov, výuky jednotlivcov a skupín,
8. štandardy bezpečnosti platobných kariet (PCI),
9. štandardy a procesy riadenia rizík v dodávateľskom reťazci,
10. metódy testovania a vyhodnocovania bezpečnosti systémov.

Zručnosti

Riadenie bezpečnosti:

1. strategické riadenie KB organizácie,
2. vypracovanie a prezentácia bezpečnostných stratégií a konceptov,
3. implementácia a riadenie procesov KB podľa všeobecne záväzných právnych predpisov, bezpečnostnej stratégie a ostatných interných riadiacich aktov,
4. zabezpečenie, vypracovanie, udržiavanie a aktualizácie bezpečnostnej dokumentácie KB a ďalších interných riadiacich aktov vo vzťahu k bezpečnosti organizácie,
5. návrh požiadaviek na rozpočet a na iné zdroje súvisiace s bezpečnostnými opatreniami a procesmi relevantnými z hľadiska KB vrátane riadenia nákladov a riadenia investícií,
6. metodické usmerňovanie správcov a gestorov informačných a komunikačných technológií, vlastníkov procesov, vlastníkov aktív, vedúcich zamestnancov a ďalších zodpovedných zamestnancov vo vzťahu k dosahovaniu bezpečnostných cieľov organizácie,
7. poskytovanie informácií bezpečnostnému výboru alebo štatutárnemu orgánu o stave KB v organizácii, o závažných bezpečnostných rizikách, kybernetických bezpečnostných incidentoch a významných bezpečnostných udalostiach,
8. riadenie KB vo vzťahu s dodávateľmi a pri obstarávaní a vývoji softvéru a systémov.

Riadenie hrozieb a rizík:

1. implementácia a manažment procesov identifikácie, analýzy a monitoringu bezpečnostných hrozieb a rizík,
2. posudzovanie hrozieb a rizík,
3. návrh opatrení na ošetrovanie rizík a na zamedzenie dopadov bezpečnostných udalostí,
4. zabezpečovanie procesov hodnotenia technických zraniteľností systémov,
5. manažment procesov detekcie, riešenia, evidencie a prevencie kybernetických bezpečnostných incidentov,
6. zabezpečenie funkčných plánov kontinuity a obnovy činností organizácie,
7. koordinácia a riadenie procesov obnovy prevádzkových činnosti (tzv. Business Continuity Management), vrátane riadenia procesov plánovania obnovy systémov po havárii (tzv. Disaster Recovery Planning).

Aplikácia bezpečnostných opatrení:

1. riadenie návrhov, implementácie, zmien a optimalizácie bezpečnostných riešení s víziou a konceptom ich bežného prevádzkovania,
2. zabezpečovanie implementácie technických a organizačných bezpečnostných opatrení,
3. riadenie bezpečnostnej architektúry,
4. predkladanie odborných stanovísk k novým zmenám v IT infraštruktúre, ktoré môžu mať potenciálny vplyv na bezpečnosť informačných aktív organizácie,
5. monitorovanie plnenia a efektivity bezpečnostných mechanizmov a opatrení.

VON operatívnych bezpečnostných činností:

1. manažment výkonu činností súvisiacich so zaručením bezpečnosti informačných aktív v zmysle najlepšej praxe,
2. vedenie tímu zamestnancov útvaru informačnej a kybernetickej bezpečnosti, ak je taký organizačný útvar zriadený,
3. návrh a aplikácia metodík pre klasifikáciu informačných aktív a kategorizáciu sietí a informačných systémov,
4. riadenie bežnej prevádzky technických bezpečnostných opatrení,
5. zabezpečovanie udržateľnosti organizačných opatrení vrátane vyspelosti bezpečnostných procesov,
6. zaistenie uplatňovania princípu oddelenia právomocí a zodpovedností v celej organizačnej štruktúre organizácie,
7. základy projektového manažmentu.

Riadenie súladu:

1. riadenie procesov zaručenia súladu (Compliance Management) v oblasti KB,
2. zabezpečenie pravidelného preskúmavania stavu kybernetickej a informačnej bezpečnosti,
3. vyhodnocovanie plnenia vnútorných predpisov súvisiacich s riadením KB,
4. poskytovanie súčinnosti internému a externému auditu KB,
5. navrhovanie metrík a kľúčových indikátorov pre sledovanie vývoja a stavu bezpečnosti a vývoja bezpečnostných rizík,
6. zabezpečovanie školení zamestnancov v oblasti KB,
7. zabezpečovanie kontinuálneho vzdelávania pre pracovné roly relevantné z hľadiska KB,
8. zabezpečovanie budovania bezpečnostného povedomia pre oblasť informačnej a KB a ochrany osobných údajov,
9. spolupráca s orgánmi verejnej moci a orgánmi činnými v trestnom konaní.

Špecifické kľúčové kompetencie: schopnosť prijímať rozhodnutia, schopnosť myslieť a konať v súvislostiach, schopnosť riešiť konflikty, schopnosť poskytovať spätnú väzbu, schopnosť delegovať úlohy, schopnosť podporovať procesy vzdelávania a odovzdávania znalostí, schopnosť viesť pracovný tím, schopnosť organizovania a plánovania práce, analytické myslenie, strategické a koncepčné myslenie, tvorivosť (kreativita), prezentačná zručnosť

Nezávislosť MKB

Postavenie MKB by malo byť nezávislé od útvaru IT. Úlohou MKB je najmä zabezpečiť odolnosť organizácie voči kybernetickým bezpečnostným hrozbám, riadiť súvisiace riziká a riešiť bezpečnostné incidenty. MKB je často „bezpečnostnou protiváhou“ pre útvary vývoja a prevádzky IT. Výrazne sa podieľa na ochrane aktív organizácie a niekedy dokonca musí rozhodnúť o zastavení rizikovej činnosti organizácie, samozrejme, v závislosti od jeho kompetencií. Ak bude MKB závislý od prevádzky a vývoja technologických služieb, existuje riziko, že rozhodnutia v oblasti kybernetickej bezpečnosti budú aj v krízových situáciách ovplyvnené prioritne cieľmi útvarov zodpovedných za IT služby a prevádzku organizácie. MKB je v prvom rade manažér a ako väčšina pracovných rolí musí dodržiavať etický kódex MKB, ktorý je súčasťou certifikačnej schémy.

Kybernetická bezpečnosť je náročná na konkrétne opatrenia v technologickej aj procesnej rovine. Potrebné sú nielen „papierové“ opatrenia, ktoré ponúkajú niektorí dodávatelia, ale najmä tie ktoré sú implementované do praxe.

Zodpovednosť v zmluvách

V zmysle Obchodného zákonníka je štatutárny orgán spoločnosti povinný konať s odbornou starostlivosťou, v súlade so záujmami spoločnosti, pričom zodpovedá za porušenie týchto povinností. Obdobne to platí aj pre riaditeľov škôl či starostov obcí a primátorov miest, ktorým táto zodpovednosť vyplýva z osobitných právnych predpisov (napr. zákon o obecnom zriadení).

Zodpovednosť za riadenie kybernetickej bezpečnosti treba vnímať v dvoch samostatných kontextoch, pričom tieto  zodpovednosti si nie je možné zamieňať: 

• zákonnú zodpovednosť – zodpovednosť štatutárneho orgánu vyplývajúcu zo všeobecne záväzných právnych predpisov; nie je možné outsourcovať, resp. outsourcing štatutárny orgán zákonnej zodpovednosti nezbaví,
• zmluvnú zodpovednosť – výkon niektorých úloh v kybernetickej bezpečnosti; je možné obstarať aj ako službu vykonávanú dodávateľským spôsobom.

Riadenie parametrov služby                              

Parametre poskytovanej služby musia byť merateľné a mali by byť zazmluvnené prostredníctvom dohody o úrovni služieb (SLA). Porušenie parametrov uvedených v SLA môže byť riešené buď vopred dohodnutým znížením platieb, alebo automatickou zmluvnou pokutou, a to nezávisle od toho, či vznikla škoda.

Zákonné zodpovednosti nemožno zmluvne preniesť na tretiu stranu, ani sa ich efektívne vzdať! Zmluva s dodávateľom služby nepredstavuje nahradenie zákonných zodpovednostných vzťahov a ich prenos na tretiu osobu.

[1] Dostupná na https://www.nbu.gov.sk/certifikacia-manazera-kybernetickej-bezpecnosti/