Národní strategie informační bezpečnosti ČR z pohledu veřejné správy
Právní rámec NSIB
Národní strategie informační bezpečnosti ČR implementuje v domácích podmínkách Směrnici OECD pro bezpečnost informačních systémů a sítí: směrem ke kultuře bezpečnosti.
NSIB byla vypracována v rámci Státní a komunikační politiky: eČesko 2006. Přitom vychází
z Bezpečnostní strategie ČR z roku 2003, kterou rozpracovává pro oblast informační bezpečnosti.
Samotná strategie není právně závazná, ale bude brána v úvahu při tvorbě souvisejících metodik, postupů, směrnic, doporučení apod.
Má se tak stát jednotícím základem pro úpravu oblasti bezpečnosti informačních a komunikačních systémů, bez ohledu na to, které subjekty tyto systémy využívají.
Účel NSIB
Strategie se nevztahuje pouze na oblast veřejné správy. Jejím cílem je celkové zlepšení informační bezpečnosti, zvýšení důvěryhodnosti v informační společnost a zavádění nejlepších zkušeností (best practices – viz dále) do řízení informační bezpečnosti, stejně jako do oblasti vytváření, resp. správy informačních a komunikačních systémů.
Dalším cílem strategie je zajištění vyšší úrovně zabezpečení informačních a komunikačních systémů, tak, aby jejich aktiva (tedy HW, SW, uložené nebo přenášené informace, které mají hodnotu) byla chráněna před hrozbami, resp. uskutečněnými útoky, které rozvoj těchto systémů sebou přináší.
Výbor pro informační bezpečnost ČR
Strategie předpokládá zřízení Výboru pro informační bezpečnost ČR, jako poradního a pracovního orgánu Ministerstva informatiky, složeného ze zainteresovaných subjektů veřejné správy (viz
v samostatném rámečku za článkem). Výbor bude fungovat jako zastřešující pracovní orgán, který koordinuje cíle strategie a stanovuje harmonogram jejich dosažení. Výbor bude rovněž navrhovat přiřazení kompetencí a odpovědnosti orgánů veřejné správy při vytváření bezpečného prostředí informačních systémů ve veřejné správě. Jeho úkolem bude vypracovat dlouhodobý plán gesčního přiřazení jednotlivých opatření, včetně metrik pro jejich plnění.
Každoročně výbor podává vládě prostřednictvím ministra informatiky zprávu o stavu realizace NSIB
a potřebě její aktualizace.
Best practices
Podpora zavádění nejlepší praxe (zkušeností) je jednou z priorit NSIB.
Best practices tvoří obecně souhrn osvědčených opakovatelných právem neupravených postupů
v dané oblasti. Přirozenou, empirickou cestou se tak vytvářejí pravidla osvědčených postupů
a řešení, která sice nejsou zpravidla právně závazná, ale je užitečné je uplatňovat. Právní závaznosti by mohla dosáhnout cestou odkazu (mocí) závazného právního předpisu.
Strategie předpokládá výměnu zkušeností a zveřejňování best practices prostřednictvím Portálu veřejné správy (www.portal.gov.cz).
Z best practices mají být využita zejména pravidla:
a) procesního přístupu systémového řešení informační bezpečnosti,
b) pro zavádění a efektivní správu systémů řízení informační bezpečnosti,
c) užití modelu: Plánování – Zavedení – Kontrola – Využití.
Strategie bude podporovat i slučitelnost postupů best practices mezi veřejnou a soukromou sférou.
S tím souvisí i předpokládaná podpora projektů na výměnu informací mezi nimi.
Zajištění informační bezpečnosti veřejnou správou
Strategie předpokládá spolupráci orgánů veřejné správy s národní normalizační institucí (tj. Českým normalizačním institutem) při tvorbě norem z oblasti informační bezpečnosti.
Orgány veřené správy musejí zajišťovat informační bezpečnost jak uvnitř vlastní struktury, tak mimo ni. Jestliže např. orgán veřejné správy zadá část správy informačního systému externímu subjektu (mj. formou outsourcingu), nese i nadále odpovědnost za zajištění informační bezpečnosti spravovaných dat (informací). Je nezbytné, aby smlouva mezi orgánem veřejné správy a externím subjektem obsahovala ustanovení, zajišťující odpovídající úroveň bezpečnosti informací.
Certifikované produkty a služby
Pro zvýšení úrovně informační bezpečnosti předpokládá strategie podporu obchodu a užívání certifikovaných výrobků a služeb v oblasti informačních a komunikačních technologií. Certifikované výrobky a služby, společně se zajištěním dostatečné úrovně bezpečnosti elektronických transakcí prováděných veřejnou správou a spolu s prováděním aktivní kontroly transakcí s osobními údaji, mají pomoci vytvořit všeobecnou důvěru ve správnost, spolehlivost a nezneužitelnost elektronických informací.
Zvýšení úrovně znalostí
Téma informační bezpečnosti bude zarnuto do vzdělávacích programů zaměstnanců veřejné správy. Orgány veřejné správy musí zajistit, aby znalost informační bezpečnosti nebyla omezena jen na zaměstnance, kteří se pracovně touto problematikou zabývají, ale byla rozšířena v potřebném rozsahu i mezi ostatními zaměstnanci, kteří informační a komunikační systémy užívají. Vzdělávání gesčně zajišťuje GŘSS ve spolupráci s MIČR.
Řízení informační bezpečnosti
Standard si v oblasti řízení informační bezpečnosti a řízení rizik klade za cíl zvýšit kvalitu bezpečnostních systémů a pokrýt bezpečnostními pravidly jak vlastní informační systémy, tak klasické administrativní prostředí.
Strategie předpokládá širší uplatnění best practices pro oblast řízení bezpečnosti i podporu při zavádění samotného systému řízení informační bezpečnosti. Počítá se s monitoringem hrozeb pro informační systémy i monitoringem účinnosti navržených protiopatření.
Podle strategie má být ustaveno centrum pro řízení, moniltoring a analýzu bezpečnostního prostředí informačních a komunikačních systémů.
Dále má být na Portálu veřejné správy vytvořen systém včasného varování a výměny informací pro snížení rizik informačních a komunikačních systémů.
Pro zvýšení bezpečnosti informačních systémů veřejné správy si strategie klade za cíl:
a) zabezpečit dohled komunikačni infrastruktury veřejné správy,
b) zesílit úsilí bezpečnostních složek státu spojené s informační kriminalitou a kyberterorizmem,
c) zavést jednotnou klasifikaci informací.
Zdroj: Relsie Žurnál
Odpovědět na příspěvek