Bezpečnost informací a dat je nezbytná. V rámci podnikového řízení má klíčovou roli a musí být zaměřena na optimální podporu obchodních procesů, dosahování cílů organizace a zachování firemních hodnot. Kvalitně strukturovaný systém řízení bezpečnosti informací (ISMS) má zajistit účinnou a efektivní ochranu informací, dat a ICT systémů i procesů s ohledem na základní cíle ochrany bezpečnosti informací (důvěrnost, integrita a dostupnost). ISMS je založen na přístupu k řízení rizik při využití principů Demingova modelu PDCA (Plan – Do – Check – Act), který má tyto etapy: (i) ustavení ISMS, (ii) zavádění a provoz ISMS, (iii) monitorování a přezkoumání ISMS a (iv) údržba a zlepšování ISMS.
ISMS by mělo být pro vybrané organizace (povinné osoby) v souladu s požadavky stávajícího zákona č. 181/2014 Sb., o kybernetické bezpečnosti (ZKB), a vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti (VoKB), u nově definovaných poskytovatelů regulované služby v souladu s budoucími povinnostmi vyplývajícími z návrhu nového zákona o kybernetické bezpečnosti (nZKB), vycházejícího z požadavků ze směrnice NIS 2, a jeho vyhlášek nebo, a to prakticky u všech organizací, které to s bezpečností informací a dat myslí vážně, s normou ČSN EN ISO/IEC 27001:2022 či podobnými mezinárodními systémy řízení ISMS. Dle normy ČSN EN ISO/IEC 27001:2022 přitom platí, že „přijetí systému managementu informační bezpečnosti je pro organizaci strategickým rozhodnutím. Ustavení a zavedení systému managementu informační bezpečnosti organizace jsou ovlivněna potřebami a cíli organizace, požadavky na bezpečnost, používanými procesy a velikostí a strukturou organizace. Všechny tyto ovlivňující faktory se pravděpodobně budou v čase měnit“.
Konkrétní bezpečnostní cíle příslušné organizace souvisejí s jejími rámcovými podmínkami (např. obchodní model, odvětví nebo přístup k riziku). Je možné se tak zaměřit na hrozby pocházející z internetu, ochranu duševního vlastnictví, plnění zákonných požadavků a smluvních závazků nebo ochranu výrobních systémů, popřípadě na kombinaci těchto parametrů. Ve všech případech je zásadní uvědomit si nebo odhalit rizika bezpečnosti informací, která v příslušném kontextu existují, a vybrat, zavést, a nakonec důsledně sledovat nezbytné strategie, procesy a bezpečnostní opatření.
Implementace ISMS a její případný následný audit vyžaduje značné zkušenosti. Klíčové je rozhodnutí a angažovanost vrcholového managementu k danému tématu. Jasný mandát vedení a bezpečnostní strategie přizpůsobená obchodní strategii spolu s kompetentními osobami (internisté i externisté) a dostatečnými zdroji jsou základními předpoklady pro to, aby bylo možné optimálně podpořit dosažení obchodních cílů pomocí ISMS. Vrcholový management by měl v rámci definice rozsahu ISMS zohlednit jak stávající ICT Governance (současné cíle organizace v oblasti ICT procesů, informačních systémů a bezpečnosti informací), tak ICT Compliance (zákonné požadavky-ZKB, nZKB, smluvní povinnosti – někdy i jen jako dodavatele povinné osoby, interní dokumentace nebo požadavky norem), a to vždy s přihlédnutím ke klíčovému parametru, tudíž obecnému přístupu organizace k rizikům a optimalizaci s nimi spojených nákladů (Risk Management).
Právě náklady (finanční, časové apod.) na splnění požadavků kladených na tzv. poskytovatele regulované služby definované v § 2 odst. 1, písm f) nZKB (ať již v režimu vyšších nebo nižších povinností) jsou v současnosti často zmiňovaným tématem. Opatření k dosažení a udržení bezproblémového fungování ISMS tak musejí být jak (I) účinná, tak především také ekonomicky (II) přiměřená. To samé platí vlastní audit počínající právě vhodně stanoveným programem auditu.
Pro stanovení účelného programu auditu stávajícího ISMS a vlastní auditní činnosti je tak nutné především určit, zda se jedná o (I) dobrovolný audit (kontrola, zda ISMS splňuje vlastní požadavky organizace), (II) audit nutný pro splnění existujících nebo budoucích zákonných požadavků (audit kybernetické bezpečnosti dle § 16 VoKB, odrážející povinnost povinných osob dle § 4 ZKB „zavést a provádět bezpečnostní opatření pro zajištění kybernetické bezpečnosti“, audit dle § 17 návrhu vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností nebo tzv. přehled bezpečnostních opatření dle § 4 návrhu vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností odrážející povinnost poskytovatelů regulované služby dle § 14 nZKB „v rámci stanoveného rozsahu zavést a provádět bezpečnostní opatření podle § 15 alespoň v míře a způsobem stanoveným vyhláškou Úřadu“) nebo (iii) audit certifikační (prováděný kvalifikovanými externími auditory jménem certifikačního orgánu, obvykle postupující na základě norem ČSN EN ISO/IEC 27006:2015 a ČSN EN ISO/IEC 17021-1:2015).
Především ohledně budoucích poskytovatelů regulované služby v režimu nižších povinností, kterých bude odhadem více než 6000, NÚKIB v článku Jak se připravit na novou úpravu uvádí, že pokud organizace „kybernetickou bezpečnost do této chvíle systematicky neřešila, lze doporučit jako výchozí krok především: zmapování aktuálního stavu organizace (tzn. audit aktuálního stavu kybernetické bezpečnosti a potenciálních slabých míst) a vypracování tzv. business impact analýzy (zejm. jaké by byly dopady narušení řádného fungování jednotlivých systémů na vaši organizaci; nejde přitom jen o nedostupnost používaných informačních systémů, ale i o narušení důvěrnosti nebo integrity shromažďovaných dat)“.
Obdobným nástrojem je GAP analýza neboli analýza mezer, kterou je podle definice NÚKIB v Příloze 14: Zkratky a používané pojmy „nástroj pro srovnání požadovaného výsledku s reálným výsledkem. Cílem je najít mezery mezi těmito dvěma stavy. Tento typ analýzy je používán např. jako rozdílová analýza mezi skutečným stavem v organizaci oproti požadavkům VKB“.
Primárním cílem prvních dvou zmíněných auditů ISMS i GAP analýzy je ověřit, do jaké míry ISMS splňuje vlastní požadavky organizace, stávající a budoucí zákonné požadavky, případně požadavky externí, např. norem ČSN EN ISO/IEC 27001:2022 (kontrola shody), a přezkoumat implementaci a účinnost přijatých opatření (kontrola implementace a účinnosti).
Aby toho bylo dosaženo, musí být v první řadě naplánován a implementován program auditu, který reguluje aspekty, jako je četnost, postupy, odpovědnosti, požadavky na plánování, sledování a podávání zpráv. Dále je třeba stanovit, jak se řeší nápravná a preventivní opatření (tj. opatření odvozená přímo z auditů) a kde jsou „sledována“ pro další zpracování.
V rámci samotného procesu auditu ISMS je nutné oddělit (i) program auditu a (ii) vlastní auditní činnost (praktické provádění auditu). Ve větších organizacích má smysl mít organizační rozdělení mezi těmito oblastmi, kdy vedoucí auditorského týmu (např. CISO) odpovídá za program auditu a tým auditorů (vlastní i externí) provádí auditní činnost. U menších společností se spíše půjde cestou auditu pomocí externistů, a to včetně stanovení programu auditu. Program auditu musí být navržen tak, aby směřoval k realizaci cíle auditu co nejefektivněji, tudíž aby byla dosažena nejlepší možná návratnost investice (ROI).
Program auditu slouží jako organizační nadstavba pro kontrolu a monitorování všech činností v rámci auditu a tvoří rozhraní k ostatním procesům v ISMS. Vrcholové vedení organizace stanovuje předem cíle takového auditu. Žádoucí je také stanovit auditní metodu, výběr osob provádějících audit, zdroje nebo způsob nakládání s důvěrnými informacemi.
Samotný program auditu se skládá z cyklu s dílčími procesy (I) plánování, (II) definování, (III) implementace, (IV) monitorování a (V) kontrola. Program auditu musí vymezit obecná kritéria pro audity. V závislosti na velikosti organizace, počtu provedených auditů a požadované míře podrobnosti programu auditu lze také přímo definovat konkrétní rozsah jednotlivých auditů. Provedené audity musejí být zdokumentovány a jako důkaz o provádění programu auditu musejí být k dispozici příslušné informace. Pravidelně musejí být vypracovávány zprávy vedení organizace s informacemi o výkonnosti programu auditu a o auditních činnostech a jejich výsledcích.
Plánování programu auditu znamená, že program auditu by měl vycházet z individuálních požadavků každé organizace a z cíle auditu. Např. pokud by cílem auditu byla realizace auditu dle § 17 návrhu vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností, pak organizace a) posuzuje, zda byla zavedena bezpečnostní opatření požadovaná zákonem o kybernetické bezpečnosti a touto vyhláškou, b) posuzuje soulad zavedených bezpečnostních opatření s právními předpisy, vnitřními předpisy, jinými předpisy, smluvními závazky a nejlepší praxí vztahující se k regulované službě a c) provádí a dokumentuje audit dodržování pravidel a postupů stanovených v bezpečnostní politice včetně přezkoumání technické shody a dříve stanovených nápravných opatření podle odstavce 4. Kromě toho by z vymezených cílů programu auditu mělo vyplývat, že audity jsou založeny na zjištěných rizicích, je zohledněna důležitost jednotlivých obchodních procesů a program auditu pokrývá rozsah souvisejícího ISMS.
Definování programu auditu znamená, že osoba odpovědná za program auditu musí mimo jiné zajistit (i) definici a implementace celého programu auditu, (ii) identifikaci, posouzení a řešení rizik, která mají přímý dopad na program auditu, (iii) zavedení procesů pro provádění auditů, (iv) identifikaci a obstarání nezbytných zdrojů, (v) určení osob provádějících audit, (vi) určení metod a nástrojů, které mají být použity, (vii) aktualizaci dokumentace programu auditu a (viii) sledování a zlepšování samotného programu auditu.
Implementace programu auditu znamená provádění vlastních rozhodnutí přijatých během procesu definování programu auditu. To zahrnuje pravidelné informování o průběhu auditu, koordinaci činností souvisejících s auditem pro jeho bezproblémový průběh, a především zajištění potřebných zdrojů.
Monitorování programu auditu znamená, že musí být průběžně sledován samotný program auditu z hlediska kvality a efektivity, především zda (i) program auditu zůstává v souladu s rozsahem ISMS, (ii) plánování času a zdrojů bylo navrženo vhodně a (iii) jsou auditovány opravdu jen navržené procesy/oblasti/aplikace/systémy/data, a to vhodnými prostředky. Vzhledem k dalším možným auditům je doporučeno zdokumentovat celkové náklady na audit, mimo jiné proto, aby bylo možné lépe odhadnout náročnost budoucích auditů. Součástí tohoto dílčího procesu je také sběr a vyhodnocování zpětné vazby od vedení, auditovaných útvarů nebo organizačních jednotek, osob provádějících audit a dalších zainteresovaných stran.
Kontrola programu auditu znamená, že osoby odpovědné za program auditu pravidelně kontrolují, zda jsou stále naplňována očekávání zúčastněných stran. Výchozím bodem jsou informace vyplývající z monitorování. Stav programu auditu musí být hlášen odpovědnému vedení. Je také užitečné zavést KPI, aby byla úroveň kvality programu auditu a vlastních auditů měřitelná a celkově srovnatelná. Z výše uvedeného plyne, že stanovení programu auditu i samotné provádění auditu (které nebylo předmětem tohoto příspěvku) je komplexní činností kladoucí na všechny zúčastněné vysoké nároky, a podpora odpovědných osob v organizaci ze strany zkušených a nestranných odborníků je tak více než vhodná.
