Manažér kybernetickej bezpečnosti

16. oct 2019

Jednou z povinností, ktoré prináša zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a s ním súvisiaca vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení, je zriadenie funkcie manažéra kybernetickej bezpečnosti.

Podľa § 5 písm. a) vyhlášky sa na účely organizácie kybernetickej bezpečnosti uplatňuje najmenej zásada:

a) určenia manažéra kybernetickej bezpečnosti, ktorý:

  1. má možnosť predkladať návrhy a oznamovať informácie v oblasti kybernetickej bezpečnosti priamo štatutárnemu orgánu prevádzkovateľa základnej služby,
  2. zabezpečuje aplikáciu bezpečnostných opatrení v systéme riadenia kybernetickej bezpečnosti,
  3. je nezávislý od riadenia prevádzky a vývoja služieb informačných technológií,
  4. spĺňa znalostné štandardy na funkciu manažéra kybernetickej bezpečnosti podľa osobitného predpisu.

Úlohou manažéra kybernetickej bezpečnosti je zodpovednosť za organizovanie systému riadenia kybernetickej bezpečnosti. Cieľom tohto prístupu je obmedziť škody, ktoré by mohli vzniknúť v dôsledku chýb, omylov alebo neoprávneného použitia sietí a informačných systémov. Táto úloha je úplne kľúčová pre správne nastavenie fungovania systému riadenia kybernetickej bezpečnosti. Manažér kybernetickej bezpečnosti má povinnosť informovať priamo štatutárny orgán prevádzkovateľa základnej služby o činnostiach vyplývajúcich z výkonu jeho úlohy, teda najmä o stave systému riadenia kybernetickej bezpečnosti. Manažér kybernetickej bezpečnosti je jedným zo základných nástrojov tvorby bezpečnostných opatrení prevádzkovateľa základnej služby a ich aplikácie do praxe. Manažér kybernetickej bezpečnosti by mal detailne poznať zavedené procesy a mal disponovať dostatočnou znalosťou vnútorných IT procesov. Mal by kontrolovať fungovanie zavedených procesov informačnej bezpečnosti a ich dodržiavanie, hlavne zamestnancov informatiky, ale aj ostatných zamestnancov.

Manažér kybernetickej bezpečnosti by mal byť zorientovaný aj v oblasti informačno-komunikačných technológií. Na výkon činnosti manažéra kybernetickej bezpečnosti sa predpokladá preukázanie odbornej spôsobilosti v súlade s osobitným predpisom vydaným úradom.

Kto by mal byť teda manažérom kybernetickej bezpečnosti? Asi by to nemal byť informatik, ktorý si procesy navrhne, zavedie a nakoniec si ich aj sám skontroluje či fungujú tak ako majú. Mal by to byť človek, ktorý rozumie aj informatike, len takých je okrem informatikov už pomenej. Jedným zo schodných riešení je zabezpečiť si to externým odborníkom.

RNDr. Daniel Schikor