Bezpečnosť informácií a kybernetická bezpečnosť spolu úzko súvisia a prekrývajú sa, ale majú rôzne ciele. Bezpečnosť informácií rieši dôvernosť, integritu a dostupnosť informácií, zatiaľ čo kybernetická bezpečnosť sa primárne zaoberá ochranou životov, zdravia a majetku ľudí aj organizácií, celej spoločnosti a národov.
Kybernetická bezpečnost je vztažena k celému kyberprostoru. Organizace působící v kyberprostoru by měly brát v úvahu nejen sami sebe, ale také strany, které by v případě výskytu incidentu bezpečnosti informací mohly negativně ovlivnit a naopak. Organizace působící v kyberprostoru by tedy měly řídit kybernetická rizika a spolupracovat přitom s ostatními relevantními subjekty v kyberprostoru.
Bezpečnost informací se soustředí zejména na:
- důvěrnost informací, které mají pro organizaci hodnotu;
- integritu a dostupnosti informací, které jsou pro činnost organizace významné;
- dostupnost ICT infrastruktury, které podporuje procesy organizace;
- spolehlivé a důvěryhodné poskytování ICT služeb.
Incident bezpečnosti informací v kyberprostoru může vést ke kybernetickému incidentu. Proto jsou rizika bezpečnosti informací v kontextu kyberprostoru vnímána jako kybernetická rizika.
Opatření bezpečnosti informací zavádí organizace proto, aby snížily svá vlastní rizika. Opatření kybernetické bezpečnosti zavádí organizace proto, aby snížily svá vlastní rizika, ale také rizika ostatních zúčastněných stran, které by mohly být přímo či nepřímo ovlivněny.
Pro snížení následků kybernetických incidentů mají subjekty působící v kyberprostoru společnou odpovědnost za řízení a komunikaci kybernetických rizik, implementaci bezpečnostních opatření, odhalování potenciálních incidentů a spolupráci při reakci a zotavení se ze závažných incidentů.
Systém řízení bezpečnosti informací a kybernetická bezpečnost
Systém řízení bezpečnosti informací (ISMS) je aplikován na organizaci a hranice ISMS ji zřetelně oddělují od externího prostředí. Kyberprostor tedy tvoří externí kontext organizace.
Kybernetická bezpečnost přesahuje hranice ISMS i hranice organizace. Organizace často spolupracují a komunikují s externími subjekty prostřednictvím kyberprostoru, což představuje rizika, která je třeba v rámci ISMS organizace řídit.
V kyberprostoru se také vyskytuje řada zdrojů rizik s různými záměry, schopnostmi a motivací. Příklady jsou skupiny podporované státy, skupiny organizovaného zločinu, teroristé, ideologičtí aktivisté nebo různě zdatní profesionální i amatérští hackeři. Tyto zdroje rizik mohou organizaci vystavit rizikům bezpečnosti informací. Proto organizace musí v rámci plánování a provozování svého systému řízení bezpečnosti informací identifikovat rizika od zdrojů rizik působících v kyberprostoru.
Organizace by měla využít svůj ISMS k řízení kybernetických rizik. ISMS pomáhá definovat hranice, závislosti, implementovat všechny potřebné procesy i příslušný soubor opatření.
Příkladem využití ISMS na podporu kybernetické bezpečnosti je použití ISO/IEC 27001 s normou ISO/IEC 27019 a s vyhláškou 82/2018 Sb., o kybernetické bezpečnosti k ustavení, implementaci, udržování a neustálému zlepšování ISMS pro dodavatele energie. ISMS ve výsledku podporuje stabilitu dodávek energie a přispívá tak k kybernetické bezpečnosti státu a jeho obyvatel. Podobné příklady je možné najít v telekomunikacích, bankovnictví, dopravě, zdravotnictví, veřejné správě atp., tedy v kritické infrastruktuře.
Rámec kybernetické bezpečnosti
Zdroje kybernetických rizik se neustále vyvíjejí. Proto státy nebo oborové podnikatelské skupiny vytvářejí rámce kybernetické bezpečnosti, které jednotlivé organizace zavádějí a deklarují s těmito rámci soulad.
Nedávno publikovaná norma ISO/IEC TS 27110 specifikuje pokyny pro vývoj rámců kybernetické bezpečnosti a způsob organizování opatření kybernetické bezpečnosti v pěti konceptech – identifikace, ochrana, detekce, odezva a obnova. A jak uvádí norma, takto strukturovaný rámec kybernetické bezpečnosti se může skládat ze standardů, pokynů a postupů pro řízení kybernetických rizik.
Nově definované koncepty kybernetické bezpečnosti dnešní rámce kybernetické bezpečnosti zatím nevyužívají. Změnu by měla přinést aktualizovaná norma ISO/IEC 27002, které členění opatření podle uvedených konceptů bude obsahovat. Další rámce snad budou následovat. Pomůže to vzájemnému porozumění a komunikaci mezi organizacemi, které používají různé rámce.