Základy bezpečnostných opatrení - Príručka manažéra kybernetickej bezpečnosti

Predslov:

Vzhľadom na neustále sa rozvíjajúce hrozby v oblasti informačnej a kybernetickej bezpečnosti je ošetrenie rizík, spojených s kybernetickou bezpečnosťou, jednou z hlavných výziev pre zabezpečenie udržateľného a dôveryhodného digitálneho trhu.

Kde sa nachádzame v súčasnosti? Pri každodennej rutinnej práci či zábave s výpočtovými zariadeniami si dnes málokto uvedomuje, že merateľný výpočtový výkon bežne dostupného lacného smartfónu sa už vôbec nedá porovnať s výkonom niekdajšieho špičkového osobného počítača. Práca i súkromie sa čoraz viac presúvajú do kybernetického priestoru. Zvýšený objem dát a informácií spracúvaných v kybernetickom priestore spolu so zvyšujúcou sa komplexitou technologického prostredia a väčším množstvom automatizovaných pracovných procesov nutne generuje zvýšený počet kybernetických bezpečnostných hrozieb.

Ambíciou tejto publikácie je poskytnúť nezávislý pohľad na výkladové a aplikačné problémy, praktickú stránku požiadaviek na bezpečnostné opatrenia vrátane vysvetlenia všeobecného významu opatrení a procesných povinností, ktoré vyplývajú povinným osobám z legislatívy. Príručka je určená na vzdelávanie dospelých, teda čitateľom, ktorí už majú určitú prax v informatike a v manažmente. Preto jednotlivé témy nie sú rozpracované do úplného technického detailu. Primárnou snahou bolo prepojiť požiadavky právnych predpisov, najmä zákona o kybernetickej bezpečnosti, s praktickými otázkami kybernetickej bezpečnosti a poskytnúť náhľad do problematiky aplikácie bezpečnostných opatrení.

Dobrá prax, európska aj národná legislatíva v posledných rokoch výraznejšie presadzujú prístup ku kybernetickej bezpečnosti a ochrane údajov pomocou prístupu založeného na riadení rizika. Keďže aj návrh bezpečnostných opatrení a rozhodnutie o ich implementácii musia byť prispôsobené identifikovaným rizikám, oblasti riadenia rizík je v tejto publikácii venovaná rozsiahlejšia kapitola. Napriek tomu záujemcom o hlbšie pochopenie problematiky riadenia rizík odporúčame ďalšiu literatúru, ktorá sa touto témou zaoberá.

Inšpiráciou pre kompozíciu tohto textu bola séria článkov zverejnených postupne na portáli bezpecnostvpraxi.sk. Zverejnené články sa stali základom tejto knižnej publikácie.

Príručka nie je iba teóriou, ktorá nikdy nebola overená v praxi, ale naopak – pohľadom a poznámkami z reálnej praxe informačnej a kybernetickej bezpečnosti.

Poďakovanie za cenné pripomienky k publikácii patrí recenzentom. K finálnemu textu obzvlášť prispeli (v abecednom poradí): JUDr. Lucia Bezáková, prof. RNDr. Michal Greguš, PhD., Mgr. Ivan Kopáčik, por. Mgr. Matej Šalmík a Mgr. Marek Zeman, PhD.

Ivan Makatura

O autorovi:

Ivan Makatura je bezpečnostný manažér a konzultant s mnohoročnou praxou riaditeľa odboru bezpečnosti v bankách a neskôr praxou vedúceho konzultanta v nadnárodnej konzultačnej spoločnosti – so zameraním na oblasť informačnej a kybernetickej bezpečnosti, ochranu osobných údajov a riadenie rizík.

V oblasti informačnej bezpečnosti a riadenia IT pracuje už viac ako štvrťstoročie. Je generálnym riaditeľom Kompetenčného a certifikačného centra kybernetickej bezpečnosti, členom Správnej rady Európskeho centra odvetvových, technologických a výskumných kompetencií v kybernetickej bezpečnosti, National Liaison Officer a člen poradnej skupiny Európskej agentúry pre kybernetickú bezpečnosť (ENISA). Zároveň pôsobí ako súdny znalec v odvetví Bezpečnosť a ochrana informačných systémov zapísaný v Zozname znalcov, tlmočníkov a prekladateľov Ministerstva spravodlivosti Slovenskej republiky a tiež ako certifikovaný audítor a certifikovaný manažér kybernetickej bezpečnosti. V úlohe člena Technickej komisie Úradu pre normalizáciu a metrológiu SR sa spolupodieľa na preklade noriem ISO pre oblasť informačnej bezpečnosti a na ich implementácii do sústavy slovenských technických noriem.

Vyštudoval odbor výpočtová technika a neskôr odbor aplikovaná informatika na Fakulte elektrotechniky a informatiky Technickej univerzity v Košiciach. Absolvoval postgraduálne štúdium na Znaleckom ústave elektrotechniky a informatiky Fakulty elektrotechniky a informatiky Slovenskej Technickej univerzity v Bratislave. V súčasnosti je študentom doktorandského štúdia na Fakulte managementu Univerzity Komenského v Bratislave. Je držiteľom mnohých profesijných certifikácií v oblasti informačnej bezpečnosti a riadenia rizika.

Až do odchodu z bankovej sféry viedol mnoho rokov pracovnú skupinu pre informačnú bezpečnosť Komisie pre bezpečnosť bánk a finančných operácií pri Slovenskej bankovej asociácii (SBA). Od roku 2013 sa podieľal na rozvojovom programe Európskej komisie Digitálna agenda. V implementácii Národnej koncepcie informatizácie verejnej správy SR sa zúčastňoval väčšiny aktivít súvisiacich s otázkami kybernetickej bezpečnosti. Spolupracoval na príprave väčšiny právnych predpisov týkajúcich sa kybernetickej bezpečnosti, tiež je spoluautorom Národnej stratégie kybernetickej bezpečnosti vrátane jej akčného plánu na roky 2021 – 2025.

Stál pri zrode IT Service Management fóra Slovensko (itSMF.SK), ktorého predsedom bol počas prvých troch volebných období. Je dlhoročným členom ISACA Slovensko (ISACA.SK), od roku 2019 aj členom Rady ISACA Slovensko. V roku 2018, spolu s niekoľkými ďalšími kolegami z odvetvia, založil Asociáciu kybernetickej bezpečnosti (AKB.SK) ako dobrovoľné a nezávislé občianske združenie, ktorého cieľom je reprezentovať slovenskú komunitu informačnej bezpečnosti. Na zakladajúcom valnom zhromaždení bol zvolený za jej predsedu.

Je známym prednášajúcim na slovenských i medzinárodných konferenciách, ako aj autorom niekoľkých publikácií a mnohých článkov s témou kybernetickej bezpečnosti a ochrany osobných údajov, príležitostne prednáša na vysokých školách. Práve zvyšovanie IT gramotnosti a neustále zvyšovanie kvality spolupráce bezpečnostných profesionálov považuje za svoj profesionálny cieľ.