Manažér kybernetickej bezpečnosti

V poslednom období zaznamenávame zvýšený záujem o otázky týkajúce sa pozície manažéra kybernetickej bezpečnosti, resp. manažéra informačnej bezpečnosti. Táto pracovná pozícia je v našich podmienkach relatívne nová. Základ vychádza z medzinárodne používaných titulov Chief Security Officer (CSO) a Chief Information Security Officer (CISO). V našom prostredí ide o manažéra kybernetickej bezpečnosti (ďalej len „MKB“). Náplň pozície vyplýva z legislatívnych požiadaviek, ako aj z praktických potrieb zabezpečenia organizácie.

Ako treba nazerať na pracovnú náplň manažéra kybernetickej bezpečnosti? Čo by mal ovládať? Aké sú typické úlohy MKB? Ako by mal v praxi tieto úlohy plniť?

Je dôležité si uvedomiť, že certifikácia MKB nie je povinná. Je však považované za dobrú prax, aby MKB spĺňal podmienky stanovené certifikačnou schémou overovania odbornej spôsobilosti MKB, verzia 1.2 zo dňa 12. januára 2024 účinnej od 1. februára 2024¹. Vyhláška č. 492/2022 Z. z., ktorou sa stanovujú znalostné štandardy v oblasti kybernetickej bezpečnosti, definuje aj vedomosti a zručnosti MKB. Ak sa riaditeľ školy rozhodne spolupracovať s MKB, odporúčame overiť si jeho odbornú spôsobilosť.

Vedomosti MKB

Riadenie bezpečnosti:

1. procesy, systémy a zásady riadenia kybernetickej bezpečnosti (ďalej len „KB“) vrátane zásad riadenia fyzickej a objektovej bezpečnosti,
2. organizácia KB,
3. terminológia a skratky v oblasti KB,
4. princípy riadenia IT služieb, správy systémov a správy počítačových sietí,
5. hodnotiace a validačné kritériá v oblasti KB (KPI, KRI atď.),
6. zdroje, charakteristiky a použitie informačných aktív organizácie,
7. organizačné politiky, organizačné štruktúry a koncepty plánovania vzťahov s internými a/alebo externými organizáciami,
8. koncepcie zlepšovania organizačných procesov a modely hodnotenia vyspelosti procesov (napr. CMMI),
9. zásady a techniky plánovania kapacity a plánovania zdrojov,
10. princípy riadenia ľudských zdrojov,
11. rozpočtové pravidlá, zásady plánovania a riadenia nákladov a plánovania a riadenia investícií,
12. základy compliance v oblasti KB (právny rámec aspoň na úrovni zákona o ITVS, GDPR, ePrivacy, ISO 20000),
13. výskumné stratégie a znalostný manažment,
14. princípy podnikovej architektúry, koncepcie bezpečnostnej architektúry a referenčné modely podnikovej architektúry (napr. TOGAF, Zachman, FEA atď.),
15. koncepty, terminológia a princípy prevádzky elektronických komunikačných systémov (počítačové a telefónne siete, satelitné, optické, bezdrôtové siete atď.),
16. model OSI, mapovanie siete, topológia sietí, hlavné sieťové protokoly,
17. princípy sieťových zariadení (rozbočovače, prepínače, smerovače, brány, firewall atď.),
18. zásady riadenia dodávateľských služieb a obstarávania informačných systémov vrátane vyhodnocovania dôveryhodnosti dodávateľa alebo výrobku.
19. <