Podstatný rozdíl totiž je a vždycky byl v pojetí technických opatření, což má své logické opodstatnění – ISO 27001 je univerzální a to, jakým způsobem ji organizace implementují, je na nich samotných a jen při certifikačním auditu se dvoustupňově zjišťuje, jak byla příslušná doporučení aplikována. V prvním stupni se zjišťuje soulad dokumentace s normou, ve druhém soulad dokumentace s praktickým výkonem a vlastní implementací interních bezpečnostních předpisů. Oproti tomu ZoKB není obecným doporučením, ale závazným předpisem, který organizacím a firmám zajišťujícím životně důležité služby pro chod státu ukládá, jak mají příslušná aktiva chránit, lépe řečeno jaká má být minimální ochrana, a tím zajistit základní funkce státu jak v oblasti kritické infrastruktury, tak i v případě významných systémů a nově i pro digitální služby. Pokud se organizace musí řídit ZoKB, má tento logicky přednost před ISO 27001, což je nutné vzít v potaz a strukturu dokumentace přizpůsobit zákonnému předpisu, až následně pak naplnit požadavky ISO 27001.

Autoři ZoKB mohli jít cestou, že by nechali patřičnou volnost normy a učinili ISO 27001 závaznou jejím uvedením v zákoně (normy v našem právním systému jsou nezávazné a závaznými se stávají až požadavkem uvedeným v zákonné, případně podzákonné normě), ale to by způsobilo řadu dalších problémů vycházejících z volnosti normy, nejednoznačnosti doporučení a v neposlední řadě i z autorských práv a nutnosti pořízení řady norem. Proto si NÚKIB ponechal možnost rychlejší reakce na změny a metodického vedení při implementaci opatření.

Osobně mi dost vadí ortodoxní rozdělení na organizační a technická opatření uvedená ve VoKB, zejména u položek patřících do skupiny technicko-organizačních, ale přesto mi více vyhovuje struktura VoKB než ISO 27001. V praxi se ovšem velmi často setkávám s nutností vyhovět jak normě ISO 27001, tak i ZoKB, což mě vedlo ke sjednocení obou norem a přeuspořádání jich do logické souslednosti, ke které měla nejblíže původní norma ČSN ISO/IEC 27001 z roku 2006, než tato byla narušena v ČSN ISO/IEC 27001 z roku 2014.
 

 A jaký vývoj v požadavcích zaznamenala VoKB? Pokud pomineme nový § 29 – Digitální služby, který se týká specifických subjektů, tak se počet paragrafů zvýšil o jeden a počet požadavků pro kritickou informační infrastrukturu (KII) o 11, což není nikterak dramatické. U významných informačních systémů (VIS) je ovšem situace rozdílná, zde došlo k nárůstu o 91 požadavků, a to zejména v oblasti organizačních opatření. Převážně je to způsobeno zmenšením rozdílu mezi požadavky kladenými na kritickou infrastrukturu a významné informační systémy. V této souvislosti se setkávám s názorem, že je již jedno, zda eviduji zvlášť VIS a KII, a že když bude vše KII, je to pro řízení jednodušší. Což je do jisté míry pravda, ale najdou se i praktické výhody rozdělení – jednou z nich je zajištění kontinuity činností, kdy mám danou prioritu pro KII a následně se řeší VIS. Pokud však budu mít vše v KII, tak obnovuji všechny primární aktiva najednou, což může působit organizační a logistické komplikace.

Co se týká kontrol, ať ve formě interních, či externích auditů nebo auditů certifikačních, je výhodou mít jasnou strukturu požadované dokumentace a vyhnout se zbytečným komplikacím s vyhledáváním popisu jednotlivých opatření. A co si budeme nalhávat… i auditoři jsou jen lidé a také jim jistě bude více vyhovovat jednoduché dohledání opatření, kdy se mohou soustředit na to, zda jsou splněny všechny požadavky. Ostatně pořádek a logická stavba dokumentace svědčí o správném pochopení problematiky a jisté systematičnosti při řízení nejenom dokumentace, ale celého systému bezpečnosti informací.

Další výhodou logické stavby interních bezpečnostních předpisů je snadnější údržba a zajištění konzistence dokumentace při změnách norem, zákonných a podzákonných předpisů, změně externích a interních požadavků, výsledků kontrol, auditů atd.

Bývalý hacker Kevin Mitnick kdysi řekl: „Bezpečnost není technologický problém, ale je to problém lidí a řízení.“ K tomuto výroku bych už jen rád dodal, že skutečně účinné řešení bezpečnosti se nakonec bez technologických opatření neobejde.

Jan Goll
Autor článku je Senior Information Security Consultant ve společnosti Anect.