Veřejná správa

Provozovatel systému Czech POINT

V dubnu 2020 jsme se stali Provozovatelem informačního systému kritické informační infrastruktury Czech POINT. Klientovi jsme pomohli stanovit pravidla řízení bezpečnosti systému tak, aby byla v souladu s požadavky legislativy a zajistili mu průběžný monitoring a vyhodnocování všech nestandardních událostí.

Naše výzva

Naplnit veškeré povinnosti v oblasti kybernetické bezpečnosti, které zákon Provozovateli ukládá.

Zákon o kybernetické bezpečnosti definuje roli provozovatele informačního systému jako osobu zajišťující funkčnost technických a programových prostředků, které tvoří informační systém. Na základě smlouvy jsme odpovědni za provoz, podporu a údržbu systému Czech POINT, a tak bylo pro správce systému logickým krokem, když nás na základě zákona č. 181/2014 Sb., o kybernetické bezpečnosti v dubnu 2020 informoval, že se stáváme Provozovatelem informačního systému kritické informační infrastruktury Czech POINT.

Naším úkolem tak bylo naplnit konkrétní povinnosti, které zákon v oblasti kybernetické bezpečnosti Provozovateli ukládá. Správa, podpora a údržba systému Czech POINT se tak dále rozrostla o zajištění bezpečnostních opatření k dosažení požadované úrovně kybernetické bezpečnosti.

Cíl projektu

1. Stanovit pravidla a procesy řízení bezpečnosti systému podle zákona

2. Vytvořit nové bezpečnostní dokumentace

3. Zajistit spolehlivý a bezpečný provoz systému

Jak vypadala
implementace?

Jako správce Centrály Czech POINT jsme měli výhodu, že jsme již dříve v rámci dokumentace systému zpracovali dokumenty Bezpečnostní politiky a Havarijních plánů. Oba dva dokumenty jsme vypracovali ve struktuře dle Vyhlášky o kybernetické bezpečnosti.

Po jmenování naší společnosti Provozovatelem systému jsme tak měli dobrý základ pro nastavení požadovaných pravidel a procesů a vytvoření nové bezpečnostní dokumentace.

1. Stanovení pravidel řízení bezpečnosti systému
Cílem bezpečnostní politiky bylo stanovit pravidla řízení bezpečnosti systému tak, aby byla v souladu s požadavky legislativy – zejména se zákonem č. 181/2014 Sb. o kybernetické bezpečnosti, vyhláškou č. 82/2018 Sb. o kybernetické bezpečnosti a ISMS správce systému Ministerstva vnitra ČR. Zároveň bylo třeba, aby tato pravidla umožnovala spolehlivý a bezpečný provoz systému.

2. Vytvoření bezpečnostní dokumentace
Nově vytvořená bezpečnostní dokumentace stanovila bezpečnostní opatření informačního systému Czech POINT pro zajištění ochrany informací zpracovávaných v tomto systému a pro bezpečný přístup všech oprávněných uživatelů. Touto bezpečnostní politikou se nyní musí řídit veškeré procesy systému Czech POINT – návrh architektury, vývoj, testování a provoz všech modulů systému.

3. Průběžný monitoring a vyhodnocování událostí
Jako Provozovatel informačního systému kritické informační infrastruktury plníme i další povinnosti plynoucí ze zákona a vyhlášky. Jsme například povinni včas reagovat na vzniklé bezpečnostní hrozby či rizika a podávat hlášení. V případě informování ze strany NÚKIB či správce systému přijímáme odpovídající bezpečnostní opatření. K našim úkolům neodmyslitelně patří monitoring celého systému, sledování a vyhodnocování nestandardních událostí a informování správce o takových událostech a přijatých opatřeních.

Bezpečně
nejlepší výsledky

Úspěch potvrzený auditem
Jak jsme obstáli nejlépe ukazuje Zpráva z auditu kybernetické bezpečnosti systému z podzimu 2022. Audit ověřoval shodu bezpečnostních opatření systému Czech POINT s kritérii auditu a posouzení účinnosti opatření v rámci ISMS správce systému. Výsledek odhalil, že jsou správně stanovené politiky pro bezpečnost informací, které jsou jasně definovány, schváleny vedením organizace, vydány a dány na vědomí všem příjemcům a relevantním externím subjektům.

Uživatelé systému mají jednotné metodické vedení s cílem minimalizovat vznik možných rizik. Mezi silné stránky patří kvalitně zpracovaná a vedená bezpečnostní dokumentace, důsledné oddělení pracovních rolí a přísná politika řízení přístupů u Provozovatele a proaktivní monitoring dostupnosti informačních systémů třetích stran.