Denník N

Roly v kybernetickej bezpečnosti

Aké sú profesijné roly v kybernetickej bezpečnosti? Je rozdiel medzi rolami v kybernetickej a informačnej bezpečnosti? Sú tieto roly unifikované v rámci EU?

Štandardná poučka z konca 80-tych rokov, používaná najmä pri riadení IT služieb je postavená na skúsenosti, že pri akejkoľvek zmene, ktorá má byť úspešná, je potrebné sa zamerať na tri oblasti:

Tento prístup (známy aj ako Golden Triangle) sa v novších verziách používa doteraz a mnohí odborníci právom tvrdia, že najdôležitejším bodom trojuholníka sú – ľudia.

V svete informačnej bezpečnosti (IB) a kybernetickej bezpečnosti (KB) sú základné procesy popísané v rade noriem ISO/IEC 27000, súvisiace IT procesy a praktiky najmä v prístupe ITIL® best practice. SW nástrojov, resp. technológií, je dostatok a sú všeobecne známe a využívané.

Ako to ale vyzerá s ľuďmi? Aké roly v procesoch kybernetickej bezpečnosti zastávajú?

To je téma dnešného blogu.

V oblasti informačnej bezpečnosti existujú už dlhé roky roly Chief Security Officer (CSO), Chief Information Security Officer (CISO), s typickou  certifikáciou napr. CISM pre riadenie bezpečnosti, prípadne CISA pre audit bezpečnosti. Vzdelávacie programy a certifikačné schémy (najmä od odborného združenia ISACA) sú postavené k jednotlivým profesijným rolám a vyžadujú nielen absolvovanie príslušných školení, ale aj prax v odbore a úspešné absolvovanie náročných certifikačných skúšok (od ISACA a ďalších). Výhodou uvedenej schémy (roly a certifikácie) je ich globálna univerzálnosť.

Oblasť kybernetickej bezpečnosti, aj keď sa vo veľkej miere prekrýva s oblasťou informačnej bezpečnosti, sa odlišuje najmä právnou úpravou a vymedzením na úrovni jednotlivých štátov (typicky EÚ).  Naviac je novou a dynamicky sa rozvíjajúcou doménou, kde sa jednotlivé oblasti ešte len definujú. Rovnaká situácia bola donedávna aj v časti ľudských zdrojov a s tým súvisiacimi rolami v kybernetickej bezpečnosti.

Z iniciatívy Kompetenčného a certifikačného centra kybernetickej bezpečnosti (KCCKB) a jeho zriaďovateľa NBÚ boli v slovenskej legislatíve zakotvené (v zákone č. 69/2018 Zz. o kybernetickej bezpečnosti) zatiaľ dve povinné roly v kybernetickej bezpečnosti:

  1. Audítor KB, ktorý sa z pohľadu procesného a metodického prekrýva s certifikáciou CISA v informačnej bezpečnosti.
  2. Manažér KB, ktorý sa prekrýva štandardne s rolami CISO/CSO v informačnej bezpečnosti, resp. s certifikáciou CISM.

Pre obidve roly zároveň existujú certifikačné schémy a aj akreditovaní poskytovatelia certifikačných testov (národná úroveň, akreditácia SNAS).

Pre rolu Manažéra KB a niekoľko ďalších rolí sa pripravuje aj vyhláška so znalostnými požiadavkami. Tieto sú v súčasnosti záväzné pre všetkých prevádzkovateľov základnej služby v zmysle Zákona č.69/2018 Z. z. o kybernetickej bezpečnosti. Prevádzkovateľom základných služieb nie je len štátny a verejný sektor, ale aj mnohé komerčné subjekty.

KCCKB naviac v spolupráci s Národnou sústavou povolaní zároveň pripravujú popis ďalších rolí v oblasti kybernetickej bezpečnosti. Národnú sústavu povolaní definuje zákon č. 5/2004 Z. z. o službách zamestnanosti ako celoštátny, jednotný informačný systém opisu štandardných nárokov trhu práce na jednotlivé pracovné miesta. Národnou sústavou sú určené požiadavky na odborné zručnosti a prax, ktoré sú potrebné na vykonávanie konkrétnych pracovných činností na trhu práce. Jej centrom je Register zamestnaní tvorený z národných štandardov zamestnaní, ktoré opisujú požiadavky zamestnávateľov kladené na kvalifikovaný výkon zamestnaní.

Okrem povinných rolí Manažéra a Audítora KB sú medzi pripravovanými znalostnými štandardami nasledujúce roly v kybernetickej bezpečnosti (návrh k 8/2022):

  • Špecialista kybernetickej bezpečnosti – pracovník zodpovedný za plnenie úloh v rámci svojej špecializácie v kybernetickej bezpečnosti,
  • Tester kybernetickej bezpečnosti – pracovník  zodpovedný za testovanie všetkých zmien v prostrediach sietí a informačných systémov z pohľadu kybernetickej bezpečnosti,
  • Architekt kybernetickej bezpečnosti – pracovník zodpovedný za dizajn bezpečnostných opatrení v oblasti kybernetickej bezpečnosti,
  • Špecialista riadenia rizík – pracovník zodpovedný za analýzu a riadenie rizík v oblasti kybernetickej bezpečnosti a ochrany údajov
  • Špecialista pre analýzu digitálnych stôp – pracovník zodpovedný za vyhľadávanie a forenzné analýzy stôp v kybernetickom priestore,
  • Špecialista pre riadenie súladu – pracovník zodpovedný za to, že všetky smernice, politiky, riadiace aj prevádzkové procesy a postupy v organizácii sú v súlade s platnou právnou úpravou v oblasti kybernetickej bezpečnosti v SR ako aj s požiadavkami ostatných všeobecne záväzných právnych predpisov a noriem,
  • Špecialista pre riešenie kybernetických incidentov – pracovník zodpovedný za zachytávania, analýzu a riešenie bezpečnostných incidentov v oblasti kybernetickej bezpečnosti

Lektor kybernetickej bezpečnostipracovník zodpovedný za realizáciu vzdelávacích aktivít v oblasti kybernetickej bezpečnosti

Medzitým ENISA (Agentúra EÚ pre kybernetickú bezpečnosť) sformovala pracovnú skupinu, ktorá pripravuje rámec “European Cybersecurity Skills Framework (ECSF)”. To je de facto popis rolí a požadovaných znalostí v kybernetickej bezpečnosti na európskej úrovni.

Predbežná schéma ECSF vyzerá nasledovne:

Jednou z úloh KCCKB a ďalších národných kompetenčných centier bude čo najviac zladiť navrhované, resp. už pripravené roly v kybernetickej bezpečnosti s európskou schémou. Dobrou správou je, že slovenské Kompetenčné centrum už na tejto unifikácii pracuje a ďalšie roly v KB sú vo veľkej miere v súlade s EU schémou.

Navyše, KCCKB pripravilo po vzore škótskeho návrhu (A Guide to Cyber Security Career Development“ of Skills Development Scotland – Digital World Shape IT) unikátnu mapu prieniku budúcich slovenských rolí (certifikované ostanú len Manažér KB a Audítor KB) s existujúcimi certifikačnými schémami a certifikačnými skúškami používanými v oblasti informačnej bezpečnosti. Motiváciou k tomuto kroku je najmä vytvoriť prepojenie potrebných znalostí a zručností požadovaných v oblastiach KB a IB tak, aby bezpečnostní pracovníci v IB aj v KB vedeli, ktoré z existujúcich certifikácií IB môžu využívať aj v rolách KB (a naopak), a ktoré je vhodné si doplniť. Nie je zrejme potrebné zdôrazňovať, že domény kybernetickej a informačnej bezpečnosti sa líšia najmä v oblastiach znalostí informačných technológií a procesov. Rozdiely sú opísané v inom blogu.

Veríme, že uvedená schéma “Roly v KB” pripravená Kompetenčným centrom bude užitočnou pomôckou pre mnohých budúcich aj existujúcich manažérov kybernetickej bezpečnosti a obohatením pre manažérov informačnej bezpečnosti.

Ing. Miroslav Havelka

Riaditeľ odboru vzdelávania, Kompetenčné a certifikačné centrum kybernetickej bezpečnosti

(Leták Roly v KB: https://cybercompetence.sk/wp-content/uploads/dokumenty/na_stiahnutie/letak-rolyvkb.pdf)

Teraz najčítanejšie

Kompetenčné a certifikačné centrum kybernetickej bezpečnosti

Centrum spája slovenskú komunitu a tvorí štandardy pre posudzovanie, vzdelávanie a európske projekty v oblasti kybernetickej bezpečnosti. Služby Kompetenčného centra zahŕňajú široké profesionálne portfólio auditu, konzultačných služieb a certifikácie osôb, produktov a manažérskych systémov.  

Tento blog je platený.