15. Kybernetická bezpečnost

Vyhláška rozděluje bezpečnostní opatření na:

• organizační a
• technická.

Organizační opatření

Organizační opatření se týkají především ustanovování systému řízení bezpečnosti informací, jeho plánování, kontroly, zlepšování atd. Tedy například odpovídají na otázku, proč vůbec zavádět konkrétní technické opatření, a řeší plánování jeho nasazení. Ustanovení týkající se organizačních opatření jsou:

Příklad organizačního opatření (§ 9 bezpečnost lidských zdrojů) může představovat vytvoření plánu rozvoje bezpečnostního povědomí, který definuje obsah, formu a rozsah školení pro uživatele v oblasti kybernetické bezpečnosti. Díky následnému školení v souladu s tímto plánem dochází ke zvyšování bezpečnostního povědomí uživatelů.

Technická opatření

Technická opatření jsou konkrétní technická řešení, která zajišťují požadované bezpečnostní funkce. Ustanovení týkající se technických opatření jsou:

Jako příklad technického opatření (§ 19 správa a ověřování identit) lze uvést implementaci vícefaktorové autentizace se dvěma různými typy faktorů pro přihlášení ke klientské stanici. Tedy pro přihlášení uživatele ke stanici je nutné uživatelské jméno, heslo a také bezpečnostní token (tj. zařízení pro ověření přístupu ke službě nebo do systému), který může mít například podobu čipové karty, USB tokenu nebo nepřipojitelného tokenu, který generuje autentizační kód nutný pro úspěšné přihlášení.