Dátum publikácie:15. 3. 2023
Oblasti práva: Správne právo / Informácie, informačný systém
Právny stav od:1. 1. 2023

Poučka z konca 80. rokov, používaná najmä pri riadení IT služieb, je postavená na skúsenosti, že pri akejkoľvek zmene, ktorá má byť úspešná, je potrebné sa zamerať na tri oblasti: ľudí, nástroje a procesy. Tento prístup (známy aj ako Golden Triangle) sa v novších verziách používa doteraz. A mnohí odborníci právom tvrdia, že najdôležitejším bodom trojuholníka sú ľudia. Vo svete informačnej a kybernetickej bezpečnosti sú procesy popísané v rade noriem ISO/IEC 27000, súvisiace IT procesy a praktiky najmä v prístupe ITIL® best practice a v rade noriem ISO/IEC 20 000. Softvérových nástrojov a všeobecne technológií je dostatok a sú všeobecne známe a využívané. Ako to však vyzerá s ľuďmi? Aké roly v procesoch kybernetickej bezpečnosti zastávajú? A aké sú požiadavky na ich kvalifikáciu? Tieto otázky rieši nová vyhláška Národného bezpečnostného úradu.
Čo je to pracovná rola a znalostný štandard?
V júni 2022 Národný bezpečnostný úrad predložil do medzirezortného pripomienkového konania návrh vyhlášky Národného bezpečnostného úradu, ktorou sa ustanovujú znalostné štandardy v oblasti kybernetickej bezpečnosti (ďalej len „Vyhláška“). Návrh vyhlášky bol spracovaný na základe splnomocnenia uvedeného v § 32 ods. 1 písm. d) zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „Zákon“). Vyhláška nadobudla účinnosť 1. 1. 2023.
Účelom vyhlášky je vykonať zákon spôsobom, aby boli určené minimálne odborné znalosti pre jednotlivých používateľov sietí a informačných systémov vykonávajúcich činnosti a úlohy v oblasti kybernetickej bezpečnosti, pričom však nezasahuje do politiky a tvorby pracovných miest.
Zodpovednosť osôb, konajúcich v kontexte kybernetickej bezpečnosti, v organizácii má byť zadefinovaná jednoznačne, prostredníctvom rolí, v ktorých osoba vystupuje v interakcii s kybernetickým priestorom. S rolami je spojená množina povinností a oprávnení pri inicializácii, návrhu, vývoji, používaní a prevádzke siete alebo informačného systému.
Charakteristika rolí, patriacich do príslušnej kategórie, zvyčajne podrobnejšie špecifikuje:
- kľúčové činnosti,
- požadované vedomosti,
- zručnosti,
- špecifické kľúčové kompetencie.
A spolu s vyššie uvedenými aj ďalšie podmienky, ktoré má spĺňať osoba zaradená do danej roly tak, aby bola schopná plniť svoje povinnosti vyplývajúce z roly, v ktorej je zaradená.
Ak chceme stanoviť priority vzdelávania zameraného na určitú profesiu, potrebujeme dobrú definíciu typových pracovných úloh a na základe toho následne identifikáciu potrebných kompetencií a vedomostí pre danú profesiu. Je to základ na vybudovanie štruktúry bezpečnostných oddelení, platové tabuľky a nastavenie vzdelávania. Ujasnime si základné pojmy. Aj keď sémantický význam týchto výrazov podvedome väčšina chápe správne, často sú používané v nesprávnom kontexte:
- vedomosti – to sú poznatky nadobudnuté v priebehu vzdelávania, učenia sa alebo získané skúsenosťou,
- zručnosti – sú schopnosti jednotlivca uplatňovať vedomosti v praxi a využívať ich na plnenie úloh a riešenie problémov,
- kompetencie – sú preukázané schopnosti jednotlivca použiť vedomosti, zručnosti a osobné, sociálne a/alebo metodologické schopnosti v pracovných alebo študijných situáciách a v odbornom a osobnom rozvoji,
- kvalifikácia – je súhrn odborných vedomostí, zručností a kompetencií potrebných na vykonávanie určitej pracovnej činnosti.
Aké roly sú teda potrebné pre pokrytie prác súvisiacich s ochranou informačných aktív?
Pracovné roly v kybernetickej bezpečnosti
Pomenovať vyčerpávajúcim spôsobom všetky roly a ich zodpovednosti v oblasti informačnej a kybernetickej bezpečnosti v dostatočnom rozsahu a kvalite bola netriviálna úloha, ktorá trvala mnoho mesiacov, ba vlastne niekoľko rokov. Na príprave rámca zručností, teda nájdenia množiny, spolupracovala celá odborná komunita už od roku 2017, ešte v čase úplných začiatkov legislatívnych aktivít vedúcich k zákonom stanovenému rozsahu kvalifikačných požiadaviek na výkon príslušných činností.
Oblasť kybernetickej bezpečnosti, aj keď sa vo veľkej miere prekrýva s oblasťou informačnej bezpečnosti a ochranou osobných údajov, sa odlišuje najmä právnou úpravou a vymedzením na úrovni jednotlivých štátov. Navyše, kybernetická bezpečnosť je novou a dynamicky sa rozvíjajúcou doménou, kde sa jednotlivé oblasti ešte len definujú. Donedávna tomu nebolo inak ani v časti ľudských zdrojov.
V zákone sú zakotvené iba dve roly v kybernetickej bezpečnosti, ktorých činnosť by mala byť pre prevádzkovateľov záväzná a ktoré by mali spĺňať stanovený znalostný štandard:
- audítor KB, keďže podľa § 29 ods. 3 Zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti audit kybernetickej bezpečnosti vykonáva certifikovaný audítor kybernetickej bezpečnosti, ktorým je fyzická osoba, spoločník, štatutárny orgán alebo zamestnanec právnickej osoby,
- manažér KB, keďže v zmysle § 20 ods. 4 Zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti bezpečnostné opatrenia musia zahŕňať najmenej určenie manažéra kybernetickej bezpečnosti.
Pre obidve tieto roly existujú certifikačné schémy a aj akreditovaní poskytovatelia certifikačných testov.
Okrem povinných rolí manažéra a audítora KB sú medzi znalostnými štandardmi nasledujúce roly v kybernetickej bezpečnosti:
- špecialista kybernetickej bezpečnosti – zodpovedný za plnenie špecifických úloh v rámci svojej špecializácie v kybernetickej bezpečnosti,
- tester kybernetickej bezpečnosti – zodpovedný za testovanie zmien v prostrediach sietí a informačných systémov z pohľadu kybernetickej bezpečnosti,
- architekt kybernetickej bezpečnosti – zodpovedný za navrhovanie informačnej architektúry a bezpečnostných opatrení v oblasti kybernetickej bezpečnosti,
- špecialista riadenia rizík – zodpovedný za analýzu a riadenie rizík v oblasti kybernetickej bezpečnosti a ochrany údajov,
- špecialista pre analýzu digitálnych stôp – zodpovedný za vyhľadávanie a forenzné analýzy stôp v kybernetickom priestore,
- špecialista pre riadenie súladu – zodpovedný za to, že všetky smernice, politiky, riadiace aj prevádzkové procesy a postupy v organizácii sú v súlade s platnou právnou úpravou v oblasti kybernetickej bezpečnosti, ako aj s požiadavkami ostatných všeobecne záväzných právnych predpisov a noriem,
- špecialista pre riešenie kybernetických incidentov – zodpovedný za zachytávanie, analýzu a riešenie bezpečnostných udalostí,
- výskumník – zodpovedný za vyhľadávanie zraniteľností systémov, identifikáciu príčin zraniteľností a hrozieb, overovanie zdrojového kódu, testovanie odolnosti systémov, identifikáciu chýb bezpečnostných mechanizmov a vyhodnocovanie efektivity bezpečnostných opatrení,
- lektor – zodpovedný za realizáciu vzdelávacích aktivít v oblasti kybernetickej bezpečnosti a ochrany údajov.
Medzitým, čo na Slovensku prebiehali diskusie o tom, aké roly sú relevantné v oblasti kybernetickej bezpečnosti na slovenskom pracovnom trhu, ENISA (Európska agentúra pre kybernetickú bezpečnosť) vydala európsky rámec zručností v kybernetickej bezpečnosti (European Cybersecurity Skills Framework – ECSF). To je de facto popis rolí a požadovaných znalostí v kybernetickej bezpečnosti na európskej úrovni.
Schéma ECSF v grafickom vyjadrení vyzerá nasledovne:

Dobrou správou je, že roly, diskutované odbornou verejnosťou a následne navrhnuté vo vyhláške NBÚ č. 492/2022 Z. z., ktorou sa ustanovujú znalostné štandardy v oblasti kybernetickej bezpečnosti, sú v úplnom súlade s európskou schémou ECSF.
Manažér kybernetickej bezpečnosti
Zrejme najtypickejšou pracovnou rolou, priamo spätou s procesmi informačnej a kybernetickej bezpečnosti, je manažér kybernetickej bezpečnosti, nazývaná je tiež manažér informačnej bezpečnosti. Na názve roly v zásade až tak nezáleží, podstatná je náplň práce a rozsah právomocí. Vo väčších podnikoch sa zvyknú pre túto rolu používať anglické ekvivalenty: Chief security officer (CSO) alebo Chief information security officer (CISO). Tieto skratky sú známe najmä kvôli medzinárodne uznanému systému skratiek typu „CxO“, zvyčajne používaných v prostredí veľkých korporácií. Nespornou výhodou tohto „CxO“ názvoslovia je nezávislosť od organizačnej štruktúry. Takýto názov roly žiadnym spôsobom ani len nenaznačuje, kde v organizačnej štruktúre sa rola nachádza.
Rola CSO (alebo rola CISO), v slovenských podmienkach vzhľadom na názov používaný v legislatíve tiež s používanou skratkou „MKB“, je zodpovedná za výber a manažment tímu informačnej a kybernetickej bezpečnosti, definovanie technických a netechnických bezpečnostných politík, štandardov, postupov a usmernení, za riadenie rizík v informačnej bezpečnosti, stanovenie a vyhodnocovanie príslušných metrík, za podporu vlastníkov procesov v oblasti bezpečnosti informačných aktív, implementáciu a prevádzkovanie podporných nástrojov na dosiahnutie súladu so stanovenou stratégiou informačnej a kybernetickej bezpečnosti a za preskúmavanie a monitorovanie súladu. Samozrejme,
k manažérskym povinnostiam CSO/CISO/MKB patrí aj riadenie vyšetrovania a nápravy následkov incidentov v oblasti informačnej a kybernetickej bezpečnosti. A v neposlednom rade je jeho úlohou aj organizácia kampaní na zvýšenie povedomia o bezpečnosti pre zamestnancov, s cieľom zlepšiť kultúru bezpečnosti v organizácii.
Novelizovaný zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti v znení účinnom od 1. 8. 2021 v § 20 ods. 4 zaraďuje medzi minimálne bezpečnostné opatrenia aj určenie manažéra kybernetickej bezpečnosti, ktorý je pri návrhu, prijímaní a presadzovaní bezpečnostných opatrení nezávislý od štruktúry riadenia prevádzky a vývoja služieb informačných technológií a ktorý spĺňa znalostné štandardy pre výkon roly manažéra kybernetickej bezpečnosti.
Môžeme polemizovať, či je manažér opatrením, v každom prípade určenie roly možno považovať za organizačné opatrenie. Požiadavka bola doteraz riešená len nepriamo, prostredníctvom vyhlášky č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení, s odkazom na § 20 ods. 3 písm. a) Zákona, ktorý vyžaduje opatrenia na organizáciu kybernetickej bezpečnosti a informačnej bezpečnosti.
Hierarchia vzdelávacích potrieb
Znalostné štandardy sú definované hierarchicky, v závislosti od kategórie používateľov informačných a komunikačných technológií. Ako stanoviť úroveň kvalifikačných požiadaviek pre jednotlivé roly?
Ako prvé je potrebné určiť tzv. taxonómiu vzdelávacích cieľov. To je hierarchicky usporiadaná miera náročnosti a rozsahu vedomostí. Taxonómiou vzdelávania je určená miera obťažnosti učiva v procese učenia sa a vzdelávacích cieľov, ktoré majú byť prostredníctvom tohto vzdelávania dosiahnuté. Môže byť použitá aj na štruktúrovanie cieľov, hodnotení a aktivít v učebných osnovách, vzdelávacích plánoch a znalostných štandardoch. Vyhláška sa odkazuje na taxonómiu podľa B. S. BloomaBenjamin S. Bloom :Taxonomy of Educational Objectives, Handbook 1: Cognitive Domain; ISBN-13: 978-0582280106. Bloomova taxonómia poznávacích cieľov je spôsob, ako rozdeliť úrovne chápania a aplikácie pojmov pomocou činnostných slovies. Jej autorom je profesor Chicagskej univerzity B. Bloom, ktorý taxonómiu pôvodne vytvoril ako pomôcku na kladenie skúšobných otázok univerzitným študentom. Neskôr táto metodika našla oveľa širšie využitie vo vzdelávaní všeobecne.
Ciele učenia sú zoradené od najjednoduchších po najkomplexnejšie. Taxonómia je sekvenčná a zároveň kumulatívna, t. j. pre dosiahnutie vyššieho vzdelávacieho cieľa musí uchádzač zvládnuť všetky predchádzajúce vzdelanostné úrovne. Taxonómia, teda jednotlivé úrovne vzdelávacích cieľov sú uvedené v prílohe č. 1 vyhlášky.
Úroveň | Vzdelávací cieľ | Popis vzdelávacieho cieľa |
BL1 | ZAPAMÄTANIE | Schopnosť zapamätať si potrebné informácie. |
BL2 | POCHOPENIE | Schopnosť porozumieť alebo pochopiť význam toho, čo bolo komunikované a využiť získanú informáciu bez toho, aby bola spájaná s inými informáciami, interpretáciami alebo materiálmi. |
BL3 | APLIKÁCIA | Schopnosť používať myšlienky, princípy a teórie v nových, konkrétnych situáciách. |
BL4 | ANALÝZA | Schopnosť rozdeliť komunikáciu na základné časti, aby bol jasne uchopený význam informácie. V tejto úrovni sa skúma podstata jednotlivých entít, s cieľom lepšie porozumieť komplexným celkom. |
BL5 | SYNTÉZA | Schopnosť opätovne spojiť rôzne časti alebo prvky konceptu do jednotného systému alebo celku. Úroveň vzdelávania BL5 je typicky najintenzívnejšia. |
BL6 | POSÚDENIE | Schopnosť dospieť k prehľadu a posúdiť hodnotu a relatívny prínos myšlienok alebo postupov pomocou vhodných kritérií. |
Charakteristiku vzdelávacích potrieb tvoria špecifikované kľúčové činnosti, požadované vedomosti, zručnosti, kompetencie a ďalšie podmienky, ktoré musí spĺňať osoba zaradená do danej roly tak, aby bola schopná plniť povinnosti v oblasti kybernetickej bezpečnosti vyplývajúce z príslušnej roly.
Iné než bezpečnostné roly
Vzdelávanie a zvyšovanie povedomia je potrebné vykonávať nielen pre pracovníkov, ktorí sú špecializovaní na bezpečnosť informácií a riadenie rizík kybernetickej bezpečnosti, ale aj na všetky ostatné pracovné roly, ktoré prichádzajú do styku s kybernetickým priestorom. Vyhláška sa venuje výhradne špecializačným roliam v kybernetickej bezpečnosti. Ambíciou zákonodarcu bolo bez špecifikácie znalostného štandardu navrhnúť aspoň minimálnu úroveň kvalifikácie aj pre roly, ktoré nie sú priamo zainteresované v odbore kybernetická bezpečnosť. Tieto odporúčania sú taxatívne vymenované v prílohe č. 1 k vyhláške č. 492/2022 Z. z. – Charakteristika vzdelávacích potrieb.
Používatelia IKT sú v nadväznosti na ciele a potreby vzdelávania v oblasti kybernetickej bezpečnosti podľa STN EN 16234-1 rozdeľovaní do kategórií, ktorým je priradená príslušná úroveň vzdelávacích cieľov, podľa Bloomovej taxonómie.
Kategórie používateľov IKT sú vo vyhláške navrhnuté nasledovne:
- laici – používatelia IKT mimo kontextu výkonu konkrétneho povolania a bez vzťahu k sieti alebo informačnému systému,
- odborní zamestnanci – používatelia, ktorí pri výkone konkrétneho povolania využívajú siete alebo informačné systémy,
- manažéri – riadiaci zamestnanci, ktorí nie sú IT manažérmi a ktorí spravidla zodpovedajú za príslušný proces alebo skupinu,
- IT manažéri – riadiaci zamestnanci organizačných jednotiek zodpovedných za poskytovanie IT služieb, návrh, implementáciu, obstaranie, prevádzku, údržbu a posudzovanie IKT,
- informatici – zamestnanci zodpovední za poskytovanie IT služieb, návrh, implementáciu, obstaranie, prevádzku, údržbu a posudzovanie IKT.
Pre pracovníkov v kybernetickej bezpečnosti v rôznych roliach vyhláška navrhuje oddelené, spresnené požiadavky na znalostný štandard, a to pre každú z rolí v samostatnej prílohe. Vyššie uvedené hierarchické rozdelenie používateľov si nemýľte s typizovanými pracovnými rolami v kybernetickej bezpečnosti. Týmto rozdelením sú určené iba všeobecné požiadavky na kvalifikácie pre rôzne kategórie používateľov, podľa postupne sa zvyšujúcej náročnosti kvalifikačných požiadaviek v kontexte kybernetickej bezpečnosti.
Požiadavky na úroveň kvalifikácie
Náročnosť kvalifikačných požiadaviek je rozdielna pre skupinu pracovných rolí mimo kybernetickej bezpečnosti a skupinu pracovných rolí v rámci kybernetickej bezpečnosti. Kým pre bezpečnostných profesionálov vyhláška uvádza znalostný štandard pre každú z odborných rolí, pre ostatné kategórie používateľov stanovuje len všeobecné požiadavky, bez detailného znalostného štandardu. Konkrétne znalostné štandardy pre ostatné typické používateľské roly by mohlo v budúcnosti navrhnúť napríklad Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky. Veď len v kategórii „informatici“, t. j. u zamestnancov zodpovedných za poskytovanie IT služieb, návrh, implementáciu, obstaranie, prevádzku, údržbu a posudzovanie IKT, sa nachádza niekoľko desiatok samostatných rolí, s rôznorodými požiadavkami na ich kvalifikácie.
Rozdielne požiadavky na úroveň kvalifikačných požiadaviek riešila už v roku 1998 norma National Institute of Standards and Technology (NIST), konkrétne NIST Special Publication 800-16: Information Technology Security Training Requirements, pomocou nasledujúcej interpretácie (graf je znázornený v zjednodušenej forme):

Je taktiež vhodné zdôrazniť, že existuje niekoľko použiteľných kvalifikačných rámcov a že rámec ECSF nebol jediným, ktorý bol vzatý do úvahy v procese prípravy vyhlášky. Tými rámcami sú najmä:
- European Cybersecurity Skills Framework (ECSF) [ENISA]
- Skills Framework for the Information Age (SFIA) [IET]
- STN EN 16234 Rámec e-kompetentnosti (e-CF) — Spoločný európsky rámec pre ICT profesionálov vo všetkých priemyselných odvetviach [CEN/CENELEC]
- ISO/IEC 27021:2017 Information technology — Security techniques — Competence requirements for information security management systems professionals [ISO/IEC]
- National Initiative For Cybersecurity Education (NICE) [NIST]
- The U. S. Office of Personnel Management Competency Model for Cybersecurity [CHCO]
V kontexte rolí vymenovaných v prílohe č. 1 k vyhláške č. 492/2022 Z. z. a zahrnúc aj taxonómiu vzdelávacích cieľov by sa dali tieto požiadavky zobraziť v nasledovnej transformácii:

Napríklad laický používateľ potrebuje porozumieť iba vybraným základným pojmom kybernetickej bezpečnosti a osvojiť si základné pravidlá bezpečnej manipulácie a používania IKT.
Cieľom vzdelávania odborných zamestnancov je nielen porozumieť vybraným základným pojmom kybernetickej bezpečnosti, ale aj porozumieť svojej úlohe a zodpovednosti
v systéme kybernetickej bezpečnosti, chápať význam informačných aktív, s ktorými ako zamestnanec pracuje, porozumieť potrebe ochrany informácií, osvojiť si základné pravidlá bezpečnej práce s IKT, rozpoznať bezpečnostný incident a vedieť naň správne reagovať, porozumieť bezpečnostným politikám a používaniu bezpečnostných mechanizmov
v pracovných procesoch.
Manažéri procesov musia porozumieť rizikám kybernetickej bezpečnosti v nimi riadených procesoch, musia získať schopnosť analyzovať požadovanú úroveň ochrany informačných aktív, vytvárať podmienky pre riadenie bezpečnosti informácií v organizácii a integrovať požiadavky kybernetickej bezpečnosti do procesov a úloh podriadených zamestnancov. Zároveň sa musia naučiť definovať a dohliadať na plnenie požiadaviek kybernetickej bezpečnosti pri obstaraní produktov a služieb a pri procesoch podporovaných tretími stranami.
IT manažéri musia porozumieť významu kybernetickej bezpečnosti pre činnosť organizácie, poznať jednotlivé oblasti kybernetickej bezpečnosti, musia porozumieť systému riadenia bezpečnosti informácií a osvojiť si ho, získať schopnosť implementovať bezpečnostné opatrenia v konkrétnom prostredí, získať schopnosť stanoviť zodpovednosti zamestnancov organizácie vo vzťahu k informačným a komunikačným technológiám, osvojiť si metódy vyhodnocovania efektívnosti prijatých bezpečnostných opatrení, vedieť definovať a dohliadať na plnenie požiadaviek kybernetickej bezpečnosti pri objednávkach, dodávkach a prevádzke IKT systémov a IT služieb, mať schopnosť presadzovať politiky kybernetickej bezpečnosti v organizácii.
Informatici si majú doplniť vlastné odborné znalosti špecificky pre oblasť kybernetickej bezpečnosti, porozumieť podstate bezpečnostných požiadaviek na IKT systémy a IT služby, musia porozumieť zraniteľnostiam, hrozbám a rizikám spojeným s používanými IKT systémami a IT službami, potrebujú nadobudnúť schopnosť navrhnúť, implementovať, udržiavať a prevádzkovať mechanizmy na naplnenie bezpečnostných požiadaviek na IT služby. Najmä však ako tí najpodstatnejší z organizácie potrebujú nadobudnúť zručnosť kvalifikovane komunikovať a spolupracovať so špecialistami kybernetickej bezpečnosti, formulovať problémy, posudzovať a implementovať navrhované opatrenia. Pretože práve informatici sú tí, ktorí sú zodpovední za implementáciu bezpečnostných opatrení.
Oproti všetkým vyššie uvedeným, ciele vzdelávania pracovníkov zabezpečujúcich oblasť kybernetickej bezpečnosti sú už komplexnejšie. Profesionál v kybernetickej bezpečnosti potrebuje najmä:
- poznať a osvojiť si právne a etické požiadavky na zaručenie bezpečnosti informačných aktív,
- rozumieť zraniteľnostiam, hrozbám a rizikám v informačnej a kybernetickej bezpečnosti,
- nadobudnúť schopnosť navrhnúť, implementovať, udržiavať a prevádzkovať bezpečnostné mechanizmy a riešenia,
- získať schopnosť navrhovať a prezentovať bezpečnostné stratégie, bezpečnostné politiky a bezpečnostnú architektúru,
- získať znalosti o technikách a metódach vyhodnocovania efektívnosti bezpečnostných mechanizmov a riešení a uplatňovať ich v procesoch organizácie,
- nadobudnúť zručnosť kvalifikovane komunikovať a spolupracovať s informatikmi, formulovať problémy, posudzovať a implementovať navrhované opatrenia,
- získať schopnosť navrhovať procesy riadenia rizík v informačnej a kybernetickej bezpečnosti.
Požiadavky kladené na manažérov kybernetickej bezpečnosti sú ešte širšie. Manažér kybernetickej bezpečnosti potrebuje okrem všetkých predchádzajúcich vedomostí a zručností najmä nadobudnúť:
- schopnosť vytvoriť rámec riadenia kybernetickej bezpečnosti,
- schopnosť navrhovať a prezentovať bezpečnostné stratégie, bezpečnostné politiky a bezpečnostnú architektúru,
- schopnosť riadiť obstaranie, implementáciu, prevádzku a vyhodnocovanie bezpečnostných riešení,
- schopnosť navrhovať a riadiť procesy riadenia rizík v informačnej a kybernetickej bezpečnosti,
- schopnosť navrhovať a riadiť procesy riešenia kybernetických bezpečnostných incidentov, riadenia kontinuity činností a havarijnej obnovy prevádzky,
- znalosti o právnych a etických požiadavkách na zaručenie bezpečnosti informačných aktív,
- znalosti o technikách a metódach vyhodnocovania efektívnosti bezpečnostných mechanizmov a riešení a schopnosť uplatňovať ich v procesoch organizácie.
Nakoniec výskumníci a audítori potrebujú nadobudnúť všetky predchádzajúce schopnosti. A navyše aj spôsobilosť vykonať audit kybernetickej bezpečnosti a posúdiť efektívnosť prijatých bezpečnostných opatrení v zmysle platných právnych predpisov a platných auditných metodík.
Podrobnosti týkajúce sa a kvalifikačných požiadaviek kladených na jednotlivé roly sú uvedené vo Vyhláške o znalostných štandardoch.
Vyhláška o znalostných štandardoch
Znalostné štandardy sú vypracované v súlade so štandardom STN 16234-1 Rámec e-kompetentnosti (e-CF) – Spoločný európsky rámec pre ICT profesionálov vo všetkých priemyselných odvetviach – Časť 1: Rámec. Zároveň, ako už bolo spomenuté, sú znalostné štandardy v súlade s európskym rámcom zručností v kybernetickej bezpečnosti (European Cybersecurity Skills Framework – ECSF).
Špecifikácie vzdelanostných štandardov pre jednotlivé roly predstavujú nezáväzné odporúčania, ktoré však nezakladajú povinnosti pre vytváranie nových pracovných pozícií a sú v súlade s platným európskym rámcom. Znalostné štandardy sú pre jednotlivé roly kybernetickej bezpečnosti odporúčané, okrem tých rolí, o ktorých to ustanovuje zákon, teda manažér kybernetickej bezpečnosti [§ 20 ods. 4 písm. a) zákona] a audítor kybernetickej bezpečnosti (§ 29 ods. 3 zákona). Pre osobu manažéra kybernetickej bezpečnosti a certifikovaného audítora kybernetickej bezpečnosti znalostné štandardy predstavujú záväzný rámec.
Vyhláška priamo nadväzuje na novelu vyhlášky Národného bezpečnostného úradu, ktorou sa mení a dopĺňa vyhláška Národného bezpečnostného úradu č. 436/2019 Z. z. o audite kybernetickej bezpečnosti a znalostnom štandarde audítora. Rola audítora kybernetickej bezpečnosti bola vyňatá z vyhlášky Národného bezpečnostného úradu č. 436/2019 Z. z. o audite kybernetickej bezpečnosti a znalostnom štandarde audítora a doplnená do návrhu vyhlášky, kam vecne patrí.
Vyhláška bola predmetom medzirezortného pripomienkového konania od 3. júna 2022 do 23. júna 2022. Keďže návrh vyhlášky bol pred samotným legislatívnym procesom predmetom širokej diskusie odbornej verejnosti, na rokovanie legislatívnej rady vlády sa materiál predložil bez rozporov.
Legislatívna rada vlády nakoniec posunula dátum účinnosti pre niektoré prílohy na 1. januára 2024. Dôvodom bola najmä pôvodná požiadavka niektorých rezortov na získanie dostatočného časového priestoru pre prípravu zamestnancov pre rolu Manažér kybernetickej bezpečnosti. Zrejme iba nedorozumením sa stalo, že spolu so znalostným štandardom pre rolu Manažér kybernetickej bezpečnosti bola posunutá účinnosť aj pre všetky ostatné znalostné štandardy (okrem roly Audítor kybernetickej bezpečnosti). Na platnosti vyhlášky to však nič nemení a riadiť sa jednotlivými znalostnými štandardmi sa dá aj pred dátumom účinnosti príslušných príloh.
Istým technickým problémom je len fakt, že portál Slov-lex pri posune účinnosti niektorých častí právneho predpisu tieto časti (v tomto prípade prílohy č. 3,4,5 a 7-14) nezverejní. Úplné znenie vyhlášky je potrebné hľadať v časti „História - Dátum účinnosti 01. 01. 2024“.
Národná sústava povolaní
Národnú sústavu povolaní (NSP) definuje zákon č. 5/2004 Z. z. o službách zamestnanosti ako celoštátny, jednotný informačný systém opisu štandardných nárokov trhu práce na jednotlivé pracovné miesta. NSP určuje požiadavky na odborné zručnosti a praktické skúsenosti potrebné na vykonávanie pracovných činností na trhu práce. Jej centrom je register zamestnaní tvorený z národných štandardov zamestnaní, ktoré opisujú požiadavky zamestnávateľov kladené na kvalifikovaný výkon zamestnaní.
Kompetenčné a certifikačné centrum kybernetickej bezpečnosti v spolupráci s Národnou sústavou povolaní zároveň pripravujú popis ďalších rolí v oblasti kybernetickej bezpečnosti.
Certifikačná schéma
Kompetenčné a certifikačné centrum kybernetickej bezpečnosti pripravilo po vzore škótskeho návrhu A Guide to Cyber Security Career Development“ of Skills Development Scotland – Digital World Shape IT unikátnu mapu prieniku slovenských rolí s existujúcimi certifikačnými schémami v oblasti informačnej bezpečnosti a v oblasti IKT.
Motiváciou k tomuto kroku bolo najmä vytvoriť prepojenie potrebných znalostí a zručností požadovaných v oblastiach tak, aby bezpečnostní pracovníci vedeli, ktoré z existujúcich certifikácií IB môžu využívať aj v rolách v kybernetickej bezpečnosti (a naopak) a ktoré je vhodné si doplniť. Nie je zrejme potrebné zdôrazňovať, že domény kybernetickej a informačnej bezpečnosti sa líšia najmä v oblastiach znalostí informačných technológií a procesov.
Uvedená schéma „Roly v KB“ pripravená Kompetenčným centrom by mohla byť užitočnou pomôckou pre mnohých budúcich aj existujúcich manažérov kybernetickej bezpečnosti a obohatením pre manažérov informačnej bezpečnosti. Túto schému plánujeme ďalej podrobnejšie rozpracovať, vrátane analýzy obsahu jednotlivých domén a prieniku (ekvivalencie) jednotlivých certifikátov.
Záver
Znalostné štandardy tvoria rámec pre vytvorenie vzdelávacích programov na vzdelávacích inštitúciách, čím sa vypĺňa priestor nielen pre budovanie kvalitného bezpečnostného povedomia v oblasti kybernetickej bezpečnosti, ale aj pre zvyšovanie kvality vzdelávacích procesov. To má tendenciu ovplyvniť následne aj kvalitu pracovníkov vykonávajúcich činnosti v oblasti kybernetickej bezpečnosti jednak v štátnych a aj v súkromných organizáciách. Zavedenie a definovanie znalostných štandardov a ich aplikovanie v oblasti kybernetickej bezpečnosti je základným prvkom budovania stabilného a predvídateľného bezpečnostného prostredia.
Vzdelávacie potreby a taxonómia vzdelávacích potrieb sú uvedené v prílohách a sú určené najmä pre tvorbu vzdelávacích programov na vysokých školách a identifikáciu konkrétnych pracovných miest.
Prílohy č. 1 a 2 Vyhlášky sú uplatniteľné pre vzdelávacie inštitúcie a pre tvorbu katalógov zamestnaneckých pozícií. V prílohách č. 3 až 14 sú zadefinované jednotlivé štandardy pre konkrétne roly, s uvedením konkrétnych požiadaviek na vedomosti, zručnosti, špecifické kľúčové kompetencie a pre niektoré roly aj požiadaviek na dĺžku odbornej praxe a stupeň vzdelania.
Poznámka redakcie:
§ 1 vyhlášky č. 492/2022 Z. z.
Autor: Ing. Ivan Makatura, CRISC, CDPSE
Súvisiace právne predpisy ZZ SR