Bezpečnostní strategie
Bezpečnostní strategie
Přednáška pokrývající bezpečnostní strategie na třech úrovních: EU → ČR → organizace. Strategické řízení, modely vyspělosti a konkrétní rámce.
Strategické koncepty
Strategický čtverec
Čtyři dimenze strategického plánování: Vize/cíle → Strategie → Nástroje → Zdroje
Strategický trojúhelník
Zjednodušený model: Strategický cíl ↔ Nástroje ↔ Zdroje
Strategická analýza — metody
- Analýza poslání, vize a strategických cílů
- Analýza funkčních/podnikatelských oblastí
- Analýza vnějšího a vnitřního prostředí
- Analýza konkurenčního prostředí
- Analýza zdrojů a kapacity organizace
- Návrh konkurenční a prováděcích strategií
Poslání vs. vize
| Koncept | Směr | Popis |
|---|---|---|
| Poslání (mission) | Ven (zákazník) | Smysl a účel existence organizace |
| Vize (vision) | Dovnitř (management) | Strategická představa budoucnosti |
| Strategické cíle | — | Milníky k naplňování vize |
Bezpečnostní strategie EU
ENISA — National Capabilities Assessment Framework (2020)
Měření vyspělosti schopností členských států v kybernetické bezpečnosti. 4 klastry:
- Řízení a normy kybernetické bezpečnosti
- Budování schopností a zvyšování povědomí
- Právní a regulatorní povinnosti
- Spolupráce
15 společných strategických cílů NCSS
- Vnitrostátní pohotovostní plány
- Základní bezpečnostní opatření
- Cvičení v oblasti kybernetické bezpečnosti
- Schopnost reakce na incident
- Zvyšování povědomí uživatelů (SAE)
- Programy odborné přípravy a vzdělávání
- Podpora VaV
- Pobídky soukromému sektoru
- Ochrana KII, OES a DSP
- Boj proti kyberkriminalitě
- Mechanismy hlášení incidentů
- Ochrana osobních údajů
- Partnerství veřejný-soukromý sektor (PPP)
- Spolupráce veřejných agentur
- Mezinárodní spolupráce
Pětistupňová škála vyspělosti ENISA
| Úroveň | Popis |
|---|---|
| 1 — Počáteční | Nemá jasně definovaný přístup |
| 2 — Raná definice | Definován vnitrostátní přístup |
| 3 — Vytvoření | Jasně určen akční plán |
| 4 — Optimalizace | Plán pravidelně přezkoumáván |
| 5 — Adaptabilita | Strategie je dynamická a adaptivní |
CMMC — Cybersecurity Maturity Model Certification
| Úroveň | Procesy | Postupy |
|---|---|---|
| 1 | Provedené | Základní kybernetická hygiena |
| 2 | Zdokumentované | Pokročilá kybernetická hygiena |
| 3 | Řízené | Správná kybernetická hygiena |
| 4 | Přezkoumávané | Proaktivní |
| 5 | Optimalizační | Pokročilé/pokrokové |
Bezpečnostní strategie ČR (2021–2025)
Vytvořena NÚKIBem, převedena do Akčního plánu.
Tři vize
- Sebevědomě v kyberprostoru — společný přístup, bezpečná infrastruktura, strategická komunikace
- Silná a spolehlivá spojenectví — mezinárodní spolupráce, právní rámec, expertíza
- Odolná společnost 4.0 — zabezpečení digitální společnosti, vzdělávání, rozšiřování expertní základny
Klíčové pojmy
- Odolná společnost 4.0 — společnost využívající výhody technologií s minimalizací rizik
- Digitální hygiena — zásady a návyky pro bezpečný pohyb ve virtuálním prostředí
- Pyramidální model — Společnost → Pracovníci VS → Pracovníci NB → Experti KB
Akční plán ČR — členění
A. Efektivita struktur a procesů | B. Mezinárodní spolupráce | C. Ochrana KII a VIS | D. Spolupráce se soukromým sektorem | E. VaV a spotřebitelská důvěra | F. Vzdělávání a osvěta | G. Schopnosti Policie ČR | H. Právní úprava
Bezpečnostní strategie organizace
Odvozuje se hierarchicky: EU → ČR → Organizace
Úspěšná strategie musí být:
- Řádně zdokumentovaná
- Analyticky podložená
- Logicky zdůvodněná
- Projednaná a přijatá
Propojení s dalšími tématy
- ISMS — strategické řízení bezpečnosti jako jádro ISMS
- Řízení rizik — strategická analýza hrozeb
- SAE — strategický cíl č. 5 (zvyšování povědomí)
- Manažerská bezpečnost — governance a role
Zdroj v kurzu ImorK
- Přednáška 2101 — Bezpečnostní strategie (2022)