Právní regulace kybernetické bezpečnosti Flashcards
V jakém roce se začala poprvé řešit problematika právní regulace kybernetické bezpečnosti v ČR? Jak se nazývá koncepce, která na tento popud vznikla a vznik jakých skupin iniciovala?
rok 2000, “Koncepce boje proti trestné činnosti v oblasti informačních technologií” - iniciace vzniku skupin CERT (Central Emergency Respond Team)
Jaký důležitý dokument vznikl v roce 2005?
Národní strategie informační bezpečnosti ČR
Kdy vzniklo “Národní centrum kybernetické bezpečnosti” a byla zřízena Rada pro kybernetickou bezpečnost?
2011
Od kdy je účinný aktuální Zákon o kybernetické bezpečnosti?
1.1.2015
Podle jakého právního odvětví se řeší kyberkriminalita?
podle trestního zákoníku (TČ)
Podle jakého právního odvětví se řeší právo kybernetické bezpečnosti?
podle správního práva (přestupky, pokuty)
V čem spočívá odlišnost kybernetických hrozeb od hrozeb v reálném světě?
dynamický vývoj a okamžité změny kyber útoků a hrozeb / většina hrozeb v reálném světě zůstává v podstatě neměnná
K čemu slouží “Akt EU o kybernetické bezpečnosti”?
sjednocení kybernetické bezpečnosti na úrovni EU skrze certifikaci (“razítko o schválení”) - v současnosti pouze 1 certifikační schéma, ale žádné osoby, které by byly způsobilé k poskytnutí certifikace
Kolik je úrovní certifikace podle “Aktu EU o kybernetické bezpečnosti”?
3 - základní, střední, nejvyšší
Jak by měla v praxi vypadat certifikace podle “Aktu EU”?
výrobek se dá do laboratoře certifikovat - otestování na vhodnost, odolnost podle určitých parametrů -> schválení produktu
Na jaké problémy v praxi naráží požadavky “Aktu EU” o certifikaci?
1) chybí kvalifikovaní odborníci, kteří by certifikaci prováděli
2) otázky jako “Jak certifikovat cloud?”
3) časová náročnost
4) každá stát EU na jiné úrovni rozvoje kybernetické bezpečnosti - tzn. EU schéma musí být velmi obecné, ale každý stát si stejně upraví vlastní legislativu, podle toho na jaké je úrovni
Jakým zákonem se momentálně řídí kybernetická bezpečnost v ČR?
Zákon č. 181/2014 Sb., o kybernetické bezpečnosti
Jaký je cíl ZoKB?
bezpečné fungování české informační společnosti - tj. zajištění bezpečné realizace základního práva na informační sebeurčení a ochrana nedistributivních práv státu
Jaké další právní předpisy/směrnice se uplatňují v ČR v tomto odvětví?
- Směrnice NIS = Network and Information Security (připravuje se NIS2)
- Vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti (prováděcí vyhláška k ZoKB)
- Vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby
- Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury
- Vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích
- Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury
Na co se bude soustředit připravovaná legislativa v této oblasti?
umožnění prověření dodavatelů do strategicky významné infrastruktury - tím zajištění větší odolnosti a bezpečnosti ČR (“bezpečnost dodavatelského řetězce”)
Jaké jsou základní cíle ZoKB?
a) definování základní úrovně bezpečnostních opatření
b) zavedení detekce kybernetických bezpečnostních událostí
c) zavedení hlášení kybernetických bezpečnostních incidentů
d) vytvoření systému protiopatření k reakci na KBI
e) definování činnosti dohledových pracovišť (národní CERT a vládní CERT)
Jaký je rozdíl mezi pojmem “bezpečnostní incident” a “bezpečnostní událost”?
může být v rozsahu: incident = menší rozsah | událost = větší rozsah
Zakládá legislativa v oblasti kybernetické bezpečnosti trestní (podle Trestního zákoníku) nebo civilní odpovědnost (podle Občanského zákoníku)?
nezakládá ani jednu z těchto odpovědností pachatelům kybernetických útoků - to není jejím účelem - zaměřuje se na dodržování zákonných povinností pro určité subjekty (firmy) v oblasti IT (dodržování zákonných parametrů, správa sítě apod.)
Jak se nazývá 6 principů ZoKB?
1) princip technologické neutrality
2) p. ochrany informačního sebeurčení člověka
3) p. ochrany nedistributivních práv
4) p. minimalizace státního donucení
5) p. autonomie vůle regulovaných subjektů
6) p. bdělosti ve vztahu k ostatním státům a k mezinárodnímu společenství
Stručně definuj “princip technologické neutrality”:
svoboda jednotlivců a organizací vybrat si nejvhodnější technologii přiměřenou potřebám a požadavkům na vývoj, získávání, používání nebo komercializaci bez závislosti na vědomostech, které jsou součástí informací nebo údajů (právní předpisy neregulují, neřeší OBSAH, ani např. jakého dodavatele subjekt použije, ale jen technologické aspekty fungování informačních systémů)
Pod jaký princip ZoKB by spadalo toto vyjádření: “Předmětem ZoKB nejsou např. projevy obsahové kyberkriminality jako např. šíření dětské pornografie, stalking nebo porušování práv duševního vlastnictví.”
princip technologické neutrality
Jaké je aktuální pojetí “informačního sebeurčení”?
pasivní složka (= ochrana diskrétních informací) + aktivní složka (právo aktivně přijímat, zpracovávat a komunikovat informace)
Stručně definuj “princip ochrany nedistributivních práv”?
každý uživatel má přesně ta oprávnění, která potřebuje, a ne více - práva a přístupy uživatelů k informačním systémům nejsou automaticky děděna nebo přenášena na jiného uživatele či systém
Stručně definuj “princip minimalizace státního donucení”?
- stát se snaží zasahovat pouze do práv těch subjektů, kde je respektování principů kybernetické bezpečnosti nezbytné (viz triáda CIA)
- věcný a osobní rozsah (působnost) ZoKB je relativně minimalistický, užití nízké míry právní regulace
- možnost dobrovolného zapojení subjektů do povinností dle ZoKB
