Eurofondy Dobrý starosta Dobrý riaditeľ Literatúra Pohotovosť

Externý manažér kybernetickej bezpečnosti – áno či nie?

Akú prácu má manažér kybernetickej bezpečnosti v organizácii vykonávať? Čo sú jeho typické úlohy? Je možné „outsourcovať“ zodpovednosť za kybernetickú bezpečnosť?

 

tt_prepojenia

Už je to viac ako dva roky, odkedy nadobudol účinnosť zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon“). V týchto dňoch je už pripravovaná aj jeho novelizácia, po tom, čo prax poukázala na potreby zmien. I keď niektoré ciele a ustanovenia zákona zostanú zrejme nezmenené, jedným z diskutovaných problémov je aj otázka vyrovnania sa s požiadavkou na určenie manažéra kybernetickej bezpečnosti, ktorý má určité povinnosti a právomoci.

Nie vždy je táto požiadavka splnená. A reálne – mnohí prevádzkovatelia základných služieb nemajú ani najmenšiu šancu získať dostatočne kvalifikovaný personál. O akútnom nedostatku kvalifikovaných špecialistov kybernetickej bezpečnosti sú napísané mnohé štúdie.

Požiadavka na určenie manažéra kybernetickej bezpečnosti

V zmysle § 20 ods. 3 zákona sa bezpečnostné opatrenia prijímajú, okrem iného, aj pre oblasť organizácie informačnej bezpečnosti. Požiadavka určenia manažéra kybernetickej bezpečnosti v rámci oblasti organizácie informačnej bezpečnosti je explicitne daná § 5 vyhlášky Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „vyhláška“).

Podľa ustanovení vyhlášky vo vzťahu k manažérovi kybernetickej bezpečnosti platí:

  • má mať možnosť predkladať návrhy a oznamovať informácie v oblasti kybernetickej bezpečnosti priamo štatutárnemu orgánu prevádzkovateľa základnej služby,
  • má zabezpečovať aplikáciu bezpečnostných opatrení v systéme riadenia kybernetickej bezpečnosti,
  • má byť nezávislý od riadenia prevádzky a vývoja služieb informačných technológií a
  • má spĺňať znalostné štandardy na funkciu manažéra kybernetickej bezpečnosti podľa osobitného predpisu.

Tieto požiadavky na manažéra kybernetickej bezpečnosti sú ďalej nepriamo vymedzené aj ustanovením § 5 písm. e) vyhlášky, podľa ktorého je v kontexte kybernetickej bezpečnosti nutné jasne vymedziť právomoci, povinnosti a zodpovednosti osôb. Tieto je vhodné zakomponovať do pracovnej náplne alebo obdobného opisu pracovných činností. Tu (správne) nie je uvedené, či sa má vymedzenie týkať explicitne osôb v zamestnaneckom alebo obdobnom pomere. Z toho vyplýva, že vymedzenie právomocí, povinností a zodpovedností je potrebné vykonať pre kohokoľvek, kto plní úlohy v oblasti kybernetickej bezpečnosti, a to aj vrátane dodávateľov.

Povinnosti manažéra kybernetickej bezpečnosti podľa zákona

Zákonným predpisom nie je efektívne možné ošetriť všetky druhy činností pre akékoľvek pracovné role. Bolo by kontraproduktívne určovať konkrétne povinnosti manažéra, bez vzťahu na infraštruktúrne a procesné prostredie. Z toho dôvodu sú vyhláškou určené iba základné rámce, resp. minimálne požiadavky, kladené na manažéra kybernetickej bezpečnosti.

Je preto potrebné rozlišovať, či diskutujeme o zákonných požiadavkách (vrátane povinností) alebo o typických povinnostiach manažéra kybernetickej bezpečnosti pochádzajúcich napr. z dobrej praxe. Akú prácu má vlastne manažér kybernetickej bezpečnosti v organizácii vykonávať? Čo sú jeho typické úlohy?

Pokúsme sa vysvetliť najprv zákonné požiadavky.

Priamy prístup ku štatutárnemu orgánu

Manažér kybernetickej bezpečnosti má mať možnosť predkladať návrhy a oznamovať informácie v oblasti kybernetickej bezpečnosti priamo štatutárnemu orgánu prevádzkovateľa základnej služby. To je požiadavka vyplývajúca z dobrej praxe, ktorá je kodifikovaná už aj v iných právnych alebo technických normách. Manažér kybernetickej bezpečnosti nesmie byť „utopený“ v štruktúre podniku a mal by mať priamy prístup ku štatutárnemu predstaviteľovi spoločnosti. Použijúc korporátny jazyk: manažér kybernetickej bezpečnosti má byť v reportovacej línii štatutárneho zastúpenia umiestnený na úrovni B-1. Samozrejme, že táto požiadavka nie je bezo zvyšku splniteľná najmä v rozsiahlych organizačných štruktúrach, preto je akceptovateľné, ak sa priamy prístup manažéra kybernetickej bezpečnosti vyrieši procesne tým, že sa právomoc „priameho prístupu“ ošetrí interným predpisom alebo v organizačnej smernici. Predovšetkým je to však vždy závislé od vnútornej kultúry organizácie.

Aplikácia bezpečnostných opatrení

Požiadavkou, aby manažér kybernetickej bezpečnosti zabezpečoval aplikáciu bezpečnostných opatrení v systéme riadenia kybernetickej bezpečnosti, je myslených najmä niekoľko úloh v životnom cykle opatrení:

  • navrhovanie rozpočtu, súvisiaceho s bezpečnostnými opatreniami,
  • riadenie implementácií bezpečnostných opatrení (a to nerozdielne organizačných aj technických),
  • zaručenie bežnej prevádzky technických bezpečnostných opatrení,
  • zaručenie udržateľnosti organizačných opatrení vrátane bezpečnostných procesov.

Nezávislosť manažéra kybernetickej bezpečnosti

Odhliadnuc od formálnych definícií, kybernetická bezpečnosť je (zjednodušene) zaručenie bezpečnosti informačných aktív, spracúvaných v kybernetickom priestore. To znamená najmä elektronicky, resp. najmä prostriedkami automatizovaného spracúvania dát. Nie bezpodmienečne len digitálnych, preto by bolo sémanticky správnejšie uvádzať, že manažér kybernetickej bezpečnosti má byť nezávislý od riadenia prevádzky a vývoja služieb informačných a operačných technológií.

Podstata tejto požiadavky spočíva v rozdielnych cieľoch pracovníkov zodpovedných za prevádzku technológií a cieľoch manažéra kybernetickej bezpečnosti. Kým tí prví sú zodpovední za bezchybnú dodávku služieb poskytovaných pomocou technológií (teda za zaručenie najmä dostupnosti informačných aktív), úlohou manažéra kybernetickej bezpečnosti je zaručiť, aby bola organizácia schopná odolať kybernetickým bezpečnostným hrozbám, prípadne riešiť kybernetický bezpečnostný incident. To sú však vo väčšine prípadov protichodné úlohy. Nielenže by manažér kybernetickej bezpečnosti mal byť stálym odborným oponentom ľudí z vývoja a prevádzky systémov, sú mnohokrát chvíle, keď bezpečnosť musí rozhodnúť o zastavení poskytovania služby.

V prípade, že manažér kybernetickej bezpečnosti nebude nezávislý od prevádzky a vývoja technologických služieb, existuje značné riziko, že rozhodnutia v oblasti kybernetickej bezpečnosti budú ovplyvnené najmä pracovnými cieľmi pracovníkov IT/OT.

Znalostný štandard pre manažéra kybernetickej bezpečnosti

Osoba, ktorá má vykonávať funkciu manažéra kybernetickej bezpečnosti, má spĺňať znalostné štandardy podľa osobitného predpisu. Tým osobitným predpisom je myslená budúca vyhláška Národného bezpečnostného úradu vydaná podľa § 32 ods. 1 písm. d) zákona, ktorou sa určujú znalostné štandardy v oblasti kybernetickej bezpečnosti. Tento vykonávací predpis je aktuálne v procese prípravy. Do doby vydania tejto vyhlášky je možné inšpirovať sa dobrou praxou, podľa ktorej existuje nemalé množstvo medzinárodne uznaných odborných certifikátov v oblasti riadenia informačnej bezpečnosti. Tieto môžu byť veľmi dobrou metrikou pre posúdenie spôsobilostí profesionálov v oblasti kybernetickej bezpečnosti vrátane spôsobilosti uchádzača o pozíciu manažéra kybernetickej bezpečnosti.

Typické povinnosti manažéra kybernetickej bezpečnosti

Je vhodné spomenúť, že najmä v komerčnom prostredí sa rola manažéra kybernetickej bezpečnosti zvyčajne uvádza pod skratkou CISO (z anglického Chief Information Security Officer). Úlohy a spôsob vykonávania úloh CISO sú predmetom veľkého množstva odborných článkov, štúdií a prezentácií. Za všetky spomeňme aspoň niekoľko typických zodpovedností.

Vo všeobecnosti CISO zaisťuje ochranu informačných aktív organizácie implementáciou a riadením procesov informačnej a kybernetickej bezpečnosti. Organizuje výkon činností organizácie, súvisiaci so zaručením bezpečnosti informačných aktív v zmysle najlepšej praxe, najmä:

  • koncepčne riadi informačnú a kybernetickú bezpečnosť organizácie,
  • navrhuje požiadavky na rozpočet a na iné zdroje súvisiace s bezpečnostnými opatreniami a procesmi,
  • zabezpečuje implementáciu technických a organizačných bezpečnostných opatrení,
  • riadi bežnú prevádzku technických bezpečnostných opatrení,
  • riadi integráciu bezpečnostných technológií s cieľom tvorby efektívnych bezpečnostných opatrení na ochranu základných služieb organizácie,
  • zaručuje udržateľnosť organizačných opatrení vrátane vyspelosti bezpečnostných procesov,
  • implementuje a zabezpečuje riadny chod procesov manažmentu bezpečnostných rizík a ošetrovania bezpečnostných hrozieb,
  • navrhuje zmeny a optimalizáciu bezpečnostných riešení,
  • z pozície garanta, resp. z pozície projektového manažéra vedie bezpečnostné projekty, napr. implementáciu nových bezpečnostných technológií do prostredia organizácie,
  • riadi informačnú a kybernetickú bezpečnosť vo vzťahu s dodávateľmi a pri obstarávaní, projektovaní a vývoji softvéru a systémov,
  • riadi bezpečnostnú architektúru organizácie, vypracúva odborné stanoviská k novým zmenám v IT infraštruktúre organizácie, ktoré môžu mať potenciálny vplyv na bezpečnosť informačných aktív organizácie,
  • zabezpečuje proces riadenia informačných aktív organizácie v kontexte zaručenia ich bezpečnosti (tzv. IT Asset Management),
  • zabezpečuje návrh a aplikáciu metodík pre klasifikáciu informačných aktív a kategorizáciu sietí a informačných systémov,
  • zabezpečuje návrh metodík a riadi procesy obnovy prevádzkových činnosti (tzv. Business Continuity Management) vrátane metodík v procesoch plánovania havarijnej obnovy systémov (tzv. Disaster Recovery Planning),
  • navrhuje metriky a kľúčové indikátory pre sledovanie vývoja a stavu bezpečnosti a vývoja bezpečnostných rizík (KPI, KRI),
  • riadi proces hodnotenia technických zraniteľností systémov,
  • riadi procesy detekcie, riešenia a prevencie kybernetických bezpečnostných incidentov,
  • zabezpečuje budovanie bezpečnostného povedomia pre oblasť informačnej a kybernetickej bezpečnosti a ochrany osobných údajov,
  • zabezpečuje tvorbu a aktualizáciu interných bezpečnostných politík, štandardov a procedúr organizácie,
  • vyhodnocuje plnenie vnútorných predpisov súvisiacich s riadením bezpečnosti informačných aktív,
  • zabezpečuje poskytovanie súčinnosti internému a externému auditu informačnej a kybernetickej bezpečnosti,
  • riadi procesy zaručenia súladu (tzv. compliance management) v oblasti informačnej a kybernetickej bezpečnosti.

Aj bez zveličenia sa dá povedať, že plnenie zoznamu týchto úloh vyžaduje spôsobilosti takého rozsahu, že hľadanie vhodného kandidáta na rolu bezpečnostného manažéra nebýva pre HR špecialistov triviálnou úlohou. S ohľadom na vyššie uvedené znalostné požiadavky je zrejmé, že zabezpečenie tejto spôsobilosti vo vlastnej réžii, teda prostredníctvom internej osoby, by mohlo byť (najmä pre menších prevádzkovateľov základných služieb) veľmi nákladné. Navyše, bez akejkoľvek záruky, že danú osobu po čase „nekúpi“ iný, majetnejší subjekt. Aj z tohto dôvodu sa javí outsourcing spôsobilostí manažéra kybernetickej bezpečnosti ako dostupná alternatíva.

Štatutárna zodpovednosť a výkonná zodpovednosť

V oblasti riadenia informačnej bezpečnosti je roky zachovaný princíp, podľa ktorého je štatutárna zodpovednosť za riadenie bezpečnosti (z angl. „Security Governance“) oddelená od výkonnej zodpovednosti za riadenie bezpečnosti (z angl. „Security Operations“).

Pri prevzatí týchto výrazov do slovenského jazyka tu pri objasňovaní odlišností vzniká určitý problém, ktorý spočíva v preklade výrazu „zodpovednosť“, kde anglický jazyk, v ktorom je písaná väčšina technických noriem, jasne rozlišuje dva druhy zodpovednosti už v samotnej gramatike („accountibility“ a „responsibility“). Táto gramatická dilema dodnes nie je v slovenskej technickej normalizácii uspokojivo vyriešená.

Rozdelenie zodpovedností v oblasti kybernetickej bezpečnosti sa dá dobre vysvetliť na grafickom znázornení kľúčových rolí a vzťahov podľa COBIT5http://www.isaca.org/cobit/pages/default.aspx nasledovne:

 

statutarna-zodpovednost-08-2020

 

Kým riadiaca autorita reprezentuje štatutárnu zodpovednosť (Security Governance), manažér kybernetickej bezpečnosti na výkonnej úrovni zodpovedá za každodenné bežné činnosti v oblasti informačnej a kybernetickej bezpečnosti (Security Operations), ktoré sú potenciálne riešiteľné formou zmluvnej zodpovednosti.

Je možné „outsourcovať“ zodpovednosť za kybernetickú bezpečnosť?

Vzhľadom na vyššie uvedené je potrebné rozlišovať medzi štatutárnou (zákonnou) zodpovednosťou za riadenie bezpečnosti (Security Governance) a výkonnou zodpovednosťou za riadenie bezpečnosti (Security Operations).

Dá sa tvrdiť, že výkon niektorých úloh v kybernetickej bezpečnosti (t. j. výkonnú zodpovednosť) je možné obstarať ako službu vykonávanú dodávateľským spôsobom, ktorej parametre sú merateľné a ktoré je možné zazmluvniť prostredníctvom dohody o úrovni služieb (SLA). Porušenie parametrov SLA môže byť riešené vopred dohodnutým znížením platieb alebo automatickou zmluvnou pokutou, a to nezávisle od toho, či vznikla škoda. Spôsobov merania parametrov úrovne poskytovaných služieb kybernetickej bezpečnosti je mnoho a ich vysvetlenie by si vyžadovalo značný časový rozsah.

Už v inom článkuhttps://www.bch.sk/post/zodpovednost-statutara-vyber-poskytovatela-sluzieb-kybernetickej-bezpecnosti bolo spomenuté, že v zmysle Obchodného zákonníka je štatutárny orgán spoločnosti povinný konať s odbornou starostlivosťou, v súlade so záujmami spoločnosti, pričom zodpovedá za porušenie týchto povinností. Obdobne to platí aj pre starostov obcí a primátorov miest, ktorým táto zodpovednosť vyplýva z osobitných právnych predpisov (napr. zákon o obecnom zriadení). Hovoríme teda o zákonnej zodpovednosti štatutárneho orgánu, ktorú nie je možné outsourcovať, resp. jej outsourcing štatutárny orgán zodpovednosti nezbaví.

Povinnosť štatutárneho orgánu konať s odbornou starostlivosťou vyžaduje, aby si štatutár pri konkrétnom rozhodovaní zaobstaral a vyhodnotil všetky objektívne dostupné informácie, týkajúce sa predmetu konkrétneho rozhodovania. Následne sa má štatutár náležite rozhodnúť v kontexte týchto informácií a vlastnej profesionality ako predpokladu pre výkon funkcie. Z uvedeného explicitne vyplýva, že bez ohľadu na druh a rozsah outsourcovaných činností, zákonná (štatutárna) zodpovednosť za riadenie bezpečnosti (Security Governance) patrí prevádzkovateľovi základnej služby a jeho štatutárnemu orgánu. Niektoré zákonné zodpovednosti nie je možné zmluvne preniesť na tretiu stranu, ani sa ich efektívne vzdať. Preto zmluva s manažérom kybernetickej bezpečnosti, ako ani samotná rola manažéra kybernetickej bezpečnosti, nepredstavuje nahradenie zákonných zodpovednostných vzťahov a ich prenos na tretiu osobu (napr. zo štatutárneho orgánu na manažéra kybernetickej bezpečnosti). To však neznamená, že zmluva s externým manažérom kybernetickej bezpečnosti nemôže určovať konkrétne sankcie pre prípad porušenia zmluvou mu uloženej povinnosti. Je si však potrebné uvedomiť, že ide o zmluvnú zodpovednosť, ktorá sa od tej zákonnej zodpovednosti líši.

Pokiaľ teda ide o otázku, či je výkon role manažéra kybernetickej bezpečnosti vykonávanej dodávateľským spôsobom možné riešiť pomocou služby, odpoveď je v zásade jednoduchá. Áno, keďže tomu nebráni žiadne zákonné ustanovenie. Pokiaľ by však predstava o určení manažéra kybernetickej bezpečnosti mala súčasne naplniť ambíciu o komplexný prenos zodpovedností štatutárneho orgánu prevádzkovateľa základnej služby, uvedená odpoveď by bola nasledovná:

  • ak budú predmetom zmluvy iba služby a dodávky prevádzkového charakteru (teda najmä tie, ktorých kvalitu je možné merať), niet prekážky (ani zákonnej) na to, aby rolu manažéra kybernetickej bezpečnosti vykonávala tretia strana na základe zmluvy o úrovni služieb vrátane z nej vyplývajúcich sankcií pre prípad porušenia zmluvných ustanovení,
  • pokiaľ má byť zmluvou na manažéra kybernetickej bezpečnosti prenesená aj zákonná zodpovednosť, inak patriaca štatutárnemu orgánu, nie je možné očakávať, že zmluva takýto zámer prevádzkovateľa základnej služby naplní.

Z uvedeného teda vyplýva, že zodpovednosť za riadenie kybernetickej bezpečnosti je potrebné vnímať v dvoch samostatných kontextoch. V prvom rade ide o zodpovednosť štatutárneho orgánu, ktorá vyplýva priamo zo všeobecne záväzných právnych predpisov. Až následne ide o zodpovednosť zmluvnú, založenú napr. voči manažérovi kybernetickej bezpečnosti a v kontexte vyššie uvedenej „výkonnej úrovne“. Uvedené zodpovednosti si nie je možné zamieňať. Zodpovednosť prevádzkovateľa základnej služby za plnenie požiadaviek zákona bude vždy patriť prevádzkovateľovi základnej služby, pričom žiadne zmluvné dojednanie tento koncept nenaruší. Pokiaľ ide o zodpovednosť externého manažéra kybernetickej bezpečnosti, táto ma kontraktuálny charakter a môže byť viazaná na porušenie príslušnej zmluvnej povinnosti.

Poskytovanie služieb externého manažéra kybernetickej bezpečnosti má však aj inú konotáciu. Pokiaľ ide o procesne a ekonomicky vyvážený model, pre malé organizácie je odporúčaným riešením hybridný spôsob výkonu role manažéra kybernetickej bezpečnosti, t. j. jasné rozdelenie činností tak, aby zodpovednosť prislúchajúca role manažéra kybernetickej bezpečnosti bola rozdelená na:

  • štatutárnu zodpovednosť za riadenie bezpečnosti (Security Governance) a
  • výkonnú zodpovednosť za riadenie bezpečnosti (Security Operations).

Zjednodušene povedané: úlohy kybernetickej bezpečnosti, ktoré si nutne vyžadujú príslušné spôsobilosti dané znalostným štandardom, môžu byť vykonávané aj dodávateľským spôsobom, zatiaľ čo rozhodnutia o týchto úlohách musí vykonávať štatutárny zástupca, alebo ním poverený zamestnanec organizácie.

 

Poznámka redakcie:

§ 20 ods. 3 zákona č. 69/2018 Z. z.

§ 32 ods. 1 písm. d) zákona č. 69/2018 Z. z.

§ 5 vyhlášky č. 362/2018 Z. z.



AUTOR: JUDr. Štefan PilárJUDr. Ing. Miroslav Chlipala, PhD.Ing. Ivan Makatura, CRISC, CDPSE

Dátum publikácie: 7. 8. 2020
Autor: Ing. Ivan Makatura, CRISC, CDPSE, JUDr. Štefan Pilár, JUDr. Ing. Miroslav Chlipala, PhD.

Súvisiace právne predpisy

69/2018 Z. z. Zákon o kybernetickej bezpečnosti
362/2018 Z. z. Vyhláška, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení

Súvisiace odborné články

Organizácia informačnej bezpečnosti
Personálna bezpečnosť
Spôsob kategorizácie a obsah bezpečnostných opatrení ITVS – rozsah a povinnosti

Súvisiace vzory zmlúv a právnych podaní

Interná smernica v oblasti ochrany osobných údajov

AUTOR

JUDr. Štefan Pilár
Pilár.jpg

Právnik a certifikovaný audítor KB v AK Bukovinský & Chlipala

 

V súčasnosti pôsobí ako senior právnik so zameraním na kybernetickú bezpečnosť, ochranu osobných údajov a IT právo. Súčasťou jeho odborného zamerania sú aj školenia a semináre zamerané na implementáciu a praktické skúsenosti s GDPR či problematiku kybernetickej bezpečnosti. Podieľa sa na implementačných projektoch zavádzajúcich opatrenia pre spracúvanie a ochranu osobných údajov pre významné spoločnosti z oblasti cloud computingu, telekomunikačných služieb alebo finančného sektoru.

 

Štefan je členom Pracovnej skupiny pre verejné právo, poradného orgánu predsedníctva Slovenskej advokátskej komory (SAK) a Asociácie kybernetickej bezpečnosti (AKB). Štefan je certifikovaným audítorom kybernetickej bezpečnosti a certifikovaný Lead Auditor podľa ISO 27001. Je autorom mnohých odborných článkov z oblasti GDPR a kybernetickej bezpečnosti a spoluautorom komentára k Zákonu o kybernetickej bezpečnosti. Je členom niekoľkých domácich a zahraničných odborných združení v oblasti informačnej bezpečnosti.

 

V minulosti pôsobil na viacerých pozíciách s prepojením práva a IT technológií, a to ako právny poradca CSIRT-u alebo ako spolutvorca zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti. Na medzinárodnej úrovni pôsobil v pozícii národného experta pre oblasť kybernetickej bezpečnosti, a to v rámci pracovných platforiem Európskej komisie (NIS Expert Group, Komitologický výbor NIS, Politika kybernetickej bezpečnosti - Galileo).

 

V pozícii národného právneho poradcu zastupoval Slovenskú republiku na medzinárodných cvičeniach kybernetickej obrany (Locked Shields, Cyber Coalition). V rámci svojho odborného zamerania absolvoval stáž v Centre výnimočnosti NATO pre oblasť spoločnej kybernetickej obrany v Estónsku.

 

AK Bukovinský & Chlipala, právnik a certifikovaný audítor KB

V súčasnosti pôsobí ako senior právnik so zameraním na kybernetickú bezpečnosť, ochranu osobných údajov a IT právo. Je certifikovaným audítorom kybernetickej bezpečnosti, členom Pracovnej skupiny pre verejné právo SAK, členom Asociácie kybernetickej bezpečnosti. Súčasťou jeho odborného zamerania sú aj školenia a semináre zamerané na implementáciu a praktické skúsenosti z oblastí kybernetickej bezpečnosti, ochrany informácií a ochrany osobných údajov. Podieľa sa na implementačných projektoch zavádzajúcich primerané opatrenia pre ochranu informácií v kybernetickom priestore a osobných údajov pre významné spoločnosti z oblasti cloudcomputingu, telekomunikačných služieb, zdravotnej starostlivosti, verejného alebo finančného sektoru.

JUDr. Ing. Miroslav Chlipala, PhD.
Chlipala.jpg

Partner a advokát v AK Bukovinský & Chlipala

 

Advokát s 18-ročnou praxou so zameraním na IT právo a moderné technológie (právny rámec elektronizácie a e-Governmentu, právne aspekty kybernetickej bezpečnosti, GDPR a ochrana osobných údajov, cloudové služby, open source, IoT, umelá inteligencia) a duševné vlastníctvo. Vybudoval a vedie tím právnikov, ktorý predstavuje na Slovensku jedinečnú kombináciu pre oblasti duševného vlastníctva a IT práva a telekomunikácií. V týchto kategóriách je advokátska kancelária pod jeho vedením dlhodobo oceňovaná v domácich a medzinárodných hodnoteniach.

Je členom pracovnej skupiny pre verejné právo, poradného orgánu predsedníctva SAK. Je certifikovaným tútorom Rady Európy pre vzdelávanie advokátov, sudcov a prokurátorov v programe HELP. Je členom Stálej komisie pre etiku a reguláciu umelej inteligencie pri MIRRI. Je členom redakčnej rady vedeckého časopisu Paneurópske právnické listy.

Mimo výkonu advokácie sa venuje teoreticko-odborným aspektom práva informačných technológií a ich dopadom na podnikateľskú sféru. Aktívne sa zúčastňuje odborných konferencií a vedie workshopy a semináre, kde prednáša aktuálne témy z oblasti IT práva s dôrazom na logické prepojenie práva a technológií. Opakovane prednáša na prestížnych podujatiach ako sú Slovenské dni práva Slovenskej advokátskej komory alebo na najvýznamnejšej slovenskej odbornej konferencii z oblasti IT práva, na ktorej sa podieľa aj ako predseda programového výboru.

Pôsobí ako pedagóg na Fakulte práva PEVŠ, predtým dlhodobo pôsobil ako pedagóg na Právnickej fakulte UK. Je spoluzakladateľom predmetu Právo informačných a komunikačných technológií na FIIT STU. Je aktívnym autorom mnohých odborných článkov a niekoľkých publikácii z oblasti IT práva. Absolvoval niekoľko zahraničných pobytov a stáží (Hague Academy of International Law, University of Oslo, University of Zaragoza, University of Ljubljana, Jagiellonian University in Kraków).

Ing. Ivan Makatura, CRISC, CDPSE
Makatura_202104_0139.jpg/Image58134.jpg

Kompetenčné a certifikačné centrum kybernetickej bezpečnosti – Znalecká organizácia, generálny riaditeľ


Generálny riaditeľ Kompetenčného a certifikačného centra kybernetickej bezpečnosti. Predseda správnej rady Asociácie kybernetickej bezpečnosti. Skúsený bezpečnostný manažér s dlhoročnou praxou riaditeľa odboru bezpečnosti Dexia banky a Všeobecnej úverovej banky, niekoľko posledných rokov pracoval ako vedúci konzultant stredoeurópskeho tímu IBM Security Services. V IT odvetví pôsobí celkovo od roku 1993. Pracovne pôsobí aj ako súdny znalec v odvetví Bezpečnosť a ochrana informačných systémov a tiež ako certifikovaný audítor informačnej bezpečnosti. V role člena technickej komisie medzinárodnej štandardizačnej organizácie sa spolupodieľa na implementácii ISO noriem do sústavy STN. Spolupracoval na slovenskej aj európskej legislatíve súvisiacej s informačnou a kybernetickou bezpečnosťou. Vyštudoval odbor aplikovaná informatika na Fakulte elektrotechniky a informatiky Technickej univerzity v Košiciach. Neskôr absolvoval postgraduálne štúdium na Znaleckom ústave elektrotechniky a informatiky Slovenskej technickej univerzity v Bratislave. Je držiteľom mnohých profesijných certifikácií v oblasti informačnej bezpečnosti a riadenia rizika. Je známym prednášajúcim na slovenských i medzinárodných konferenciách a vzdelávacích aktivitách, ako aj autorom mnohých článkov a niekoľkých publikácií s témou informačnej bezpečnosti a ochrany osobných údajov.

Dátum publikácie

07.08.2020

Právne oblasti

Informácie, informačný systém

Partneri:

vssr-logo_aion_color
vssr-logo_eurokodex_color
vssr-logo_pp_color_2022
vssr-logo_zpl_color
vssr.sk

Najčítanejšie témy
Konsolidovaná účtovná závierka
Miestne dane
Rozpočtové pravidlá verejnej správy
Služby zamestnanosti
Verejné obstarávanie
 
Poradca podnikateľa

Poradca podnikateľa
Vydavateľský a vzdelávací dom
O nás
Inzercia a médiá
PP Klub
Podcast PP
Obchodné podmienky
Ochrana osobných údajov
Spravovať nastavenia cookies
Prístupnosť

O portáli
Portál Verejná správa SR
Napísali o nás
Kontakty
ISSN 2644-531 X

Sociálne siete

vssr-fb-ico vssr-yb-ico

PÍSOMNÁ PORADŇA

Poradili sme iným, poradíme aj Vám

Iba pre predplatiteľov. Odpovedáme do 21 dní. Ďakujeme
S-EPI, s.r.o. © 2012-2022, Všetky práva vyhradené
Úvodná strana | o vssr.sk | kontakt

cookies24x24  Súhlas s použitím cookies

Táto webová stránka používa rôzne cookies pre poskytovanie online služieb, na účely prihlásenia, poskytovania obsahu prostredníctvom tretích strán, analýzu návštevnosti a iné. V súlade s platnou legislatívou, prosíme, o potvrdenie súhlasu alebo nastavenie Vašich preferencií.

Pamätajte, že súbory cookies sú užitočné pre rôzne užívateľské nastavenia a ich odmietnutím sa môže znížiť Váš užívateľský komfort.

Viac informácií o cookies.