Správné nastavení IT compliance není jen o vyhýbání se pokutám a naplňování checkboxů. Je to systém chránící procesy chránící organizace před riziky a budující důvěru zákazníků. V tomto článku se dozvíte, co compliance v IT obnáší. Představíme klíčové regulace a nabídneme praktický návod, jak nastavit účinná opatření pro naplnění souladu s regulacemi.

V roce 2018 zažila společnost British Airways masivní únik dat, při kterém útočníci získali přístup k osobním a platebním údajům více než 400 tisíc jejích zákazníků.

Britský úřad pro ochranu osobních údajů tehdy udělil aerolince pokutu ve výši 20 milionů liber za selhání v zabezpečení dat zákazníků a porušení GDPR (General Data Protection Regulation).

Škody však přesáhly finanční sankce. Došlo ke ztrátě důvěry zákazníků, následovaly soudní žaloby a společnost čelila důkladné kontrole. Tato situace nemusela nastat, kdyby British Airways požadavky stanovené Obecným nařízením o ochraně osobních údajů (GDPR), jako jsou přísnější kontrola přístupu k aplikacím, a šifrování, dodržovala.

Tento případ ukazuje, že IT compliance není jen o vyhýbání se pokutám, ale jde především o systematickou ochranu systémů, zákazníků a kontinuity podnikání.

TL;DR
IT compliance znamená dodržování předpisů, oborových standardů a bezpečnostních rámců za účelem ochrany dat, zajištění integrity systémů a vyhnutí se právním a finančním postihům. Článek pokrývá devět hlavních rámců: GDPR, NIS2, HIPAA, PCI DSS, ISO 27001, SOC 2, GLBA, FISMA a SOX. Každý cílí na jiná odvětví a typy dat, ale všechny sdílejí společné požadavky jako šifrování, řízení přístupu, auditní logy a plány reakce na incidenty.

Udržení souladu s předpisy není jednorázová záležitost. Vyžaduje průběžné monitorování, pravidelné audity, školení zaměstnanců a sledování vývoje legislativy.

Pro naplnění a udržení souladu s regulací je obvykle třeba šesti kroků: GAP analýza, plán nápravných opatření, dokumentace politik, školení zaměstnanců, průběžné monitorování a sledování změn v předpisech.

Co je IT compliance?

IT compliance znamená dodržování právních předpisů, bezpečnostních standardů a oborových regulací, které se týkají správy a ochrany dat, IT systémů a digitálních procesů. Jinými slovy, jde o procesy zajišťující, že IT prostředí organizace odpovídá pravidlům, která na ně kladou zákony, normy a smlouvy.

IT compliance, především ve větších a legislativou regulovaných firmách, může zahrnovat široké spektrum požadavků. Ty mohou být rozděleny do následujících kategorií:

  • Regulatorní compliance – Legislativní regulace chránící soukromí dat a bezpečnost systémů s cílem vyztužit obranyschopnost klíčových odvětví, trhů nebo subjektů. V rámci IT bezpečnosti sem spadají například evropské regulace GDPR nebo NIS2. Porušení legislativních požadavků s sebou obvykle nese finanční a jiné sankce.
  • Oborové (průmyslové) standardy – Jedná se o best practices vytvořené pro specifická odvětví. Jejich cílem je zajistit jednotný přístup k bezpečnosti, řízení rizik a zajištění kvality služeb v rámci daného oboru. Jako příklad lze uvést standardy PCI-DSS pro subjekty, které zpracovávají, přenášejí nebo uchovávají data o držitelích platebních karet a transakcích, nebo HIPAA pro ochranu zdravotních informací pacientů v USA.
  • Bezpečnostní námce – Jedná se o mezinárodně uznávané standardy, které pomocí ověřených metodik pomáhají organizacím pro řízení informační bezpečnosti. Tyto rámce nejsou sice vyžadovány legislativou, ale organizace je velmi často využívají v rámci své compliance strategie. Příkladem může být norma ISO/IEC 27001, certifikace SOC 2 (Service Organization Control Type 2) nebo NIST Cybersecurity Framework.
  • Provozní compliance – Jedná se o soubor postupů a procesů, které mají za cíl aby interní IT systémy zůstaly funkční, bezpečné a dostupné. Spadají sem například záruky. dostupnosti služby, plán obnovy po haváriích a postupy reakce na incidenty.
  • Smluvní compliance – Firmy se často zavazují k dodržování bezpečnostních pravidel a a kvality služeb prostřednictvím dohod o zajištění úrovně služeb (SLA), NDA, smluv se zákazníky nebo partnery. Nedodržení těchto závazků má obvykle finanční a reputační důsledky pro organizaci.

Většina IT compliance regulací sdílí základní soubor bezpečnostních a provozních požadavků, mezi něž obvykle patří:

  • Šifrování dat
  • Kontrola přístupů
  • Plánování reakce na incidenty
  • Pravidelné audity a hodnocení rizik
  • Školení zaměstnanců o bezpečnosti
  • Správa bezpečnosti třetích stran

Přínosy a výzvy IT compliance

IT compliance znamená mnohem více než jen naplňování checkboxů pro vyhýbání se pokutám. Je to důležitá součást zajištění fungujících, transparentních procesů v IT a ochrany před bezpečnostními hrozbami a výpadky provozu.

IT compliance je třeba brát vážně především z následujících důvodů: 

  • Snižuje bezpečnostní rizika. Firmy se slabšími bezpečnostními opatřeními jsou snadnějším cílem kybernetických útoků. Compliance rámce vyžadují, aby firmy udržovaly základní kybernetickou hygienu, jako je šifrování, kontrola přístupů a monitoring hrozeb, což pomáhá předcházet útokům a koncepčně na ně reagovat.
  • Zajišťuje stabilitu provozu. Compliance často zahrnuje plán chování při neočekávaných událostech, haváriích a výpadcích. Může vyžadovat přípravu plánů obnovy, způsoby zajištění garance dostupnosti služby, opatření pro zvýšení odolnosti systémů a podobně.
  • Buduje důvěru zákazníků a partnerů. Firmy, které dodržují IT compliance, případně se dobrovolně zavazují k plnění bezpečnostních rámců, jsou méně náchylné k poškození své pověsti. Navíc, zákazníci a partneři, zejména v B2B prostředí, preferují spolupráci se subjekty, které chrání data a dodržují oborové standardy.
  • Posiluje konkurenční výhodu: Mnozí velcí zákazníci požadují od dodavatelů splnění compliance standardů ještě před uzavřením smluv. Certifikace jako SOC 2 nebo ISO 27001 mohou být klíčovým faktorem při získávání nových obchodních příležitostí.

Dostát IT compliance povinnostem často znamená dodržovat spletitý systém procesů. Subjekty se při tom obvykle potýkají s problémy jako:

  • Sledování změn regulací – Legislativy i compliance standardy se v čase vyvíjejí a firmy se musí adaptovat. Zejména je třeba sledovat změny v normách, které vyžadují pravidelné obnovování certifikací, jako je ISO 27001 (každé tři roky).
  • Řízení více souběžných požadavků – Mnoho firem musí dodržovat několik regulací současně. Například mezinárodní firma může potřebovat zároveň splnit GDPR, PCI-DSS a ISO 27001.
  • Vyvažování bezpečnosti a použitelnosti – Není neobvyklé, že přísná bezpečnostní pravidla vytvářejí tlak na  zaměstnance a zákazníky, což může vést k pokusům o jejich obcházení nebo nedodržování. Například špatně fungující VPN, kterou firma vyžaduje, může zaměstnance frustrovat natolik, že hledají způsoby, jak její použití obejít.
  • Náklady na compliance – Splnění standardů IT compliance vyžaduje nákup bezpečnostních nástrojů, provádění auditů, alokování lidí pro dohled nad dodržováním, a právní expertízu. To může být nákladné, zejména pro rostoucí firmy.
  • Lidské chyby a interní hrozby – I přes silná bezpečnostní opatření mohou nesprávné konfigurace, lidské chyby a nedostatečná školení vytvářet mezery v dodržování compliance.

7 příkladů IT compliance regulací

Různá odvětví a organizace musí dodržovat různé předpisy k ochraně citlivých dat a zajištění integrity systémů. Například směrnice NIS2 v Evropě se vztahuje pouze na určité sektory a firmy nad určitou velikost.

Ačkoli se detaily liší, většina rámců se zaměřuje na zabezpečení informací, prevenci útoků a zajištění funkčních procesů v rámci digitálního prostředí. Pojďme se podívat na sedm klíčových IT compliance norem, regulací a rámců, a jejich dopad na provoz organizace.

ISO/IEC 27001: Globální standard informační bezpečnosti

ISO 27001 compliance image

source

Pro společnosti působící mezinárodně je ISO 27001 široce uznávaným compliance rámcem pro správu bezpečnosti informací. ISO firmám pomáhá vytvořit systém řízení informační bezpečnosti (ISMS), tedy soubor politik, postupů a strategií v oblasti IT.

Compliance vyžaduje nastavení bezpečnostních rolí, kontrolu přístupů a kontinuální zlepšování zabezpečení digitálních aktiv.

Klíčové požadavky relevantní pro IT týmy:

  • Závazek vedení: ISO 27001 vyžaduje zapojení nejvyššího vedení, aby bezpečnost informací byla klíčovou součástí strategie organizace.
  • Hodnocení a řízení rizik: Organizace musí provádět formální hodnocení rizik a implementovat bezpečnostní opatření na základě jejich úrovně.
  • Kontinuální monitorování a zlepšování: Dodržování compliance není jednorázovou certifikací, ale vyžaduje průběžné audity, monitorování bezpečnosti a aktualizace bezpečnostních procesů.

Mnoho organizací podstupuje certifikaci ISO 27001 s cílem prokázat dodržování osvědčených bezpečnostních postupů, snížit kybernetická rizika a případně získat konkurenční výhodu při získávání zakázek nebo navazování spolupráce s globálními partnery.

NIS2: Posílení kybernetické bezpečnosti napříč Evropskou Unií

Směrnice NIS2 (Network and Information Systems Directice) má zlepšit kybernetickou odolnost členských států Evropské unie a jejího vnitřního trhu. Vztahuje se na řadu veřejných i soukromých subjektů v sektorech jako energetika, bankovnictví, zdravotnictví, finance a digitální infrastruktura. Požadavky směrnice členské státy transponují do vlastní legislativy prostřednictvím zákonů.

NIS2 nahrazuje původní směrnici NIS a přináší nové bezpečnostní požadavky, širší rozsah působnosti a přísnější dohledové mechanismy. Nedodržení požadavků směrnice může vést k vysokým pokutám a manažeři mohou být osobně zodpovědní za nedostatky v kybernetické bezpečnosti.

Firmy podléhající směrnici NIS2 musí splnit rozšířené bezpečnostní povinnosti, včetně:

  • Řízení bezpečnosti založené na riziku: Implementace proaktivních opatření přizpůsobených specifickým rizikům sektoru.
  • Požadavky na hlášení incidentů: Hlásit závažné bezpečnostní incidenty do 24 hodin a do 72 hodin předložit úplnou zprávu.
  • Bezpečnost dodavatelského řetězce: Zajistit, že třetí strany splňují standardy NIS2.
  • Kontinuální monitoring a plánování odolnosti: Zavést systémy pro detekci hrozeb a udržování dostupnosti služeb.
  • Odpovědnost vedení a sankce: Vrcholové vedení odpovídá za compliance s možnými právními důsledky za nedbalost. Vedení povinných subjektů tak bude muset úzce spolupracovat s IT týmy, aby bezpečnostní strategie odpovídaly regulačním požadavkům.

→ Podrobnější informace o této směrnici a o tom, jak log management a SIEM pomáhají zajistit soulad s ní, najdete v našem článku o NIS2.

3. GDPR: Ochrana osobních údajů a soukromí

GDPR compliance img

source

Obecné nařízení o ochraně osobních údajů (GDPR) je hlavní evropská regulace na ochranu osobních údajů, která dává lidem kontrolu nad jejich osobními údaji. Platí celosvětově pro všechny organizace, které sbírají, zpracovávají nebo ukládají údaje občanů EU.

GDPR stanovuje pravidla pro uživatelský souhlas s předáním údajů, zpracování dat a jejich zabezpečením. Nedodržení pravidel GDPR může vést k výrazným finančním sankcím, které mohou dosáhnout až 20 milionů eur nebo 4 % celosvětového ročního obratu, podle toho, která hodnota je vyšší.

IT týmy hrají klíčovou roli při zajišťování souladu s GDPR implementací technických a procesních opatření, včetně:

  • Šifrování dat a kontrola přístupu: Ochrana osobních údajů před neoprávněným přístupem a zajištění, aby citlivé informace mohly prohlížet pouze oprávněné osoby.
  • Bezpečné uchovávání a retence dat: Zabezpečené ukládání osobních údajů v souladu s principy minimalizace dat a jejich omezeného uchovávání.
  • Podpora práv subjektů údajů: Umožnění uživatelům přístupu ke svým údajům, jejich opravy, odstranění nebo přenosu na žádost.
  • Plánování reakce na incidenty: Detekce, hlášení a řešení úniků dat v rámci 72hodinového okna stanoveného GDPR.
  • Pravidelné audity a monitoring compliance: Neustálé hodnocení a zlepšování politik zabezpečení dat tak, aby odpovídaly aktuálním regulacím.

Nedodržení GDPR může vést k vysokým finančním sankcím. Příkladem je pokuta společnosti Amazon ve výši 746 milionů eur za nesprávné postupy při zpracování osobních údajů.Pokuta byla udělena na základě stížnosti francouzské skupiny La Quadrature du Net z roku 2018, která tvrdila, že systém cílení reklamy Amazonu fungoval bez řádného souhlasu.

Tento případ ukazuje rizika spojená s nesouladem interních politik zpracování a ochrany dat s pravidly GDPR.

4. HIPAA: Ochrana zdravotnických údajů

HIPAA compliance img

source

Zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA) je federální zákon USA, jehož cílem je ochrana zdravotních informací pacientů před neoprávněným přístupem, zneužitím a únikem dat.

Zákon platí pro poskytovatele zdravotní péče, pojišťovny a jakékoli třetí strany, které nakládají se zdravotními údaji pacientů. Porušení pravidel HIPAA může vést k významným finančním sankcím, právním krokům a poškození reputace.

IT týmy ve zdravotnictví a souvisejících oborech musí zajistit přísné bezpečnostní kontroly pro splnění HIPAA, včetně:

  • Šifrování dat a kontrola přístupů: Ochrana elektronických zdravotních záznamů (EHR) pomocí silného šifrování a omezení přístupu podle rolí.
  • Bezpečné uchovávání a přenos PHI: Zajištění ochrany všech údajů pacientů, ať už jsou uloženy nebo přenášeny, před neoprávněným přístupem či zachycením.
  • Auditní záznamy a monitoring: Vedení záznamů o přístupu a změnách dat pro detekci neoprávněné aktivity a splnění auditních požadavků.
  • Reakce na incidenty a hlášení úniků: Mít zavedené protokoly pro detekci, omezení a hlášení úniků dat do 60 dnů, jak vyžaduje pravidlo HIPAA Breach Notification.
  • Pravidelné hodnocení rizik a školení compliance: Provádění pravidelných bezpečnostních hodnocení a vzdělávání zaměstnanců o osvědčených postupech ochrany dat.

Na rozdíl od GDPR, které se vztahuje na všechny osobní údaje, se HIPAA zaměřuje specificky na zdravotnické informace a zabezpečení zdravotních záznamů pacientů.

5. PCI-DSS: Zabezpečení údajů o platebních kartách

The Payment Card Industry Data Security Standard (PCI-DSS) je soubor bezpečnostních pravidel navržených k ochraně transakcí s platebními kartami a platebních údajů před podvody a úniky dat. Platí pro každou organizaci, která zpracovává, ukládá nebo přenáší údaje o držitelích karet, včetně maloobchodníků, e-commerce platforem a zpracovatelů plateb.

Nedodržení PCI-DSS může vést k pokutám, zvýšeným transakčním poplatkům a dokonce ke ztrátě možnosti přijímat platby kartami.

Aby IT týmy splnily požadavky PCI-DSS, musí zavést bezpečnostní opatření pro ochranu platebních dat, včetně:

  • Segmentace sítí a firewally: Oddělení platebních systémů od ostatních sítí a konfigurace firewallů k blokování neoprávněného přístupu.
  • Šifrování a tokenizace: Šifrování údajů o držitelích karet během přenosu a použití tokenizace ke snížení rizika úniku citlivých informací.
  • Kontrola přístupu a autentizace: Omezení přístupu k platebním datům pouze na nezbytné osoby a zavedení vícefaktorové autentizace (MFA) pro všechny administrativní uživatele.
  • Řízení zranitelností a aktualizace: Pravidelné testování bezpečnostních zranitelností, rychlá aplikace softwarových aktualizací a čtvrtletní skenování sítě.
  • Logování a monitoring: Zavedení centralizovaného sběru logů pro detekci podvodů v reálném čase a uchovávání záznamů minimálně po dobu jednoho roku, jak je požadováno.

Na rozdíl od GDPR nebo HIPAA není PCI-DSS legislativně vynucený zákon. Compliance je ale vynucována všemi významnými vydavateli platebních karet, a to pro všechny firmy přijímající platby kartami. IT týmy dotčených subjektů tak musí spolupracovat se zpracovateli plateb a bezpečnostními dodavateli, aby udržely bezpečné prostředí pro platby a předcházely podvodům.

6. SOC 2: Zajištění důvěry v bezpečnost cloudu a SaaS

Service Organization Control 2 (SOC 2) je dobrovolný rámec kybernetické bezpečnosti vyvinutý Americkým institutem certifikovaných účetních (AICPA). Vztahuje se na poskytovatele cloudových služeb, SaaS společnosti a jakékoliv organizace, které spravují zákaznická data v cloudu.

IT týmy musí neustále monitorovat bezpečnostní opatření, dokumentovat soulad se standardem a připravovat se na audity, aby udržely status souladu se SOC 2.

Soulad se SOC 2 je založen na pěti kritériích důvěryhodných služeb,které IT týmy musí implementovat:

  • Bezpečnost: Ochrana zákaznických dat pomocí firewallů, detekce průniků a kontrol přístupu.
  • Dostupnost: Zajištění provozuschopnosti systémů pomocí redundance, monitoringu dostupnosti a plánů obnovy po haváriích.
  • Integrita zpracování: Prevence neoprávněných úprav dat prostřednictvím bezpečného vývoje softwaru a auditních záznamů.
  • Důvěrnost: Šifrování citlivých zákaznických dat a omezení přístupu podle rolí.
  • Soukromí: Prosazování politik ochrany dat v souladu s dohodami o ochraně soukromí a očekáváními uživatelů.

Na rozdíl od ISO 27001, které po úspěšném, akreditovaném auditu uděluje formální certifikaci, SOC 2 formální certifikaci neposkytuje. Firmy místo toho absolvují nezávislý audit a obdrží report SOC 2, který hodnotí, jak dobře splňují bezpečnostní standardy. Tato zpráva slouží k prokázání souladu zákazníkům a partnerům, ale nejedná se o oficiální certifikaci.

7. FISMA: Posilování kybernetické bezpečnosti federálních institucí v USA

Zákon o modernizaci federální bezpečnosti informací (FISMA) z roku 2014 si klade za cíl modernizovat postupy kybernetické bezpečnosti pro americké federální agentury a jejich dodavatele. Vyžaduje, aby Ministerstvo vnitřní bezpečnosti (DHS) hrálo klíčovou roli v dohledu nad federálními iniciativami v oblasti kyberbezpečnosti, zatímco Úřad pro správu a rozpočet (OMB) vymáhá dodržování předpisů.

Nedodržení požadavků FISMA může vést ke ztrátě vládních zakázek, zvýšené regulační kontrole a bezpečnostním rizikům.

Organizace pracující s federálními daty musí splňovat požadavky FISMA 201, především: 

  • Nepřetržitý monitoring a hodnocení rizik
  • Bezpečnostní kontroly dle standardů NIST
  • Detekce a hlášení narušení bezpečnosti
  • Formální bezpečnostní audity a přezkumy compliance
  • Posílený dohled ze strany DHS a OMB

Jak implementovat a udržovat IT compliance

Dosáhnout, a následně udržovat soulad s předpisy a standardy, může být náročné. Neexistuje univerzální řešení, ale následující kroky představují praktický přístup, který mohou organizace využít k dosažení a udržení IT compliance.

1. Proveďte analýzu mezer v compliance (gap analýza)

Než organizace přistoupí ke změnám, musí vyhodnotit svůj aktuální stav vůči regulačním požadavkům. To zahrnuje:

  • Přezkoumání existujících bezpečnostních politik a kontrol.
  • Audit IT infrastruktury a opatření na ochranu dat.
  • Identifikaci a nápravu oblastí nesouladu.

Formální zpráva, gap analýza, pomáhá organizacím prioritizovat zlepšení na základě úrovně rizika a dopadu na podnikání.

2. Vypracujte plán nápravy

V tomto kroku je cílem začít pracovat na nápravě, odstranění zjištěných nedostatků v compliance. Efektivní plán nápravy by měl zahrnovat:

  • Zavádění nových bezpečnostních opatření tam, kde je to potřeba.
  • Aktualizaci politik správy přístupů tak, aby uživatelé měli pouze nezbytná oprávnění.
  • Řešení zranitelností v infrastruktuře, softwaru a ukládání dat.

Plán nápravy musí přiřadit jasné odpovědnosti a stanovit termíny pro provedení změn.

3. Nastavte jasné politiky a postupy

Compliance vyžaduje dokumentaci aplikovaných politik, které definují:

  • Jakým způsobem jsou data sbírána, zpracovávána a ukládána v souladu se zákony jako GDPR.
  • Mechanismy kontroly přístupu, včetně vícefaktorové autentizace (MFA) a oprávnění založených na rolích.
  • Postupy reakce na incidenty, aby bylo zajištěno správné řešení a hlášení bezpečnostních incidentů v požadovaných lhůtách.

Tyto politiky musí být snadno dostupné a pravidelně aktualizované s ohledem na nové hrozby a regulace.

4. Školte zaměstnance v oblasti compliance

Mnoho porušení compliance je způsobeno lidskou chybou. Školení o bezpečnosti a compliance procesech je proto zásadní. Osoby odpovědné za řízení compliance by proto měli:

  • Vzdělávat zaměstnance o odpovědnosti za ochranu dat.
  • Školit zaměstnance v rozpoznávání phishingových útoků a bezpečnostních hrozeb.
  • Zavést bezpečné postupy při nakládání s citlivými informacemi.

Pravidelné opakovací školení zajistí, že bezpečnost zůstane prioritou v celé organizaci.

5. Zaveďte průběžný monitoring a audity

IT compliance není jednorázový cíl nebo aktivita. Vyžaduje neustálý dohled. IT týmy by měly:

  • Používat automatizované nástroje pro detekci porušení politik a bezpečnostních incidentů.
  • Pravidelně provádět interní audity k ověření souladu s bezpečnostními rámci.
  • Plánovat externí audity pro certifikace, například ISO 27001.

V ideálním případě by vybrané IT systémy měly generovat zprávy, které usnadní prokázání compliance dozorovým orgánům, auditorům nebo pro potřeby vnitřní kontroly.

6. Sledujte změny v regulacích

Standardy compliance se v čase vyvíjejí, proto musí IT týmy:

  • Sledovat aktualizace regulací, které ovlivňují jejich odvětví.
  • Pravidelně revidovat a aktualizovat bezpečnostní politiky.
  • Zajišťovat, aby compliance software a nástroje pro monitoring zůstaly efektivní.

Zakotvením compliance do každodenního IT provozu mohou firmy snížit rizika, vyhnout se sankcím a udržet si soulad s předpisy.

IT compliance není o naplňování checkboxů

Soulad s předpisy a standardy je důležitá součást ochrany podnikání, zabezpečení dat zákazníků a budování důvěry. Držet krok s měnícími se regulacemi a současně zvládat bezpečnostní hrozby může být ale náročné. Vyžaduje to neustálý monitoring, hodnocení rizik a udržování správně fungujících bezpečnostních opatření.

Chcete-li se dozvědět více o praktickém využití log managementu při plnění compliance požadavků, podívejte se na náš blog o regulaci DORA.