ŠTEFÁNIK, J. Nástroj pro podporu auditu kybernetické bezpečnosti [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2023.
Cílem diplomové práce bylo identifikovat požadavky, které musí být splněny podle zákona o kybernetické bezpečnosti, a vytvořit nástroj, který umožní řízený a strukturovaný průchod těmito požadavky pro potřeby kontroly/auditu. Oba tyto cíle se podařilo naplnit, byť k oběma je možné mít jisté výhrady. V teoretické části se diplomant zaměřil na rozbor požadavků dle zákona o kybernetické bezpečnosti. Text je zpracovaný svědomitě a systematicky. Výhrady zde mám zejména k zařazení některých požadavků, které kontrolou/auditem neprocházejí. Důvod pro jejich zařazení není z textu zcela jasný. V praktické části se diplomant zaměřil na vytvoření nástroje, který umožní systematický průchod zákonnými požadavky. Nástroj umožňuje uživateli na základě předdefinovaných otázek popsat stav implementace příslušných zákonných požadavků, přiložit v PDF dokumenty tento stav dokládající, a vygenerovat závěrečnou zprávu. Tento nástroj je použitelný pro potřeby interní i externí evaluace. Vzhledem k připravovaným legislativním změnám (implementace směrnice NIS2 do českého právního řádu) nástroj umožňuje editaci otázek. To umožňuje zohlednit nejen legislativní změny, ale např. požadavky související s certifikací dle řady ISO 27000. Zde velmi oceňuji systematicky přístup diplomanta, protože podpůrné materiály sice existují, ale jsou staršího data. Příprava podkladů pro praktickou část a jejich systematizace si tedy vyžádala značné množství času. Výhradu mám naopak k popisu praktické části. Ta místy vypadá, jako by si diplomant vlasntě ani nebyl jistý, k čemu nástroj je a jak souvisí s teoretickou částí. Text si v tomto směru zasloužil větší pozornost.
Magisterská práce se zaměřuje na problematiku auditu v oblasti kybernetické bezpečnosti. Práce se zabývá právními aspekty s tématem souvisejícími (a reflektuje normy řady 27k), identifikuje problematické aspekty a rovněž rozebírá aktuální změny v právní úpravě za využití vhodných zdrojů. V druhé části autor prezentuje vhodně strukturovaný softwarový nástroj pro ověření naplnění legislativních požadavků souvisejících s auditem v kybernetické bezpečnosti, který zároveň poskytuje souhrnnou zprávu o výsledcích. Celkové zpracování tématu a jeho propojení s technickým řešením je nutno považovat za zdařilé a z práce jsou patrné praktické zkušenosti autora. To se vhodně projevilo i v rámci samotného technického řešení, které je praktické a přínosné. Autora je nutno rovněž pochválit za vhodnou reflexi právní úpravy obsažené ve směrnici NIS 2 a práci s připravovaným novým návrhem zákona o kybernetické bezpečnosti. Práce je zejména v úvodní polovině dle mého názoru spíše obecná, bylo by vhodnější se specifičtěji v některých částech zaměřit na zkoumané téma. Potenciálně by bylo vhodné více provázat požadavky vyplývající z právní části práce více do technického řešení, v některých případech dané může působit poněkud nepřehledně. Formální stránka práce je obecně na dobré úrovni, i když někdy dochází k drobným pochybením.
eVSKP id 151275