GAP analýza současného stavu
Zaměříme se na identifikaci rozdílů mezi současným stavem a plněním požadavků příslušných právních předpisů a norem. Cílem je detailní zmapování interních procesů se zaměřením na technickou a organizační bezpečnost.
Realizujeme
• Analýzu souladu NIS2 – Zákon o kybernetické bezpečnosti
• Analýzu souladu řady ISO 27000
• Analýzy pro specifická odvětví – PSD2, Tisax,…
GAP analýza souladu NIS2-ZKB / ISO
V kybernetické bezpečnosti se GAP analýza využívá k identifikaci rozdílů mezi aktuálním stavem kybernetické bezpečnosti organizace a požadovaným stavem, který zajišťuje adekvátní ochranu před kybernetickými hrozbami. Cílem je identifikovat mezery a nedostatky v bezpečnosti informačních systémů a procesů a navrhnout opatření k jejich odstranění nebo minimalizaci.
Jak postupujeme…
1. Identifikace současného stavu
V prvním kroku se analyzují současné procesy, výkonnost a stav kybernetické bezpečnosti organizace ve vztahu k určitému cíli nebo standardu (může se jednat o standard ISO 27000, NIS2 nebo ZKB). Tyto normy poskytují přehledný rámec pro řízení informační bezpečnosti a obsahují směrnice a doporučení týkající se identifikace rizik, implementace bezpečnostních opatření, správy přístupových práv, monitorování, školení zaměstnanců a dalších klíčových aspektů kybernetické bezpečnosti.
2. Sběr informací o současném stavu
Provádí se důkladný průzkum současných postupů, systémů, opatření a procesů organizace v oblasti kybernetické bezpečnosti. To zahrnuje zhodnocení existujících politik, procedur, technických opatření, záznamů o incidentech, školení zaměstnanců a dalších relevantních aspektů.
3. Hodnocení současného stavu s požadavky standardu
Současný stav organizace je porovnáván s požadavky stanovenými ve zkoumaném standardu. Tím se identifikují rozdíly nebo mezery ve splnění těchto požadavků. Tyto mezery mohou odkazovat na chybějící politiky, nedostatečná technická opatření, nedostatečné školení zaměstnanců, neúplnou dokumentaci a další nedostatky, které brání organizaci v dosažení souladu s vybranou normou.
4. Identifikace akcí pro dosažení souladu
Na základě identifikovaných mezer se vypracovává plán akcí, kterým organizace usiluje o dosažení souladu s požadavky stanovenými v ISO normách.
GAP analýza souladu s PSD2
Cílem analýzy je zhodnocení plnění bezpečnostních požadavků pro silné ověření klienta (dále jen „SCA“) dle Směrnice Evropského parlamentu a Rady (EU) 2015/2366 (dále také jen „PSD2“) a Nařízení komise v přenesené pravomoci (EU) 2018/389 ze dne 27. listopadu 2017, pokud jde o regulační technické normy týkající se silného ověření klienta a společných a bezpečných otevřených standardů komunikace (dále jen „RTS“). Závěry auditu také přihlíží k aktuálním stanoviskům Evropského orgánu pro bankovnictví a doporučení České národní banky.
Jak postupujeme…
Předmětem projektu je přezkoumání uplatňování postupu silného ověření klienta v případě systému zákazníka, použití výjimek z uplatňování bezpečnostních požadavků na silné ověření klienta, ochrana důvěrnosti a integrity osobních bezpečnostních údajů uživatelů a bezpečnosti komunikace mezi poskytovateli služeb.
1. Fáze audit
Vstupem pro audit je především technická dokumentace a bezpečnostní politiky, odpovědi na písemné otázky auditorů, případně pohovory se zaměstnanci.
2. Fáze praktický test
Další fáze obsahuje provedení praktického testu realizovaných bezpečnostních opatření u předmětného systému s ohledem na požadavky na silné ověření klienta podle článku 3 nařízení EU 2018/389. Test je realizován na předmětném systému, resp. jeho testovací verzi; pro účely testování je nutný́ uživatelský účet.