Řízení kybernetické bezpečnosti

Systém řízení kybernetické a informační bezpečnosti

Řízení kybernetické bezpečnosti v organizaci se řídí zavedenými standardy nebo regulací. Jedná se zejména o směrnici NIS2 – Zákon o kybernetické bezpečnosti, standardy řady ISO 27000, ISVS, Tisax pro automotive nebo PSD2 pro bankovnictví.

Zavedení systému provází několik kroků od stanovení rozsahu, přes analýzu rizik, až po stanovení bezpečnostních politik a přijetí technických opatření. Naše služby pokrývají celé toto spektrum a naši expertní konzultanti jsou připraveni pomoci i vaší organizaci.

Identifikace, hodnocení a zvládání rizik

Identifikace aktiv, jejich rozdělení do skupin podle důležitosti a následné hodnocení vůči nejrůznějším hrozbám. Tento proces pomůže organizaci identifikovat nepřijatelná rizika a nedostatky v organizačních a technických opatřeních v závislosti na úrovni bezpečnosti, o kterou organizace usiluje. Součástí by měla být také příprava plánu pro zvládání rizik, včetně plánu pro minimalizaci rizika na přijatelnou úroveň, termín pro přijetí opatření, odhadované náklady a zainteresované osoby.

V rámci služby jsou vykonávány činnosti:

  • Stanovení rozsahu a hranic zkoumaného systému
  • Identifikace aktiv organizace (HW, SW, Informační aktiva a služby)
  • Identifikace primárních a podpůrných aktiv, alternativně rozdělení aktiv dle požadovaného standardu
  • Sestavení katalogu hrozeb dle potřeb organizace
  • Hodnocení aktiv z hlediska důvěrnosti, integrity a dostupnosti.
  • Hodnocení aktiv vůči jednotlivým hrozbám
  • Stanovení celkové rizikovosti jednotlivých aktiv
  • Zpracování plánu zvládání rizik

Vypracování bezpečnostních politik

Bezpečnostní politika je dokument nebo soubor předpisů, který stanovuje zásady a cíle organizace v oblasti bezpečnosti. Jedná se o strategický nástroj, který definuje závazky a odpovědnosti organizace vůči ochraně svých aktiv, zaměstnanců, zákazníků a dalších zainteresovaných stran před riziky a hrozbami. Měla by být v souladu se strategickými cíli organizace a zohledňovat její specifické potřeby a provozní prostředí. Jejím hlavním účelem je poskytnout rámcový základ pro vytvoření a implementaci bezpečnostních opatření a postupů v organizaci.

Upravuje především tyto oblasti organizace:

  • Rozsah působnosti
  • Popis rolí v organizaci a jejich povinnosti
  • Bezpečnost lidských zdrojů
  • Požadavky na omezení šíření informací v rámci i mimo organizaci
  • Požadavky na ochranu koncových stanic a mobilních zařízení
  • Požadavky na kontrolu a audit

Zavedení plánů pro kontinuitu činností

V případě kybernetického incidentu je důležité rychle reagovat, minimalizovat škody a obnovit provoz organizace. Řízení kontinuity činností v kybernetické bezpečnosti (Business Continuity Management) je proces, který se zaměřuje na zajištění nepřetržitého provozu organizace v případě kybernetických hrozeb, útoků nebo incidentů. Jeho cílem je minimalizovat přerušení provozu, minimalizovat dopady a zabezpečit obnovení činností po kybernetickém incidentu.

V rámci zavedení plánu pro řízení kontinuity se provádí:

  • Identifikace kritických systémů (např. na základě primárních aktiv)
  • Identifikace a hodnocení hrozeb, pro které budou plány vypracovány
  • Na základě diskusí s odpovědnými pracovníky jsou sestaveny havarijní plány pro konkrétní aktiva a hrozby
  • Součástí plánu je také popis aktivit testování a cvičení použití havarijních plánů

Asistence při certifikaci (NIS2, ISO, Tisax…)

Častým podnětem pro zavedení systému pro řízení bezpečnosti informací bývá zpravidla regulace, kterou organizace potřebují zajistit. (NIS2 – Zákon o kybernetické bezpečnosti nebo standardy ISO, Tisax…). Součástí tohoto procesu bývá zavedení jednotlivých politik do praxe, ustanovení rolí a certifikace nezávislým orgánem.

Pro organizace je to často první zkušenost po zavedení systému do praxe. Proto je vhodné, aby na implementaci, alespoň na úvodní certifikaci, dohlížela další expertní osoba jako prostředník, který se vyzná v požadavcích auditora a dokáže je příslušné organizaci srozumitelně tlumočit. Výrazně tak může pomoci s úspěšnou certifikací.

  • Podpora při zavedení a plnění směrnice NIS2 – Zákon o kybernetické bezpečnosti
  • Podpora při návrhu, zavedení a certifikaci systému řízení bezpečnosti informací dle norem řady ISO/IEC 27000
  • Odborné poradenství v průběhu auditu i po celou dobu platnosti certifikátu