Audit kybernetické bezpečnosti – dodržuji zákon?

Požadavky kybernetické bezpečnost jsou dány zákonem č. 181/2014 Sb. , o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), který je prováděn:

  • vyhláškou č. 316/2014 Sb. , o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
  • vyhláškou č. 317/2014 Sb. , o významných informačních systémech a jejich určujících kritériích.

  • Zákon o kybernetické bezpečnosti i obě jeho prováděcí vyhlášky jsou účinné dnem 1. ledna 2015.

    § 15 vyhlášky o kybernetické bezpečnosti stanuje požadavky na audit kybernetické bezpečnosti.

    Naše společnost nabízí provedení auditu kybernetické bezpečnosti v souladu s vyhláškou o kybernetické bezpečnosti certifikovanými Lead auditory bezpečnosti informací v rozsahu:
  • Ověření zavedených organizačních opatření, zejména:
    • zavedení systému řízení bezpečnosti informací,
    • řízení rizik – definovaná metodika identifikace aktiv, identifikace rizik a hodnocení rizik, plán zvládání rizik,
    • stanovení bezpečnostních politik podle § 5 vyhlášky o kybernetické bezpečnosti,
    • zavedení organizace bezpečnosti, stanovení Výboru pro řízení kybernetické bezpečnosti, definování rolí kybernetické bezpečnosti,
    • stanovení bezpečnostních požadavků pro dodavatele,
    • řízení aktiv spočívající v jejich identifikaci, určení garantů a hodnocení důležitosti aktiv, jejich ochrany,
    • bezpečnost lidských zdrojů v rámci životního cyklu zaměstnance a rozvoje jeho bezpečnostní povědomí,
    • řízení provozu a komunikací spočívající v zajištění bezpečného provozu informačních systémů KII a VIS, jeho dokumentování,
    • řízení přístupu k informačnímu systému, definování pravidel pro hesla a bezpečné chování uživatelů,
    • bezpečný vývoj informačních systémů,
    • zvládání kybernetických bezpečnostních událostí a incidentů,
    • řízení kontinuity činností, stanovení práv a povinností osob zastávajících bezpečnostní role.

  • Ověření zavedených technických opatření, zejména:
    • pravidel a prostředků pro fyzickou bezpečnost,
    • zavedení nástrojů pro:
      • ochranu integrity komunikační sítě,
      • ověření identity uživatelů,
      • řízení přístupových práv,
      • ochranu před škodlivým kódem,
      • zaznamenávání činností KII, VIS, jejich uživatelů a administrátorů,
      • detekci, sběr a vyhodnocení kybernetických událostí,
    • pravidel pro použití kryptografických prostředků,
    • použití nástrojů pro bezpečnost průmyslových a řídících systému.

  • Ověření bezpečnostní dokumentace.

  • Zpracování protokolu z provedeného auditu kybernetické bezpečnosti, definování jednotlivých zjištění a pomoc při definování návrhu jejich řešení.

:: © I3 Consultants s.r.o. :: K Trninám 945/34, 163 00 Praha 6 ::