Informační bezpečnost a kybernetická bezpečnost spolu úzce souvisejí, i když mají různé cíle. Informační bezpečnost řeší důvěrnost, integritu a dostupnost informací a dostupnost, spolehlivost a důvěryhodnost ICT služeb. Kybernetická bezpečnost je vztažena k celému kyberprostoru a primárně zabývá ochranou životů, zdraví a majetku lidí i organizací, celé společnosti a národů.
Systém managementu informační bezpečnosti dle ISO/IEC 27001
Informační a kybernetickou bezpečnost lze zajistit s využitím systému managementu informační bezpečnosti (ISMS) na bázi normy ISO/IEC 27001. Norma ISO/IEC 27001 definuje požadavky na organizace, které chtějí vytvořit, zavést, udržovat a neustále zlepšovat systém managementu informační bezpečnosti (ISMS). Vytváří prostředí, které odolává riziku ztráty, poškození nebo jiného ohrožení informací a systémů. Slouží jako vodítko pro neustálé přezkoumávání úrovně zabezpečení informací a systémů, což přispívá ke zvýšení spolehlivosti i hodnoty služeb organizace.
Zákon č. 181/2014 Sb., o kybernetické bezpečnosti
Úprava kybernetické bezpečnosti je dosud řešena zákonem č. 181/2014 Sb., o kybernetické bezpečnosti (ZoKB) z 1. ledna 2015. Stanovuje práva a povinnosti osob a orgánů veřejné moci v oblasti kybernetické bezpečnosti, sjednocuje pravidla a postupy při kyber-bezpečnostních incidentech, přispívá ke zlepšení jejich detekce a zvýšení ochrany před jejich uskutečněním. Zákon doprovázejí prováděcí právní předpisy, zejména vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti a likvidace dat (VoKB).
Česká republika připravuje novou legislativu, která je v souladu s evropskou bezpečnostní směrnicí NIS 2. Hlavním účelem nové úpravy je stanovit minimální bezpečnostní požadavky na organizace, které poskytují své služby v hospodářsky, společensky nebo bezpečnostně významných odvětvích a splňují další kritéria. Směrnice NIS 2 rozšířila oblast působnosti regulovaných odvětví a konkrétních regulovaných služeb, takže nový kybernetický zákon se bude vztahovat na mnohem širší okruh organizací.
Nařízení o digitální provozní odolnosti (DORA)
Nařízení DORA bylo přijato Evropským parlamentem a Radou Evropské unie dne 14. prosince 2022, nařízením (EU) 2022/2554, a jeho cílem je harmonizovat a zefektivnit předpisy týkající se řízení rizik v oblasti ICT a zajistit konzistentnost a soudržnost v celé EU. Vyžaduje, aby subjekty ve finančním sektoru zajistily, že budou schopny odolávat všem typům incidentů, rizik a hrozeb souvisejících s IKT, reagovat na ně a zotavit se z nich.
Trusted Information Security Assessment Exchange (TISAX®)
TISAX® je založen na normě ISO/IEC 27001, jedná se o hodnotící a výměnný program pro posuzování informační bezpečnosti společností v automobilovém průmyslu. Cílem je zajištění a optimalizace výměny informací týkajících se informační bezpečnosti mezi výrobci a jejich dodavateli v automobilovém průmyslu. Klade důraz na bezpečné zpracování informací od obchodních partnerů, ochrany prototypů a ochrany dat v souladu s obecným nařízením o ochraně osobních údajů.
Přínosy ISMS pro organizaci
- Zvýšení důvěryhodnosti a konkurenceschopnosti organizace
- Zvýšení odolnosti organizace a snížení výskytu i následků incidentů
- Efektivní správa organizace a vyšší rentabilita investic
- Ochrana kritických informačních aktiv a snížení podnikatelských rizik
- Soulad s požadavky zákonných, regulačních, smluvních a jiných společenských potřeb a očekávání
Předmět našich odborných služeb
1 | Analýza stávajícího systému a plánování ISMS projektu
Analýza kontextu organizace a rozdílová analýza současného stavu • Zpracování plánu projektu ISMS
2 | Vytvoření a zavedení ISMS
Identifikace a popis hranic a rozsahu ISMS • Definování organizační struktury, rolí a odpovědností osob a příslušných výborů • Návrh politiky informační bezpečnosti • Nastavení a dokumentace procesů ISMS
3 | Management rizik informační bezpečnosti a management opatření
Výběr a dokumentace metodiky pro management rizik • Identifikace, analýza a hodnocení rizik • Výběr možností a kontrolních opatření pro ošetření rizik • Zpracování prohlášení o aplikovatelnosti (SoA) • Management plánů pro ošetření rizik
4 | Dokumentace tematicky specifických politik a postupů
Návrh struktury a management ISMS dokumentace • Návrh a dokumentace tematicky specifických politik a postupů • Podpora při zavádění některých opatření • Návrh a realizace aktivit školení a osvěty
5 | Bezpečnostní testy a management zranitelností
Bezpečnostní testy webových aplikací • Bezpečnostní testy infrastruktury • Testy praktikami sociálního inženýrství • Management zranitelností
6 | Interní audit, audit dodavatelů a podpora při certifikačním auditu
Návrh a dokumentace statutu interního auditu ISMS • Návrh programu auditu ISMS a plánování činností auditu • Realizace interního auditu a auditu dodavatelů • Podpora následných činností a opatření po auditu • Příprava na certifikační audit a podpora při certifikačním auditu
Využití pokročilých GRC aplikací
Náročnost realizace procesů ISMS roste s velikostí organizace i s vyspělostí ISMS a bezpečnostních opatření. Komplexním organizacím s komplexními systémy managementu doporučujeme využít pokročilé modulární nástroje.
Více informací naleznete v sekci Aplikace.
Kvalita našich služeb
V průběhu poskytování konzultačních služeb jsou uplatňovány standardy kvality konzultačních služeb dle ISO 20700, informační bezpečnosti dle ISO/IEC 27001 a projektového řízení dle ISO 21502.
Kompetence našich konzultantů:
- Certified ISO/IEC 27001 Lead Implementer *
- Certified ISO/IEC 27002 Lead Manager
- Certified ISO/IEC 27005 Lead Risk Manager *
Při provádění interního auditu (audit první stranou) nebo externího auditu třetí strany (audit druhou stranou) je uplatňována nejlepší praxe auditování systémů řízení definovaná normou ISO 19011, ISO/IEC 27007, ISO/IEC TS 27008 a dalšími relevantními normami.
Kompetence našich auditorů:
- Certified ISO/IEC 27001 Lead Auditor *
* POZNÁMKA: Certifikace akreditovaná dle ISO/IEC 17024 nebo relevantní certifikace ISACA.