Informačná bezpečnosť a kybernetická bezpečnosť spolu úzko súvisia, aj keď majú odlišné ciele. Informačná bezpečnosť sa týka dôvernosti, integrity a dostupnosti informácií a dostupnosti, spoľahlivosti a dôveryhodnosti služieb IKT. Kybernetická bezpečnosť súvisí s celým kybernetickým priestorom a týka sa predovšetkým ochrany životov, zdravia a majetku ľudí a organizácií, celých spoločností a národov.
Systém riadenia bezpečnosti informácií podľa normy ISO/IEC 27001
Informačnú a kybernetickú bezpečnosť možno zabezpečiť pomocou systému riadenia informačnej bezpečnosti (ISMS) založeného na norme ISO/IEC 27001. Norma ISO/IEC 27001 definuje požiadavky na organizácie, ktoré chcú vytvoriť, zaviesť, udržiavať a neustále zlepšovať systém riadenia bezpečnosti informácií (ISMS). Vytvára prostredie, ktoré odoláva riziku straty, poškodenia alebo iného ohrozenia informácií a systémov. Slúži ako návod na neustále prehodnocovanie úrovne bezpečnosti informácií a systémov, čo prispieva k spoľahlivosti a hodnote služieb organizácie.
Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti (ZoKB)
Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti (ZoKB) nadobudol účinnosť 1. apríla 2018. Komplexne upravuje oblasť kybernetickej a informačnej bezpečnosti, zavádza základné bezpečnostné požiadavky a opatrenia dôležité pre koordinovanú ochranu informačných, komunikačných a riadiacich systémov. Ustanovuje také práva a povinnosti pre prevádzkovateľov základných služieb a poskytovateľov digitálnych služieb.
Aktuálna novela zákona transponuje smernici NIS 2 (smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148) a zároveň reaguje na potreby a požiadavky aplikačnej praxe.
Novelizovaný zákon modernizuje existujúcu legislatívu, zvyšuje celkovú úroveň kybernetickej bezpečnosti na vnútroštátnej úrovni a znižuje riziká, ktoré sú spojené s rýchlym technologickým rozvojom a digitalizáciou. Najvýznamnejšou zmenou v návrhu zákona je zmena prístupu k identifikácii povinných subjektov, tzv. prevádzkovateľov základných služieb.
Nariadenie o digitálnej prevádzkovej odolnosti (DORA)
Nariadenie DORA bolo prijaté Európskym parlamentom a Radou Európskej únie 14. decembra 2022, nariadenie (EÚ) 2022/2554, a jeho cieľom je harmonizovať a zefektívniť predpisy týkajúce sa riadenia rizík v oblasti IKT a zabezpečiť konzistentnosť a súdržnosť v celej EÚ. Vyžaduje sa v ňom, aby subjekty finančného sektora zabezpečili, že sú schopné odolávať všetkým druhom incidentov, rizík a hrozieb súvisiacich s IKT, reagovať na ne a zotaviť sa z nich.
Trusted Information Security Assessment Exchange (TISAX®)
TISAX® vychádza z normy ISO/IEC 27001 a je to program na hodnotenie a výmenu informácií pre spoločnosti v automobilovom priemysle. Cieľom je zabezpečiť a optimalizovať výmenu informácií týkajúcich sa bezpečnosti informácií medzi výrobcami a ich dodávateľmi v automobilovom priemysle. Kladie dôraz na bezpečné spracovanie informácií od obchodných partnerov, ochranu prototypov a ochranu údajov v súlade so všeobecným nariadením o ochrane údajov.
Prínosy ISMS pre organizáciu
- Zvýšenie dôveryhodnosti a konkurencieschopnosti organizácie
- Zvýšenie odolnosti organizácie a zníženie výskytu a následkov incidentov
- Efektívne riadenie organizácie a vyššia návratnosť investícií
- Ochrana kritických informačných aktív a zníženie obchodných rizík
- súlad s právnymi, regulačnými, zmluvnými a inými spoločenskými potrebami a očakávaniami
Predmet našich odborných služieb
1 | Analýza existujúceho systému a plánovanie projektu ISMS
Analýza kontextu organizácie a analýza nedostatkov súčasnej situácie • Vypracovanie plánu projektu ISMS
2 | Vývoj a implementácia ISMS
Identifikácia a opis hraníc a rozsahu ISMS • Definícia organizačnej štruktúry, úloh a zodpovedností jednotlivcov a príslušných výborov • Návrh politiky informačnej bezpečnosti • Nastavenie a dokumentácia procesov ISMS
3 | Riadenie rizík informačnej bezpečnosti a riadiace opatrenia
Výber a dokumentácia metodiky riadenia rizík • Identifikácia, analýza a hodnotenie rizík • Výber možností ošetrenia rizík a kontrolných opatrení • Vypracovanie vyhlásenia o uplatniteľnosti (SoA) • Riadenie plánov ošetrenia rizík
4 | Dokumentácia tematicky špecifických politík a postupov
Návrh štruktúry a správa dokumentácie ISMS • Návrh a dokumentácia politík a postupov pre jednotlivé témy – Podpora implementácie určitých opatrení • Návrh a realizácia školení a aktivít na zvyšovanie povedomia
5 | Testovanie zabezpečenia a správa zraniteľností
Testovanie bezpečnosti webových aplikácií • Testovanie bezpečnosti infraštruktúry • Testovanie postupov sociálneho inžinierstva • Riadenie zraniteľností
6 | Podpora interného auditu, auditu dodávateľov a certifikačného auditu
Návrh a dokumentácia stavu interného auditu ISMS • Návrh programu auditu ISMS a plánovanie audítorských činností • Realizácia interných auditov a auditov dodávateľov • Podpora následných opatrení a opatrení po ukončení auditu • Príprava na certifikačný audit a podpora certifikačného auditu
Používanie pokročilých GRC aplikácií
Zložitosť implementácie procesov ISMS sa zvyšuje s veľkosťou organizácie a vyspelosťou ISMS a bezpečnostných opatrení. Komplexným organizáciám so zložitými systémami riadenia sa odporúča používať pokročilé modulárne nástroje.
Viac informácií nájdete v sekcii Aplikácie.
Kvalita našich služieb
V priebehu poskytovania konzultačných služieb sú uplaňované štandardy kvality konzultačných služieb podľa a ISO 20700, bezpečnosť informácií podľa ISO/IEC 27001 a projektového riadenia podľa normy ISO 21502.
Kompetencie našich konzultantov:
- Certified ISO/IEC 27001 Lead Implementer *
- Certified ISO/IEC 27005 Lead Risk Manager *
- Certified ISO/IEC 27002 Lead Manager
Pri vykonávaní interného auditu (audit prvou stranou) alebo auditv externého auditu tretej strany (audit druhou stranou) sa uplatňuje najlepšia prax auditovania systémov riadenia definovaná normou ISO 19011, ISO/IEC 27007, ISO/IEC TS 27008 a ďalšími relevantnými normami.
Kompetencie našich audítorov:
- Certified ISO/IEC 27001 Lead Auditor *
* POZNÁMKA: Certifikácia akreditovaná podľa ISO/IEC 17024 alebo relevantná certifikácia ISACA.