Systémy řízení bezpečnosti informací dle ZoKB

G+
linkedin

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti 

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti (ZKB) nabyl účinnosti 1. ledna 2015. Stanovuje práva a povinnosti osob a orgánů veřejné moci v oblasti kybernetické bezpečnosti, sjednocuje pravidla a postupy při kyber-bezpečnostních incidentech, přispívá ke zlepšení jejich detekce a zvýšení ochrany před jejich uskutečněním. Zákon doprovázejí prováděcí právní předpisy, konkrétně vyhláška 
č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti a likvidace dat (VKB); a vyhláška č. 317/2014 Sb., 
o významných informačních systémech a jejich určujících kritériích, která byla novelizována vyhláškou č. 205/2016 Sb.

Povinnosti dotčených organizací

Zákon o kybernetické bezpečnosti definuje povinnosti dotčených organizací zejména ve smyslu povinnosti:

  • zavést bezpečnostní opatření a vést o nich bezpečnostní dokumentaci;
  • detekovat kybernetické bezpečnostní události;
  • hlásit kybernetické bezpečnostní incidenty;
  • provádět reaktivní a ochranná opatření dle požadavků NBÚ;
  • oznamovat kontaktní údaje NBÚ.

Požadavky prvního a druhého bodu uvedeného výčtu povinností jsou klíčové, resp. nejnáročnější. Pro zajištění souladu se zákonem jsou dotčené organizace povinny provést organizační opatření ve smyslu zavedení systému řízení bezpečnosti informací (ISMS) a navrhnout a implementovat organizační a technická bezpečnostní opatření vyplývající z analýzy rizik, prohlášení o aplikovatelnosti nebo explicitně požadovaná zákonem nebo vyhláškou o kybernetické bezpečnosti.

Předmět našich odborných služeb

Naši certifikovaní konzultanti vás mohou provést celým cyklem implementace a podpoří provozování ISMS. Další možností je volba strukturovaného přístupu, kdy dle potřeby zvolíte konkrétní služby, které potřebujete.

Rozdílová (GAP) analýza a ustavení ISMS projektu

Srovnání současné výkonnosti systému řízení bezpečnosti informací s požadavky ZKB/VKB. Identifikace potřeb pro zlepšení bezpečnosti informací. Základ pro vypracování plánu ISMS projektu. Vytvoření a prezentace obchodního případu. Ustavení projektového týmu ISMS. Stanovení zdrojů potřebných pro implementaci ISMS. Předložení plánu projektu ISMS. Získání souhlasu vedení.

Definování rozsahu ISMS a politika bezpečnosti informací

Definování organizačních hranic. Definování hranic informačního systému. Definování fyzických hranic. Navržení rozsahu ISMS a prohlášení o rozsahu. Tvorba politiky bezpečnosti informací. Tvorba specifických bezpečnostních politik. Schválení vedením. Zveřejnění a šíření politik. Kontrola, hodnocení a přezkoumání.

Definování organizační struktury bezpečnosti informací

Definování organizační struktury pro řízení bezpečnosti informací. Jmenování manažera ISMS. Definování rolí a povinností zúčastněných stran. Definování rolí a povinností klíčových výborů.

Procesy řízení rizik a prohlášení o aplikovatelnosti

Výběr přístupu a metodiky pro posuzování rizik. Identifikace aktiv a rizik. Analýza rizik. Hodnocení rizik. Ošetření rizik. Akceptace zbytkových rizik. Přezkoumání a výběr aplikovatelných cílů opatření a opatření bezpečnosti informací. Odůvodnění vybraných opatření. Odůvodnění vyloučených opatření. Vypracování prohlášení o aplikovatelnosti. Schválení vedením.

Návrh bezpečnostních opatření a vypracování specifických politik a postupů, implementace bezpečnostních opatření

Návrh procesů a opatření bezpečnosti informací. Popis procesů a opatření bezpečnosti informací. Vypracování specifických politik. Psaní postupů. Definice záznamů týkajících se procesů a bezpečnostních opatření. Výběr a implementace opatření bezpečnosti informací.

Řízení incidentů a kontinuity

Implementace způsobů detekce a odezvy na incidenty, vhodná školení, nácvik a testování, komunikace o incidentech, řízení a učení ze zkušeností.

Komunikace, školení a zvyšování povědomí

Stanovení cílů komunikace. Určení zainteresovaných stran. Plánování komunikačních aktivit. Komunikování. Hodnocení komunikace. Definování potřeb školení. Navrhování a plánování školení. Poskytování školení. Hodnocení výsledků školení.

Měření, monitorování a hodnocení ISMS

Určení cílů měření. Předmět monitorování a měření. Stanovení frekvence a metody monitorování a měření. Reportování výsledků.

Interní audit

Vytvoření programu interního auditu. Jmenování odpovědné osoby. Zajištění nezávislosti, objektivity a nestrannosti. Plánování činností auditu. Alokování a správa zdrojů programu auditu. Vytvoření postupů auditu. Provádění činností auditu. Následné činnosti a neshody.

Ošetření problémů a neshod

Definování procesu řešení problémů a neshod. Definování postupu nápravných opatření. Definování postupu preventivních opatření. Vypracování návrhů akčních plánů.

Chraňme náš společný kyberprostor

Aby byla kybernetická bezpečnost efektivní, musí zainteresované strany hrát v kybernetickém prostoru aktivní roli nad rámec ochrany svých vlastních aktiv.

Napište nám:

Napište nám zprávu ...
1
*
 
2
*
 
3
*
*
*