Řízení bezpečnosti informací dle ZoKB

G+
linkedin

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti 

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti (ZKB) nabyl účinnosti 1. ledna 2015. Stanovuje práva a povinnosti osob a orgánů veřejné moci v oblasti kybernetické bezpečnosti, sjednocuje pravidla a postupy při kyber-bezpečnostních incidentech, přispívá ke zlepšení jejich detekce a zvýšení ochrany před jejich uskutečněním. Zákon doprovázejí prováděcí právní předpisy, konkrétně vyhláška 
č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti a likvidace dat (VKB); a vyhláška č. 317/2014 Sb., 
o významných informačních systémech a jejich určujících kritériích, která byla novelizována vyhláškou č. 205/2016 Sb.

Povinnosti dotčených organizací

Zákon o kybernetické bezpečnosti definuje povinnosti dotčených organizací zejména ve smyslu povinnosti:

  • zavést bezpečnostní opatření a vést o nich bezpečnostní dokumentaci;
  • detekovat kybernetické bezpečnostní události;
  • hlásit kybernetické bezpečnostní incidenty;
  • provádět reaktivní a ochranná opatření dle požadavků NBÚ;
  • oznamovat kontaktní údaje NBÚ.

Požadavky prvního a druhého bodu uvedeného výčtu povinností jsou klíčové, resp. nejnáročnější. Pro zajištění souladu se zákonem jsou dotčené organizace povinny provést organizační opatření ve smyslu zavedení systému řízení bezpečnosti informací (ISMS) a navrhnout a implementovat organizační a technická bezpečnostní opatření vyplývající z analýzy rizik, prohlášení o aplikovatelnosti nebo explicitně požadovaná zákonem nebo vyhláškou o kybernetické bezpečnosti.

Předmět našich profesionálních služeb

Společnost KRUCEK poskytuje níže uvedené služby v rámci komplexních řešení nebo jednotlivě dle potřeb a kontextu klienta.

Ustavení ISMS projektu a analýza stávajícího systému

Srovnání současné výkonnosti systému řízení bezpečnosti informací s požadavky ZKB a VKB, identifikace aplikovaných opatření bezpečnosti informací. Identifikace potřeb pro zlepšení. Předložení plánu projektu ISMS.

Definování rozsahu ISMS

Definování organizačních hranic, hranic informačního systému a fyzických hranic. Navržení rozsahu ISMS a prohlášení o rozsahu.

Dokumentace ISMS a politika bezpečnosti informací

Stanovení procesů ISMS. Definování struktury a životního cyklu řídící dokumentace ISMS. Tvorba politiky bezpečnosti informací a specifických politik, schválení vedením. Zveřejnění a šíření politik.

Organizační struktura bezpečnosti informací

Určení organizační struktury pro řízení bezpečnosti informací. Definování rolí a povinností odpovědných osob a zúčastněných stran. Definování rolí a povinností klíčových výborů.

Procesy řízení rizik a prohlášení o aplikovatelnosti (SoA)

Popis kontextu, výběr metodiky posuzování rizik a kritérií řízení rizik. Identifikace, analýza a hodnocení rizik. Ošetření rizik. Prohlášení o aplikovatelnosti. Plán ošetření rizik a akceptace zbytkových rizik.

Návrh a dokumentace specifických politik, postupů a opatření

Návrh a dokumentace specifických politik, procesů a opatření bezpečnosti informací. Specifikace záznamů. Podpora při implementaci vybraných opatření.

Komunikace, školení a zvyšování povědomí

Stanovení cílů a plánů komunikace ve vztahu k cílovým zúčastněným stranám. Definování potřeb a plánů školení a zvyšování povědomí. Poskytování školení.

Monitorování a měření

Určení cílů a předmětu monitorování a měření. Stanovení frekvence a metody monitorování a měření. Reportování výsledků.

Interní audit

Vytvoření programu interního auditu. Zajištění nezávislosti, objektivity a nestrannosti interního auditu. Plánování činností auditu. Alokování a správa zdrojů programu auditu. Vytvoření postupů auditu. Provádění činností auditu. Následné činnosti a neshody.

Ošetření problémů a neshod

Definování procesu řešení problémů a neshod. Definování postupu nápravných opatření. Definování postupu preventivních opatření. Vypracování návrhů akčních plánů.

Kvalita služeb

V průběhu poskytování konzultačních služeb jsou uplatňovány standardy kvality služeb dle ISO 9001 a ISO 20700, bezpečnosti informací dle ISO/IEC 27001 a projektového řízení dle ISO 21500.

Kompetence našich konzultantů:

  • Certified ISO/IEC 27001 Lead Implementer *
  • Certified ISO/IEC 27701 Lead Implementer *
  • Certified ISO/IEC 27005 Lead Risk Manager *
  • Certified ISO/IEC 27002 Lead Manager
  • Certified ISO/IEC 27032 Lead Cybersecurity Manager

Při provádění interního auditu (audit první stranou) nebo externího auditu třetí strany (audit druhou stranou) je uplatňována nejlepší praxe auditování systémů řízení definovaná normami ISO 19011 a ISO/IEC 27006.

Kompetence našich auditorů:

  • Certified ISO/IEC 27001 Lead Auditor *

* POZNÁMKA: Certifikace akreditovaná dle ISO/IEC 17024 nebo relevantní certifikace ISACA.

Napište nám:

Napište nám zprávu ...
1
*
 
2
*
 
3
*
*
*