Systémy řízení bezpečnosti informací dle ZoKB

G+
linkedin

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti 

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti (ZKB) nabyl účinnosti 1. ledna 2015. Stanovuje práva a povinnosti osob a orgánů veřejné moci v oblasti kybernetické bezpečnosti, sjednocuje pravidla a postupy při kyber-bezpečnostních incidentech, přispívá ke zlepšení jejich detekce a zvýšení ochrany před jejich uskutečněním. Zákon doprovázejí prováděcí právní předpisy, konkrétně vyhláška 
č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti a likvidace dat (VKB); a vyhláška č. 317/2014 Sb., 
o významných informačních systémech a jejich určujících kritériích, která byla novelizována vyhláškou č. 205/2016 Sb.

Povinnosti dotčených organizací

Zákon o kybernetické bezpečnosti definuje povinnosti dotčených organizací zejména ve smyslu povinnosti:

  • zavést bezpečnostní opatření a vést o nich bezpečnostní dokumentaci;
  • detekovat kybernetické bezpečnostní události;
  • hlásit kybernetické bezpečnostní incidenty;
  • provádět reaktivní a ochranná opatření dle požadavků NBÚ;
  • oznamovat kontaktní údaje NBÚ.

Požadavky prvního a druhého bodu uvedeného výčtu povinností jsou klíčové, resp. nejnáročnější. Pro zajištění souladu se zákonem jsou dotčené organizace povinny provést organizační opatření ve smyslu zavedení systému řízení bezpečnosti informací (ISMS) a navrhnout a implementovat organizační a technická bezpečnostní opatření vyplývající z analýzy rizik, prohlášení o aplikovatelnosti nebo explicitně požadovaná zákonem nebo vyhláškou o kybernetické bezpečnosti.

Předmět našich profesionálních služeb

Společnost KRUCEK poskytuje níže uvedené služby v rámci komplexních řešení nebo jednotlivě dle potřeb a kontextu klienta.

Rozdílová (GAP) analýza a ustavení ISMS projektu

Srovnání současné výkonnosti systému řízení bezpečnosti informací s požadavky ZKB a VKB, identifikace aplikovaných opatření bezpečnosti informací. Identifikace potřeb pro zlepšení. Předložení plánu projektu ISMS. Získání souhlasu vedení.

Definování rozsahu ISMS

Definování organizačních hranic. Definování hranic informačního systému. Definování fyzických hranic. Navržení rozsahu ISMS.

Dokumentace ISMS a politika bezpečnosti informací

Stanovení procesů ISMS. Definování struktury a životního cyklu řídící dokumentace ISMS. Tvorba politiky bezpečnosti informací a specifických politik, schválení vedením. Zveřejnění a šíření politik.

Organizační struktura bezpečnosti informací

Určení organizační struktury pro řízení bezpečnosti informací. Definování rolí a povinností odpovědných osob a zúčastněných stran. Definování rolí a povinností klíčových výborů.

Procesy řízení rizik a prohlášení o aplikovatelnosti (SoA)

Popis kontextu, výběr metodiky posuzování rizik a kritérií řízení rizik. Identifikace, analýza a hodnocení rizik. Ošetření rizik. Prohlášení o aplikovatelnosti. Plán ošetření rizik a akceptace zbytkových rizik.

Dokumentace specifických politik, postupů a opatření

Návrh a dokumentace specifických politik, procesů a opatření bezpečnosti informací. Specifikace záznamů. Podpora při implementaci vybraných opatření.

Komunikace, školení a zvyšování povědomí

Stanovení cílů a plánů komunikace ve vztahu k cílovým zúčastněným stranám. Definování potřeb a plánů školení a zvyšování povědomí. Poskytování školení.

Měření, monitorování a hodnocení ISMS

Určení cílů a předmětu monitorování a měření. Stanovení frekvence a metody monitorování a měření. Reportování výsledků.

Interní audit

Vytvoření programu interního auditu. Zajištění nezávislosti, objektivity a nestrannosti interního auditu. Plánování činností auditu. Alokování a správa zdrojů programu auditu. Vytvoření postupů auditu. Provádění činností auditu. Následné činnosti a neshody.

Ošetření problémů a neshod

Definování procesu řešení problémů a neshod. Definování postupu nápravných opatření. Definování postupu preventivních opatření. Vypracování návrhů akčních plánů.

Kvalita služeb

V průběhu poskytování konzultačních služeb jsou uplatňovány standardy kvality konzultačních služeb dle ISO 9001 a ISO 20700 a projektového řízení dle ISO 21500.

Při provádění interního auditu (audit první stranou) nebo externího auditu třetí strany (audit druhou stranou) je uplatňována nejlepší praxe auditování systémů managementu definovaná normou ISO 19011 a příslušnými oborovými normami a legislativou.

Napište nám:

Napište nám zprávu ...
1
*
 
2
*
 
3
*
*
*