Integrovaný systém řízení rizik v rámci kybernetické bezpečnosti a jeho softvérová podpora

03. 03. 2016 | Komentáre čitateľov [0]

V roce 2015 začal v České republice platit kybernetický zákon. V rámci tohoto zákona jsou instituce a firmy povinny zajistit požadavky z něho plynoucí. Při naplnění požadavků kybernetického zákona je potřeba pokrýt několik oblastí – sběr incidentů, analýza incidentů, řízení rizik, reportování o incidentech a další.

Hlavní tři oblasti zákona jsou :


  • Administrativní a organizační opatření
  • Technická opatření
  • Bezpečnostní dokumentace


Mnoho dodavatelských firem se vrhlo na zajištění kybernetické bezpečnosti, a to zejména ve druhé oblasti. Soustředily se především na technické řešení sběru incidentů a jejich analýzy. Rovněž třetí oblast bývá řešena, ať již konzultačními společnostmi, či dodavatelskými firmami technického řešení.


Stranou zájmu zůstává zatím první oblast, a to především oblast – řízení rizik.


V rámci kybernetického zákona je tato oblast poměrně přesně vymezena a definována.


Instituce a firmy k implementaci řízení rizik musí dospět. Až pomine první kolo – nasazení různých sond a sledování incidentů, bude nutné se soustředit i na další požadavky plynoucí z kybernetické zákona – jako je identifikace a ohodnocení aktiv, hrozeb a incidentů. A z toho vyplývající řízení rizik, provázání incidentů na rizika, příprava protiopatření. Pro tuto oblast firma Datacons připravila řešení, plně pokrývající požadavky zákona a vyhlášek.


Při implementaci řízení rizik pro požadavky kybernetického zákona je vhodné se na tuto problematiku podívat poněkud šířeji. Je vhodné zvážit zda nenasadit řízení rizik jako Enterprise Risk Management, ne pouze Governance Risk Management. Je nutné také zvážit jednoznačnou návaznost na požadavky interního auditu. A celý životní cyklus organizačních a administrativních opatření  doplnit odpovídajícím SW řešením. Protože pokud počet rizik překročí hranici cca 100 rizik, je těžké bez SW podpory zajistit celý proces řízení rizik.


Společnost Datacons připravila softvérové řešení (SW) uvedené první oblasti kybernetického zákona, tedy řešení organizačních a administrativních opatření, které splní nejen požadavky diskutovaného zákona.


SW řešení je nazváno Datacons ARM Cybersecurity a svou podstatou je schopno pokrýt všechny ze zákona požadované evidence a aktivně s nimi pracovat. Výhodou je provázání jednotlivých evidencí mezi sebou, používání ze zákona přednastavených hodnot dle a zejména pak administrativní pokrytí celého životního cyklu informací požadovaných v rámci zákona o kybernetické bezpečnosti.


Uvedené řešení lze bez problémů integrovat do technických systémů sběru a sledování informací, důležitých pro kybernetickou bezpečnost (SIEM apod.)


Životní cyklus rizika:


 




Vzhledem k tomu, že celý systém je postaven na obecném systému řízení rizik organizace, jsme schopni uvedené řešení rozšířit (bez zásadní potřeby změny licencí) na další procesní oblasti společnosti, do nichž a kterých se řízení rizik dotýká. Jedná se zejména o obecné procesy :


  • řízení rizik(včetně identifikace a ohodnocení)
  • řízení a evidence incidentů
  • práce s aktivy(včetně identifikace a ohodnocení)
  • práce s hrozbami a protiopatřeními (včetně identifikace a ohodnocení)
  • práce s auditem(interní, externí)
  • práce s KPI


Všechny uvedené procesy jsme schopni evidovat a aktivně s nimi pracovat v rámci jednoho řešení.


Integrované SW řešení pokrývá proces dle těchto tyto normy a zákonů:


  • ISO 9001:2015, ISO 31000, ISO 27000, ISO13485, Soulad s ISO 27001, ISO 20000-1
  • Zákon 320/2001 včetně aktualizace 2016, Vyhláška 316/2014, standard COSO požadovanou Ministerstvem financí ČR
  • Předpis č. 181/2014 Sb. Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)
  • Vyhlášce o kybernetické bezpečnosti č. 316/2014 Sb.- podrobně


Ing. Čestmír Pail – CEO Datacons s.r.o. 

Galéria obrázkov


Napísať komentár

Diskusia k článku je momentálne pozastavená.

Preraďte na vyšší level poznania GDPR a eIDAS!

Kybernetická bezpečnosť a nový európsky právny rámec v podmienkach SR

26. septembra 2017, Bratislava

I. GDPR a jej implementácia do právneho rámca Slovenska
II. Praktické skúsenosti a odporúčania